Översikt över Azure Files för identitetsbaserad autentisering för SMB-åtkomst

  • Artikel
  • 10 minuter för att läsa

Azure Files stöder identitets-baserad autentisering över Server Message Block (SMB) via lokala Active Directory Domain Services (AD ds) och Azure Active Directory Domain Services (Azure AD DS). Den här artikeln fokuserar på hur Azure-filresurser kan använda domän tjänster, antingen lokalt eller i Azure, för att ge stöd för identitets-baserad åtkomst till Azure-filresurser över SMB. Genom att aktivera identitets åtkomst för dina Azure-filresurser kan du ersätta befintliga fil servrar med Azure-filresurser utan att ersätta den befintliga katalog tjänsten och upprätthålla sömlös användar åtkomst till resurser.

Azure Files tvingar användaren att få åtkomst till både delnings-och katalog-/fil nivåerna. Behörighets tilldelning på resurs nivå kan utföras på Azure Active Directory (Azure AD)-användare eller grupper som hanteras via Azures rollbaserade åtkomst kontrolls modell (Azure RBAC) . Med RBAC bör autentiseringsuppgifterna som du använder för fil åtkomst vara tillgängliga eller synkroniserade till Azure AD. Du kan tilldela inbyggda Azure-roller som lagrings fil data SMB-Resurstjänsten till användare eller grupper i Azure AD för att bevilja Läs åtkomst till en Azure-filresurs.

På katalog-/filnivå Azure Files har stöd för att bevara, ärva och verkställa Windows- DACL -filer på samma sätt som alla Windows-filservrar. Du kan välja att behålla Windows-DACL: er när du kopierar data över SMB mellan din befintliga fil resurs och dina Azure-filresurser. Oavsett om du planerar att framtvinga auktorisering eller inte, kan du använda Azure-filresurser för att säkerhetskopiera ACL: er tillsammans med dina data.

Information om hur du aktiverar lokal Active Directory Domain Services-autentisering för Azure-filresurser finns i Aktivera lokal Active Directory Domain Services-autentisering via SMB för Azure-filresurser.

Information om hur du aktiverar Azure AD DS för Azure-filresurser finns i Aktivera Azure Active Directory Domain Services-autentisering på Azure Files.

Gäller för

Filresurstyp SMB NFS
Standardfilresurser (GPv2), LRS/ZRS Ja Nej
Standardfilresurser (GPv2), GRS/GZRS Ja Nej
Premium filresurser (FileStorage), LRS/ZRS Ja Nej

Ordlista

Det är bra att förstå några viktiga termer som rör Azure AD Domain Service-autentisering över SMB för Azure-filresurser:

  • Kerberos-autentisering

    Kerberos är ett autentiseringsprotokoll som används för att verifiera en användares eller värds identitet. Mer information om Kerberos finns i Översikt över Kerberos-autentisering.

  • Server Message Block (SMB)-protokoll

    SMB är ett branschstandardprotokoll för fildelning i nätverk. SMB kallas även Common Internet File System eller CIFS. Mer information om SMB finns i Översikt över Microsoft SMB-protokoll och CIFS-protokoll.

  • Azure Active Directory (Azure AD)

    Azure Active Directory (Azure AD) är Microsofts molnbaserade katalog- och identitetshanteringstjänst för flera innehavare. Azure AD kombinerar viktiga katalogtjänster, åtkomsthantering för program och identitetsskydd till en enda lösning. Azure AD-ansluten Windows (VM) kan inte komma åt Azure-filresurser med dina autentiseringsuppgifter för Azure AD. Mer information finns i Vad är Azure Active Directory?

  • Azure Active Directory Domain Services (Azure AD DS)

    Azure AD DS tillhandahåller hanterade domäntjänster som domänkoppling, grupprinciper, LDAP och Kerberos/NTLM-autentisering. Dessa tjänster är helt kompatibla med Active Directory Domain Services. Mer information finns i Azure Active Directory Domain Services.

  • Lokal Active Directory Domain Services (AD DS)

    Integrering av lokala Active Directory Domain Services (AD DS) med Azure Files tillhandahåller metoder för att lagra katalogdata samtidigt som de blir tillgängliga för nätverksanvändare och administratörer. Säkerheten är integrerad med AD DS via inloggningsautentisering och åtkomstkontroll till objekt i katalogen. Med en enda nätverksinloggning kan administratörer hantera katalogdata och organisation i hela nätverket, och behöriga nätverksanvändare kan komma åt resurser var som helst i nätverket. AD DS används ofta av företag i lokala miljöer och AD DS-autentiseringsuppgifter används som identitet för åtkomstkontroll. Mer information finns i Active Directory Domain Services Översikt.

  • Azure RBAC (rollbaserad åtkomstkontroll)

    Rollbaserad åtkomstkontroll i Azure (Azure RBAC) möjliggör mer information om åtkomsthantering för Azure. Med Azure RBAC kan du hantera åtkomsten till resurser genom att ge användarna det minsta antalet behörigheter som krävs för att utföra sitt arbete. Mer information om Azure RBAC finns i Vad är rollbaserad åtkomstkontroll i Azure (Azure RBAC)?.

Vanliga användarsituationer

Identitetsbaserad autentisering och stöd för Windows ACL:er på Azure Files utnyttjas bäst för följande användningsfall:

Ersätta lokala filservrar

Att ta bort och ersätta utspridda lokala filservrar är ett vanligt problem som varje företag stöter på i sin IT-moderniseringsresa. Azure-filresurser med lokal AD DS-autentisering passar bäst här, när du kan migrera data till Azure Files. Med en fullständig migrering kan du dra nytta av fördelarna med hög tillgänglighet och skalbarhet samtidigt som du minimerar ändringarna på klientsidan. Det ger slutanvändarna en sömlös migreringsupplevelse så att de kan fortsätta att komma åt sina data med samma autentiseringsuppgifter med hjälp av sina befintliga domän-ansluten datorer.

Lift and shift-hantera program till Azure

När du lift and shift-flyttar program till molnet vill du behålla samma autentiseringsmodell för dina data. När vi utökar den identitetsbaserade åtkomstkontrollen till Azure-filresurser eliminerar det behovet av att ändra ditt program till moderna autentiseringsmetoder och påskynda molnanpassningen. Azure-filresurser ger möjlighet att integrera med antingen Azure AD DS eller lokal AD DS för autentisering. Om planen är att vara 100 % molnbaserad och minimera arbetet med att hantera molninfrastrukturer skulle Azure AD DS passa bättre som en fullständigt hanterad domäntjänst. Om du behöver fullständig kompatibilitet med AD DS-funktioner kan du överväga att utöka AD DS-miljön till molnet genom att ha egna domänkontrollanter på virtuella datorer. Oavsett vilket ger vi flexibiliteten att välja de domäntjänster som passar dina affärsbehov.

Säkerhetskopiering och haveriberedskap (DR)

Om du behåller din primära fillagring lokalt kan Azure-filresurser fungera som en perfekt lagringsplats för säkerhetskopiering eller DR, för att förbättra affärskontinuiteter. Du kan använda Azure-filresurser för att backa upp data från befintliga filservrar, samtidigt som du bevarar Windows DACL:er. För DR-scenarier kan du konfigurera ett autentiseringsalternativ för att stödja korrekt tvingande åtkomstkontroll vid redundans.

Scenarier som stöds

I följande tabell sammanfattas de autentiseringsscenarier för Azure-filresurser Azure AD DS och lokala AD DS. Vi rekommenderar att du väljer den domäntjänst som du införde för din klientmiljö för integrering med Azure Files. Om du redan har AD DS lokalt eller i Azure där dina enheter är domän anslutna till AD bör du välja att använda AD DS för autentisering med Azure-filresurser. Om du redan har infört ett Azure AD DS bör du använda det för att autentisera till Azure-filresurser.

Azure AD DS autentisering Lokal AD DS-autentisering
Azure AD DS-ansluten Windows kan komma åt Azure-filresurser med Azure AD-autentiseringsuppgifter via SMB. Lokala AD DS-Azure AD DS eller Windows kan komma åt Azure-filresurser med lokal Active Directory autentiseringsuppgifter som synkroniseras till Azure AD via SMB. Klienten måste kunna se ad ds.

Begränsningar

  • Azure AD DS och lokal AD DS-autentisering stöder inte autentisering mot datorkonton. Du kan överväga att använda ett konto för tjänstinloggning i stället.
  • Varken Azure AD DS autentisering eller lokal AD DS-autentisering stöds mot Azure AD-anslutna enheter eller Azure AD-registrerade enheter.
  • Azure-filresurser stöder endast identitetsbaserad autentisering mot någon av följande domäntjänster, antingen Azure Active Directory Domain Services (Azure AD DS) eller lokal Active Directory Domain Services (AD DS).
  • Ingen av de identitetsbaserade autentiseringsmetoderna stöds med NFS-resurser (Network File System).

Fördelar med identitetsbaserad autentisering

Identitetsbaserad autentisering för Azure Files har flera fördelar än att använda autentisering med delad nyckel:

  • Utöka den traditionella identitetsbaserade filresursåtkomsten till molnet med lokal AD DS och Azure AD DS
    Om du planerar att lyfta och flytta ditt program till molnet och ersätta traditionella filservrar med Azure-filresurser kanske du vill att programmet ska autentiseras med antingen lokala AD DS- eller Azure AD DS-autentiseringsuppgifter för att komma åt fildata. Azure Files stöder användning av både lokala AD DS- eller Azure AD DS-autentiseringsuppgifter för att komma åt Azure-filresurser via SMB från antingen lokala AD DS eller Azure AD DS domän-ansluten virtuella datorer.

  • Tillämpa detaljerad åtkomstkontroll på Azure-filresurser
    Du kan bevilja behörigheter till en viss identitet på resurs-, katalog- eller filnivå. Anta till exempel att du har flera team som använder en enda Azure-filresurs för projektsamarbete. Du kan ge alla team åtkomst till icke-känsliga kataloger, samtidigt som åtkomsten till kataloger som innehåller känsliga finansiella data begränsas till endast ditt ekonomiteam.

  • Back up Windows ACL(även kallat NTFS) tillsammans med dina data
    Du kan använda Azure-filresurser för att backa upp dina befintliga lokala filresurser. Azure Files bevarar dina ACL:er tillsammans med dina data när du backar upp en filresurs till Azure-filresurser via SMB.

Så här fungerar det

Azure-filresurser utnyttjar Kerberos-protokollet för autentisering med antingen lokal AD DS eller Azure AD DS. När en identitet som är associerad med en användare eller ett program som körs på en klient försöker komma åt data i Azure-filresurser skickas begäran till domäntjänsten, antingen AD DS eller Azure AD DS, för att autentisera identiteten. Om autentiseringen lyckas returneras en Kerberos-token. Klienten skickar en begäran som innehåller Kerberos-token och Azure-filresurser använder denna token för att auktorisera begäran. Azure-filresurser tar bara emot Kerberos-token, inte autentiseringsuppgifter för åtkomst.

Innan du kan aktivera identitetsbaserad autentisering på Azure-filresurser måste du först konfigurera din domänmiljö.

AD DS

För lokal AD DS-autentisering måste du konfigurera dina AD-domänkontrollanter och domän ansluta dina datorer eller virtuella datorer. Du kan vara värd för dina domänkontrollanter på virtuella Azure-datorer eller lokalt. Oavsett vilket måste dina domän-ansluten klienter ha tillgång till domäntjänsten, så de måste finnas i företagets nätverk eller virtuella nätverk (VNET) för din domäntjänst.

Följande diagram visar lokal AD DS-autentisering till Azure-filresurser via SMB. Den on-prem AD DS måste synkroniseras till Azure AD med hjälp av Azure AD Anslut sync. Endast hybridanvändare som finns i både lokala AD DS och Azure AD kan autentiseras och auktoriseras för åtkomst till Azure-filresursen. Det beror på att behörigheten på resursnivå har konfigurerats mot den identitet som representeras i Azure AD där behörigheten på katalog-/filnivå tillämpas med den i AD DS. Se till att du konfigurerar behörigheterna korrekt mot samma hybridanvändare.

Diagram som visar lokal AD DS-autentisering till Azure-filresurser via SMB.

Azure AD DS

För Azure AD DS-autentisering bör du aktivera Azure AD Domain Services domän- och domänkoppling för de virtuella datorer som du planerar att komma åt fildata från. Den domän-ansluten virtuella datorn måste finnas i samma virtuella nätverk (VNET) som din Azure AD DS.

Följande diagram representerar arbetsflödet för autentisering Azure AD DS Azure-filresurser via SMB. Den följer ett liknande mönster som vid vid AD DS-autentisering till Azure-filresurser. Det finns två viktiga skillnader:

  • Först behöver du inte skapa identiteten i Azure AD DS för att representera lagringskontot. Detta utförs av processen för att aktivera i bakgrunden.

  • För det andra kan alla användare som finns i Azure AD autentiseras och auktoriseras. Användaren kan bara vara i molnet eller hybrid. Synkroniseringen från Azure AD till Azure AD DS hanteras av plattformen utan att någon användarkonfiguration krävs. Klienten måste dock vara domänanslutning till en Azure AD DS, den kan inte vara Azure AD-ansluten eller registrerad.

Diagram

Aktivera identitetsbaserad autentisering

Du kan aktivera identitetsbaserad autentisering med antingen Azure AD DS eller lokala AD DS för Azure-filresurser på dina nya och befintliga lagringskonton. Endast en domäntjänst kan användas för filåtkomstautentisering på lagringskontot, vilket gäller för alla filresurser i kontot. Detaljerad vägledning om hur du ställer in dina filresurser för autentisering med Azure AD DS i vår artikel Aktivera Azure Active Directory Domain Services-autentisering på Azure Files och vägledning för lokal AD DS i vår andra artikel Aktivera lokal Active Directory Domain Services-autentisering över SMB för Azure-filresurser.

Konfigurera behörigheter på resursnivå för Azure Files

När antingen Azure AD DS eller lokal AD DS-autentisering har aktiverats kan du använda inbyggda Roller i Azure eller konfigurera anpassade roller för Azure AD-identiteter och tilldela åtkomstbehörigheter till alla filresurser i dina lagringskonton. Med den tilldelade behörigheten kan den tilldelade identiteten endast få åtkomst till resursen, inget annat, inte ens rotkatalogen. Du måste fortfarande konfigurera behörigheter på katalog- eller filnivå separat för Azure-filresurser.

Konfigurera behörigheter på katalog- eller filnivå för Azure Files

Azure-filresurser tillämpar Windows standardfilbehörigheter på både katalog- och filnivå, inklusive rotkatalogen. Konfiguration av behörigheter på katalog- eller filnivå stöds över både SMB och REST. Montera målfilresursen från den virtuella datorn och konfigurera behörigheter med Windows Utforskaren, Windows icaclseller kommandot Set-ACL.

Använda lagringskontonyckeln för superanvändarbehörigheter

En användare med lagringskontonyckeln kan komma åt Azure-filresurser med superanvändarbehörigheter. Superuser-behörigheter kringgår alla åtkomstkontrollbegränsningar.

Viktigt

Vår rekommenderade rekommenderade säkerhetsmetod är att undvika att dela dina lagringskontonycklar och använda identitetsbaserad autentisering när det är möjligt.

Bevara katalog- och fil-ACL:er när du importerar data till Azure-filresurser

Azure Files har stöd för bevarande av ACL:er på katalog- eller filnivå vid kopiering av data till Azure-filresurser. Du kan kopiera ACL:er på en katalog eller fil till Azure-filresurser med antingen Azure File Sync eller vanliga filförflyttningsverktyg. Du kan till exempel använda robocopy med flaggan /copy:s för att kopiera data samt ACL:er till en Azure-filresurs. ACL:er bevaras som standard. Du behöver inte aktivera identitetsbaserad autentisering på ditt lagringskonto för att bevara ACL:er.

Prissättning

Det tillkommer ingen extra tjänstavgift för att aktivera identitetsbaserad autentisering via SMB på ditt lagringskonto. Mer information om priser finns i Azure Files priser och Azure AD Domain Services priser.

Nästa steg

Mer information om Azure Files och identitetsbaserad autentisering över SMB finns i följande resurser: