Overzicht van Azure Files verificatie opties op basis van een identiteit voor SMB-toegangOverview of Azure Files identity-based authentication options for SMB access

Azure files ondersteunt verificatie op basis van identiteiten via Server Message Block (SMB) via on-premises Active Directory Domain Services (AD DS) en Azure Active Directory Domain Services (Azure AD DS).Azure Files supports identity-based authentication over Server Message Block (SMB) through on-premises Active Directory Domain Services (AD DS) and Azure Active Directory Domain Services (Azure AD DS). In dit artikel wordt uitgelegd hoe Azure-bestands shares Domain Services, on-premises of in azure, kunnen gebruiken ter ondersteuning van op identiteit gebaseerde toegang tot Azure-bestands shares via SMB.This article focuses on how Azure file shares can use domain services, either on-premises or in Azure, to support identity-based access to Azure file shares over SMB. Door toegang op basis van een identiteit in te scha kelen voor uw Azure-bestands shares kunt u bestaande bestands servers vervangen door Azure-bestands shares zonder uw bestaande adreslijst service te vervangen, waardoor naadloze gebruikers toegang tot shares wordt gehandhaafd.Enabling identity-based access for your Azure file shares allows you to replace existing file servers with Azure file shares without replacing your existing directory service, maintaining seamless user access to shares.

Azure Files dwingt autorisatie af voor gebruikers toegang tot zowel de share als de map-of bestands niveaus.Azure Files enforces authorization on user access to both the share and the directory/file levels. Machtigings toewijzing op share niveau kan worden uitgevoerd op Azure Active Directory (Azure AD)-gebruikers of-groepen die worden beheerd via het Azure RBAC-model (op rollen gebaseerd toegangs beheer) .Share-level permission assignment can be performed on Azure Active Directory (Azure AD) users or groups managed through the Azure role-based access control (Azure RBAC) model. Met RBAC moeten de referenties die u gebruikt voor toegang tot het bestand beschikbaar zijn of worden gesynchroniseerd met Azure AD.With RBAC, the credentials you use for file access should be available or synced to Azure AD. U kunt ingebouwde rollen van Azure, zoals opslag bestands gegevens van SMB-share, toewijzen aan gebruikers of groepen in azure AD om Lees toegang te verlenen aan een Azure-bestands share.You can assign Azure built-in roles like Storage File Data SMB Share Reader to users or groups in Azure AD to grant read access to an Azure file share.

Op Directory-of bestands niveau ondersteunt Azure Files het behoud, overnemen en afdwingen van Windows- dacl's , net als bij Windows-bestands servers.At the directory/file level, Azure Files supports preserving, inheriting, and enforcing Windows DACLs just like any Windows file servers. U kunt ervoor kiezen om Windows-DACL'S te blijven gebruiken bij het kopiëren van gegevens over SMB tussen uw bestaande bestands share en uw Azure-bestands shares.You can choose to keep Windows DACLs when copying data over SMB between your existing file share and your Azure file shares. Of u van plan bent autorisatie af te dwingen, u kunt Azure-bestands shares gebruiken om een back-up te maken van de Acl's samen met uw gegevens.Whether you plan to enforce authorization or not, you can use Azure file shares to back up ACLs along with your data.

Zie on-premises Active Directory Domain Services authenticatie inschakelen via SMB voor Azure-bestands sharesvoor meer informatie over het inschakelen van on-premises Active Directory Domain Services verificatie voor Azure-bestands shares.To learn how to enable on-premises Active Directory Domain Services authentication for Azure file shares, see Enable on-premises Active Directory Domain Services authentication over SMB for Azure file shares.

Zie Azure Active Directory Domain Services-verificatie inschakelen voor Azure filesvoor meer informatie over het inschakelen van Azure AD DS-verificatie voor Azure-bestands shares.To learn how to enable Azure AD DS authentication for Azure file shares, see Enable Azure Active Directory Domain Services authentication on Azure Files.

WoordenlijstGlossary

Het is handig om enkele belang rijke termen te begrijpen met betrekking tot Azure AD domain service-verificatie via SMB voor Azure-bestands shares:It's helpful to understand some key terms relating to Azure AD Domain Service authentication over SMB for Azure file shares:

  • Kerberos-verificatieKerberos authentication

    Kerberos is een authenticatieprotocol dat wordt gebruikt om de identiteit van een gebruiker of host te controleren.Kerberos is an authentication protocol that is used to verify the identity of a user or host. Zie overzicht van Kerberos-verificatievoor meer informatie over Kerberos.For more information on Kerberos, see Kerberos Authentication Overview.

  • SMB-protocol (Server Message Block)Server Message Block (SMB) protocol

    SMB is een standaard protocol voor het delen van netwerk bestanden.SMB is an industry-standard network file-sharing protocol. SMB is ook bekend als common Internet File System of CIFS.SMB is also known as Common Internet File System or CIFS. Zie het overzicht van micro soft SMB-protocol en CIFS-protocolvoor meer informatie over SMB.For more information on SMB, see Microsoft SMB Protocol and CIFS Protocol Overview.

  • Azure Active Directory (Azure AD)Azure Active Directory (Azure AD)

    Azure Active Directory (Azure AD) is de multi tenant-Cloud Directory en identiteits beheer service van micro soft.Azure Active Directory (Azure AD) is Microsoft's multi-tenant cloud-based directory and identity management service. Azure AD is een combi natie van basis Directory Services, Toegangs beheer voor toepassingen en identiteits beveiliging in één oplossing.Azure AD combines core directory services, application access management, and identity protection into a single solution. Virtuele Windows-machines (Vm's) die zijn toegevoegd aan Azure AD, hebben geen toegang tot Azure-bestands shares met uw Azure AD-referenties.Azure AD-joined Windows virtual machines (VMs) cannot access Azure file shares with your Azure AD credentials. Zie Wat is Azure Active Directory? voor meer informatie.For more information, see What is Azure Active Directory?

  • Azure Active Directory Domain Services (Azure AD DS)Azure Active Directory Domain Services (Azure AD DS)

    Azure AD DS biedt beheerde domein Services, zoals domein deelname, groeps beleid, LDAP en Kerberos/NTLM-verificatie.Azure AD DS provides managed domain services such as domain join, group policies, LDAP, and Kerberos/NTLM authentication. Deze services zijn volledig compatibel met Active Directory Domain Services.These services are fully compatible with Active Directory Domain Services. Zie Azure Active Directory Domain Servicesvoor meer informatie.For more information, see Azure Active Directory Domain Services.

  • On-premises Active Directory Domain Services (AD DS)On-premises Active Directory Domain Services (AD DS)

    De integratie van on-premises Active Directory Domain Services (AD DS) met Azure Files biedt de methoden voor het opslaan van Directory gegevens wanneer deze beschikbaar zijn voor netwerk gebruikers en beheerders.On-premises Active Directory Domain Services (AD DS) integration with Azure Files provides the methods for storing directory data while making it available to network users and administrators. Beveiliging is geïntegreerd met AD DS via aanmeldings verificatie en toegangs beheer voor objecten in de Directory.Security is integrated with AD DS through logon authentication and access control to objects in the directory. Met één netwerk aanmelding kunnen beheerders Directory gegevens en organisatie beheren in hun netwerk, en geautoriseerde netwerk gebruikers kunnen overal toegang krijgen tot bronnen in het netwerk.With a single network logon, administrators can manage directory data and organization throughout their network, and authorized network users can access resources anywhere on the network. AD DS wordt doorgaans goedgekeurd door ondernemingen in on-premises omgevingen en AD DS referenties worden gebruikt als de identiteit voor toegangs beheer.AD DS is commonly adopted by enterprises in on-premises environments and AD DS credentials are used as the identity for access control. Zie Active Directory Domain Services Overviewvoor meer informatie.For more information, see Active Directory Domain Services Overview.

  • Azure RBAC (op rollen gebaseerd toegangsbeheer van Azure)Azure role-based access control (Azure RBAC)

    Met op rollen gebaseerd toegangs beheer op basis van Azure (Azure RBAC) hebt u verfijnd toegang tot Azure.Azure role-based access control (Azure RBAC) enables fine-grained access management for Azure. Met behulp van Azure RBAC kunt u de toegang tot resources beheren door gebruikers de minste machtigingen te verlenen die nodig zijn om hun taken uit te voeren.Using Azure RBAC, you can manage access to resources by granting users the fewest permissions needed to perform their jobs. Zie Wat is Azure op rollen gebaseerd toegangs beheer (Azure RBAC)?voor meer informatie over Azure RBAC.For more information on Azure RBAC, see What is Azure role-based access control (Azure RBAC)?.

Algemene scenario’sCommon use cases

Verificatie op basis van identiteit en ondersteuning voor Windows-Acl's op Azure Files is het meest geschikt voor de volgende use-cases:Identity-based authentication and support for Windows ACLs on Azure Files is best leveraged for the following use cases:

On-premises bestands servers vervangenReplace on-premises file servers

Het afmaken en vervangen van verspreide on-premises bestands servers is een veelvoorkomend probleem dat elke onderneming in hun IT-moderniserings traject tegen komt.Deprecating and replacing scattered on-premises file servers is a common problem that every enterprise encounters in their IT modernization journey. Azure-bestands shares met on-premises AD DS verificatie is het meest geschikt wanneer u de gegevens naar Azure Files kunt migreren.Azure file shares with on-premises AD DS authentication is the best fit here, when you can migrate the data to Azure Files. Met een volledige migratie kunt u profiteren van de hoge Beschik baarheid en schaal baarheid, terwijl ook de wijzigingen aan de client zijde worden geminimaliseerd.A complete migration will allow you to take advantage of the high availability and scalability benefits while also minimizing the client-side changes. Het biedt een naadloze migratie-ervaring voor eind gebruikers, zodat ze hun gegevens met dezelfde referenties kunnen blijven gebruiken met hun bestaande computers die lid zijn van een domein.It provides a seamless migration experience to end users, so they can continue to access their data with the same credentials using their existing domain joined machines.

Toepassingen naar Azure tillen en verplaatsenLift and shift applications to Azure

Wanneer u toepassingen naar de Cloud verplaatst en verschuift, wilt u hetzelfde verificatie model blijven gebruiken voor uw gegevens.When you lift and shift applications to the cloud, you want to keep the same authentication model for your data. Als we de op id's gebaseerde ervaring voor toegangs beheer uitbreiden naar Azure-bestands shares, is het niet meer nodig om uw toepassing te wijzigen in moderne authenticatie methoden en de acceptatie van de cloud te versnellen.As we extend the identity-based access control experience to Azure file shares, it eliminates the need to change your application to modern auth methods and expedite cloud adoption. Azure-bestands shares bieden de mogelijkheid om te integreren met Azure AD DS of een on-premises AD DS voor verificatie.Azure file shares provide the option to integrate with either Azure AD DS or on-premises AD DS for authentication. Als uw abonnement een 100% in de Cloud is en de inspanningen voor het beheer van Cloud infrastructuren tot een minimum beperken, is Azure AD DS beter geschikt als een volledig beheerde domein service.If your plan is to be 100% cloud native and minimize the efforts managing cloud infrastructures, Azure AD DS would be a better fit as a fully managed domain service. Als u volledige compatibiliteit met AD DS mogelijkheden nodig hebt, kunt u overwegen uw AD DS omgeving uit te breiden naar de Cloud door zelf hosting van domein controllers op Vm's.If you need full compatibility with AD DS capabilities, you may want to consider extending your AD DS environment to cloud by self-hosting domain controllers on VMs. In beide gevallen bieden we de flexibiliteit om de domein services te kiezen die geschikt zijn voor uw bedrijf.Either way, we provide the flexibility to choose the domain services that suits your business needs.

Back-ups en herstel na nood gevallen (DR)Backup and disaster recovery (DR)

Als u uw primaire bestands opslag on-premises houdt, kunnen Azure-bestands shares fungeren als ideale opslag voor back-ups of DR, om de bedrijfs continuïteit te verbeteren.If you are keeping your primary file storage on-premises, Azure file shares can serve as an ideal storage for backup or DR, to improve business continuity. U kunt Azure-bestands shares gebruiken om een back-up te maken van uw gegevens van bestaande bestands servers, terwijl u Windows-DACL'S behoudt.You can use Azure file shares to back up your data from existing file servers, while preserving Windows DACLs. Voor nood herstel scenario's kunt u een verificatie optie configureren ter ondersteuning van de juiste handhaving van het toegangs beheer bij een failover.For DR scenarios, you can configure an authentication option to support proper access control enforcement at failover.

Ondersteunde scenario'sSupported scenarios

De volgende tabel bevat een overzicht van de ondersteunde Azure file shares-verificatie scenario's voor Azure AD DS en on-premises AD DS.The following table summarizes the supported Azure file shares authentication scenarios for Azure AD DS and on-premises AD DS. U kunt het beste de domein service selecteren die u voor uw client omgeving hebt gekozen voor de integratie met Azure Files.We recommend selecting the domain service that you adopted for your client environment for integration with Azure Files. Als u AD DS al on-premises of in azure hebt geïnstalleerd waarbij uw apparaten zijn gekoppeld aan uw AD, moet u ervoor kiezen om AD DS te gebruiken voor de verificatie van Azure-bestands shares.If you have AD DS already setup on-premises or in Azure where your devices are domain joined to your AD, you should choose to leverage AD DS for Azure file shares authentication. Als u Azure AD DS al hebt toegepast, moet u dit ook gebruiken voor verificatie bij Azure-bestands shares.Similarly, if you've already adopted Azure AD DS, you should use that for authenticating to Azure file shares.

Azure AD DS-verificatieAzure AD DS authentication On-premises AD DS verificatieOn-premises AD DS authentication
Azure-AD DS die lid zijn van een Windows-computer hebben toegang tot Azure-bestands shares met Azure AD-referenties via SMB.Azure AD DS-joined Windows machines can access Azure file shares with Azure AD credentials over SMB. On-premises AD DS-of Azure AD DS-gekoppelde Windows-machines hebben toegang tot Azure-bestands shares met on-premises Active Directory referenties die zijn gesynchroniseerd met Azure AD via SMB.On-premises AD DS-joined or Azure AD DS-joined Windows machines can access Azure file shares with on-premises Active Directory credentials that are synched to Azure AD over SMB. Uw-client moet een gezichts lijn hebben voor uw AD DS.Your client must have line of sight to your AD DS.

BeperkingenRestrictions

  • Azure AD DS en on-premises AD DS verificatie bieden geen ondersteuning voor verificatie voor computer accounts.Azure AD DS and on-premises AD DS authentication do not support authentication against computer accounts. U kunt in plaats daarvan een service aanmeldings account gebruiken.You can consider using a service logon account instead.
  • Geen van de Azure AD DS-verificatie en on-premises AD DS-verificatie wordt ondersteund voor apparaten die zijn toegevoegd aan Azure AD of Azure AD-geregistreerde apparaten.Neither Azure AD DS authentication nor on-premises AD DS authentication is supported against Azure AD-joined devices or Azure AD-registered devices.
  • Azure-bestands shares bieden alleen ondersteuning voor verificatie op basis van identiteiten met een van de volgende domein Services, Azure Active Directory Domain Services (Azure AD DS) of on-premises Active Directory Domain Services (AD DS).Azure file shares only support identity-based authentication against one of the following domain services, either Azure Active Directory Domain Services (Azure AD DS) or on-premises Active Directory Domain Services (AD DS).
  • Geen van beide verificatie methoden op basis van een identiteit worden ondersteund met Network File System (NFS), een preview-versie.Neither identity-based authentication method is supported with Network File System (NFS), which is in preview.

Voor delen van verificatie op basis van identiteitAdvantages of identity-based authentication

Verificatie op basis van identiteit voor Azure Files biedt verschillende voor delen ten opzichte van het gebruik van gedeelde sleutel verificatie:Identity-based authentication for Azure Files offers several benefits over using Shared Key authentication:

  • Breid de traditionele toegang tot de bestands share op basis van identiteiten uit naar de Cloud met on-premises AD DS en Azure AD DSExtend the traditional identity-based file share access experience to the cloud with on-premises AD DS and Azure AD DS
    Als u van plan bent om uw toepassing te verplaatsen naar de Cloud, vervangen van traditionele bestands servers met Azure-bestands shares, wilt u mogelijk uw toepassing verifiëren met on-premises AD DS of Azure AD DS referenties voor toegang tot bestands gegevens.If you plan to lift and shift your application to the cloud, replacing traditional file servers with Azure file shares, then you may want your application to authenticate with either on-premises AD DS or Azure AD DS credentials to access file data. Azure Files ondersteunt het gebruik van zowel on-premises AD DS als Azure AD DS referenties om toegang te krijgen tot Azure-bestands shares via SMB vanuit on-premises AD DS of Azure AD DS Vm's die aan een domein zijn gekoppeld.Azure Files supports using both on-premises AD DS or Azure AD DS credentials to access Azure file shares over SMB from either on-premises AD DS or Azure AD DS domain-joined VMs.

  • Gedetailleerd toegangs beheer voor Azure-bestands shares afdwingenEnforce granular access control on Azure file shares
    U kunt machtigingen verlenen aan een specifieke identiteit op share-, map-of bestands niveau.You can grant permissions to a specific identity at the share, directory, or file level. Stel bijvoorbeeld dat u verschillende teams hebt die één Azure-bestands share gebruiken voor samen werking tussen projecten.For example, suppose that you have several teams using a single Azure file share for project collaboration. U kunt alle teams toegang verlenen tot niet-gevoelige directory's, terwijl de toegang tot mappen met alleen gevoelige financiële gegevens wordt beperkt tot uw financiële team.You can grant all teams access to non-sensitive directories, while limiting access to directories containing sensitive financial data to your Finance team only.

  • Back-ups maken van Windows-Acl's (ook wel NTFS genoemd) samen met uw gegevensBack up Windows ACLs (also known as NTFS) along with your data
    U kunt Azure-bestands shares gebruiken om een back-up te maken van uw bestaande on-premises bestands shares.You can use Azure file shares to back up your existing on-premises file shares. Azure Files behoudt uw Acl's samen met uw gegevens wanneer u een back-up maakt van een bestands share naar Azure-bestands shares via SMB.Azure Files preserves your ACLs along with your data when you back up a file share to Azure file shares over SMB.

UitlegHow it works

Azure-bestands shares maken gebruik van het Kerberos-protocol voor verificatie met on-premises AD DS of Azure AD DS.Azure file shares leverages Kerberos protocol for authenticating with either on-premises AD DS or Azure AD DS. Wanneer een identiteit die is gekoppeld aan een gebruiker of toepassing die wordt uitgevoerd op een client, probeert toegang te krijgen tot gegevens in azure-bestands shares, wordt de aanvraag verzonden naar de domein service, een AD DS of Azure AD DS, om de identiteit te verifiëren.When an identity associated with a user or application running on a client attempts to access data in Azure file shares, the request is sent to the domain service, either AD DS or Azure AD DS, to authenticate the identity. Als de verificatie is geslaagd, wordt een Kerberos-token geretourneerd.If authentication is successful, it returns a Kerberos token. De client verzendt een aanvraag met het Kerberos-token en Azure-bestands shares die token gebruiken om de aanvraag te autoriseren.The client sends a request that includes the Kerberos token and Azure file shares use that token to authorize the request. Azure-bestands shares ontvangen alleen het Kerberos-token, geen toegang tot referenties.Azure file shares only receive the Kerberos token, not access credentials.

Voordat u verificatie op basis van identiteiten op Azure-bestands shares kunt inschakelen, moet u eerst uw domein omgeving instellen.Before you can enable identity-based authentication on Azure file shares, you must first set up your domain environment.

AD DSAD DS

Voor on-premises AD DS-verificatie moet u uw AD-domein controllers en domein instellen als lid worden van uw machines of Vm's.For on-premises AD DS authentication, you must set up your AD domain controllers and domain join your machines or VMs. U kunt uw domein controllers hosten op virtuele machines van Azure of on-premises.You can host your domain controllers on Azure VMs or on-premises. In beide gevallen moet de client die lid is van het domein een regel voor het gezichts vermogen van de domein service hebben, zodat deze zich binnen het bedrijfs netwerk of het virtuele netwerk (VNET) van uw domein service bevinden.Either way, your domain joined clients must have line of sight to the domain service, so they must be within the corporate network or virtual network (VNET) of your domain service.

In het volgende diagram ziet u on-premises AD DS verificatie voor Azure-bestands shares via SMB.The following diagram depicts on-premises AD DS authentication to Azure file shares over SMB. De on-premises AD DS moeten worden gesynchroniseerd met Azure AD met behulp van Azure AD Connect-synchronisatie. Alleen hybride gebruikers in zowel on-premises AD DS als Azure AD kunnen worden geverifieerd en geautoriseerd voor toegang tot de Azure-bestands share.The on-prem AD DS must be synced to Azure AD using Azure AD Connect sync. Only hybrid users that exist in both on-premises AD DS and Azure AD can be authenticated and authorized for Azure file share access. Dit komt omdat de machtiging op share niveau is geconfigureerd op basis van de identiteit die wordt weer gegeven in azure AD, waarbij de machtiging op het niveau van de map/bestand wordt afgedwongen in AD DS.This is because the share level permission is configured against the identity represented in Azure AD where the directory/file level permission is enforced with that in AD DS. Zorg ervoor dat u de machtigingen correct configureert voor dezelfde hybride gebruiker.Make sure that you configure the permissions correctly against the same hybrid user.

Diagram van on-premises AD DS verificatie voor Azure-bestands shares via SMB.

Azure AD DSAzure AD DS

Voor Azure AD DS-verificatie moet u Azure AD Domain Services en domein inschakelen die lid zijn van de Vm's die u wilt gebruiken om toegang tot bestands gegevens te krijgen.For Azure AD DS authentication, you should enable Azure AD Domain Services and domain join the VMs you plan to access file data from. De virtuele machine die aan een domein is gekoppeld, moet zich in hetzelfde virtuele netwerk (VNET) bevinden als uw Azure-AD DS.Your domain-joined VM must reside in the same virtual network (VNET) as your Azure AD DS.

Het volgende diagram vertegenwoordigt de werk stroom voor Azure AD DS-verificatie voor Azure-bestands shares via SMB.The following diagram represents the workflow for Azure AD DS authentication to Azure file shares over SMB. Het volgt een vergelijkbaar patroon voor on-premises AD DS verificatie voor Azure-bestands shares.It follows a similar pattern to on-prem AD DS authentication to Azure file shares. Er zijn twee belang rijke verschillen:There are two major differences:

  • Eerst hoeft u niet de identiteit in azure AD DS te maken om het opslag account aan te duiden.First, you don’t need to create the identity in Azure AD DS to represent the storage account. Dit wordt uitgevoerd door het activerings proces op de achtergrond.This is performed by the enablement process in the background.

  • Ten tweede kunnen alle gebruikers die in azure AD bestaan, worden geverifieerd en geautoriseerd.Second, all users that exist in Azure AD can be authenticated and authorized. De gebruiker kan alleen Cloud of Hybrid zijn.The user can be cloud only or hybrid. De synchronisatie van Azure AD naar Azure AD DS wordt beheerd door het platform zonder dat er gebruikers configuratie is vereist.The sync from Azure AD to Azure AD DS is managed by the platform without requiring any user configuration. De client moet echter lid zijn van een domein aan Azure AD DS en kan niet worden opgenomen in azure AD.However, the client must be domain joined to Azure AD DS, it cannot be Azure AD joined or registered.

Diagram

Verificatie op basis van identiteit inschakelenEnable identity-based authentication

U kunt verificatie op basis van een identiteit inschakelen met Azure AD DS of on-premises AD DS voor Azure-bestands shares in uw nieuwe en bestaande opslag accounts.You can enable identity-based authentication with either Azure AD DS or on-premises AD DS for Azure file shares on your new and existing storage accounts. Er kan slechts één domein service worden gebruikt voor verificatie van bestands toegang op het opslag account. Dit is van toepassing op alle bestands shares in het account.Only one domain service can be used for file access authentication on the storage account, which applies to all file shares in the account. Gedetailleerde richt lijnen voor het instellen van uw bestands shares voor verificatie met Azure AD DS in ons artikel schakel Azure Active Directory Domain Services-verificatie in op Azure files en richt lijnen voor on-premises AD DS in ons andere artikel, om on-premises Active Directory Domain Services verificatie in te SCHA kelen via SMB voor Azure-bestands shares.Detailed guidance on setting up your file shares for authentication with Azure AD DS in our article Enable Azure Active Directory Domain Services authentication on Azure Files and guidance for on-premises AD DS in our other article, Enable on-premises Active Directory Domain Services authentication over SMB for Azure file shares.

Machtigingen op share niveau voor Azure Files configurerenConfigure share-level permissions for Azure Files

Als Azure AD DS of een on-premises AD DS-verificatie is ingeschakeld, kunt u de ingebouwde rollen van Azure gebruiken of aangepaste rollen configureren voor Azure AD-identiteiten en toegangs rechten toewijzen aan bestands shares in uw opslag accounts.Once either Azure AD DS or on-premises AD DS authentication is enabled, you can use Azure built-in roles or configure custom roles for Azure AD identities and assign access rights to any file shares in your storage accounts. Met de toegewezen machtiging kan de verleende identiteit alleen toegang krijgen tot de share, niets anders, niet zelfs de hoofdmap.The assigned permission allows the granted identity to get access to the share only, nothing else, not even the root directory. U moet nog steeds machtigingen op Directory-of bestands niveau configureren voor Azure-bestands shares.You still need to separately configure directory or file-level permissions for Azure file shares.

Machtigingen op Directory-of bestands niveau configureren voor Azure FilesConfigure directory or file-level permissions for Azure Files

Azure-bestands shares dwingen standaard Windows-bestands machtigingen af op Directory-en bestands niveau, met inbegrip van de hoofdmap.Azure file shares enforce standard Windows file permissions at both the directory and file level, including the root directory. De configuratie van machtigingen op Directory-of bestands niveau wordt zowel voor SMB als voor de REST ondersteund.Configuration of directory or file-level permissions is supported over both SMB and REST. Koppel de doel bestands share van uw VM en Configureer machtigingen met behulp van Windows Verkenner, Windows icaclsof de set-ACL- opdracht.Mount the target file share from your VM and configure permissions using Windows File Explorer, Windows icacls, or the Set-ACL command.

De sleutel van het opslag account voor super gebruiker-machtigingen gebruikenUse the storage account key for superuser permissions

Een gebruiker met de sleutel van het opslag account kan toegang krijgen tot Azure-bestands shares met super gebruikers machtigingen.A user with the storage account key can access Azure file shares with superuser permissions. Super gebruiker-machtigingen slaan alle beperkingen voor toegangs beheer over.Superuser permissions bypass all access control restrictions.

Belangrijk

Onze aanbevolen beveiligings best practice is om te voor komen dat u de sleutels van uw opslag account deelt en waar mogelijk op identiteit gebaseerde verificatie gebruikt.Our recommended security best practice is to avoid sharing your storage account keys and leverage identity-based authentication whenever possible.

Map-en bestands-Acl's behouden bij het importeren van gegevens in azure-bestands sharesPreserve directory and file ACLs when importing data to Azure file shares

Azure Files ondersteunt het behouden van Acl's op Directory-of bestands niveau bij het kopiëren van gegevens naar Azure-bestands shares.Azure Files supports preserving directory or file level ACLs when copying data to Azure file shares. U kunt Acl's op een map of bestand naar Azure-bestands shares kopiëren met behulp van Azure File Sync of gemeen schappelijke sluit voor bestands verplaatsing.You can copy ACLs on a directory or file to Azure file shares using either Azure File Sync or common file movement toolsets. U kunt Robocopy bijvoorbeeld gebruiken met de /copy:s vlag voor het kopiëren van gegevens en Acl's naar een Azure-bestands share.For example, you can use robocopy with the /copy:s flag to copy data as well as ACLs to an Azure file share. Acl's blijven standaard behouden, u bent niet verplicht om verificatie op basis van een identiteit in te scha kelen voor uw opslag account om Acl's te behouden.ACLs are preserved by default, you are not required to enable identity-based authentication on your storage account to preserve ACLs.

PrijzenPricing

Er worden geen extra kosten in rekening gebracht voor het inschakelen van verificatie op basis van identiteit via SMB voor uw opslag account.There is no additional service charge to enable identity-based authentication over SMB on your storage account. Zie Azure files prijzen en Azure AD Domain Services prijzenvoor meer informatie over prijzen.For more information on pricing, see Azure Files pricing and Azure AD Domain Services pricing.

Volgende stappenNext steps

Zie de volgende bronnen voor meer informatie over Azure Files en verificatie op basis van identiteit via SMB:For more information about Azure Files and identity-based authentication over SMB, see these resources: