Vue d’ensemble de la prise en charge de l’authentification Azure Active Directory Domaine Service (Azure AD DS) d’Azure Files pour l’accès SMBOverview of Azure Files Azure Active Directory Domain Service (Azure AD DS) Authentication Support for SMB Access

Azure Files prend en charge l’authentification basée sur l’identité sur SMB (Server Message Block) avec Azure Active Directory Domain Services (Azure AD DS).Azure Files supports identity-based authentication over Server Message Block (SMB) through Azure Active Directory Domain Services (Azure AD DS). Vos machines virtuelles Windows jointes à un domaine peuvent accéder aux partages de fichiers Azure en utilisant les informations d’identification Azure Active Directory (Azure AD).Your domain-joined Windows virtual machines (VMs) can access Azure file shares by using Azure Active Directory (Azure AD) credentials.

Vous pouvez gérer l’accès du niveau de partage Azure Files à une identité, comme un utilisateur ou un groupe dans Azure AD en utilisant le contrôle d’accès en fonction du rôle (RBAC).You can manage Azure Files share-level access to an identity such as a user or group in Azure AD by using role-based access control (RBAC). Vous pouvez définir des rôles RBAC personnalisés comprenant des ensembles communs d’autorisations utilisés pour accéder à Azure Files.You can define custom RBAC roles that include common sets of permissions used to access Azure Files. Lorsque vous attribuez votre rôle RBAC personnalisé à une identité Azure AD, cette identité se voit octroyer l’accès à un partage de fichiers Azure en fonction de ces autorisations.When you assign your custom RBAC role to an Azure AD identity, that identity is granted access to an Azure file share according to those permissions.

Azure Files prend aussi en charge la conservation, l’héritage et l’application des listes DACL NTFS sur tous les fichiers et répertoires d’un partage de fichiers.Azure Files also supports preserving, inheriting, and enforcing NTFS DACLs on all files and directories in a file share. Si vous copiez des données depuis un partage de fichiers vers Azure Files, ou inversement, vous pouvez indiquer de conserver les listes DACL NTFS.If you copy data from a file share to Azure Files, or vice versa, you can specify that NTFS DACLs are maintained. De cette façon, vous pouvez implémenter des scénarios de sauvegarde à ’aide d’Azure Files en conservant vos listes DACL NTFS entre votre partage de fichiers local et votre partage de fichiers cloud.In this way you can implement backup scenarios by using Azure Files, preserving your NTFS DACLS between your on-premises file share and your cloud file share.

Notes

  • L’authentification Azure Active Directory Domain Services sur l’accès SMB n’est pas prise en charge pour les machines virtuelles Linux.Azure AD DS authentication for Server Message Block (SMB) access is not supported for Linux VMs. Seules les machines virtuelles Windows sont prises en charge.Only Windows VMs are supported.
  • L’authentification Azure Active Directory Domain Services sur l’accès SMB n’est pas prise en charge les machines jointes au domaine Active Directory.Azure AD DS authentication for SMB access is not supported for Active Directory domain-joined machines. Entre-temps, envisagez d’utiliser Azure File Sync pour commencer à migrer vos données vers Azure Files et continuer à appliquer le contrôle d’accès à l’aide des informations d’identification d’Active Directory à partir de vos machines locales jointes au domaine Active Directory.In the interim, consider using Azure File Sync to start migrating your data to Azure Files and to continue enforcing access control by using Active Directory credentials from your on-premises Active Directory domain-joined machines.
  • L’authentification Azure Active Directory Domain Services sur l’accès SMB est uniquement disponible pour les comptes de stockage créés après le 24 septembre 2018.Azure AD DS authentication for SMB access is available only for storage accounts created after September 24, 2018.
  • L’authentification Azure Active Directory Domain Services sur l’accès SMB et les DACL NTFS persistants n’est pas prise en charge sur les partages de fichiers Azure managés par le service Azure File Sync.Azure AD DS authentication for SMB access and NTFS DACL persistence is not supported on Azure file shares managed by Azure File Sync.
  • L’authentification Azure AD DS ne prend pas en charge l’authentification à l’aide des comptes d’ordinateur créés dans Azure AD DS.Azure AD DS authentication does not support authentication against Machine Accounts created in Azure AD DS.

Pour savoir comment activer l’authentification Azure AD DS pour Azure Files, consultez Activer l’authentification Azure Active Directory Domain service sur SMB pour Azure Files.To learn how to enable Azure AD DS authentication for Azure Files, see Enable Azure Active Directory Domain Service Authentication over SMB for Azure Files.

