Vue d’ensemble de l’authentification Azure Active Directory sur SMB pour Azure Files (préversion)Overview of Azure Active Directory authentication over SMB for Azure Files (preview)

Azure Files prend en charge l’authentification basée sur l’identité sur SMB (Server Message Block) (préversion) via Azure Active Directory (Azure AD) Domain Services.Azure Files supports identity-based authentication over SMB (Server Message Block) (preview) through Azure Active Directory (Azure AD) Domain Services. Vos machines virtuelles Windows jointes à un domaine peuvent accéder aux partages de fichiers Azure en utilisant des informations d’identification Azure AD.Your domain-joined Windows virtual machines (VMs) can access Azure file shares using Azure AD credentials.

Azure AD authentifie une identité, par exemple un utilisateur, un groupe ou un principal de service, avec le contrôle d’accès en fonction du rôle (RBAC).Azure AD authenticates an identity such as a user, group, or service principal with role-based access control (RBAC). Vous pouvez définir des rôles RBAC personnalisés qui englobent des jeux communs d’autorisations utilisés pour accéder aux fichiers Azure.You can define custom RBAC roles that encompass common sets of permissions used to access Azure Files. Lorsque vous attribuez votre rôle RBAC personnalisé à une identité Azure AD, cette identité se voit octroyer l’accès à un partage de fichiers Azure en fonction de ces autorisations.When you assign your custom RBAC role to an Azure AD identity, that identity is granted access to an Azure file share according to those permissions.

Dans la préversion, Azure Files prend aussi en charge la conservation, l’héritage et l’application des listes DACL NTFS sur tous les fichiers et répertoires d’un partage de fichiers.As part of the preview, Azure Files also supports preserving, inheriting, and enforcing NTFS DACLs on all files and directories in a file share. Si vous copiez des données depuis un partage de fichiers vers Azure Files, ou inversement, vous pouvez indiquer de conserver les listes DACL NTFS.If you copy data from a file share to Azure Files, or vice versa, you can specify that NTFS DACLs are maintained. De cette façon, vous pouvez implémenter des scénarios de sauvegarde avec Azure Files en conservant vos listes DACL NTFS entre votre partage de fichiers local et votre partage de fichiers cloud.In this way you can implement backup scenarios using Azure Files, preserving your NTFS DACLS between your on-premises file share and your cloud file share.

Notes

  • Dans la préversion, l’authentification Azure AD sur SMB n’est pas prise en charge pour les machines virtuelles Linux.Azure AD authentication over SMB is not supported for Linux VMs for the preview release. Seules les machines virtuelles Windows Server sont prises en charge.Only Windows Server VMs are supported.
  • L’authentification Azure AD sur SMB n’est pas prise en charge pour les machines locales accédant à Azure Files.Azure AD authentication over SMB is not supported for on-premises machines accessing Azure Files.
  • L’authentification Azure AD est disponible uniquement pour les comptes de stockage créés après le 24 septembre 2018.Azure AD authentication is available only for storage accounts created after September 24, 2018.
  • L’authentification Azure AD sur SMB et les ACL NTFS persistants n’est pas prise en charge sur les partages de fichiers Azure gérés par Azure File Sync Service.Azure AD authentication over SMB and NTFS ACL persistent is not supported on Azure file shares managed by Azure File Sync Service.

Pour savoir comment activer l’authentification Azure AD sur SMB pour Azure Files, consultez Activer l’authentification Azure Active Directory sur SMB pour Azure Files (préversion).To learn how to enable Azure AD authentication over SMB for Azure Files, see Enable Azure Active Directory authentication over SMB for Azure Files (Preview).

GlossaireGlossary

Vous devez comprendre certains termes clés relatifs à l’authentification Azure AD sur SMB pour Azure Files :It's helpful to understand some key terms relating to Azure AD authentication over SMB for Azure Files:

  • Azure Active Directory (Azure AD)Azure Active Directory (Azure AD)
    Azure Active Directory (Azure AD) est le service cloud Microsoft multilocataire de gestion des annuaires et des identités.Azure Active Directory (Azure AD) is Microsoft’s multi-tenant cloud-based directory and identity management service. Azure AD associe des services d’annuaires principaux, la gestion de l’accès aux applications et la protection des identités dans une même solution.Azure AD combines core directory services, application access management, and identity protection into a single solution. Pour plus d’informations, consultez Qu’est-ce qu’Azure Active Directory ?For more information, see What is Azure Active Directory?

  • Services de domaine Azure ADAzure AD Domain Services
    Azure AD Domain Services fournit des services de domaine gérés, comme la jonction de domaine, les stratégies de groupe, le protocole LDAP et l’authentification Kerberos/NTLM.Azure AD Domain Services provides managed domain services such as domain join, group policies, LDAP, and Kerberos/NTLM authentication. Ces services sont entièrement compatibles avec Windows Server Active Directory.These services are fully compatible with Windows Server Active Directory. Pour plus d’informations, consultez Azure Active Directory (AD) Domain Services.For more information, see Azure Active Directory (AD) Domain Services.

  • Contrôle d’accès en fonction du rôle (RBAC) AzureAzure Role Based Access Control (RBAC)
    Le contrôle d’accès en fonction du rôle (RBAC) Azure permet une gestion précise de l’accès pour Azure.Azure Role-Based Access Control (RBAC) enables fine-grained access management for Azure. À l’aide de RBAC, vous pouvez gérer l’accès aux ressources en accordant aux utilisateurs les autorisations minimales dont ils ont besoin pour effectuer leur travail.Using RBAC, you can manage access to resources by granting users the fewest permissions needed to perform their jobs. Pour plus d’informations sur RBAC, consultez Qu’est-ce que le contrôle d’accès en fonction du rôle (RBAC) dans Azure ?For more information on RBAC, see What is role-based access control (RBAC) in Azure?

  • Authentification KerberosKerberos authentication

    Kerberos est un protocole d’authentification utilisé pour vérifier l’identité d’un utilisateur ou d’un hôte.Kerberos is an authentication protocol that is used to verify the identity of a user or host. Pour plus d’informations sur Kerberos, consultez Vue d’ensemble de l’authentification Kerberos.For more information on Kerberos, see Kerberos Authentication Overview.

  • Protocole SMB (Server Message Block)Server Message Block (SMB) protocol
    SMB est un protocole de partage de fichier réseau standard.SMB is an industry-standard network file-sharing protocol. SMB est aussi appelé Common Internet File System ou CIFS.SMB is also known as Common Internet File System or CIFS. Pour plus d’informations sur SMB, consultez Vue d’ensemble du protocole SMB et du protocole CIFS de Microsoft.For more information on SMB, see Microsoft SMB Protocol and CIFS Protocol Overview.

Avantages de l’authentification Azure ADAdvantages of Azure AD authentication

Azure AD sur SMB pour Azure Files offre plusieurs avantages comparé à l’utilisation de l’authentification par clé partagée :Azure AD over SMB for Azure Files offers several benefits over using Shared Key authentication:

  • Étendre l’expérience d’accès au partage de fichiers traditionnel basé sur l’identité dans le cloud avec Azure ADExtend the traditional identity-based file share access experience to the cloud with Azure AD
    Si vous envisagez une approche « lift-and-shift » pour déplacer votre application dans le cloud, en remplaçant les serveurs de fichiers traditionnels par Azure Files, votre application peut s’authentifier auprès d’Azure AD pour accéder aux données de fichier.If you plan to "lift and shift" your application to the cloud, replacing traditional file servers with Azure Files, then you may want your application to authenticate with Azure AD to access file data. Azure Files prend en charge l’utilisation des informations d’identification Azure AD à partir de machines virtuelles jointes à un domaine sur SMB pour accéder aux partages de fichiers, aux répertoires ou aux fichiers.Azure Files supports using Azure AD credentials from domain-joined VMs over SMB to access file shares, directories, or files. Vous pouvez aussi choisir de synchroniser tous vos objets Active Directory locaux dans Azure AD pour conserver les noms d’utilisateur, les mots de passe et autres attributions de groupe.You can also choose to sync all of your on-premises Active Directory objects to Azure AD to preserve usernames, passwords, and other group assignments.

  • Appliquer un contrôle d’accès granulaire sur les partages de fichiers AzureEnforce granular access control on Azure file shares
    Avec l’authentification AD Azure sur SMB, vous pouvez accorder des autorisations à une identité spécifique au niveau du partage, du répertoire ou du fichier.With Azure AD authentication over SMB, you can grant permissions to a specific identity at the share, directory, or file level. Par exemple, supposons que vous avez plusieurs équipes qui utilisent un partage de fichiers Azure pour la collaboration de projet.For example, suppose that you have several teams using a single Azure file share for project collaboration. Vous pouvez accorder à toutes les équipes un accès aux répertoires non sensibles, et limiter l’accès aux répertoires contenant les données financières sensibles uniquement à l’équipe Finance.You can grant all teams access to non-sensitive directories, while limiting access to directories containing sensitive financial data to your Finance team only.

  • Sauvegarder les ACL en même temps que les donnéesBack up ACLs along with your data
    Vous pouvez utiliser Azure Files pour sauvegarder vos partages de fichiers locaux existants.You can use Azure Files to back up your existing on-premises file shares. Azure Files conserve vos ACL avec vos données quand vous sauvegardez un partage de fichiers dans Azure Files sur SMB.Azure Files preserves your ACLs along with your data when you back up a file share to Azure Files over SMB.

FonctionnementHow it works

Azure Files utilise Azure AD Domain Services pour prendre en charge l’authentification Kerberos avec les informations d’identification Azure AD à partir de machines virtuelles jointes à un domaine.Azure Files uses Azure AD Domain Services to support Kerberos authentication with Azure AD credentials from domain-joined VMs. Pour pouvoir utiliser Azure AD avec Azure Files, vous devez d’abord activer Azure AD Domain Services et joindre le domaine des machines virtuelles à partir desquelles vous envisagez d’accéder aux données de fichier.Before you can use Azure AD with Azure Files, you must first enable Azure AD Domain Services and join the domain from the VMs from which you plan to access file data. Votre machine virtuelle joints au domaine doit résider dans le même réseau virtuel (VNET) en tant que Services de domaine Azure AD.Your domain-joined VM must reside in the same virtual network (VNET) as Azure AD Domain Services.

Quand une identité associée à une application s’exécutant sur une machine virtuelle tente d’accéder aux données dans Azure Files, la demande est envoyée à Azure AD Domain Services pour authentifier l’identité.When an identity associated with an application running on a VM attempts to access data in Azure Files, the request is sent to Azure AD Domain Services to authenticate the identity. Si l’authentification réussit, Azure AD Domain Services renvoie un jeton Kerberos.If authentication is successful, Azure AD Domain Services returns a Kerberos token. L’application envoie une demande qui inclut le jeton Kerberos, et Azure Files utilise ce jeton pour autoriser la demande.The application sends a request that includes the Kerberos token, and Azure Files uses that token to authorize the request. Azure Files reçoit seulement le jeton et ne conserve pas les informations d’identification Azure AD.Azure Files receives the token only and does not persist Azure AD credentials.

Capture d’écran montrant le diagramme d’authentification Azure AD sur SMB

Activer l’authentification Azure AD sur SMBEnable Azure AD authentication over SMB

Vous pouvez activer l’authentification Azure AD sur SMB pour Azure Files sur vos comptes de stockage nouveaux et existants créés après le 24 septembre 2018.You can enable Azure AD authentication over SMB for Azure Files on your new and existing storage accounts created after September 24, 2018.

Avant d’activer l’authentification Azure AD sur SMB, vérifiez qu’Azure AD Domain Services est déployé pour le locataire Azure AD principal auquel est associé votre compte de stockage.Before enabling Azure AD authentication over SMB, verify that Azure AD Domain Services has been deployed for the primary Azure AD tenant with which your storage account is associated. Si vous n’avez pas encore configuré Azure AD Domain Services, suivez les instructions pas à pas fournies dans Activer Azure Active Directory Domain Services à l’aide du portail Azure.If you have not yet set up Azure AD Domain Services, follow the step-by-step guidance provided in Enable Azure Active Directory Domain Services using the Azure portal.

Le déploiement d’Azure AD Domain Services prend généralement 10 à 15 minutes.Azure AD Domain Services deployment generally takes 10 to 15 minutes. Une fois Azure AD Domain Services déployé, vous pouvez activer l’authentification Azure AD sur SMB pour Azure Files.After Azure AD Domain Services has been deployed, you can enable Azure AD authentication over SMB for Azure Files. Pour plus d’informations, consultez Activer l’authentification Azure Active Directory sur SMB pour Azure Files (préversion).For more information, see Enable Azure Active Directory authentication over SMB for Azure Files (Preview).

Configurer les autorisations au niveau du partage pour Azure FilesConfigure share-level permissions for Azure Files

Une fois activée l’authentification Azure AD, vous pouvez configurer des rôles RBAC personnalisés pour les identités Azure AD et attribuer des droits d’accès à tous les partages de fichiers dans le compte de stockage.Once Azure AD authentication has been enabled, you can configure custom RBAC roles for Azure AD identities and assign access rights to any file shares in the storage account.

Quand une application s’exécutant sur une machine virtuelle jointe à un domaine tente de monter un partage de fichiers Azure ou d’accéder à un répertoire ou un fichier, les informations d’identification Azure AD de l’application sont examinées pour vérifier qu’elles ont des autorisations sur le partage et des autorisations NTFS.When an application running on a domain-joined VM tries to mount an Azure file share or access a directory or file, the application's Azure AD credentials are verified to ensure the proper share-level permissions and NTFS permissions. Pour plus d’informations sur la configuration des autorisations au niveau du partage, consultez Activer l’authentification Azure AD sur SMB (préversion).For information about configuring share-level permissions, see Enable Azure Active Directory authentication over SMB (Preview).

Configurer les autorisations au niveau du répertoire ou du fichier pour Azure FilesConfigure directory- or file-level permissions for Azure Files

Azure Files applique les autorisations de fichiers NTFS standard au niveau du répertoire et du fichier, y compris au niveau du répertoire racine.Azure Files enforces standard NTFS file permissions at the directory and file level, including at the root directory. La configuration des autorisations au niveau du répertoire ou du fichier est prise en charge uniquement sur SMB.Configuration of directory- or file-level permissions is supported over SMB only. Montez le partage de fichiers cible à partir de votre machine virtuelle et configurez des autorisations à l’aide de la commande Windows icacls ou Set-ACL.Mount the target file share from your VM and configure permissions using the Windows icacls or Set-ACL command.

Notes

La configuration des autorisations NTFS dans l’Explorateur de fichiers Windows n’est pas prise en charge dans la préversion.Configuring NTFS permissions through Windows File Explorer is not supported in the preview.

Utiliser la clé de compte de stockage pour les autorisations de superutilisateurUse the storage account key for superuser permissions

Un utilisateur avec la clé de compte de stockage peut accéder à Azure Files avec des autorisations de superutilisateur.A user possessing the storage account key can access Azure Files with superuser permissions. Les autorisations de superutilisateur surpassent toutes les restrictions de contrôle d’accès configurées au niveau du partage avec RBAC et appliquées par Azure AD.Superuser permissions surpass all access control restrictions configured at the share level with RBAC and enforced by Azure AD. Les autorisations de superutilisateur sont nécessaires pour monter un partage de fichiers Azure.Superuser permissions are required to mount an Azure file share.

Important

Dans le cadre des bonnes pratiques de sécurité, évitez de partager vos clés de compte de stockage et utilisez autant que possible les autorisations Azure AD.As part of best practices for security, avoid sharing your storage account keys, and leverage Azure AD permissions whenever possible.

Conserver les ACL de répertoire et de fichier pour l’importation de données dans des partages de fichiers AzurePreserve directory and file ACLs for data import to Azure file shares

L’authentification Azure AD sur SMB prend en charge la conservation des ACL de répertoire ou de fichier quand vous copiez des données dans des partages de fichiers Azure.Azure AD authentication over SMB supports preserving directory or file ACLs when you copy data to Azure file shares. Dans la préversion, vous pouvez copier les ACL dans un fichier ou un répertoire dans Azure Files.In the preview release, you can copy the ACLs on a directory or file to Azure Files. Par exemple, vous pouvez utiliser robocopy avec l’indicateur /copy:s pour copier les données et les ACL dans un partage de fichiers Azure.For example, you can use robocopy with flag /copy:s to copy both data and ACLs to an Azure file share.

TarifsPricing

L’activation de l’authentification Azure AD sur SMB sur votre compte de stockage n’engendre aucuns frais de service supplémentaires.There is no additional service charge to enable Azure AD authentication over SMB on your storage account. Pour plus d’informations sur les prix, consultez les pages Tarifs Azure Files et Tarifs Azure AD Domain Services.For more information on pricing, see Azure Files pricing and Azure AD Domain Services pricing pages.

Étapes suivantesNext Steps

Pour plus d’informations sur Azure Files et l’authentification Azure AD sur SMB, consultez ces ressources :For more information about Azure Files and Azure AD authentication over SMB, see these resources: