Přehled podpory ověřování služby Azure Files Azure Active Directory Domain Service (Azure služba AD DS) pro přístup přes protokol SMBOverview of Azure Files Azure Active Directory Domain Service (Azure AD DS) Authentication Support for SMB Access

Soubory Azure podporují ověřování na základě identity přes protokol SMB (Server Message Block) prostřednictvím služby Azure Active Directory Domain Services (Azure služba AD DS).Azure Files supports identity-based authentication over Server Message Block (SMB) through Azure Active Directory Domain Services (Azure AD DS). Virtuální počítače s Windows připojené k doméně mají přístup ke sdíleným složkám Azure pomocí pověření Azure Active Directory (Azure AD) .Your domain-joined Windows virtual machines (VMs) can access Azure file shares by using Azure Active Directory (Azure AD) credentials.

Můžete spravovat přístup na úrovni sdílené složky Azure Files k identitě, jako je například uživatel nebo skupina ve službě Azure AD, pomocí řízení přístupu na základě role (RBAC).You can manage Azure Files share-level access to an identity such as a user or group in Azure AD by using role-based access control (RBAC). Můžete definovat vlastní role RBAC, které zahrnují společné sady oprávnění používaných pro přístup k souborům Azure.You can define custom RBAC roles that include common sets of permissions used to access Azure Files. Když přiřadíte vlastní roli RBAC k identitě Azure AD, získá tato identita v závislosti na těchto oprávněních přístup ke sdílené složce Azure.When you assign your custom RBAC role to an Azure AD identity, that identity is granted access to an Azure file share according to those permissions.

Soubory Azure také podporují zachování, dědění a vynucování seznamů řízení přístupu systému souborů NTFS pro všechny soubory a adresáře ve sdílené složce.Azure Files also supports preserving, inheriting, and enforcing NTFS DACLs on all files and directories in a file share. Pokud kopírujete data ze sdílené složky do souborů Azure nebo naopak, můžete určit, že se budou spravovat DACL souborů NTFS.If you copy data from a file share to Azure Files, or vice versa, you can specify that NTFS DACLs are maintained. Tímto způsobem můžete implementovat scénáře zálohování pomocí služby soubory Azure, které zachovávají seznamy souborů NTFS mezi místní sdílenou složkou a vaší cloudovou sdílenou složkou souborů.In this way you can implement backup scenarios by using Azure Files, preserving your NTFS DACLS between your on-premises file share and your cloud file share.

Poznámka

  • Pro virtuální počítače se systémem Linux není podporováno ověřování Azure služba AD DS pro přístup SMB (Server Message Block).Azure AD DS authentication for Server Message Block (SMB) access is not supported for Linux VMs. Podporované jsou pouze virtuální počítače s Windows.Only Windows VMs are supported.
  • Pro počítače připojené k doméně Active Directory se nepodporuje ověřování Azure služba AD DS pro přístup přes protokol SMB.Azure AD DS authentication for SMB access is not supported for Active Directory domain-joined machines. V prozatímním případě zvažte použití Azure File Sync ke spuštění migrace dat do souborů Azure a pokračování vynucování řízení přístupu pomocí přihlašovacích údajů služby Active Directory z místních počítačů připojených k doméně služby Active Directory.In the interim, consider using Azure File Sync to start migrating your data to Azure Files and to continue enforcing access control by using Active Directory credentials from your on-premises Active Directory domain-joined machines.
  • Ověřování Azure služba AD DS pro přístup přes protokol SMB je dostupné jenom pro účty úložiště vytvořené po 24. září 2018.Azure AD DS authentication for SMB access is available only for storage accounts created after September 24, 2018.
  • Ověřování Azure služba AD DS pro přístup SMB a trvalost DACL se systémem souborů NTFS není podporované u sdílených složek Azure spravovaných pomocí Azure File Sync.Azure AD DS authentication for SMB access and NTFS DACL persistence is not supported on Azure file shares managed by Azure File Sync.
  • Ověřování Azure služba AD DS nepodporuje ověřování u účtů počítačů vytvořených ve službě Azure služba AD DS.Azure AD DS authentication does not support authentication against Machine Accounts created in Azure AD DS.

Informace o tom, jak povolit ověřování Azure služba AD DS pro Azure Files, najdete v tématu Povolení ověřování služby Azure Active Directory Domain Services přes SMB pro soubory Azure.To learn how to enable Azure AD DS authentication for Azure Files, see Enable Azure Active Directory Domain Service Authentication over SMB for Azure Files.

GlosářGlossary

Je užitečné pochopit některé klíčové podmínky týkající se ověřování služby Azure AD Domain Service prostřednictvím protokolu SMB pro soubory Azure:It's helpful to understand some key terms relating to Azure AD Domain Service authentication over SMB for Azure Files:

  • Azure Active Directory (Azure AD)Azure Active Directory (Azure AD)
    Azure Active Directory (Azure AD) je víceklientské cloudové služby Microsoftu a služba pro správu identit založené na víceklientské architektuře.Azure Active Directory (Azure AD) is Microsoft’s multi-tenant cloud-based directory and identity management service. Azure AD kombinuje základní adresářové služby, správu přístupu k aplikacím a ochranu identit do jediného řešení.Azure AD combines core directory services, application access management, and identity protection into a single solution. Další informace najdete v tématu co je Azure Active Directory?For more information, see What is Azure Active Directory?

  • Azure AD Domain ServicesAzure AD Domain Services
    Azure AD Domain Services poskytuje spravované doménové služby, jako je připojení k doméně, zásady skupiny, LDAP a ověřování pomocí protokolu Kerberos/NTLM.Azure AD Domain Services provides managed domain services such as domain join, group policies, LDAP, and Kerberos/NTLM authentication. Tyto služby jsou plně kompatibilní se službou Windows Server Active Directory.These services are fully compatible with Windows Server Active Directory. Další informace najdete v tématu Azure Active Directory (AD) Domain Services.For more information, see Azure Active Directory (AD) Domain Services.

  • Access Control na základě rolí Azure (RBAC)Azure Role Based Access Control (RBAC)
    Řízení přístupu na základě role v Azure umožňuje přesnou správu přístupu.Azure Role-Based Access Control (RBAC) enables fine-grained access management for Azure. Pomocí RBAC můžete spravovat přístup k prostředkům tím, že uživatelům udělíte nejnižší oprávnění potřebná k provádění svých úloh.Using RBAC, you can manage access to resources by granting users the fewest permissions needed to perform their jobs. Další informace o RBAC najdete v tématu co je řízení přístupu na základě role (RBAC) v Azure?For more information on RBAC, see What is role-based access control (RBAC) in Azure?

  • Ověřování protokolu KerberosKerberos authentication

    Kerberos je ověřovací protokol, který se používá k ověření identity uživatele nebo hostitele.Kerberos is an authentication protocol that is used to verify the identity of a user or host. Další informace o protokolu Kerberos najdete v tématu Přehled ověřování protokolu Kerberos.For more information on Kerberos, see Kerberos Authentication Overview.

  • Protokol SMB (Server Message Block)Server Message Block (SMB) protocol
    SMB je standardní protokol pro sdílení souborů v síti.SMB is an industry-standard network file-sharing protocol. SMB se označuje také jako Common Internet File System nebo CIFS.SMB is also known as Common Internet File System or CIFS. Další informace o protokolu SMB najdete v tématu Přehled protokolu SMB a protokolu CIFS.For more information on SMB, see Microsoft SMB Protocol and CIFS Protocol Overview.

Výhody ověřování Azure AD Domain ServiceAdvantages of Azure AD Domain Service authentication

Ověřování služby Azure AD Domain Services pro soubory Azure nabízí několik výhod oproti použití ověřování pomocí sdíleného klíče:Azure AD Domain Service authentication for Azure Files offers several benefits over using Shared Key authentication:

  • Rozšiřování klasického prostředí pro přístup ke sdíleným složkám na základě identity v cloudu pomocí Azure AD a služby Azure AD Domain ServiceExtend the traditional identity-based file share access experience to the cloud with Azure AD and Azure AD Domain Service
    Pokud plánujete, že se vaše aplikace navede do cloudu, nahradíme tradiční souborové servery pomocí služby soubory Azure a pak budete chtít, aby se vaše aplikace ověřovala s přihlašovacími údaji Azure AD pro přístup k datům souborů.If you plan to "lift and shift" your application to the cloud, replacing traditional file servers with Azure Files, then you may want your application to authenticate with Azure AD credentials to access file data. Služba soubory Azure podporuje použití přihlašovacích údajů Azure AD pro přístup k souborům Azure přes SMB z Azure služba AD DS virtuálních počítačů s Windows připojenými k doméně.Azure Files supports using Azure AD credentials to access Azure Files over SMB from Azure AD DS domain-joined Windows VMs. Můžete také zvolit synchronizaci všech místních objektů služby Active Directory s Azure AD, abyste zachovali uživatelská jména, hesla a další přiřazení skupin.You can also choose to sync all of your on-premises Active Directory objects to Azure AD to preserve usernames, passwords, and other group assignments.

  • Vysazení podrobného řízení přístupu ke sdíleným složkám AzureEnforce granular access control on Azure file shares
    Můžete udělit oprávnění ke konkrétní identitě na úrovni sdílených složek, adresářů nebo souborů.You can grant permissions to a specific identity at the share, directory, or file level. Předpokládejme například, že máte několik týmů s jednou sdílenou složkou Azure pro spolupráci s projekty.For example, suppose that you have several teams using a single Azure file share for project collaboration. Všem týmům můžete udělit přístup k necitlivým adresářům a zároveň omezit přístup k adresářům obsahujícím citlivá finanční data jenom na váš finanční tým.You can grant all teams access to non-sensitive directories, while limiting access to directories containing sensitive financial data to your Finance team only.

  • Zálohování seznamů ACL spolu s Vašimi datyBack up ACLs along with your data
    Pomocí služby soubory Azure můžete zálohovat stávající místní sdílené složky.You can use Azure Files to back up your existing on-premises file shares. Soubory Azure při zálohování sdílené složky do souborů Azure pomocí protokolu SMB zachovají vaše seznamy ACL spolu s Vašimi daty.Azure Files preserves your ACLs along with your data when you back up a file share to Azure Files over SMB.

Jak to fungujeHow it works

Služba soubory Azure používá Azure AD Domain Services k podpoře ověřování pomocí protokolu Kerberos s přihlašovacími údaji služby Azure AD z virtuálních počítačů připojených k doméně.Azure Files uses Azure AD Domain Services to support Kerberos authentication with Azure AD credentials from domain-joined VMs. Než budete moct Azure AD používat se soubory Azure, musíte nejdřív povolit Azure AD Domain Services a připojit se k doméně z virtuálních počítačů, ze kterých plánujete přístup k datům souborů.Before you can use Azure AD with Azure Files, you must first enable Azure AD Domain Services and join the domain from the VMs from which you plan to access file data. Váš virtuální počítač připojený k doméně se musí nacházet ve stejné virtuální síti (VNET) jako Azure AD Domain Services.Your domain-joined VM must reside in the same virtual network (VNET) as Azure AD Domain Services.

Když se identita přidružená k aplikaci běžící na virtuálním počítači pokusí o přístup k datům v souborech Azure, pošle se požadavek do Azure AD Domain Services k ověření identity.When an identity associated with an application running on a VM attempts to access data in Azure Files, the request is sent to Azure AD Domain Services to authenticate the identity. Pokud je ověření úspěšné, Azure AD Domain Services vrátí token protokolu Kerberos.If authentication is successful, Azure AD Domain Services returns a Kerberos token. Aplikace odešle požadavek, který obsahuje token protokolu Kerberos, a soubory Azure tento token schválí k autorizaci žádosti.The application sends a request that includes the Kerberos token, and Azure Files uses that token to authorize the request. Soubory Azure obdrží jenom token a nezachovávají přihlašovací údaje Azure AD.Azure Files receives the token only and does not persist Azure AD credentials.

Snímek obrazovky znázorňující diagram ověřování Azure AD přes protokol SMB

Povolení ověřování Azure AD Domain Service pro přístup přes protokol SMBEnable Azure AD Domain Service authentication for SMB access

Můžete povolit ověřování služby Azure AD Domain Services pro soubory Azure na vašich nových a existujících účtech úložiště vytvořených po 24. září 2018.You can enable Azure AD Domain Service authentication for Azure Files on your new and existing storage accounts created after September 24, 2018.

Než povolíte tuto funkci, ověřte, jestli je nasazený Azure AD Domain Services pro primárního tenanta Azure AD, ke kterému je přidružený váš účet úložiště.Before enabling this feature, verify that Azure AD Domain Services has been deployed for the primary Azure AD tenant with which your storage account is associated. Pokud jste ještě nenastavili Azure AD Domain Services, postupujte podle podrobných pokynů uvedených v části povolení Azure Active Directory Domain Services pomocí Azure Portal.If you have not yet set up Azure AD Domain Services, follow the step-by-step guidance provided in Enable Azure Active Directory Domain Services using the Azure portal.

Nasazení Azure AD Domain Services obvykle trvá 10 až 15 minut.Azure AD Domain Services deployment generally takes 10 to 15 minutes. Po nasazení Azure AD Domain Services můžete povolit ověřování Azure AD přes SMB pro soubory Azure.After Azure AD Domain Services has been deployed, you can enable Azure AD authentication over SMB for Azure Files. Další informace najdete v tématu Povolení ověřování služby Azure Active Directory Domain Services přes protokol SMB pro soubory Azure.For more information, see Enable Azure Active Directory Domain Service authentication over SMB for Azure Files.

Konfigurace oprávnění na úrovni sdílené složky pro soubory AzureConfigure share-level permissions for Azure Files

Po povolení ověřování služby Azure AD Domain Service můžete nakonfigurovat vlastní role RBAC pro identity Azure AD a přiřazovat přístupová práva ke všem sdíleným složkám v účtu úložiště.Once Azure AD Domain Service authentication has been enabled, you can configure custom RBAC roles for Azure AD identities and assign access rights to any file shares in the storage account.

Když se aplikace spuštěná na virtuálním počítači připojeném k doméně pokusí připojit sdílenou složku Azure nebo získat přístup k adresáři nebo souboru, ověřují se přihlašovací údaje služby Azure AD aplikace, aby se zajistilo správné oprávnění na úrovni sdílené složky a oprávnění NTFS.When an application running on a domain-joined VM tries to mount an Azure file share or access a directory or file, the application's Azure AD credentials are verified to ensure the proper share-level permissions and NTFS permissions. Informace o konfiguraci oprávnění na úrovni sdílené složky najdete v tématu Povolení ověřování služby Azure Active Directory Domain Services přes protokol SMB.For information about configuring share-level permissions, see Enable Azure Active Directory Domain Service authentication over SMB.

Konfigurace oprávnění na úrovni adresáře nebo souborů pro soubory AzureConfigure directory- or file-level permissions for Azure Files

Soubory Azure vynutily standardní oprávnění souborů NTFS na úrovni adresářů a souborů, včetně kořenového adresáře.Azure Files enforces standard NTFS file permissions at the directory and file level, including at the root directory. Konfigurace oprávnění na úrovni adresáře nebo souborů se podporuje jenom přes protokol SMB.Configuration of directory- or file-level permissions is supported over SMB only. Připojte cílovou sdílenou složku z virtuálního počítače a nakonfigurujte oprávnění pomocí Průzkumníka souborů Windows, Windows Icacls nebo příkazu set-ACL .Mount the target file share from your VM and configure permissions using Windows File Explorer, Windows icacls or Set-ACL command.

Použijte klíč účtu úložiště pro oprávnění naduživatelem.Use the storage account key for superuser permissions

Uživatel, který má klíč účtu úložiště, má přístup k souborům Azure s oprávněními uživatele.A user possessing the storage account key can access Azure Files with superuser permissions. Oprávnění naduživatelem překročí všechna omezení řízení přístupu nakonfigurovaná na úrovni sdílené složky pomocí RBAC a vynutila Azure AD.Superuser permissions surpass all access control restrictions configured at the share level with RBAC and enforced by Azure AD. Aby bylo možné připojit sdílenou složku Azure, musí být k oprávnění naduživatelem.Superuser permissions are required to mount an Azure file share.

Důležité

V rámci osvědčených postupů pro zabezpečení nepoužívejte sdílení klíčů účtu úložiště a využijte oprávnění služby Azure AD, kdykoli je to možné.As part of best practices for security, avoid sharing your storage account keys, and leverage Azure AD permissions whenever possible.

Zachování seznamů ACL adresářů a souborů pro import dat do sdílených složek AzurePreserve directory and file ACLs for data import to Azure file shares

Soubory Azure teď při kopírování dat do sdílených složek Azure podporují zachovávání seznamů ACL adresáře nebo souborů.Azure Files now supports preserving directory or file ACLs when you copy data to Azure file shares. Do souborů Azure můžete zkopírovat seznamy řízení přístupu (ACL) do adresáře nebo souboru.You can copy the ACLs on a directory or file to Azure Files. Pomocí nástroje Robocopy s příznakem /copy:s můžete například zkopírovat data a seznamy ACL do sdílené složky Azure.For example, you can use robocopy with flag /copy:s to copy both data and ACLs to an Azure file share. Uchovávání seznamů ACL je ve výchozím nastavení zapnuté a není nutné explicitně povolit funkci ověřování služby Azure AD Domain Service v účtu úložiště.ACL preservation is on by default and you don't need to explicitly enable Azure AD Domain Service authentication feature on your storage account.

CenyPricing

Pro povolení ověřování Azure AD přes protokol SMB v účtu úložiště není k dispozici žádný další poplatek za službu.There is no additional service charge to enable Azure AD authentication over SMB on your storage account. Další informace o cenách najdete v tématu ceny za Azure Files a Azure AD Domain Services cenové stránky.For more information on pricing, see Azure Files pricing and Azure AD Domain Services pricing pages.

Další krokyNext steps

Další informace o souborech Azure a ověřování Azure AD přes protokol SMB najdete v těchto zdrojích informací:For more information about Azure Files and Azure AD authentication over SMB, see these resources: