SMB erişimi Azure Dosyalar kimlik tabanlı kimlik doğrulama seçeneklerine genel bakış
Azure dosyaları , Şirket içi Active Directory Domain Services (AD DS) ve Azure Active Directory Domain Services (Azure AD DS)aracılığıyla sunucu ileti bloğu (SMB) üzerinden kimlik tabanlı kimlik doğrulamasını destekler. Bu makale, Azure dosya paylaşımlarının, SMB üzerinden Azure dosya paylaşımlarına kimlik tabanlı erişimi desteklemek için şirket içinde veya Azure 'da etki alanı hizmetlerini nasıl kullanabileceği konusunda odaklanır. Azure dosya paylaşımlarınız için kimlik tabanlı erişimin etkinleştirilmesi, var olan dizin hizmetinizi değiştirmeden mevcut dosya sunucularını Azure dosya paylaşımlarıyla değiştirmenize izin verir. böylece, paylaşımlara sorunsuz Kullanıcı erişimi sağlayabilirsiniz.
Azure dosyaları, Kullanıcı erişimi üzerinde hem paylaşıma hem de dizin/dosya düzeylerine yönelik yetkilendirmeyi zorlar. Paylaşma düzeyi izin atama, Azure rol tabanlı erişim denetimi (Azure RBAC) modeliyle yönetilen Azure Active Directory (Azure AD) kullanıcıları veya grupları üzerinde gerçekleştirilebilir. RBAC ile, dosya erişimi için kullandığınız kimlik bilgileri kullanılabilir olmalıdır veya Azure AD ile eşitlenmelidir. Azure dosya paylaşımında okuma erişimi sağlamak için, depolama dosya veri SMB paylaşma okuyucusu gibi Azure yerleşik rollerini Azure AD 'de kullanıcılara veya gruplara atayabilirsiniz.
Dizin/dosya düzeyinde Azure dosyaları, tüm Windows dosya sunucuları gibi Windows DACL 'lerini koruma, devralma ve zorunlu tutmayı destekler. Mevcut dosya paylaşımınız ve Azure dosya paylaşımlarınız arasında SMB üzerinden veri kopyalarken Windows DACL 'Lerini tutmayı seçebilirsiniz. Yetkilendirmeyi zorunlu kılabilirsiniz veya değil, Azure dosya paylaşımlarını kullanarak ACL 'Leri verilerle birlikte yedekleyebilirsiniz.
Azure dosya paylaşımları için şirket içi Active Directory Domain Services kimlik doğrulamasını etkinleştirme hakkında bilgi edinmek için bkz. Azure dosya paylaşımları için SMB üzerinden şirket içi Active Directory Domain Services kimlik doğrulamasını etkinleştirme.
Azure dosya paylaşımları için Azure AD DS doğrulamasını etkinleştirme hakkında bilgi edinmek için bkz. Azure Active Directory Domain Services kimlik doğrulamasını Azure Dosyalar.
Şunlara uygulanır
| Dosya paylaşımı türü | SMB | NFS |
|---|---|---|
| Standart dosya paylaşımları (GPv2), LRS/ZRS |  |
 |
| Standart dosya paylaşımları (GPv2), GRS/GZRS | |
|
| Premium paylaşımları (FileStorage), LRS/ZRS | |
|
Sözlük
Azure dosya paylaşımları için SMB üzerinden Azure AD Domain Service kimlik doğrulamasıyla ilgili bazı önemli terimleri anlamak yararlı olur:
Kerberos kimlik doğrulaması
Kerberos, bir kullanıcının veya ana bilgisayarın kimliğini doğrulamak için kullanılan bir kimlik doğrulama protokolüdür. Kerberos hakkında daha fazla bilgi için bkz. Kerberos Kimlik Doğrulamasına Genel Bakış.
Sunucu İleti Bloğu (SMB) protokolü
SMB, endüstri standardı bir ağ dosya paylaşım protokolüdür. SMB, Ortak İnternet Dosya Sistemi veya CIFS olarak da bilinir. SMB hakkında daha fazla bilgi için bkz. Microsoft SMB Protokolü ve CIFS Protokolüne Genel Bakış.
