نظرة عامة على خيارات مصادقة Azure Files المعتمدة على الهوية للوصول إلى SMB
تدعم ملفات Azure المصادقة المستندة إلى الهوية عبر Server Message Block (SMB) من خلال خدمات مجال Microsoft Azure Active Directory و Azure Active Directory Domain Services (Azure AD DS) . تركز هذه المقالة على كيفية استخدام مشاركات الملفات Azure خدمات المجال، سواء في الموقع أو في Azure، لدعم الوصول المستند إلى الهوية إلى مشاركات الملفات Azure عبر SMB. يتيح لك تمكين الوصول المستند إلى الهوية لمشاركات ملفات Azure استبدال خوادم الملفات الموجودة بمشاركات ملفات Azure دون استبدال خدمة الدليل الموجودة لديك، مع الحفاظ على وصول المستخدم السلس إلى المشاركات.
تفرض ملفات Azure التخويل على وصول المستخدم إلى كل من مستويات المشاركة والدليل/الملف. يمكن إجراء تعيين الأذونات على مستوى المشاركة على مستخدمي Microsoft Azure Active Directory أو المجموعات المُدارة من خلال نموذج التحكم في الوصول المستند إلى الدور Azure (Azure RBAC) . باستخدام RBAC، يجب أن تكون بيانات الاعتماد التي تستخدمها للوصول إلى الملفات متوفرة أو متزامنة مع Azure AD. يمكنك تعيين أدوار Azure المضمنة مثل قارئ مشاركة SMB لبيانات ملف التخزين للمستخدمين أو المجموعات في Microsoft Azure Active Directory لمنح حق الوصول للقراءة إلى مشاركة ملف Azure.
على مستوى الدليل / الملف، تدعم Azure Files الاحتفاظ بـ قوائم التحكم بالوصول الاختيارية لنظام التشغيل Windows وتوريثها وفرضها تمامًا مثل أي خوادم ملفات Windows. يمكنك اختيار الاحتفاظ Windows DACLs عند نسخ البيانات عبر SMB بين مشاركة الملفات الموجودة ومشاركات ملف Azure. سواء كنت تخطط لفرض التخويل أم لا، يمكنك استخدام مشاركات ملفات Azure لإنشاء احتياطية من ACLs مع بياناتك.
لمعرفة كيفية تمكين مصادقة خدمات مجال Active Directory المحلية لمشاركات ملفات Azure، راجع تمكين مصادقة خدمات مجال Active Directory المحلية عبر SMB لمشاركات ملفات Azure .
لمعرفة كيفية تمكين مصادقة خدمات مجال Active Directory لمشاركات ملفات Azure، راجع تمكين مصادقة خدمات مجال Microsoft Azure Active Directory على ملفات Azure .
ينطبق على
| نوع مشاركة الملف | SMB | NFS |
|---|---|---|
| مشاركات الملفات القياسية (GPv2)، LRS/ZRS |  |
 |
| مشاركات الملفات القياسية (GPv2)، GRS/GZRS | |
|
| مشاركات الملفات المتميزة (FileStorage)، LRS/ZRS | |
|
مسرد المصطلحات
من المفيد فهم بعض المصطلحات الأساسية المتعلقة بمصادقة خدمات مجال Microsoft Azure Active Directory عبر SMB لمشاركات ملفات Azure:
مصادقة Kerberos
Kerberos هو بروتوكول مصادقة يُستخدم للتحقق من هوية المستخدم أو المضيف. لمزيد من المعلومات حول Kerberos، راجع نظرة عامة على مصادقة Kerberos .
بروتوكول Server Message Block (SMB)
SMB هو بروتوكول مشاركة ملفات الشبكة المتوافق مع معايير الصناعة. يُعرف SMB أيضًا باسم نظام ملفات الإنترنت المشترك أو CIFS. لمزيد من المعلومات حول SMB، راجع نظرة عامة على بروتوكول Microsoft SMB وبروتوكول CIFS .
Azure Active Directory (Azure AD)
Microsoft Azure Active Directory هو دليل قائم على السحابة وخدمة إدارة الهوية من Microsoft. يجمع Microsoft Azure Active Directory بين خدمات الدليل الأساسية وإدارة الوصول إلى التطبيقات وحماية الهوية في حل واحد. يتم حاليًّا تخزين ملفات تعريف FSLogix على مشاركات ملفات Azure لأجهزة Microsoft Azure Active Directory المنضمة إلى AD في المعاينة العامة. لمزيد من المعلومات، راجع إنشاء حاوية ملف تعريف باستخدام Azure Files وMicrosoft Azure Active Directory (معاينة) .
خدمات مجال Azure Active Directory (خدمات مجال Azure AD)
توفر خدمات مجال Microsoft Azure Active Directory خدمات مجال مُدارة مثل الانضمام إلى المجال ونُهج المجموعة و LDAP ومصادقة Kerberos / NTLM. هذه الخدمات متوافقة تمامًا مع خدمات مجال Active Directory. لمزيد من المعلومات، راجع خدمات مجال Microsoft Azure Active Directory .
خدمات مجال Active Directory الداخلية
يوفر تكامل خدمات مجال Active Directory (AD DS) المحلية مع Azure Files طرقًا لتخزين بيانات الدليل أثناء إتاحتها لمستخدمي الشبكة والمسؤولين. تم دمج الأمان مع خدمات مجال Active Directory من خلال مصادقة تسجيل الدخول والتحكم في الوصول إلى الكائنات الموجودة في الدليل. من خلال تسجيل دخول واحد للشبكة، يمكن للمسؤولين إدارة بيانات الدليل والتنظيم عبر شبكتهم، ويمكن لمستخدمي الشبكة المعتمدين الوصول إلى الموارد في أي مكان على الشبكة. يتم اعتماد خدمات مجال Active Directory بشكل شائع من قبل المؤسسات في البيئات الداخلية وتستخدم بيانات اعتماد خدمات مجال Active Directory كهوية للتحكم في الوصول. لمزيد من المعلومات، راجع نظرة عامة على خدمات مجال Active Directory .
التحكم في Azure role-based access (Azure RBAC)
يتيح التحكم في الوصول المستند إلى الدور (Azure RBAC) إدارة الوصول الدقيقة لـ Azure. باستخدام Azure RBAC، يمكنك إدارة الوصول إلى الموارد من خلال منح المستخدمين أقل الأذونات اللازمة لأداء وظائفهم. لمزيد من المعلومات حول Azure RBAC، راجع ما هو التحكم في الوصول المستند إلى الدور Azure (Azure RBAC)؟ .
حالات الاستخدام الشائعة
يتم الاستفادة بشكل أفضل من المصادقة والدعم المستند إلى الهوية لقوائم التحكم في الوصول (ACL) لنظام التشغيل Windows في ملفات Azure لحالات الاستخدام التالية:
استبدال خوادم الملفات الداخلية
يعد إهمال واستبدال خوادم الملفات الداخلية المبعثرة مشكلة شائعة تواجهها كل مؤسسة في رحلة تحديث تكنولوجيا المعلومات الخاصة بها. تعد مشاركة ملف Azure مع مصادقة خدمات مجال Active Directory الداخلية هي الأنسب هنا، عندما يمكنك ترحيل البيانات إلى Azure Files. سيسمح لك الترحيل الكامل بالاستفادة من مزايا التوافر وقابلية التوسع العالية مع تقليل التغييرات من جانب العميل أيضًا. يوفر تجربة ترحيل سلسة للمستخدمين النهائيين، حتى يتمكنوا من الاستمرار في الوصول إلى بياناتهم بنفس بيانات الاعتماد باستخدام أجهزتهم الحالية المنضمة إلى المجال.
رفع التطبيقات وتحويلها إلى Azure
عندما ترفع التطبيقات وتحولها إلى السحابة، فأنت تريد الاحتفاظ بنموذج المصادقة نفسه لبياناتك. نظرًا لأننا نقوم بتوسيع تجربة التحكم في الوصول المستند إلى الهوية لتشمل مشاركات ملفات Azure، فإنها تلغي الحاجة إلى تغيير تطبيقك إلى أساليب المصادقة الحديثة وتسريع اعتماد السحابة. توفر مشاركات ملف Azure خيار التكامل مع خدمات مجال Microsoft Azure Active Directory أو خدمات مجال Active Directory الداخلية للمصادقة. إذا كانت خطتك هي أن تكون أصلية بنسبة 100٪ في السحابة وتقليل الجهود المبذولة لإدارة البنى التحتية السحابية، فإن خدمات مجال Microsoft Azure Active Directory سيكون مناسبًا بشكل أفضل كخدمة مجال مُدارة بالكامل. إذا كنت بحاجة إلى التوافق الكامل مع إمكانيات خدمات مجال Active Directory، فقد ترغب في التفكير في توسيع بيئة خدمات مجال Active Directory الخاصة بك إلى السحابة عن طريق وحدات تحكم المجال ذاتية الاستضافة على الأجهزة الظاهرية. في كلتا الحالتين، نوفر المرونة لاختيار خدمات المجال التي تناسب احتياجات عملك.
النسخ الاحتياطي والإصلاح بعد كارثة (DR)
إذا كنت تحتفظ بتخزين الملفات الأساسي محليًّا، فيمكن أن تعمل مشاركات ملفات Azure كتخزين مثالي للنسخ الاحتياطي أو DR، لتحسين استمرارية العمل. يمكنك استخدام مشاركات ملفات Azure لنسخ بياناتك احتياطيًّا من خوادم الملفات الموجودة، مع الاحتفاظ بقوائم التحكم بالوصول الاختيارية في Windows. بالنسبة لسيناريوهات DR، يمكنك تكوين خيار مصادقة لدعم فرض التحكم في الوصول المناسب عند تجاوز الفشل.
السيناريوهات المدعومة
يلخص الجدول التالي ملف Azure المدعوم الذي يشارك سيناريوهات المصادقة لخدمات مجال Microsoft Azure Active Directory وخدمات مجال Active Directory. نوصي بتحديد خدمة المجال التي اعتمدتها لبيئة العميل الخاصة بك للتكامل باستخدام Azure Files. إذا كان لديك بالفعل خدمات مجال Active Directory مُعَدّ محليًّا أو في Azure حيث تكون أجهزتك مرتبطة بالمجال إلى AD الخاص بك، فيجب عليك اختيار الاستفادة من خدمات مجال Active Directory لمصادقة مشاركات ملف Azure. وبالمثل، إذا كنت قد اعتمدت بالفعل خدمات مجال Microsoft Azure Active Directory فيجب عليك استخدام ذلك للمصادقة على مشاركات ملفات Azure.
| مصادقة خدمات مجال Microsoft Azure Active Directory | مصادقة خدمات مجال Active Directory الداخلية |
|---|---|
| يمكن لأجهزة Windows المنضمة إلى خدمات مجال Microsoft Azure Active Directory الوصول إلى مشاركات ملفات Azure باستخدام بيانات اعتماد Microsoft Azure Active Directory عبر SMB. | يمكن لأجهزة Windows المنضمة إلى خدمات مجال Active Directory أو خدمات مجال Microsoft Azure Active Directory الداخلية الوصول إلى مشاركات ملفات Azure باستخدام بيانات اعتماد Active Directory الداخلية التي تتم مزامنتها مع Microsoft Azure Active Directory عبر SMB. يجب أن يكون لدى عميلك خط رؤية مجال خدمات مجال Active Directory الخاص بك. |
القيود
- لا تدعم خدمات مجال Microsoft Azure Active Directory ومصادقة خدمات مجال Active Directory الداخلية المصادقة على حسابات الكمبيوتر. يمكنك التفكير في استخدام حساب تسجيل دخول خدمة بدلًا من ذلك.
- لا يتم دعم مصادقة خدمات مجال Microsoft Azure Active Directory ولا مصادقة خدمات مجال Active Directory الداخلية ضد الأجهزة المرتبطة بـ Microsoft Azure Active Directory أو الأجهزة المسجلة في Microsoft Azure Active Directory.
- تدعم مشاركات ملف Azure فقط المصادقة المستندة إلى الهوية مقابل إحدى خدمات المجال التالية، إما Microsoft Azure Active Directory Services (Azure AD DS) أو خدمات مجال Active Directory الداخلية (AD DS) {
- لا يتم دعم أي من أسلوب المصادقة المستندة إلى الهوية من خلال مشاركات نظام ملفات الشبكة (NFS).
مزايا المصادقة المستندة إلى الهوية
توفر المصادقة المستندة إلى الهوية لملفات Azure العديد من المزايا باستخدام مصادقة المفتاح المشترك:
توسيع تجربة الوصول إلى مشاركة الملفات التقليدية القائمة على الهوية إلى السحابة باستخدام خدمات مجال Active Directory الداخلية خدمات مجال Microsoft Azure Active Directory
إذا كنت تخطط لرفع وتحويل التطبيق الخاص بك إلى مجموعة النظراء، واستبدال خوادم الملفات التقليدية مع مشاركات الملفات Azure، فقد تحتاج أن يقوم التطبيق الخاص بك بالمصادقة إما باستخدام بيانات اعتماد AD DS المحلية أو بيانات اعتماد Azure AD DS للوصول إلى بيانات الملف. تدعم Azure Files استخدام بيانات اعتماد AD DS أو Azure AD DS المحلية للوصول إلى مشاركات ملفات Azure عبر SMB من AD DS المحلي أو VMs انضم إلى المجال Azure AD DS.فرض التحكم الدقيق في الوصول على مشاركات ملف Azure
يمكنك منح أذونات لهوية معينة على مستوى المشاركة أو الدليل أو الملف. على سبيل المثال، افترض أن لديك عدة فرق باستخدام مشاركة ملف Azure واحد للتعاون المشروع. يمكنك منح جميع الفرق حق الوصول إلى دلائل غير حساسة، مع الحد من الوصول إلى الدلائل التي تحتوي على بيانات مالية حساسة لفريق Finance الخاص بك فقط.Back up Windows ACLs (المعروف أيضًا باسم NTFS) جنباً إلى جنب مع البيانات الخاصة بك.
يمكنك استخدام مشاركات الملفات Azure لدعم مشاركات الملفات المحلية الموجودة لديك. تحتفظ Azure Files بـ ACLs مع بياناتك عند عمل نسخة احتياطية من مشاركة ملف إلى مشاركات ملفات Azure عبر SMB.
كيف تعمل هذه الميزة
تستفيد مشاركات ملف Azure من بروتوكول Kerberos للمصادقة إما باستخدام خدمات مجال Active Directory الداخلية أو خدمات مجال Microsoft Azure Active Directory. عندما تحاول هوية مقترنة بمستخدم أو تطبيق قيد التشغيل على عميل الوصول إلى البيانات في مشاركات ملفات Azure، يتم إرسال الطلب إلى خدمة المجال، إما خدمات مجال Active Directory أو خدمات مجال Microsoft Azure Active Directory، لمصادقة الهوية. إذا نجحت المصادقة، فإنها تُرجع رمز Kerberos المميز. يرسل العميل طلبًا يتضمن رمز Kerberos المميز وتستخدم مشاركات ملف Azure هذا الرمز المميز لتفويض الطلب. تتلقى مشاركات ملف Azure رمز Kerberos المميز فقط، وليس بيانات الاعتماد.
قبل أن تتمكن من تمكين المصادقة المستندة إلى الهوية في مشاركات ملفات Azure، يجب أولًا إعداد بيئة المجال الخاصة بك.
AD DS
لمصادقة خدمات مجال Active Directory الداخلية، يجب عليك إعداد وحدات تحكم مجال AD الخاصة بك وربط المجال بأجهزتك أو أجهزتك الظاهرية. يمكنك استضافة وحدات التحكم بالمجال الخاصة بك على أجهزة Azure الظاهرية أو الداخلية. في كلتا الحالتين، يجب أن يكون لدى العملاء المنضمين إلى مجالك مجال رؤية إلى خدمة المجال، لذلك يجب أن يكونوا داخل شبكة الشركة أو الشبكة الافتراضية (VNET) لخدمة المجال الخاص بك.
يوضح الرسم التخطيطي التالي مصادقة خدمات مجال Active Directory الداخلية لمشاركات ملفات Azure عبر SMB. يجب مزامنة خدمات مجال Active Directory الداخلية مع Microsoft Azure Active Directory باستخدام مزامنة Azure AD Connect. يمكن فقط مصادقة المستخدمين الهجين الموجودين في كل من خدمات مجال Active Directory وMicrosoft Azure Active Directory الداخليين والترخيص للوصول إلى مشاركة ملف Azure. هذا بسبب تكوين إذن مستوى المشاركة مقابل الهوية الممثلة في Microsoft Azure Active Directory حيث يتم فرض إذن مستوى الدليل / الملف مع ذلك في خدمات مجال Active Directory. تأكد من تكوين الأذونات بشكل صحيح مقابل نفس المستخدم المختلط.
Azure AD DS
بالنسبة لمصادقة Azure AD DS، يجب تمكين Azure AD Domain Services والمجال الانضمام إلى الأجهزة الظاهرية التي تخطط للوصول إلى بيانات الملف منها. يجب أن يتواجد الجاهز الظاهري الخاص بك المجال- انضم في نفس الشبكة الظاهرية (VNET) مثل DS AD Azure.
يمثل الرسم التخطيطي التالي سير العمل لمصادقة خدمات مجال Microsoft Azure Active Directory لمشاركات ملفات Azure عبر SMB. يتبع نمطًا مشابهًا لمصادقة خدمات مجال Active Directory الداخلية لمشاركات ملفات Azure. يوجد نوعان من الاختلافات الرئيسية:
أولًا، لا تحتاج إلى إنشاء الهوية في خدمات مجال Microsoft Azure Active Directory لتمثيل حساب التخزين. يتم تنفيذ ذلك من خلال عملية التمكين في الخلفية.
ثانيًا، يمكن مصادقة جميع المستخدمين الموجودين في Microsoft Azure Active Directory وترخيصهم. يمكن للمستخدم أن يكون سحابيًّا فقط أو مختلطًا. تتم إدارة المزامنة من Microsoft Azure Active Directory إلى خدمات مجال Microsoft Azure Active Directory بواسطة النظام الأساسي دون الحاجة إلى أي تكوين للمستخدم. ومع ذلك، يجب أن يكون العميل منضمًّا إلى مجال في خدمات مجال Microsoft Azure Active Directory، ولا يمكن أن يكون Microsoft Azure Active Directory منضمًّا أو مسجلًا.
تمكين المصادقة القائمة على الهوية
يمكنك تمكين المصادقة المستندة إلى الهوية إما باستخدام خدمات مجال Microsoft Azure Active Directory أو خدمات مجال Microsoft Azure AD الداخلية لمشاركات ملفات Azure على حسابات التخزين الجديدة والحالية. يمكن استخدام خدمة مجال واحدة فقط لمصادقة الوصول إلى الملف على حساب التخزين، والتي تنطبق على جميع مشاركات الملفات في الحساب. إرشادات مفصلة حول إعداد مشاركات الملفات للمصادقة مع خدمات مجال Microsoft Azure Active Directory في مقالتنا تمكين مصادقة Azure Active Directory Domain Services على ملفات Azure وإرشادات لخدمات مجال Active Directory الداخلية في مقالتنا الأخرى، تمكين مصادقة خدمات مجال Active Directory الداخلية عبر SMB لمشاركات ملفات Azure .
تكوين أذونات على مستوى المشاركة لـAzure Files
بمجرد تمكين مصادقة خدمات مجال Microsoft Azure Active Directory أو مصادقة خدمات مجال Active Directory الداخلية، يمكنك استخدام الأدوار المضمنة في Azure أو تكوين الأدوار المخصصة لهويات Microsoft Azure Active Directory وتعيين حقوق الوصول إلى أي مشاركات ملفات في حسابات التخزين الخاصة بك. يسمح الإذن المعين للهوية الممنوحة بالوصول إلى المشاركة فقط، ولا شيء آخر، ولا حتى الدليل الجذر. لا تزال بحاجة إلى تكوين أذونات على مستوى الدليل أو الملف بشكل منفصل لمشاركات الملفات في Azure.
تكوين الدليل أو أذونات على مستوى الملف لـAzure Files.
تقوم مشاركات ملف Azure بفرض أذونات ملفات Windows القياسية على مستوى الدليل والملف، بما في ذلك الدليل الجذر. يتم دعم تكوين أذونات الدليل أو الملف على كل من SMB و REST. قم بتثبيت مشاركة الملف الهدف من الجهاز الظاهري وتكوين الأذونات باستخدام Windows File Explorer أو Windows icacls أو الأمر Set-ACL .
استخدام مفتاح حساب التخزين للحصول على أذونات المستخدم المتميز
يمكن لمستخدم لديه مفتاح حساب التخزين الوصول إلى مشاركات ملفات Azure بأذونات المستخدم المتميز. تتجاوز أذونات المستخدم المتميز جميع قيود التحكم في الوصول.
هام
أفضل ممارسات الأمان التي نوصي بها هي تجنب مشاركة مفاتيح حساب التخزين والاستفادة من المصادقة القائمة على الهوية كلما أمكن ذلك.
الاحتفاظ بـ ACLs الدليل والملف عند استيراد البيانات إلى مشاركات الملفات Azure
تدعم Azure Files الاحتفاظ بـ ACL مستوى الدليل أو الملف عند نسخ البيانات إلى مشاركات الملفات Azure. يمكنك نسخ ACLs على دليل أو ملف إلى مشاركات الملفات Azure باستخدام مزامنة ملف Azure أو مجموعات أدوات حركة الملفات الشائعة. على سبيل المثال، يمكنك استخدام robocopy بعلامة /copy:s لنسخ البيانات بالإضافة إلى قوائم ACL إلى مشاركة ملف Azure. يتم الاحتفاظ بـ ACLs بشكل افتراضي، لا يطلب منك تمكين المصادقة المستندة إلى الهوية على حساب التخزين الخاص بك للحفاظ على ACLs.
التسعير
لا توجد رسوم خدمة إضافية لتمكين المصادقة المستندة إلى الهوية عبر SMB على حساب التخزين الخاص بك. لمزيد من المعلومات حول التسعير، راجع تسعير Azure Files و أسعار خدمات مجال Microsoft Azure Active Directory.
الخطوات التالية
لمزيد من المعلومات حول Azure Files والمصادقة المستندة إلى الهوية عبر SMB، راجع هذه الموارد: