Aktivieren der Kerberos-Authentifizierung von Microsoft Entra für Hybrididentitäten in Azure Files
Artikel
In diesem Artikel liegt der Fokus auf dem Aktivieren und Konfigurieren von Microsoft Entra ID (früher Azure AD) für die Authentifizierung von Hybridbenutzeridentitäten, bei denen es sich um lokale AD DS-Identitäten handelt, die mit Microsoft Entra ID synchronisiert werden, entweder mit Microsoft Entra Connect oder Microsoft Entra Connect Cloudsynchronisieurng. Reine Cloudidentitäten werden zurzeit nicht unterstützt.
Diese Konfiguration ermöglicht es Hybridbenutzern, mithilfe der Kerberos-Authentifizierung auf Azure-Dateifreigaben zuzugreifen. Dabei verwenden sie Microsoft Entra ID, um die erforderlichen Kerberos-Tickets für den Zugriff auf die Dateifreigabe mit dem SMB-Protokoll auszustellen. Dies bedeutet, dass Ihre Endbenutzer*innen über das Internet auf Azure-Dateifreigaben zugreifen können, ohne dass eine uneingeschränkte Netzwerkverbindung mit den Domänencontrollern von Clients erforderlich ist, die in Microsoft Entra Hybrid und Microsoft Entra eingebunden sind. Zum Konfigurieren von Windows-Zugriffssteuerungslisten (Access Control Lists, ACLs) bzw. von Berechtigungen auf Verzeichnis- und Dateiebene für Benutzer*innen oder Gruppen ist jedoch eine uneingeschränkte Netzwerkverbindung mit dem lokalen Domänencontroller erforderlich.
Sie können nur eine AD-Methode für identitätsbasierte Authentifizierung mit Azure Files verwenden. Wenn die Microsoft Entra Kerberos-Authentifizierung für Hybrididentitäten nicht Ihren Anforderungen entspricht, können Sie stattdessen Active Directory Domain Service oder Microsoft Entra Domain Services verwenden. Die Konfigurationsschritte und unterstützten Szenarien für die einzelnen Methoden unterscheiden sich.
Gilt für:
Dateifreigabetyp
SMB
NFS
Standard-Dateifreigaben (GPv2), LRS/ZRS
Standard-Dateifreigaben (GPv2), GRS/GZRS
Premium-Dateifreigaben (FileStorage), LRS/ZRS
Voraussetzungen
Bevor Sie die Microsoft Entra Kerberos-Authentifizierung über SMB für Azure-Dateifreigaben aktivieren, müssen die folgenden Voraussetzungen erfüllt sein.
Mindestvoraussetzungen
Die folgenden Voraussetzungen sind obligatorisch. Ohne diese ist das Authentifizieren mithilfe von Microsoft Entra ID nicht möglich.
Ihr Azure-Speicherkonto kann sich nicht sowohl mit der Microsoft Entra ID als auch mit einer zweiten Methode wie AD DS oder Microsoft Entra Domain Services authentifizieren. Wenn Sie bereits eine andere AD-Methode für Ihr Speicherkonto ausgewählt haben, müssen Sie sie deaktivieren, bevor Sie Microsoft Entra Kerberos aktivieren.
Dieses Feature unterstützt derzeit keine Benutzerkonten, die Sie ausschließlich in Microsoft Entra ID erstellt und verwaltet werden. Benutzerkonten müssen hybride Benutzeridentitäten sein, was bedeutet, dass Sie auch AD DS und entweder Microsoft Entra Connect oder Microsoft Entra Connect Cloud Sync benötigen. Sie müssen diese Konten in Active Directory erstellen und mit Microsoft Entra ID synchronisieren. Zum Zuweisen von Azure RBAC-Berechtigungen (Role-Based Access Control) für die Azure-Dateifreigabe zu einer Benutzergruppe müssen Sie die Gruppe in Active Directory erstellen und mit Microsoft Entra ID synchronisieren.
Der WinHTTP Web Proxy Auto-Discovery Service (WinHttpAutoProxySvc) und der IP Helper Service (iphlpsvc) sind erforderlich. Ihr Status sollte auf „Wird ausgeführt“ gesetzt sein.
Dieses Feature unterstützt derzeit keinen mandantenübergreifenden Zugriff für B2B-Benutzer oder Gastbenutzer. Benutzer von einem anderen Microsoft Entra-Mandanten als dem konfigurierten Mandanten können nicht auf die Dateifreigabe zugreifen.
Mit Microsoft Entra Kerberos ist die Kerberos-Ticketverschlüsselung immer AES-256. Sie können jedoch die SMB-Kanalverschlüsselung einstellen, die Ihren Anforderungen am besten entspricht.
Voraussetzungen für Betriebssystem und Domäne
Die folgenden Voraussetzungen sind für den standardmäßigen Microsoft Kerberos-Authentifizierungsfluss erforderlich, wie in diesem Artikel beschrieben. Wenn diese nur von einigen oder keinen Clientcomputern erfüllt werden, können Sie die Microsoft Kerberos-Authentifizierung weiterhin aktivieren, aber Sie müssen auch eine Cloudvertrauensstellung konfigurieren, damit diese Clients auf Dateifreigaben zugreifen können.
Betriebssystemanforderungen:
Windows 11 Enterprise/Pro (Einzelsitzung oder mehrere Sitzungen).
Clients müssen entweder in Microsoft Entra oder in Microsoft Entra Hybrid eingebunden sein. Sie können nicht mit Microsoft Entra Domain Services verbunden oder nur AD hinzugefügt werden.
Aktivieren der Microsoft Entra Kerberos-Authentifizierung für Hybridbenutzerkonten
Um die Microsoft Entra Kerberos-Authentifizierung in Azure Files für Hybridbenutzerkonten zu aktivieren, können Sie das Azure-Portal, PowerShell oder die Azure CLI verwenden.
Führen Sie diese Schritte aus, um die Microsoft Entra Kerberos-Authentifizierung im Azure-Portal zu aktivieren.
Melden Sie sich beim Azure-Portal an und wählen Sie das Speicherkonto aus, für das Sie die Microsoft Entra Kerberos-Authentifizierung aktivieren möchten.
Wählen Sie unter Datenspeicher die Option Dateifreigaben aus.
Wählen Sie neben Active Directory den Konfigurationsstatus aus (z. B. Nicht konfiguriert).
Wählen Sie unter Microsoft Entra KerberosEinrichten aus.
Aktivieren Sie das Microsoft Entra Kerberos-Kontrollkästchen.
Optional: Wenn Sie Berechtigungen auf Verzeichnis- und Dateiebene im Windows-Datei-Explorer konfigurieren möchten, müssen Sie den Domänennamen und den global eindeutigen Bezeichner (Globally Unique Identifier, GUID) der Domäne für Ihre lokale AD-Instanz angeben. Sie können diese Informationen von Ihrem Domänenadministrator oder durch Ausführen des folgenden Active Directory PowerShell-Cmdlets auf einem lokalen, in AD eingebundenen Client erhalten: Get-ADDomain Ihr Domänenname sollte in der Ausgabe unter DNSRoot und der Domänen-GUID unter ObjectGUID aufgeführt sein. Wenn Sie die Berechtigungen auf Verzeichnis- und Dateiebene lieber mithilfe von icacls konfigurieren möchten, können Sie diesen Schritt überspringen. Wenn Sie icacls verwenden möchten, benötigt der Client jedoch eine uneingeschränkte Netzwerkverbindung mit der lokalen AD-Instanz.
Klicken Sie auf Speichern.
Führen Sie den folgenden Befehl aus, um Microsoft Entra Kerberos mit Azure PowerShell zu aktivieren. Denken Sie daran, die Platzhalterwerte, einschließlich Klammern, durch Ihre Werte zu ersetzen.
Optional: Wenn Sie Berechtigungen auf Verzeichnis- und Dateiebene im Windows-Datei-Explorer konfigurieren möchten, müssen Sie auch den Domänennamen und die Domänen-GUID für Ihr lokales AD angeben. Wenn Sie die Berechtigungen auf Verzeichnis- und Dateiebene lieber mithilfe von icacls konfigurieren möchten, können Sie diesen Schritt überspringen. Wenn Sie icacls verwenden möchten, benötigt der Client jedoch eine Sichtverbindung zu lokalen AD.
Sie können diese Informationen von Ihrem Domänenadministrator erfragen oder die folgenden Active Directory PowerShell-Cmdlets von einem lokalen, in AD eingebundenen Client ausführen:
Führen Sie den folgenden Azure PowerShell-Befehl aus, um den Domänennamen und die Domänen-GUID für Ihr lokales AD anzugeben. Denken Sie daran, die Platzhalterwerte, einschließlich Klammern, durch Ihre Werte zu ersetzen.
Um Microsoft Entra Kerberos mit Azure CLI zu aktivieren, führen Sie den folgenden Befehl aus. Denken Sie daran, die Platzhalterwerte, einschließlich Klammern, durch Ihre Werte zu ersetzen.
az storage account update --name <storageaccountname> --resource-group <resourcegroupname> --enable-files-aadkerb true
Optional: Wenn Sie Berechtigungen auf Verzeichnis- und Dateiebene im Windows-Datei-Explorer konfigurieren möchten, müssen Sie auch den Domänennamen und die Domänen-GUID für Ihr lokales AD angeben. Wenn Sie die Berechtigungen auf Verzeichnis- und Dateiebene lieber mithilfe von icacls konfigurieren möchten, können Sie diesen Schritt überspringen. Wenn Sie icacls verwenden möchten, benötigt der Client jedoch eine Sichtverbindung zu lokalen AD.
Sie können diese Informationen von Ihrem Domänenadministrator erfragen oder die folgenden Active Directory PowerShell-Cmdlets von einem lokalen, in AD eingebundenen Client ausführen:
Führen Sie den folgenden Befehl aus, um den Domänennamen und die Domänen-GUID für Ihr lokales AD anzugeben. Denken Sie daran, die Platzhalterwerte, einschließlich Klammern, durch Ihre Werte zu ersetzen.
Wenn Sie die Microsoft Entra Kerberos-Authentifizierung über manuelle eingeschränkte Vorschauschritte zuvor aktiviert haben, um FSLogix-Profile in Azure Files für in Microsoft Entra eingebundene VMs zu speichern, wird das Kennwort für den Dienstprinzipal des Speicherkontos so festgelegt, dass es alle sechs Monate abläuft. Sobald das Kennwort abgelaufen ist, können Benutzer keine Kerberos-Tickets zur Dateifreigabe mehr abrufen. Informationen zum Beheben dieses Problems finden Sie unter Mögliche Fehler beim Aktivieren der Microsoft Entra Kerberos-Authentifizierung für Hybridbenutzer im Abschnitt „Fehler – Dienstprinzipalkennwort ist in Microsoft Entra ID abgelaufen“.
Erteilen der Administratoreinwilligung für den neuen Dienstprinzipal
Nachdem Sie die Microsoft Entra Kerberos-Authentifizierung aktiviert haben, müssen Sie der neuen Microsoft Entra-Anwendung, die in Ihrem Microsoft Entra-Mandanten registriert ist, explizit die Administratoreinwilligung erteilen. Dieser Dienstprinzipal wird automatisch generiert und nicht für die Autorisierung für die Dateifreigabe verwendet. Nehmen Sie daher keine anderen als die hier dokumentierten Änderungen am Dienstprinzipal vor. Andernfalls erhalten Sie möglicherweise eine Fehlermeldung.
Sie können die API-Berechtigungen im Azure-Portal konfigurieren, indem Sie die folgenden Schritte ausführen:
Öffnen Sie Microsoft Entra ID.
Wählen Sie im Menü „Dienst“ unter Verwalten die Option App-Registrierungen aus.
Wählen Sie Alle Anwendungen aus.
Wählen Sie die Anwendung mit dem Namen aus, der [Speicherkonto] <your-storage-account-name> file.core.windows.net entspricht.
Wählen Sie im Menü „Dienst“ unter Verwalten die Option API-Berechtigungen aus.
Wählen Sie Admin-Zustimmung für [Verzeichnisname] erteilen, um die Zustimmung für die drei angeforderten API-Berechtigungen (openid, profile und User.Read) für alle Konten im Verzeichnis zu erteilen.
Klicken Sie auf Ja, um zu bestätigen.
Wichtig
Wenn Sie eine Verbindung mit einem Speicherkonto über einen privaten Endpunkt/Private Link mit der Microsoft Entra Kerberos-Authentifizierung herstellen, müssen Sie der Microsoft Entra-Anwendung des Speicherkontos auch den Private Link-FQDN hinzufügen. Entsprechende Anweisungen finden Sie im Eintrag in unserem Leitfaden zur Problembehandlung.
Deaktivieren der Multi-Faktor-Authentifizierung für das Speicherkonto
Microsoft Entra Kerberos unterstützt nicht die Verwendung von MFA für den Zugriff auf Azure-Dateifreigaben, die mit Microsoft Entra Kerberos konfiguriert sind. Sie müssen Microsoft Entra-App, die Ihr Speicherkonto darstellt, aus Ihren MFA-Richtlinien für bedingten Zugriff ausschließen, wenn sie für alle Apps gelten.
Die Speicherkonto-App sollte denselben Namen wie das Speicherkonto in der Ausschlussliste für bedingten Zugriff haben. Suchen Sie bei Ihrer Suche nach der Speicherkonto-App in der Ausschlussliste für bedingten Zugriff nach: [Speicherkonto] <your-storage-account-name>.file.core.windows.net.
Denken Sie daran, <your-storage-account-name> durch den richtigen Wert zu ersetzen.
Wichtig
Wenn Sie die MFA-Richtlinien nicht für die Speicherkonto-App ausschließen, können Sie nicht auf die Dateifreigabe zugreifen. Wenn Sie versuchen, die Dateifreigabe mithilfe von net use zuzuordnen, wird die folgende Fehlermeldung angezeigt: „Systemfehler 1327: Dieser Benutzer kann sich aufgrund von Kontoeinschränkungen nicht anmelden. Beispiel: Leere Kennwörter sind nicht zulässig, Anmeldezeiten sind eingeschränkt, oder eine Richtlinieneinschränkung wurde erzwungen.“
Eine Anleitung zum Deaktivieren von MFA finden Sie im folgenden Artikel:
Wenn Sie den identitätsbasierten Zugriff aktivieren, müssen Sie für jede Freigabe festlegen, welche Benutzer und Gruppen auf die betreffende Freigabe Zugriff haben. Nachdem ein Benutzer oder eine Gruppe den Zugriff auf eine Freigabe erhalten hat, gelten die Windows-Zugriffssteuerungslisten (ACLs, auch als NTFS-Berechtigungen bezeichnet) für einzelne Dateien und Ordner. Auf diese Weise können die Berechtigungen ähnlich wie bei einer SMB-Freigabe auf einem Windows-Server präzise gesteuert werden.
Konfigurieren von Berechtigungen auf Verzeichnis- und Dateiebene
Sobald Berechtigungen auf Freigabeebene eingerichtet sind, können Sie dem Benutzer oder der Gruppe Berechtigungen auf Verzeichnis-/Dateiebene zuweisen. Dies erfordert die Verwendung eines Geräts mit uneingeschränkter Netzwerkverbindung mit einer lokalen AD-Instanz.
Konfigurieren der Clients zum Abrufen von Kerberos-Tickets
Aktivieren Sie die Microsoft Entra-Kerberos-Funktionalität auf den Clientcomputern, von denen aus Sie Azure File-Freigaben einbinden/verwenden möchten. Diesen Vorgang müssen Sie auf jedem Client ausführen, auf dem Azure Files verwendet werden soll.
Konfigurieren Sie diese Gruppenrichtlinie auf den Clients mit der Einstellung „Aktiviert“: Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon
Legen Sie den folgenden Registrierungswert für die Clients fest, indem Sie diesen Befehl über eine Eingabeaufforderung mit erhöhten Rechten ausführen:
Änderungen werden nicht sofort angewendet und erfordern eine Richtlinienaktualisierung oder einen Neustart, um wirksam zu werden.
Wichtig
Sobald diese Änderung angewendet wurde, können die Clients keine Verbindung mehr mit Speicherkonten herstellen, die für die lokale AD DS-Integration konfiguriert sind, ohne Kerberos-Bereichszuordnungen zu konfigurieren. Wenn Sie möchten, dass die Clients eine Verbindung mit für AD DS konfigurierten Speicherkonten herstellen können, sowie für Speicherkonten, die für Microsoft Entra Kerberos konfiguriert sind, führen Sie die Schritte unter Konfigurieren der Koexistenz mit Speicherkonten mittels lokalem AD DS aus.
Konfigurieren der Koexistenz mit Speicherkonten mittels lokalem AD DS
Wenn Sie Clientcomputern das Herstellen einer Verbindung mit Speicherkonten ermöglichen wollen, die für AD DS konfiguriert sind, sowie mit Speicherkonten, die für Microsoft Entra Kerberos konfiguriert sind, führen Sie die folgenden Schritte aus. Wenn Sie nur Microsoft Entra Kerberos verwenden, überspringen Sie diesen Abschnitt.
Fügen Sie einen Eintrag für jedes Speicherkonto hinzu, das die lokale AD DS-Integration verwendet. Verwenden Sie eine der folgenden drei Methoden zum Konfigurieren von Kerberos-Bereichszuordnungen. Änderungen werden nicht sofort angewendet und erfordern eine Richtlinienaktualisierung oder einen Neustart, um wirksam zu werden.
Konfigurieren Sie diese Gruppenrichtlinie auf den Clients: Administrative Template\System\Kerberos\Define host name-to-Kerberos realm mappings.
Legen Sie die Richtlinie auf Enabled fest.
Wählen Sie dann die Schaltfläche Show... aus, um die Liste der Zuordnungen von Hostnamen zu Bereichen zu definieren. Fügen Sie für jedes für AD DS konfigurierte Speicherkonto einen Eintrag hinzu, für den Folgendes gilt:
Value ist der Hostname des AD DS-fähigen Speicherkontos, d. h. <your storage account name>.file.core.windows.net.
Value name ist der AD DS-Bereichsname.
Führen Sie den folgenden Windows-Befehl ksetup auf den Clients aus:
ksetup /addhosttorealmmap <hostname> <REALMNAME>
Wenn Ihr Bereich beispielsweise CONTOSO.LOCAL lautet, führen Sie ksetup /addhosttorealmmap <your storage account name>.file.core.windows.net CONTOSO.LOCAL aus.
Wichtig
Bei Kerberos-Bereichsnamen wird die Groß- und Kleinschreibung beachtet. Der Kerberos-Bereichsname ist in der Regel mit dem Domänennamen in Großbuchstaben identisch.
Rückgängigmachen der Clientkonfiguration zum Abrufen von Kerberos-Tickets
Wenn Sie keinen Clientcomputer mehr für die Microsoft Entra Kerberos-Authentifizierung verwenden möchten, können Sie die Microsoft Entra Kerberos-Funktionalität auf diesem Computer deaktivieren. Verwenden Sie eine der folgenden drei Methoden, je nachdem, wie Sie die Funktionalität aktiviert haben:
Konfigurieren Sie diese Gruppenrichtlinie auf den Clients mit der Einstellung „Deaktiviert“: Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon
Legen Sie den folgenden Registrierungswert für die Clients fest, indem Sie diesen Befehl über eine Eingabeaufforderung mit erhöhten Rechten ausführen:
Konfigurieren Sie diese Gruppenrichtlinie auf den Clients: Administrative Template\System\Kerberos\Define host name-to-Kerberos realm mappings.
Führen Sie den folgenden Windows-Befehl ksetup auf den Clients aus:
ksetup /delhosttorealmmap <hostname> <realmname>
Wenn Ihr Bereich beispielsweise CONTOSO.LOCAL lautet, führen Sie ksetup /delhosttorealmmap <your storage account name>.file.core.windows.net CONTOSO.LOCAL aus.
Sie können die Liste der aktuellen Hostnamen für Kerberos-Bereichszuordnungen anzeigen, indem Sie den Registrierungsschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealm überprüfen.
Änderungen werden nicht sofort angewendet und erfordern eine Richtlinienaktualisierung oder einen Neustart, um wirksam zu werden.
Wichtig
Sobald diese Änderung angewendet wurde, können die Clients keine Verbindung mehr mit Speicherkonten herstellen, die für Microsoft Entra Kerberos-Authentifizierung konfiguriert sind. Sie können jedoch ohne zusätzliche Konfiguration eine Verbindung mit Speicherkonten herstellen, die für AD DS konfiguriert sind.
Deaktivieren der Microsoft Entra-Authentifizierung für Ihr Speicherkonto
Wenn Sie eine andere Authentifizierungsmethode verwenden möchten, können Sie die Microsoft Entra-Authentifizierung für Ihr Speicherkonto im Azure-Portal, in Azure PowerShell oder über die Azure CLI deaktivieren.
Hinweis
Wenn Sie dieses Feature deaktivieren, ist in Ihrem Speicherkonto erst dann eine Active Directory-Konfiguration für Dateifreigaben möglich, wenn Sie eine anderen der Active Directory-Quellen aktivieren, um Ihre Active Directory-Konfiguration zu reaktivieren.
Führen Sie die folgenden Schritte aus, um die Azure AD Kerberos-Authentifizierung für Ihr Speicherkonto im Azure-Portal zu deaktivieren.
Melden Sie sich beim Azure-Portal an, und wählen Sie das Speicherkonto aus, für das Sie die Microsoft Entra Kerberos-Authentifizierung deaktivieren möchten.
Wählen Sie unter Datenspeicher die Option Dateifreigaben aus.
Wählen Sie neben Active Directory den Konfigurationsstatus aus.
Wählen Sie unter Microsoft Entra Kerberos die Option Konfigurieren aus.
Deaktivieren Sie das Kontrollkästchen Microsoft Entra Kerberos .
Wählen Sie Speichern aus.
Führen Sie den folgenden Befehl aus, um die Microsoft Entra Kerberos-Authentifizierung für Ihr Speicherkonto mithilfe von Azure PowerShell zu deaktivieren. Denken Sie daran, die Platzhalterwerte, einschließlich Klammern, durch Ihre Werte zu ersetzen.
Führen Sie den folgenden Befehl aus, um die Microsoft Entra Kerberos-Authentifizierung für Ihr Speicherkonto mithilfe der Azure CLI zu deaktivieren. Denken Sie daran, die Platzhalterwerte, einschließlich Klammern, durch Ihre Werte zu ersetzen.
az storage account update --name <storageaccountname> --resource-group <resourcegroupname> --enable-files-aadkerb false
Überprüfen Sie Ihre Berechtigung für ein Prüfungsrabattangebot und registrieren Sie sich für kostenlose Live-Sitzungen, um sich auf die Prüfung DP-700 vorzubereiten.
Veranschaulichen der Features von Microsoft Entra ID, um Identitätslösungen zu modernisieren sowie Hybridlösungen und Identitätsgovernance zu implementieren