Ativar a autenticação Kerberos do Microsoft Entra para o Ficheiros do Azure no macOS com o SSO da Plataforma (pré-visualização)

Aplica-se a: ✔️ partilhas de ficheiros SMB

Este artigo explica como configurar a autenticação Kerberos do Microsoft Entra para o Ficheiros do Azure em dispositivos macOS, utilizando o macOS Platform Single Sign-On (PSSO) (pré-visualização). Ao utilizar esta configuração, os dispositivos macOS associados ao Microsoft Entra podem aceder às partilhas de ficheiros do Azure através de SMB de forma transparente, utilizando Kerberos Ticket Granting Tickets (TGTs) baseados na cloud, sem solicitar credenciais aos utilizadores.

O macOS Platform SSO integra dispositivos Mac com o Microsoft Entra ID e permite aos utilizadores iniciar sessão com as suas credenciais do Microsoft Entra ID usando uma chave limitada por hardware, cartão inteligente ou palavra-passe do Microsoft Entra ID. Para além do Platform SSO Primary Refresh Token (PRT), o Microsoft Entra ID emite um Kerberos TGT na cloud, que é partilhado com a pilha nativa Kerberos do macOS através do mapeamento TGT no PSSO. Os TGTs Kerberos no local também podem ser obtidos quando o cliente está configurado (por exemplo, através do Intune) para consultar controladores de domínio no local. Esta configuração permite um login único fluido no Ficheiros do Azure sem pedir credenciais interativas aos utilizadores.

Para mais informações sobre a autenticação Kerberos do Microsoft Entra para Ficheiros do Azure, consulte Descrição geral das opções de autenticação do Ficheiros do Azure baseadas em identidade para acesso SMB.

Pré-requisitos

Antes de configurar o acesso ao Ficheiros do Azure no macOS usando o Platform SSO, cumpra os seguintes pré-requisitos.

Requisitos para dispositivos macOS

Requisitos do Ficheiros do Azure

Permissões e requisitos de ferramentas

Para executar o script de atualização de registo da aplicação descrito neste artigo, precisa de:

  • PowerShell 5.1 ou PowerShell 7.x.
  • O Microsoft. Graph.Applications módulo PowerShell. Se não tiver este módulo instalado, execute Install-Module Microsoft.Graph.Applications -Scope CurrentUser.
  • A função Microsoft Entra de Administrador da Aplicação ou de Administrador Global, com a permissão da API do Microsoft Graph Application.ReadWrite.All.

Atualizar o URI do identificador de registo da aplicação

Este passo só é necessário se tiver partilhas de ficheiros existentes na conta de armazenamento. Não se aplica a partilhas de ficheiros recém-criadas. Se não existirem partilhas de ficheiros existentes na conta de armazenamento, pode saltar este passo.

Para que os clientes macOS acedam a partilhas de ficheiros de Azure existentes usando Microsoft Entra Kerberos com Platform SSO, deve atualizar o URI do identificador CIFS para minúsculas cifs, caso contrário a montagem da partilha de ficheiros falha.

Quando ativa uma conta de armazenamento para autenticação Kerberos do Microsoft Entra, o sistema regista automaticamente uma aplicação do Microsoft Entra com URIs de identificador que incluem um prefixo CIFS/<storageaccount>.file.core.windows.net. O macOS exige que o cifs prefixo seja minúsculo ao montar uma partilha de ficheiros SMB usando o Kerberos. Se algum URI identificador contiver o prefixo maiúsculo CIFS , os clientes macOS não podem autenticar nem montar a partilha.

Para atualizar o URI do identificador, utilize o script PowerShell fornecido no repositório de exemplos Ficheiros do Azure. O script atualiza os URIs identificadores nos registos de aplicações de CIFS/<storageaccount>.file.core.windows.net para cifs/<storageaccount>.file.core.windows.net. Suporta atualizações de aplicação única e em massa através de um ficheiro CSV, e cria um registo de auditoria de todas as alterações.

Tip

Executa primeiro o script com o -WhatIf parâmetro para pré-visualizar as alterações sem as aplicar.

Atualize um registo de uma única aplicação

Substitua <app-registration-id> pelo ID de registo da aplicação para a sua conta de armazenamento. Para encontrar este ID, vá a Microsoft Entra ID>Registos de aplicações>Todas as aplicações e procure o nome da sua conta de armazenamento.

.\updateappmanifestazurefiles.ps1 -AppId "<app-registration-id>"

Para gerar um registo de auditoria, especifique o -OutputFile parâmetro:

.\updateappmanifestazurefiles.ps1 -AppId "<app-registration-id>" -OutputFile "C:\audit\output.csv"

Atualizar múltiplos registos de aplicações

Crie um ficheiro CSV com um AppId cabeçalho de coluna contendo os IDs de registo da aplicação para cada conta de armazenamento que pretende atualizar. Por exemplo:

AppId
12345678-1234-1234-1234-123456789012
87654321-4321-4321-4321-210987654321

Depois executa o script com o -CsvFilePath parâmetro:

$timestamp = Get-Date -Format "yyyyMMdd_HHmmss"
$outputFile = "C:\audit\production_update_$timestamp.csv"
.\updateappmanifestazurefiles.ps1 -CsvFilePath "C:\apps.csv" -OutputFile $outputFile

Note

O script processa as aplicações em lotes de 50, com um atraso de 100ms entre aplicações e um atraso de 2 segundos entre lotes. Funciona com até 20.000 aplicações. Para operações de grande volume, teste primeiro com um pequeno subconjunto e reveja o registo de auditoria antes de avançar para a execução à escala.

Verificar a atualização

Após executar o script, verifique se o URI do identificador foi atualizado com sucesso.

  1. No portal Azure, abra Microsoft Entra ID.
  2. Em Gerir, selecione Registos de aplicações>Todas as aplicações.
  3. Procure o nome da sua conta de armazenamento e selecione a aplicação correspondente.
  4. Em Gerenciar, selecione Manifesto.
  5. Confirme que o URI do identificador agora aparece cifs/<storageaccount>.file.core.windows.net em minúsculas.

Configurar perfis MDM de SSO Kerberos no macOS

Para ativar o Kerberos SSO para Ficheiros do Azure no macOS, implemente um perfil Kerberos SSO MDM que aponte o macOS para o Microsoft Entra ID Cloud Kerberos realm. Se os seus utilizadores também precisarem de aceder a recursos Active Directory no local via Kerberos, implemente um perfil separado para o domínio AD local.

Note

Se tenciona utilizar tanto os domínios Kerberos do Microsoft Entra ID Cloud como os domínios do Active Directory no local, implemente primeiro o perfil do Active Directory no local e, em seguida, o perfil do Microsoft Entra ID Cloud Kerberos.

Configurar o perfil Microsoft Entra ID Cloud Kerberos

Use as seguintes definições para configurar o perfil MDM do Microsoft Entra ID Cloud Kerberos. Substitua todos os valores provisórios pelos valores corretos para o seu inquilino.

Chave de configuração Valor recomendado Note
preferredKDCs kkdcp://login.microsoftonline.com/<tenantId>/kerberos Substitua <tenantId> pelo seu ID de tenant Microsoft Entra. Pode encontrar este valor na página Overview do centro de administração Microsoft Entra.
PayloadOrganization Nome da sua organização
Hosts .windows.net e windows.net
Realm KERBEROS.MICROSOFTONLINE.COM Deve estar tudo em maiúsculas. 
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>PayloadContent</key>
    <array>
        <dict>
            <key>ExtensionData</key>
            <dict>
                <key>usePlatformSSOTGT</key>
                <true/>
                <key>performKerberosOnly</key>
                <true/>
                <key>preferredKDCs</key>
                <array>
                    <string>kkdcp://login.microsoftonline.com/<tenantId>/kerberos</string>
                </array>
            </dict>
            <key>ExtensionIdentifier</key>
            <string>com.apple.AppSSOKerberos.KerberosExtension</string>
            <key>Hosts</key>
            <array>
                <string>windows.net</string>
                <string>.windows.net</string>
            </array>
            <key>Realm</key>
            <string>KERBEROS.MICROSOFTONLINE.COM</string>
            <key>PayloadDisplayName</key>
            <string>Single Sign-On Extensions Payload for Microsoft Entra ID Cloud Kerberos</string>
            <key>PayloadIdentifier</key>
            <string>com.apple.extensiblesso.00aa00aa-bb11-cc22-dd33-44ee44ee44ee</string>
            <key>PayloadType</key>
            <string>com.apple.extensiblesso</string>
            <key>PayloadUUID</key>
            <string>00aa00aa-bb11-cc22-dd33-44ee44ee44ee</string>
            <key>TeamIdentifier</key>
            <string>apple</string>
            <key>Type</key>
            <string>Credential</string>
        </dict>
    </array>
    <key>PayloadDescription</key>
    <string></string>
    <key>PayloadDisplayName</key>
    <string>Kerberos SSO Extension for macOS for Microsoft Entra ID Cloud Kerberos</string>
    <key>PayloadEnabled</key>
    <true/>
    <key>PayloadIdentifier</key>
    <string>11bb11bb-cc22-dd33-ee44-55ff55ff55ff</string>
    <key>PayloadOrganization</key>
    <string>Contoso</string>
    <key>PayloadRemovalDisallowed</key>
    <true/>
    <key>PayloadScope</key>
    <string>System</string>
    <key>PayloadType</key>
    <string>Configuration</string>
    <key>PayloadUUID</key>
    <string>11bb11bb-cc22-dd33-ee44-55ff55ff55ff</string>
    <key>PayloadVersion</key>
    <integer>1</integer>
</dict>
</plist>

Guarde esta configuração usando um editor de texto com a .mobileconfig extensão de ficheiro (por exemplo, cloud-kerberos.mobileconfig) após atualizar os valores do seu ambiente.

Note

Quando define a chave usePlatformSSOTGT como true, a extensão Kerberos utiliza o TGT do Platform SSO com o mesmo reino. Quando defines a performKerberosOnly chave para true, a extensão não realiza verificações de validade de palavras-passe, verificações externas de mudança de palavra-passe nem recupera o diretório pessoal do utilizador. Configura ambas as chaves em quaisquer perfis SSO do Kerberos que implementares.

Configurar o perfil Kerberos do Active Directory no local (opcional)

Se os seus utilizadores também precisarem de recursos Kerberos SSO para Active Directory no local, configure um perfil MDM separado para o domínio AD local. Substitua todas as referências ao contoso.com e ao Contoso pelos valores corretos para o seu ambiente.

Chave de configuração Valor recomendado Note
Hosts .contoso.com e contoso.com Substitua pelo seu domínio local ou nome florestal. Mantém o carácter anterior . antes do teu nome de domínio.
Realm CONTOSO.COM Substitua pelo nome do seu domínio local. Deve estar totalmente em maiúsculas.
PayloadOrganization Nome da sua organização 
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>PayloadContent</key>
    <array>
        <dict>
            <key>ExtensionData</key>
            <dict>
                <key>allowPasswordChange</key>
                <true/>
                <key>allowPlatformSSOAuthFallback</key>
                <true/>
                <key>performKerberosOnly</key>
                <true/>
                <key>pwReqComplexity</key>
                <true/>
                <key>syncLocalPassword</key>
                <false/>
                <key>usePlatformSSOTGT</key>
                <true/>
            </dict>
            <key>ExtensionIdentifier</key>
            <string>com.apple.AppSSOKerberos.KerberosExtension</string>
            <key>Hosts</key>
            <array>
                <string>.contoso.com</string>
                <string>contoso.com</string>
            </array>
            <key>Realm</key>
            <string>CONTOSO.COM</string>
            <key>PayloadDisplayName</key>
            <string>Single Sign-On Extensions Payload for On-Premises</string>
            <key>PayloadIdentifier</key>
            <string>com.apple.extensiblesso.1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5</string>
            <key>PayloadType</key>
            <string>com.apple.extensiblesso</string>
            <key>PayloadUUID</key>
            <string>1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5</string>
            <key>TeamIdentifier</key>
            <string>apple</string>
            <key>Type</key>
            <string>Credential</string>
        </dict>
    </array>
    <key>PayloadDescription</key>
    <string></string>
    <key>PayloadDisplayName</key>
    <string>Kerberos SSO Extension for macOS for On-Premises</string>
    <key>PayloadEnabled</key>
    <true/>
    <key>PayloadIdentifier</key>
    <string>2bbbbbb2-3cc3-4dd4-5ee5-6ffffffffff6</string>
    <key>PayloadOrganization</key>
    <string>Contoso</string>
    <key>PayloadRemovalDisallowed</key>
    <true/>
    <key>PayloadScope</key>
    <string>System</string>
    <key>PayloadType</key>
    <string>Configuration</string>
    <key>PayloadUUID</key>
    <string>2bbbbbb2-3cc3-4dd4-5ee5-6ffffffffff6</string>
    <key>PayloadVersion</key>
    <integer>1</integer>
</dict>
</plist>

Guarde esta configuração usando um editor de texto com a .mobileconfig extensão de ficheiro (por exemplo, on-prem-kerberos.mobileconfig) após atualizar os valores do seu ambiente.

Implemente os perfis usando o Microsoft Intune

Se usar o Intune como solução MDM, siga estes passos para implementar cada perfil. Repita os passos para cada .mobileconfig ficheiro que precisa de implementar.

  1. Entre no centro de administração do Microsoft Intune.
  2. SelecioneConfiguração de dispositivos>>Criar>nova política.
  3. Introduza as seguintes propriedades:
    • Plataforma: Selecione macOS.
    • Tipo de perfil: Selecione Modelos.
  4. Escolha o modelo personalizado e selecione Criar.
  5. Em Basics, introduza um nome descritivo para a política, como macOS - Ficheiros do Azure Cloud Kerberos SSO, e uma descrição opcional. Selecione Avançar.
  6. Insira um nome na caixa Nome do perfil de configuração personalizada .
  7. Para Canal de implementação, selecione Canal do dispositivo.
  8. Selecione o ícone da pasta e carregue o .mobileconfig ficheiro que guardou e personalizou anteriormente.
  9. Selecione Avançar.
  10. Nas etiquetas de Escopo, atribui quaisquer etiquetas de âmbito aplicáveis e depois selecione Próximo.
  11. Nas Atribuições, selecione os utilizadores ou grupos de utilizadores que recebem o perfil. As políticas SSO da plataforma são baseadas no utilizador; Não atribua a política aos dispositivos.
  12. Selecione Próximo, reveja as suas definições e depois selecione Criar.

As definições são aplicadas da próxima vez que cada dispositivo verifica atualizações de configuração.

Atribuir permissões ao nível de partilha

Para cada partilha de ficheiros Azure, atribua permissões ao nível de partilha aos utilizadores ou grupos que precisam de acesso. Uma vez que as permissões ao nível de partilha estejam em vigor, as ACLs do Windows em ficheiros e diretórios individuais controlam o acesso detalhado.

Para definir permissões de nível de compartilhamento, siga as instruções em Atribuir permissões de nível de compartilhamento a uma identidade.

Montar a partilha de ficheiros do Azure no macOS

Depois de implementar os perfis SSO do Kerberos e atualizar o registo da aplicação, os utilizadores do macOS podem montar a partilha de ficheiros do Azure a partir do Finder.

  1. Abrir o Localizador.

  2. No menu Go , selecione Ligar ao Servidor ou pressione Command+K.

  3. No campo Endereço do Servidor , introduza o URL SMB para a sua partilha de ficheiros. Converta o caminho Windows UNC para uma URL SMB substituindo \\ por smb:// e cada \ por /. Por exemplo:

    smb://<storageaccountname>.file.core.windows.net/<sharename>

  4. Selecione Conectar.

Se a configuração estiver correta, a partilha é montada sem solicitar as credenciais ao utilizador.

Testar e verificar

Após concluir a configuração, verifique se os tickets do Kerberos estão a ser emitidos e que o acesso ao partilha de ficheiros funciona como esperado.

Verificar a emissão de bilhetes do Kerberos

No cliente macOS, abra o Terminal e execute o seguinte comando:

app-sso platform -s

Confirme que a saída inclui um ticket Kerberos para o domínio Cloud Kerberos do Microsoft Entra ID, indicado por um valor de ticketKeyPath igual a tgt_cloud. Se também implementou o perfil AD Kerberos no local, também deverá estar presente um segundo ticket com ticketKeyPath definido como tgt_ad.

Verifique se a porta 445 está aberta:

nc -vz exampleaccount.file.core.windows.net 445

Verificar o acesso à partilha de ficheiros

Tente montar a partilha de ficheiros Azure a partir do Finder usando os passos da secção anterior. A partilha deve ser montada sem solicitar credenciais interativas. Se aparecer um pedido de credencial, consulte a secção de resolução de problemas.

Troubleshoot

Os utilizadores são solicitados a obter credenciais ao montar a partilha de ficheiros

Se os utilizadores forem solicitados a introduzir credenciais ao ligar-se à partilha de ficheiros do Azure, verifique as seguintes condições:

  • O URI do identificador de registo da aplicação é atualizado de CIFS/ para cifs/ (minúscula). Consulte Atualizar o identificador de registo da aplicação URI e Verificar a atualização.
  • O dispositivo macOS tem um Kerberos TGT na cloud válido, confirmado ao correr app-sso platform -s no Terminal.
  • Os perfis MDM SSO Kerberos são aplicados ao dispositivo.
  • É concedido consentimento de administrador para o registo da aplicação Ficheiros do Azure no Microsoft Entra ID.
  • O utilizador tem permissões de nível de partilha na partilha de ficheiros do Azure.
  • O MFA está desativado para a aplicação Microsoft Entra que representa a conta de armazenamento.

Erros de script

Erro Resolução
Nem AppId nem CsvFilePath foram especificados Especifique exatamente um destes parâmetros.
Ficheiro CSV inválido Certifique-se de que o ficheiro existe, está codificado em UTF-8, tem um AppId cabeçalho de coluna e não contém entradas duplicadas.
Erros na Microsoft Graph API Verifique se tem a permissão Application.ReadWrite.All e a função de Administrador de Aplicações ou Administrador Global .
ID de registo de aplicação inválido Confirme que o ID de registo da aplicação existe no seu inquilino e está acessível. Limpe as credenciais em cache usando Disconnect-MgGraph e volte a autenticar se necessário.

Problemas conhecidos

Menu extra da extensão Kerberos SSO

Quando implementa o suporte para Kerberos SSO usando o Platform SSO, a barra de menu extra da extensão Kerberos SSO do macOS aparece na barra de menus. Os utilizadores não precisam de interagir com a barra de menu extra para que o SSO do Kerberos funcione. A funcionalidade de SSO funciona corretamente, mesmo que o item extra da barra de menus indique "Sem sessão iniciada". Pode instruir os utilizadores a ignorar esse item extra da barra de menus.

Suporte de navegador para Kerberos SSO

Se os seus utilizadores também acedem a recursos web locais via Kerberos SSO, alguns navegadores requerem configuração adicional. Estas definições não são necessárias para o acesso ao partilha de ficheiros SMB no Azure. Implemente as definições apropriadas para cada navegador utilizado no seu ambiente.

  • Safari: Suporta Kerberos SSO por defeito. Não é necessária configuração extra.
  • Microsoft Edge: Configure AuthNegotiateDelegateAllowlist e AuthServerAllowlist para incluir as informações da floresta do Active Directory no local.
  • Google Chrome: Configure AuthNegotiateDelegateAllowlist e AuthServerAllowlist para incluir as informações da sua floresta local do Active Directory.
  • Mozilla Firefox: Configure as definições network.negotiate-auth.trusted-uris e network.automatic-ntlm-auth.trusted-uris para ativar o suporte de SSO Kerberos.

Conteúdo relacionado

  • Last updated on