Azure Active Directory (Azure AD)
Azure Active Directory (Azure AD), Microsoft'un çok kiracılı bulut tabanlı dizin ve kimlik yönetimi hizmetidir. Azure AD, temel dizin hizmetlerini, uygulama erişim yönetimini ve kimlik korumasını tek bir çözümde birleştirir. Azure AD'ye katılmış Windows sanal makineler (VM), Azure AD kimlik bilgilerinizle Azure dosya paylaşımlarına erişamaz. Daha fazla bilgi için bkz. Azure Active Directory?
Azure Active Directory Domain Services (Azure AD DS)
Azure AD DS etki alanına katılma, grup ilkeleri, LDAP ve Kerberos/NTLM kimlik doğrulaması gibi yönetilen etki alanı hizmetleri sağlar. Bu hizmetler, hizmetlerle tam Active Directory Domain Services. Daha fazla bilgi için bkz. Azure Active Directory Domain Services.
Şirket içi Active Directory Domain Services (AD DS)
Azure Dosyalar şirket Active Directory Domain Services (AD DS) tümleştirmesi, dizin verilerini depolama yöntemlerini sağlarken ağ kullanıcıları ve yöneticileri için kullanılabilir hale de sağlar. Güvenlik, oturum AD DS ve dizindeki nesnelere erişim denetimi aracılığıyla güvenlik ile tümleştirilmiştir. Yöneticiler, tek bir ağ oturumu açma işlemiyle ağlarında dizin verilerini ve kuruluşu yönetebilir ve yetkili ağ kullanıcıları ağ üzerinde herhangi bir yerde kaynaklara erişebilirsiniz. AD DS şirket içi ortamlardaki kuruluşlar tarafından yaygın olarak benimsenmektedir AD DS kimlik bilgileri erişim denetimi için kimlik olarak kullanılır. Daha fazla bilgi için bkz. Active Directory Domain Services Genel Bakış.
Azure rol tabanlı erişim denetimi (Azure RBAC)
Azure rol tabanlı erişim denetimi (Azure RBAC), Azure için daha fazla erişim yönetimi sağlar. Azure RBAC'yi kullanarak, kullanıcılara işlerini gerçekleştirmek için gereken en az sayıda izin vererek kaynaklara erişimi yönetebilirsiniz. Azure RBAC hakkında daha fazla bilgi için bkz. Azure rol tabanlı erişim denetimi (Azure RBAC)?.
Genel kullanım örnekleri
Kimlik tabanlı kimlik doğrulaması ve Windows ACL'Azure Dosyalar aşağıdaki kullanım örnekleri için en iyi şekilde kullanılabilir:
Şirket içi dosya sunucularını değiştirme
Dağınık şirket içi dosya sunucularının kullanımdan kaldırılmış ve değiştirilmesi, her işletmenin IT modernleştirme yolculuğunda karşılaştığı yaygın bir sorundur. Şirket içi kimlik doğrulamasıyla Azure AD DS paylaşımları, verileri Azure Dosyalar. Tam geçiş, yüksek kullanılabilirlik ve ölçeklenebilirlik avantajlarından yararlanmanın yanı sıra istemci tarafı değişikliklerini en aza indirmeyi de sağlar. Son kullanıcılara sorunsuz bir geçiş deneyimi sağlar, böylece mevcut etki alanına katılmış makinelerini kullanarak aynı kimlik bilgileriyle verilerine erişmeye devam eder.
Uygulamaları Azure'a kaldırma ve kaydırma
Uygulamaları buluta kaldırarak buluta kaydırarak verileriniz için aynı kimlik doğrulama modelini tutmak istersiniz. Kimlik tabanlı erişim denetimi deneyimini Azure dosya paylaşımlarına genişleten bu hizmet, uygulamalarınızı modern kimlik doğrulama yöntemlerine değiştirme ve bulut benimseme sürecini hızlandırma ihtiyacı ortadan kaldırıyor. Azure dosya paylaşımları, kimlik doğrulaması için Azure AD DS şirket içi ağlarla AD DS seçeneği sağlar. Planınız %100 bulutta yerel olmak ve bulut altyapılarını yönetme çabalarını en aza indirmekse Azure AD DS tam olarak yönetilen bir etki alanı hizmeti olarak daha uygun olacaktır. Sanal ağ özellikleriyle tam AD DS ihtiyacınız varsa, VM'lerde etki alanı denetleyicilerini kendi kendine barındırarak AD DS ortamınızı buluta genişletmeyi göz önünde bulundurabilirsiniz. Her iki şekilde de iş ihtiyaçlarınıza uygun etki alanı hizmetlerini seçme esnekliği sağlarız.
Yedekleme ve olağanüstü durum kurtarma (DR)
Birincil dosya depolamanızı şirket içinde depolarsanız Azure dosya paylaşımları, iş sürekliliğini geliştirmek için yedekleme veya DR için ideal bir depolama alanı olarak kullanılabilir. Azure dosya paylaşımlarını kullanarak var olan dosya sunucularından verilerinizin nasıl korunacaklarını da Windows kullanabilirsiniz. DR senaryoları için, yük devretmede uygun erişim denetimi zorlamasını desteklemek üzere bir kimlik doğrulama seçeneği yapılandırabilirsiniz.
Desteklenen senaryolar
Aşağıdaki tabloda, şirket içi ve şirket içi depolama için desteklenen Azure Azure AD DS kimlik doğrulama senaryoları AD DS. Etki alanı hizmetiyle tümleştirme için istemci ortamınız için benimsediğiniz etki alanı hizmetini Azure Dosyalar. Şirket içinde AD DS veya cihazlarınızı AD'nize etki alanına katılan Azure'da zaten kuramıyorsanız, Azure dosya paylaşımları kimlik doğrulaması için AD DS'den faydalanabilirsiniz. Benzer şekilde, azure dosya paylaşımlarını zaten Azure AD DS azure dosya paylaşımları için bunu kullansanız iyi olur.
| Azure AD DS doğrulaması | Şirket içi AD DS doğrulaması |
|---|---|
| Azure AD DS katılmış Windows, SMB üzerinden Azure AD kimlik bilgileriyle Azure dosya paylaşımlarına erişebilirsiniz. | Şirket içi AD DS katılmış veya Azure AD DS katılmış Windows makineleri, SMB üzerinden Azure AD ile eşitlenen şirket içi Active Directory kimlik bilgileriyle Azure dosya paylaşımlarına erişebilirsiniz. İstemcinizin, istemcinizi görme AD DS. |
Kısıtlamalar
- Azure AD DS ve şirket içi AD DS kimlik doğrulaması, bilgisayar hesaplarına karşı kimlik doğrulamasını desteklemez. Bunun yerine bir hizmet oturum açma hesabı kullanmayı düşünebilirsiniz.
- Azure AZURE AD DS veya şirket içi AD DS kimlik doğrulaması, Azure AD'ye katılmış cihazlarda veya Azure AD'ye kayıtlı cihazlarda desteklenmiyor.
- Azure dosya paylaşımları yalnızca Azure Active Directory Domain Services (Azure AD DS) veya şirket içi Active Directory Domain Services (AD DS) etki alanı hizmetlerinden biri için kimlik tabanlı kimlik doğrulamasını destekler.
- Hiçbir kimlik tabanlı kimlik doğrulama yöntemi, Ağ Dosya Sistemi (NFS) paylaşımları ile birlikte desteklenmiyor.
Kimlik tabanlı kimlik doğrulamasının avantajları
Azure Dosyalar kimlik doğrulaması, Paylaşılan Anahtar kimlik doğrulamasını kullanmaya göre çeşitli avantajlar sunar:
Geleneksel kimlik tabanlı dosya paylaşımı erişim deneyimini şirket içi depolama ve bulut AD DS buluta Azure AD DS
Geleneksel dosya sunucularını Azure dosya paylaşımları ile değiştirerek, uygulamanızı buluta kaldırmayı ve buluta kaydırmayı planlıyorsanız, dosya verilerine erişmek için uygulamanın şirket içi AD DS veya Azure AD DS kimlik bilgileriyle kimlik doğrulaması yapmalarını istiyor olabilirsiniz. Azure Dosyalar şirket içi AD DS veya etki alanına katılmış vm'lerden SMB üzerinden Azure dosya paylaşımlarına erişmek için hem şirket içi AD DS hem de AD DS Azure AD DS kimlik Azure AD DS kullanmayı destekler.Azure dosya paylaşımları üzerinde ayrıntılı erişim denetimi uygulama
Paylaşım, dizin veya dosya düzeyinde belirli bir kimliğe izin veebilirsiniz. Örneğin, proje işbirliği için tek bir Azure dosya paylaşımı kullanan birkaç ekip olduğunu varsayalım. Tüm ekiplere hassas olmayan dizinlere erişim izni veken, hassas finansal verileri içeren dizinlere erişimi yalnızca Finans takımınıza sebilirsiniz.Verilerinizle Windows ACL'leri (NTFS olarak da bilinir) geri
Mevcut şirket içi dosya paylaşımlarınızı back up için Azure dosya paylaşımlarını kullanabilirsiniz. Azure Dosyalar, SMB üzerinden Azure dosya paylaşımları için bir dosya paylaşımını geri doğrularken ACL'lerinizi ve verilerinizi korur.
Nasıl çalışır?
Azure dosya paylaşımları, şirket içi ağ veya sanal ağ ile kimlik doğrulaması AD DS Kerberos Azure AD DS. İstemci üzerinde çalışan bir kullanıcı veya uygulamayla ilişkilendirilmiş bir kimlik, Azure dosya paylaşımlarında verilere erişmeye çalışırsa, kimlik doğrulaması için AD DS veya Azure AD DS etki alanı hizmetine gönderilir. Kimlik doğrulaması başarılı olursa bir Kerberos belirteci döndürür. İstemci Kerberos belirteci içeren bir istek gönderir ve Azure dosya paylaşımları isteği yetkilendirmek için bu belirteci kullanır. Azure dosya paylaşımları kimlik bilgilerine erişmek için değil yalnızca Kerberos belirteci alır.
Azure dosya paylaşımları üzerinde kimlik tabanlı kimlik doğrulamasını etkinleştiremeden önce etki alanı ortamınızı ayarlamanız gerekir.
AD DS
Şirket içi kimlik doğrulaması AD DS ad etki alanı denetleyicilerinizi ayarlamalı ve makinelerinize veya VM'lerinizi etki alanına katmanız gerekir. Etki alanı denetleyicilerinizi Azure VM'lerde veya şirket içinde barındırabilirsiniz. Her iki şekilde de, etki alanına katılmış istemcileriniz etki alanı hizmetine yönelik görüş alanına sahip olmalıdır, bu nedenle etki alanı hizmetinizin kurumsal ağı veya sanal ağı (VNET) içinde olmalıdır.
Aşağıdaki diyagramda, SMB üzerinden Azure AD DS kimlik doğrulaması için şirket içi kimlik doğrulaması işlemi yer almaktadır. Azure AD AD DS azure ad ve eşitleme kullanılarak Azure AD'ye Bağlan gerekir. Azure dosya paylaşımı erişimi için yalnızca hem şirket AD DS hem de Azure AD'de mevcut karma kullanıcıların kimliği doğrulanabilir ve yetkilendirilebilirsiniz. Bunun nedeni, paylaşım düzeyi izninin Azure AD'de temsil edilen kimliğe göre yapılandırılması ve bu izinle dizin/dosya düzeyi izninin AD DS. İzinleri aynı karma kullanıcıya göre doğru yapılandırıldığından emin olun.
Azure AD DS
Kimlik Azure AD DS için, dosya verilerine Azure AD Domain Services vm'lere etki alanı katılmasını etkinleştirmeniz gerekir. Etki alanına katılmış VM'nizin sanal makineniz ile aynı sanal ağ (VNET) içinde Azure AD DS.
Aşağıdaki diyagram, SMB üzerinden Azure dosya paylaşımlarında Azure AD DS için iş akışını temsil eder. Azure dosya paylaşımları için kimlik doğrulamasını AD DS benzer bir desen izler. İki önemli fark vardır:
İlk olarak, depolama hesabını temsil etmek için Azure AD DS içinde oluşturmanıza gerek yok. Bu, arka planda etkinleştirme işlemi tarafından gerçekleştirilir.
İkincisi, Azure AD'de mevcut olan tüm kullanıcıların kimliği doğrulanabilir ve yetkilendirilebilirsiniz. Kullanıcı yalnızca bulut veya hibrit olabilir. Azure AD'den Azure AD DS, herhangi bir kullanıcı yapılandırmasına gerek kalmadan platform tarafından yönetilir. Ancak istemcinin etki alanına katılmış olması Azure AD DS, Azure AD'ye katılmış veya kayıtlı olamaz.
Kimlik tabanlı kimlik doğrulamasını etkinleştirme
Yeni ve mevcut depolama hesaplarınızı Azure Azure AD DS azure dosya paylaşımları için AD DS veya şirket içi kimlik doğrulamasını kullanarak kimlik tabanlı kimlik doğrulamasını etkinleştirebilirsiniz. Depolama hesabında dosya erişimi kimlik doğrulaması için yalnızca bir etki alanı hizmeti kullanılabilir ve bu, hesapta bulunan tüm dosya paylaşımları için geçerlidir. Azure Dosyalar'da Azure Active Directory Domain Services kimlik doğrulamasını etkinleştirme makalemizde dosya paylaşımlarınızı Azure AD DS ile kimlik doğrulaması için ayarlamaya ilişkin ayrıntılı kılavuz ve Azure dosya paylaşımları için SMBüzerinden Şirket içi Active Directory Domain Services kimlik doğrulamasını etkinleştirme makalemizde şirket içi AD DS için rehberlik.
Kullanıcılar için paylaşım düzeyi izinlerini Azure Dosyalar
Azure Azure AD DS veya şirket içi AD DS kimlik doğrulaması etkinleştirildikten sonra, Azure yerleşik rollerini kullanabilir veya Azure AD kimlikleri için özel roller yapılandırarak depolama hesaplarınıza herhangi bir dosya paylaşımına erişim hakları atabilirsiniz. Atanan izin, verilen kimliğin yalnızca paylaşıma erişmesi için izin verir, kök dizine bile başka bir şey olmaz. Yine de Azure dosya paylaşımları için dizin veya dosya düzeyinde izinleri ayrı olarak yapılandırmanız gerekir.
Dizin veya dosya düzeyinde izinler yapılandırma Azure Dosyalar
Azure dosya paylaşımları, Windows ve dosya düzeyinde kök dizin dahil olmak üzere standart dosya izinlerini zorunlu hale getirmektedir. Dizin veya dosya düzeyinde izinlerin yapılandırması hem SMB hem de REST üzerinde de destekleniyor. Hedef dosya paylaşımını VM'nize bağlama ve Windows Dosya Gezgini, Windows icaclsveya Set-ACL komutunu kullanarak izinleri yapılandırma.
Süper kullanıcı izinleri için depolama hesabı anahtarını kullanma
Depolama hesabı anahtarına sahip bir kullanıcı, süper kullanıcı izinleriyle Azure dosya paylaşımlarına erişebilirsiniz. Süper kullanıcı izinleri tüm erişim denetimi kısıtlamalarını atlar.
Önemli
Önerilen en iyi güvenlik uygulamamız, depolama hesabı anahtarlarınızı paylaşmaktan kaçınmak ve mümkün olduğunca kimlik tabanlı kimlik doğrulamasından faydalanmaktır.
Azure dosya paylaşımları için veri içeri aktarma işlemi için dizin ve dosya ACL'lerini koruma
Azure Dosyalar, Azure dosya paylaşımları için veri kopyalamada dizin veya dosya düzeyi ACL'lerin korunmasını destekler. Bir dizin veya dosya üzerinde ACL'leri Azure dosya paylaşımlara kopyalamak için Azure Dosya Eşitleme ya da yaygın dosya taşıma araç kümeleri kullanabilirsiniz. Örneğin, robocopy'i bayrağıyla birlikte kullanarak verileri ve ACL'leri /copy:s bir Azure dosya paylaşımına kopyaabilirsiniz. ACL'ler varsayılan olarak korunur; ACL'leri korumak için depolama hesabınız üzerinde kimlik tabanlı kimlik doğrulamasını etkinleştirmeniz gerekmez.
Fiyatlandırma
Depolama hesabınız üzerinde SMB üzerinden kimlik tabanlı kimlik doğrulamasını etkinleştirmek için ek hizmet ücreti yoktur. Fiyatlandırma hakkında daha fazla bilgi için bkz. Azure Dosyalar fiyatlandırma ve fiyatlandırma Azure AD Domain Services.
Sonraki adımlar
SMB üzerinden kimlik Azure Dosyalar kimlik doğrulaması hakkında daha fazla bilgi için şu kaynaklara bakın: