Overzicht van Azure Files verificatieopties op basis van identiteit voor SMB-toegang

  • Artikel
  • 12 minuten om te lezen

Azure files ondersteunt verificatie op basis van identiteiten via Server Message Block (SMB) via on-premises Active Directory Domain Services (AD DS) en Azure Active Directory Domain Services (Azure AD DS). In dit artikel wordt uitgelegd hoe Azure-bestands shares Domain Services, on-premises of in azure, kunnen gebruiken ter ondersteuning van op identiteit gebaseerde toegang tot Azure-bestands shares via SMB. Door toegang op basis van een identiteit in te scha kelen voor uw Azure-bestands shares kunt u bestaande bestands servers vervangen door Azure-bestands shares zonder uw bestaande adreslijst service te vervangen, waardoor naadloze gebruikers toegang tot shares wordt gehandhaafd.

Azure Files dwingt autorisatie af voor gebruikers toegang tot zowel de share als de map-of bestands niveaus. Machtigings toewijzing op share niveau kan worden uitgevoerd op Azure Active Directory (Azure AD)-gebruikers of-groepen die worden beheerd via het Azure RBAC-model (op rollen gebaseerd toegangs beheer) . Met RBAC moeten de referenties die u gebruikt voor toegang tot het bestand beschikbaar zijn of worden gesynchroniseerd met Azure AD. U kunt ingebouwde rollen van Azure, zoals opslag bestands gegevens van SMB-share, toewijzen aan gebruikers of groepen in azure AD om Lees toegang te verlenen aan een Azure-bestands share.

Op Directory-of bestands niveau ondersteunt Azure Files het behoud, overnemen en afdwingen van Windows- dacl's , net als bij Windows-bestands servers. U kunt ervoor kiezen om Windows-DACL'S te blijven gebruiken bij het kopiëren van gegevens over SMB tussen uw bestaande bestands share en uw Azure-bestands shares. Of u van plan bent autorisatie af te dwingen, u kunt Azure-bestands shares gebruiken om een back-up te maken van de Acl's samen met uw gegevens.

Zie Enable on-premises Active Directory Domain Services authentication over SMB for Azure file shares (Verificatie van on-premises Active Directory Domain Services via SMB voor Azure-bestands shares inschakelen) voor meer informatie over het inschakelen van on-premises Active Directory Domain Services-verificatie voor Azure-bestands shares.

Zie Enable Azure Active Directory Domain Services authentication on voor meer informatie over het inschakelen van verificatie Azure AD DS Azure-bestands Azure Files.

Van toepassing op

Bestands sharetype SMB NFS
Standaardbestands shares (GPv2), LRS/ZRS Ja Nee
Standaardbestands shares (GPv2), GRS/GZRS Ja Nee
Premium -bestands shares (FileStorage), LRS/ZRS Ja Nee

Woordenlijst

Het is handig om een aantal belangrijke termen te begrijpen met betrekking tot Azure AD Domain Service-verificatie via SMB voor Azure-bestands shares:

  • Kerberos-verificatie

    Kerberos is een authenticatieprotocol dat wordt gebruikt om de identiteit van een gebruiker of host te controleren. Zie Overzicht van Kerberos-verificatie voor meer informatie over Kerberos.

  • Server Message Block (SMB)-protocol

    SMB is een industriestandaard protocol voor het delen van netwerkbestand. SMB wordt ook wel Common Internet File System of CIFS genoemd. Zie Overzicht van Microsoft SMB-protocol en CIFS-protocolvoor meer informatie over SMB.

  • Azure Active Directory (Azure AD)

    Azure Active Directory (Azure AD) is de multi-tenant directory- en identiteitsbeheerservice van Microsoft in de cloud. Azure AD combineert belangrijke adreslijstservices, toegangsbeheer voor toepassingen en identiteitsbeveiliging in één oplossing. Aan Azure AD Windows virtuele machines (VM's) hebben geen toegang tot Azure-bestands shares met uw Azure AD-referenties. Zie Wat is Azure Active Directory? voor meer Azure Active Directory.

  • Azure Active Directory Domain Services (Azure AD DS)

    Azure AD DS beheerde domeinservices zoals domein toevoegen, groepsbeleid, LDAP en Kerberos/NTLM-verificatie. Deze services zijn volledig compatibel met Active Directory Domain Services. Zie Voor meer informatie Azure Active Directory Domain Services.

  • On-premises Active Directory Domain Services (AD DS)

    On-premises Active Directory Domain Services (AD DS) met Azure Files biedt de methoden voor het opslaan van adreslijstgegevens terwijl deze beschikbaar worden gesteld aan netwerkgebruikers en beheerders. Beveiliging is geïntegreerd met AD DS aanmeldingsverificatie en toegangsbeheer voor objecten in de map. Met één netwerklogo kunnen beheerders adreslijstgegevens en organisatie in hun hele netwerk beheren en kunnen geautoriseerde netwerkgebruikers overal in het netwerk toegang krijgen tot resources. AD DS wordt doorgaans gebruikt door ondernemingen in on-premises omgevingen en AD DS referenties worden gebruikt als identiteit voor toegangsbeheer. Zie overzicht voor Active Directory Domain Services meer informatie.

  • Azure RBAC (op rollen gebaseerd toegangsbeheer van Azure)

    Met op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) is een fijner toegangsbeheer voor Azure mogelijk. Met Azure RBAC kunt u de toegang tot resources beheren door gebruikers de minste machtigingen te verlenen die nodig zijn om hun taken uit te voeren. Zie Wat is op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC)?voor meer informatie over Azure RBAC.

Algemene scenario’s

Verificatie op basis van identiteit en ondersteuning voor Windows ACL's op Azure Files wordt het beste gebruikt voor de volgende use cases:

On-premises bestandsservers vervangen

Het afvangen en vervangen van verspreide on-premises bestandsservers is een veelvoorkomend probleem dat elke onderneming tijdens hun IT-moderniseringstraject tegenkomt. Azure-bestands shares met on-premises AD DS verificatie is hier het beste geschikt voor wanneer u de gegevens naar Azure Files. Met een volledige migratie kunt u profiteren van de voordelen van hoge beschikbaarheid en schaalbaarheid en tegelijkertijd de wijzigingen aan de clientzijde minimaliseren. Het biedt eindgebruikers een naadloze migratie-ervaring, zodat ze met dezelfde referenties toegang kunnen blijven krijgen tot hun gegevens met behulp van hun bestaande computers die lid zijn van een domein.

Lift-and-shift-toepassingen naar Azure

Wanneer u toepassingen naar de cloud verplaatst, wilt u hetzelfde verificatiemodel voor uw gegevens behouden. Omdat we de ervaring voor toegangsbeheer op basis van identiteit uitbreiden naar Azure-bestands shares, hoeft u uw toepassing niet meer te wijzigen in moderne auth-methoden en de overstap naar de cloud te versnellen. Azure-bestands shares bieden de mogelijkheid om te integreren met Azure AD DS of on-premises AD DS voor verificatie. Als u van plan bent om 100% cloudeigen te zijn en de inspanningen voor het beheren van cloudinfrastructuren te minimaliseren, is Azure AD DS beter geschikt als een volledig beheerde domeinservice. Als u volledige compatibiliteit met AD DS-mogelijkheden nodig hebt, kunt u overwegen om uw AD DS-omgeving uit te breiden naar de cloud door domeincontrollers op VM's zelf te hosten. Hoe dan ook, we bieden de flexibiliteit om de domeinservices te kiezen die voldoen aan de behoeften van uw bedrijf.

Back-up en herstel na noodherstel (DR)

Als u uw primaire bestandsopslag on-premises houdt, kunnen Azure-bestands shares fungeren als een ideale opslag voor back-up of DR om de bedrijfscontinuïteit te verbeteren. U kunt Azure-bestands shares gebruiken om een back-up te maken van uw gegevens van bestaande bestandsservers, met behoud van Windows-URL's. Voor DR-scenario's kunt u een verificatieoptie configureren om het afdwingen van toegangsbeheer bij failover te ondersteunen.

Ondersteunde scenario's

De volgende tabel bevat een overzicht van de ondersteunde verificatiescenario's voor Azure Azure AD DS en on-premises AD DS. U wordt aangeraden de domeinservice te selecteren die u voor uw clientomgeving hebt aangenomen voor integratie met Azure Files. Als u al AD DS on-premises of in Azure hebt ingesteld waar uw apparaten zijn toegevoegd aan uw AD, moet u ervoor kiezen om AD DS te gebruiken voor verificatie van Azure-bestands shares. Op dezelfde manier moet u, als u al een Azure AD DS, dat gebruiken voor de authenticatie bij Azure-bestands shares.

Azure AD DS verificatie On-premises AD DS verificatie
Azure AD DS-Windows hebben via SMB toegang tot Azure-bestands shares met Azure AD-referenties. On-premises AD DS of Azure AD DS-joined Windows-machines hebben toegang tot Azure-bestands shares met on-premises Active Directory-referenties die via SMB worden gesynchroniseerd met Azure AD. Uw client moet zicht hebben op uw AD DS.

Beperkingen

  • Azure AD DS en on-premises AD DS bieden geen ondersteuning voor verificatie tegen computeraccounts. U kunt in plaats daarvan overwegen een aanmeldingsaccount voor de service te gebruiken.
  • Verificatie met Azure AD DS en on-premises AD DS wordt niet ondersteund op apparaten die zijn samengevoegd met Azure AD of apparaten die zijn geregistreerd bij Azure AD.
  • Azure-bestands shares bieden alleen ondersteuning voor verificatie op basis van identiteiten voor een van de volgende domeinservices, Azure Active Directory Domain Services (Azure AD DS) of on-premises Active Directory Domain Services (AD DS).
  • Geen van beide verificatiemethoden op basis van identiteit wordt ondersteund met NFS-shares (Network File System).

Voordelen van verificatie op basis van identiteit

Verificatie op basis van identiteiten voor Azure Files biedt verschillende voordelen ten opzichte van het gebruik van gedeelde sleutelverificatie:

  • Breid de traditionele toegangservaring voor bestands delen op basis van identiteit uit naar de cloud met on-premises AD DS en Azure AD DS
    Als u van plan bent om uw toepassing naar de cloud te verplaatsen en traditionele bestandsservers te vervangen door Azure-bestands shares, wilt u mogelijk dat uw toepassing wordt geverifieerd met on-premises AD DS of Azure AD DS-referenties voor toegang tot bestandsgegevens. Azure Files ondersteunt het gebruik van zowel on-premises AD DS- als Azure AD DS-referenties voor toegang tot Azure-bestands shares via SMB vanuit on-premises AD DS of Azure AD DS-VM's die lid zijn van een domein.

  • Gedetailleerd toegangsbeheer afdwingen op Azure-bestands shares
    U kunt machtigingen verlenen aan een specifieke identiteit op share-, map- of bestandsniveau. Stel bijvoorbeeld dat u meerdere teams hebt die één Azure-bestands share gebruiken voor projectsamenwerking. U kunt alle teams toegang verlenen tot niet-gevoelige directories, terwijl u de toegang tot de directories met gevoelige financiële gegevens beperkt tot alleen uw financiële team.

  • Back-up Windows ACL's (ook wel NTFS genoemd) samen met uw gegevens
    U kunt Azure-bestands shares gebruiken om een back-up te maken van uw bestaande on-premises bestands shares. Azure Files ACL's behouden, samen met uw gegevens wanneer u een back-up van een bestands share naar Azure-bestands shares via SMB.

Uitleg

Azure-bestands shares maken gebruik van het Kerberos-protocol voor de authenticatie met on-premises AD DS of Azure AD DS. Wanneer een identiteit die is gekoppeld aan een gebruiker of toepassing die wordt uitgevoerd op een client toegang probeert te krijgen tot gegevens in Azure-bestands shares, wordt de aanvraag verzonden naar de domeinservice, AD DS of Azure AD DS, om de identiteit te verifiëren. Als de verificatie is geslaagd, wordt een Kerberos-token retourneert. De client verzendt een aanvraag met het Kerberos-token en Azure-bestands shares gebruiken dat token om de aanvraag te autoreren. Azure-bestands shares ontvangen alleen het Kerberos-token, geen toegangsreferenties.

Voordat u verificatie op basis van identiteiten op Azure-bestands shares kunt inschakelen, moet u eerst uw domeinomgeving instellen.

AD DS

Voor on-premises AD DS verificatie moet u uw AD-domeincontrollers instellen en uw computers of VM's toevoegen aan een domein. U kunt uw domeincontrollers hosten op azure-VM's of on-premises. Hoe dan ook, uw domein-clients moeten zijn verbonden met de domeinservice, dus ze moeten zich binnen het bedrijfsnetwerk of virtuele netwerk (VNET) van uw domeinservice.

In het volgende diagram wordt on-premises verificatie AD DS Azure-bestands shares via SMB weergegeven. De on-AD DS moeten worden gesynchroniseerd met Azure AD met behulp van Azure AD Verbinding maken synchroniseren. Alleen hybride gebruikers die bestaan in zowel on-premises AD DS als Azure AD kunnen worden geverifieerd en geautoriseerd voor toegang tot Azure-bestands delen. Dit komt doordat de machtiging op shareniveau is geconfigureerd op basis van de identiteit die wordt weergegeven in Azure AD, waar de machtiging op map-/bestandsniveau wordt afgedwongen in AD DS. Zorg ervoor dat u de machtigingen correct configureert voor dezelfde hybride gebruiker.

Diagram met on-premises verificatie AD DS Azure-bestands shares via SMB.

Azure AD DS

Voor Azure AD DS verificatie moet u de virtuele Azure AD Domain Services's van waar u van plan bent toegang te krijgen tot bestandsgegevens inschakelen en lid worden van een domein. Uw domein-VM moet zich in hetzelfde virtuele netwerk (VNET) bevinden als uw Azure AD DS.

Het volgende diagram vertegenwoordigt de werkstroom voor Azure AD DS verificatie van Azure-bestands shares via SMB. Het volgt een vergelijkbaar patroon als on-AD DS verificatie voor Azure-bestands shares. Er zijn twee belangrijke verschillen:

  • Eerst hoeft u de identiteit niet te maken in Azure AD DS om het opslagaccount weer te geven. Dit wordt uitgevoerd door het inschakelen op de achtergrond.

  • Ten tweede kunnen alle gebruikers die in Azure AD bestaan, worden geverifieerd en geautoriseerd. De gebruiker kan alleen cloud of hybride zijn. De synchronisatie van Azure AD naar Azure AD DS wordt beheerd door het platform zonder dat er een gebruikersconfiguratie nodig is. De client moet echter lid zijn van een domein Azure AD DS, kan niet worden samengevoegd of geregistreerd in Azure AD.

Diagram

Verificatie op basis van identiteit inschakelen

U kunt verificatie op basis van identiteit inschakelen met Azure AD DS of on-premises AD DS voor Azure-bestands shares op uw nieuwe en bestaande opslagaccounts. Er kan slechts één domeinservice worden gebruikt voor verificatie van bestandstoegang in het opslagaccount, wat van toepassing is op alle bestands shares in het account. Gedetailleerde richtlijnen voor het instellen van uw bestands shares voor verificatie met Azure AD DS in ons artikel Enable Azure Active Directory Domain Services authentication on Azure Files (Azure Active Directory Domain Services-verificatie inschakelen op Azure Files) en richtlijnen voor on-premises AD DS in ons andere artikel Enable on-premises Active Directory Domain Services authentication over SMB for Azure file shares (Verificatievan on-premises Active Directory Domain Services via SMB inschakelen voor Azure-bestands shares).

Machtigingen op shareniveau configureren voor Azure Files

Zodra Azure AD DS of on-premises AD DS-verificatie is ingeschakeld, kunt u ingebouwde Azure-rollen gebruiken of aangepaste rollen configureren voor Azure AD-identiteiten en toegangsrechten toewijzen aan bestands shares in uw opslagaccounts. Met de toegewezen machtiging kan de toegewezen identiteit alleen toegang krijgen tot de share, niets anders, zelfs niet de hoofdmap. U moet nog steeds machtigingen op map- of bestandsniveau afzonderlijk configureren voor Azure-bestands shares.

Machtigingen op map- of bestandsniveau configureren voor Azure Files

Azure-bestands shares dwingen standaard Windows bestandsmachtigingen af op zowel map- als bestandsniveau, met inbegrip van de hoofdmap. Configuratie van machtigingen op map- of bestandsniveau wordt ondersteund via zowel SMB als REST. Mount the target file share from your VM and configure permissions using Windows File Explorer, Windows icacls, or the Set-ACL command.

De sleutel van het opslagaccount gebruiken voor superuser-machtigingen

Een gebruiker met de sleutel van het opslagaccount heeft toegang tot Azure-bestands shares met supergebruikersmachtigingen. Superuser-machtigingen omzeilen alle beperkingen voor toegangsbeheer.

Belangrijk

Onze aanbevolen beveiligingsmethode best practice om te voorkomen dat uw opslagaccountsleutels worden gedeeld en waar mogelijk gebruik te maken van verificatie op basis van identiteit.

Map- en bestands-ACL's behouden bij het importeren van gegevens in Azure-bestands shares

Azure Files biedt ondersteuning voor ACL's op map- of bestandsniveau bij het kopiëren van gegevens naar Azure-bestands shares. U kunt ACL's in een map of bestand kopiëren naar Azure-bestands shares met behulp van Azure File Sync of algemene hulpprogramma's voor bestands movement. U kunt bijvoorbeeld Robocopy gebruiken met de vlag om gegevens en ACL's naar een /copy:s Azure-bestands share te kopiëren. ACL's blijven standaard behouden. U bent niet verplicht identiteitsgebaseerde verificatie in te schakelen voor uw opslagaccount om ACL's te behouden.

Prijzen

Er worden geen extra servicekosten in rekening brengen om verificatie op basis van identiteit via SMB in te schakelen voor uw opslagaccount. Zie prijzen en Azure Files prijzen voor Azure AD Domain Services informatie over prijzen.

Volgende stappen

Voor meer informatie over Azure Files en verificatie op basis van identiteit via SMB, zie deze bronnen: