Azure active directory Azure文件共享的smb身份验证

我已使用访问密钥在azure VM上装载azure文件共享，该VM未与azure active directory实例连接。请告诉我以下方案是否可行：-

• 如果我在文件夹和子文件夹上应用acl，acl是否会 在虚拟机上安装的驱动器中强制执行
• 如果有人试图从VM上载文件，AZURE RBAC是否适用

注意：-Azure VM位于可以访问Azure active directory的VNET上。 如能提供上述问题的任何信息/答案/建议，将不胜感激

域或非域帐户可以存在ACL。如果计算机未加入域，则显然无法设置域ACL。因此，在这种情况下，您只希望获得本地服务器ACL。 如果另一台服务器装载共享，并且没有另一个本地用户帐户+SID映射，那么这些ACL在第二台计算机上就没有任何意义但它们将被强制执行。 这样一来，尽管在实用性方面存在疑问，但仍能发挥作用

RBAC实际上是一种管理平面结构。旨在控制谁可以管理哪些Azure资源-->而不是访问哪些数据平面。现在，在对Azure文件共享的AD/AAD DS支持的情况下，团队决定“扩展”RBAC的含义，以通过Kerberos管理共享级ACL（其中普通RBAC仅为OAuth！） 足够的后端：这基本上意味着，不能支持本地服务器帐户。 这些帐户只存在于本地服务器上，不在AAD中，当然也不从prem AD直接同步到AAD中。这意味着RBAC不能用于本地帐户，只能用于域帐户

我不清楚你的想法是什么

• 使用某种本地用户凭据进入服务器的用户？ 然后将文件创建/复制到装载的Azure文件共享到该VM？-->这是可行的，因为没有RBAC，而且这一切都是通过拥有本地用户帐户的单一服务器进行的，因此这些本地帐户的ACL在本机上工作

• 使用域凭据进入服务器的用户？-->将无法工作，因为服务器未加入域

• 用户使用本地服务器帐户进入，然后使用Azure文件共享，而不是通过SMB装载，而是直接访问Azur文件共享：无法工作，因为它不是域帐户，非dimain帐户无法针对Azure文件共享工作。您可以使用srtorage访问密钥将文件共享装载到VM，然后您就可以访问并离开auth。使用本地帐户集连接到服务器

在为Azure文件共享启用Azure AD over SMB之前，请确保您已完成以下前提条件：

选择或创建Azure AD租户

您可以使用新租户或现有租户通过SMB进行Azure AD身份验证。要访问的租户和文件共享必须与同一订阅关联

要创建新的Azure广告租户，您可以添加Azure广告租户和Azure广告订阅。如果您有一个现有Azure AD租户，但希望创建一个用于Azure文件共享的新租户，请参阅

在Azure AD租户上启用Azure AD域服务

要支持Azure AD凭据的身份验证，必须为Azure AD租户启用Azure AD域服务。如果您不是Azure AD租户的管理员，请与管理员联系，并按照分步指导进行操作

Azure AD DS部署通常需要大约15分钟才能完成。在继续下一步之前，请验证Azure AD DS的运行状况是否显示正在运行，并启用了密码哈希同步

域使用Azure AD DS加入Azure VM

要使用来自VM的Azure AD凭据访问文件共享，您的VM必须加入Azure AD DS的域。有关如何加入域VM的更多信息，请参阅加入域

注意：只有在Windows 7或Windows Server 2008 R2以上的操作系统版本上运行的Azure虚拟机才支持通过SMB通过Azure文件共享进行Azure AD DS身份验证

选择或创建Azure文件共享

选择与Azure AD租户相同订阅关联的新文件共享或现有文件共享。有关的信息，请参阅在Azure文件中创建文件共享。为了获得最佳性能，我们建议您的文件共享与您计划从中访问共享的VM位于同一区域

通过使用存储帐户密钥装载Azure文件共享来验证Azure文件连接

---

要验证VM和文件共享是否正确配置，请尝试使用存储帐户密钥装载文件共享。欲了解更多信息，请参阅

答案非常有用。所有将登录虚拟机的用户都将使用azure AD凭据，不涉及本地帐户。因此，如果我们尚未创建azure AD域服务，并且我的虚拟机未与AAD租户加入域，则通过SMB对文件共享进行azure AD身份验证将无法工作，并且此外，如果我们通过挂载共享将ACL应用于文件夹和子文件夹，那么也不会强制执行这些ACL？我希望我已经得到了你的答案的简短摘要正确，请让我知道如果你需要任何澄清从我的结束。