GlossaireGlossary

Vous devez comprendre certains termes clés relatifs à l’authentification Azure AD Domain Service sur SMB pour Azure Files :It's helpful to understand some key terms relating to Azure AD Domain Service authentication over SMB for Azure Files:

  • Azure Active Directory (Azure AD)Azure Active Directory (Azure AD)
    Azure Active Directory (Azure AD) est le service cloud Microsoft multilocataire de gestion des annuaires et des identités.Azure Active Directory (Azure AD) is Microsoft’s multi-tenant cloud-based directory and identity management service. Azure AD associe des services d’annuaires principaux, la gestion de l’accès aux applications et la protection des identités dans une même solution.Azure AD combines core directory services, application access management, and identity protection into a single solution. Pour plus d’informations, consultez Qu’est-ce qu’Azure Active Directory ?For more information, see What is Azure Active Directory?

  • Services de domaine Azure ADAzure AD Domain Services
    Azure AD Domain Services fournit des services de domaine gérés, comme la jonction de domaine, les stratégies de groupe, le protocole LDAP et l’authentification Kerberos/NTLM.Azure AD Domain Services provides managed domain services such as domain join, group policies, LDAP, and Kerberos/NTLM authentication. Ces services sont entièrement compatibles avec Windows Server Active Directory.These services are fully compatible with Windows Server Active Directory. Pour plus d’informations, consultez Azure Active Directory (AD) Domain Services.For more information, see Azure Active Directory (AD) Domain Services.

  • Contrôle d’accès en fonction du rôle (RBAC) AzureAzure Role Based Access Control (RBAC)
    Le contrôle d’accès en fonction du rôle (RBAC) Azure permet une gestion précise de l’accès pour Azure.Azure Role-Based Access Control (RBAC) enables fine-grained access management for Azure. À l’aide de RBAC, vous pouvez gérer l’accès aux ressources en accordant aux utilisateurs les autorisations minimales dont ils ont besoin pour effectuer leur travail.Using RBAC, you can manage access to resources by granting users the fewest permissions needed to perform their jobs. Pour plus d’informations sur RBAC, consultez Qu’est-ce que le contrôle d’accès en fonction du rôle (RBAC) dans Azure ?For more information on RBAC, see What is role-based access control (RBAC) in Azure?

  • Authentification KerberosKerberos authentication

    Kerberos est un protocole d’authentification utilisé pour vérifier l’identité d’un utilisateur ou d’un hôte.Kerberos is an authentication protocol that is used to verify the identity of a user or host. Pour plus d’informations sur Kerberos, consultez Vue d’ensemble de l’authentification Kerberos.For more information on Kerberos, see Kerberos Authentication Overview.

  • Protocole SMB (Server Message Block)Server Message Block (SMB) protocol
    SMB est un protocole de partage de fichier réseau standard.SMB is an industry-standard network file-sharing protocol. SMB est aussi appelé Common Internet File System ou CIFS.SMB is also known as Common Internet File System or CIFS. Pour plus d’informations sur SMB, consultez Vue d’ensemble du protocole SMB et du protocole CIFS de Microsoft.For more information on SMB, see Microsoft SMB Protocol and CIFS Protocol Overview.

Avantages de l’authentification Azure AD Domain ServiceAdvantages of Azure AD Domain Service authentication

L’authentification Azure AD Domain Service pour Azure Files offre plusieurs avantages comparée à l’utilisation de l’authentification par clé partagée :Azure AD Domain Service authentication for Azure Files offers several benefits over using Shared Key authentication:

  • Étendre au cloud avec Azure AD et Azure AD Domain Service l’expérience d’accès au partage de fichiers traditionnel basé sur l’identitéExtend the traditional identity-based file share access experience to the cloud with Azure AD and Azure AD Domain Service
    Si vous envisagez une méthode « lift-and-shift » pour déplacer votre application vers le cloud en remplaçant les serveurs de fichiers classiques par Azure Files, votre application peut alors s’authentifier par le biais des informations d’identification Azure AD et accéder aux données de fichier.If you plan to "lift and shift" your application to the cloud, replacing traditional file servers with Azure Files, then you may want your application to authenticate with Azure AD credentials to access file data. Azure Files prend en charge l’utilisation des informations d’identification Azure AD, pour l’accès à Azure Files via SMB, depuis les machines virtuelles Windows jointes au domaine Azure AD DS.Azure Files supports using Azure AD credentials to access Azure Files over SMB from Azure AD DS domain-joined Windows VMs. Vous pouvez aussi choisir de synchroniser tous vos objets Active Directory locaux dans Azure AD pour conserver les noms d’utilisateur, les mots de passe et autres attributions de groupe.You can also choose to sync all of your on-premises Active Directory objects to Azure AD to preserve usernames, passwords, and other group assignments.

  • Appliquer un contrôle d’accès granulaire sur les partages de fichiers AzureEnforce granular access control on Azure file shares
    Vous pouvez accorder des autorisations à une identité spécifique au niveau du partage, du répertoire ou du fichier.You can grant permissions to a specific identity at the share, directory, or file level. Par exemple, supposons que vous avez plusieurs équipes qui utilisent un partage de fichiers Azure pour la collaboration de projet.For example, suppose that you have several teams using a single Azure file share for project collaboration. Vous pouvez accorder à toutes les équipes un accès aux répertoires non sensibles, et limiter l’accès aux répertoires contenant les données financières sensibles uniquement à l’équipe Finance.You can grant all teams access to non-sensitive directories, while limiting access to directories containing sensitive financial data to your Finance team only.

  • Sauvegarder les ACL en même temps que les donnéesBack up ACLs along with your data
    Vous pouvez utiliser Azure Files pour sauvegarder vos partages de fichiers locaux existants.You can use Azure Files to back up your existing on-premises file shares. Azure Files conserve vos ACL avec vos données quand vous sauvegardez un partage de fichiers dans Azure Files sur SMB.Azure Files preserves your ACLs along with your data when you back up a file share to Azure Files over SMB.

FonctionnementHow it works

Azure Files utilise Azure AD Domain Services pour prendre en charge l’authentification Kerberos avec les informations d’identification Azure AD à partir de machines virtuelles jointes à un domaine.Azure Files uses Azure AD Domain Services to support Kerberos authentication with Azure AD credentials from domain-joined VMs. Pour pouvoir utiliser Azure AD avec Azure Files, vous devez d’abord activer Azure AD Domain Services et joindre le domaine des machines virtuelles à partir desquelles vous envisagez d’accéder aux données de fichier.Before you can use Azure AD with Azure Files, you must first enable Azure AD Domain Services and join the domain from the VMs from which you plan to access file data. Votre machine virtuelle jointe à un domaine doit résider dans le même réseau virtuel qu’Azure AD Domain Services.Your domain-joined VM must reside in the same virtual network (VNET) as Azure AD Domain Services.

Quand une identité associée à une application s’exécutant sur une machine virtuelle tente d’accéder aux données dans Azure Files, la demande est envoyée à Azure AD Domain Services pour authentifier l’identité.When an identity associated with an application running on a VM attempts to access data in Azure Files, the request is sent to Azure AD Domain Services to authenticate the identity. Si l’authentification réussit, Azure AD Domain Services renvoie un jeton Kerberos.If authentication is successful, Azure AD Domain Services returns a Kerberos token. L’application envoie une demande qui inclut le jeton Kerberos, et Azure Files utilise ce jeton pour autoriser la demande.The application sends a request that includes the Kerberos token, and Azure Files uses that token to authorize the request. Azure Files reçoit seulement le jeton et ne conserve pas les informations d’identification Azure AD.Azure Files receives the token only and does not persist Azure AD credentials.

Capture d’écran montrant le diagramme d’authentification Azure AD sur SMB

Activer l’authentification Azure AD Domain Service pour l’accès SMBEnable Azure AD Domain Service authentication for SMB access

Vous pouvez activer l’authentification Azure AD Domain Service pour Azure Files sur vos comptes de stockage nouveaux et existants, créés après le 24 septembre 2018.You can enable Azure AD Domain Service authentication for Azure Files on your new and existing storage accounts created after September 24, 2018.

Avant d’activer cette fonctionnalité, vérifiez qu’Azure AD Domain Services est déployé pour le locataire Azure AD principal auquel est associé votre compte de stockage.Before enabling this feature, verify that Azure AD Domain Services has been deployed for the primary Azure AD tenant with which your storage account is associated. Si vous n’avez pas encore configuré Azure AD Domain Services, suivez les instructions pas à pas fournies dans Activer Azure Active Directory Domain Services à l’aide du portail Azure.If you have not yet set up Azure AD Domain Services, follow the step-by-step guidance provided in Enable Azure Active Directory Domain Services using the Azure portal.

Le déploiement d’Azure AD Domain Services prend généralement 10 à 15 minutes.Azure AD Domain Services deployment generally takes 10 to 15 minutes. Une fois Azure AD Domain Services déployé, vous pouvez activer l’authentification Azure AD sur SMB pour Azure Files.After Azure AD Domain Services has been deployed, you can enable Azure AD authentication over SMB for Azure Files. Pour plus d’informations, consultez Activer l’authentification Azure Active Directory Domain Service sur SMB pour Azure Files.For more information, see Enable Azure Active Directory Domain Service authentication over SMB for Azure Files.

Configurer les autorisations au niveau du partage pour Azure FilesConfigure share-level permissions for Azure Files

Une fois l’authentification Azure AD Domain Service activée, vous pouvez configurer des rôles RBAC personnalisés pour les identités Azure AD et attribuer des droits d’accès à tous les partages de fichiers dans le compte de stockage.Once Azure AD Domain Service authentication has been enabled, you can configure custom RBAC roles for Azure AD identities and assign access rights to any file shares in the storage account.

Quand une application s’exécutant sur une machine virtuelle jointe à un domaine tente de monter un partage de fichiers Azure ou d’accéder à un répertoire ou un fichier, les informations d’identification Azure AD de l’application sont examinées pour vérifier qu’elles ont des autorisations sur le partage et des autorisations NTFS.When an application running on a domain-joined VM tries to mount an Azure file share or access a directory or file, the application's Azure AD credentials are verified to ensure the proper share-level permissions and NTFS permissions. Pour plus d’informations sur la configuration des autorisations au niveau du partage, consultez Activer l’authentification Azure Active Directory Domain Service sur SMB.For information about configuring share-level permissions, see Enable Azure Active Directory Domain Service authentication over SMB.

Configurer les autorisations au niveau du répertoire ou du fichier pour Azure FilesConfigure directory- or file-level permissions for Azure Files

Azure Files applique les autorisations de fichiers NTFS standard au niveau du répertoire et du fichier, y compris au niveau du répertoire racine.Azure Files enforces standard NTFS file permissions at the directory and file level, including at the root directory. La configuration des autorisations au niveau du répertoire ou du fichier est prise en charge uniquement sur SMB.Configuration of directory- or file-level permissions is supported over SMB only. Montez le partage de fichiers cible à partir de votre machine virtuelle et configurez des autorisations à l’aide de l’Explorateur de fichier Windows ou de la commande Windows icacls ou Set-ACL.Mount the target file share from your VM and configure permissions using Windows File Explorer, Windows icacls or Set-ACL command.

Utiliser la clé de compte de stockage pour les autorisations de superutilisateurUse the storage account key for superuser permissions

Un utilisateur avec la clé de compte de stockage peut accéder à Azure Files avec des autorisations de superutilisateur.A user possessing the storage account key can access Azure Files with superuser permissions. Les autorisations de superutilisateur surpassent toutes les restrictions de contrôle d’accès configurées au niveau du partage avec RBAC et appliquées par Azure AD.Superuser permissions surpass all access control restrictions configured at the share level with RBAC and enforced by Azure AD. Les autorisations de superutilisateur sont nécessaires pour monter un partage de fichiers Azure.Superuser permissions are required to mount an Azure file share.

Important

Dans le cadre des bonnes pratiques de sécurité, évitez de partager vos clés de compte de stockage et utilisez autant que possible les autorisations Azure AD.As part of best practices for security, avoid sharing your storage account keys, and leverage Azure AD permissions whenever possible.

Conserver les ACL de répertoire et de fichier pour l’importation de données dans des partages de fichiers AzurePreserve directory and file ACLs for data import to Azure file shares

Azure Files prend désormais en charge la conservation des ACL de répertoire ou de fichier quand vous copiez des données dans des partages de fichiers Azure.Azure Files now supports preserving directory or file ACLs when you copy data to Azure file shares. Vous pouvez copier les ACL dans un fichier ou un répertoire dans Azure Files.You can copy the ACLs on a directory or file to Azure Files. Par exemple, vous pouvez utiliser robocopy avec l’indicateur /copy:s pour copier les données et les ACL dans un partage de fichiers Azure.For example, you can use robocopy with flag /copy:s to copy both data and ACLs to an Azure file share. La conservation des ACL est activée par défaut et il est inutile d’activer explicitement la fonctionnalité d’authentification Azure AD Domain Service sur votre compte de stockage.ACL preservation is on by default and you don't need to explicitly enable Azure AD Domain Service authentication feature on your storage account.

TarifsPricing

L’activation de l’authentification Azure AD sur SMB sur votre compte de stockage n’engendre aucuns frais de service supplémentaires.There is no additional service charge to enable Azure AD authentication over SMB on your storage account. Pour plus d’informations sur les prix, consultez les pages Tarifs Azure Files et Tarifs Azure AD Domain Services.For more information on pricing, see Azure Files pricing and Azure AD Domain Services pricing pages.

Étapes suivantesNext steps

Pour plus d’informations sur Azure Files et l’authentification Azure AD sur SMB, consultez ces ressources :For more information about Azure Files and Azure AD authentication over SMB, see these resources: