Konfigurer Azure-filer
Før brugere hos Contoso kan få adgang til Azure Files, skal de først godkende, og anonym adgang understøttes ikke. Som ledende systemtekniker skal du kende de godkendelsesmetoder, som Azure Files understøtter, som beskrevet i følgende tabel.
| Godkendelsesmetode | Beskrivelse |
|---|---|
| Identitetsbaseret godkendelse via SMB | Når du får adgang til Azure Files, er det at foretrække, at du får den samme problemfrie oplevelse med enkeltlogon (SSO), når du får adgang til Azure-filshares som adgang til filshares i det lokale miljø. Identitetsbaseret godkendelse understøtter Kerberos-godkendelse, der bruger identiteter fra Microsoft Entra ID (tidligere Azure AD) eller AD DS. |
| Adgangsnøgle | En adgangsnøgle er en ældre og mindre fleksibel mulighed. En Azure Storage-konto har to adgangsnøgler, der kan bruges, når du foretager en anmodning til lagerkontoen, herunder til Azure Files. Adgangsnøgler er statiske og giver fuld kontrol over adgangen til Azure Files. Adgangsnøgler skal sikres og ikke deles med brugerne, fordi de tilsidesætter alle begrænsninger for adgangskontrol. En bedste praksis er at undgå deling af lagerkontonøgler og bruge identitetsbaseret godkendelse, når det er muligt. |
| Et SAS-token (Shared Access Signature) | SAS er en dynamisk genereret URI (Uniform Resource Identifier), der er baseret på lageradgangsnøglen. SAS giver begrænset adgangsrettigheder til en Azure Storage-konto. Begrænsninger omfatter tilladte tilladelser, start- og udløbstid, tilladte IP-adresser, hvorfra anmodninger kan sendes, og tilladte protokoller. Med Azure Files bruges et SAS-token kun til at give REST API-adgang fra kode. |
Brug identitetsbaseret godkendelse
Du kan aktivere identitetsbaseret godkendelse på Azure Storage-konti. Det første trin er at konfigurere active directory-kilden (AD) for lagerkontoen. I Windows kan du vælge mellem følgende tre AD-kilder:
- AD DS i det lokale miljø
- Microsoft Entra Domain Services (tidligere Azure Active Directory-domænetjenester)
- Microsoft Entra Kerberos (kun til hybrididentiteter)
Hvis du vil bruge AD DS eller Microsoft Entra Kerberos, skal du sikre, at AD DS i det lokale miljø synkroniseres med Microsoft Entra ID via enten Microsoft Entra Connect eller Microsoft Entra Connect cloudsynkronisering.
Når du har aktiveret identitetsbaseret godkendelse for en lagerkonto, kan brugerne få adgang til filer på Azure-filsharet med deres logonlegitimationsoplysninger. Når en bruger forsøger at få adgang til data i Azure Files, sendes anmodningen til enten AD DS eller Microsoft Entra ID til godkendelse, afhængigt af den AD-kilde, du har valgt. Hvis godkendelse lykkes, returnerer AD-kilden et Kerberos-token. Brugeren sender derefter en anmodning, der indeholder Kerberos-tokenet, og Azure-filsharet bruger dette token til at godkende anmodningen.
Konfigurer tilladelser til Azure-filshare
Hvis du har aktiveret identitetsbaseret godkendelse, kan du bruge RBAC (Azure Role Based Access Control) til at styre adgangsrettigheder (eller tilladelser) til Azure-filshares. I følgende tabel vises de indbyggede roller for Azure Files.
| Azure RBAC-rolle | Beskrivelse |
|---|---|
| Bidragyder til SMB-deling af lagerfildata | Brugere med denne rolle har læse-, skrive- og sletteadgang i Azure-filshares via SMB. |
| SMB Share-bidragyder med administratorrettigheder til lagerfildata | Brugere med denne rolle har læse, skrive, slette og ændre NTFS-tilladelsesadgang i Azure-filshares via SMB. Denne rolle har fuld kontroltilladelser til Azure-filsharet. |
| SMB Share Reader til lagerfildata | Brugere med denne rolle har læseadgang til Azure-filsharet via SMB. |
| Privilegeret læser til lagerfildata | Brugere med denne rolle har fuld læseadgang til alle data i shares for alle de konfigurerede lagerkonti, uanset hvilke NTFS-tilladelser der er angivet på fil-/mappeniveau. |
| Privilegeret bidragyder til lagerfildata | Brugere med denne rolle har fuld læse-, skrive- og redigeringsadgangskontrollister og sletter adgang til alle data i shares for alle de konfigurerede lagerkonti, uanset hvilke NTFS-tilladelser der er angivet på fil-/mappeniveau. |
Hvis det er nødvendigt, kan du også oprette og bruge brugerdefinerede RBAC-roller. RBAC-roller giver dog kun adgang til et share. En bruger skal også have tilladelser på mappe- og filniveau for at få adgang til filer.
Azure-filshares gennemtvinger standardtilladelser til Windows-filer på mappe- og filniveau. Du kan tilslutte sharet og konfigurere tilladelser til SMB på samme måde som med filshares i det lokale miljø.
Vigtig
Fuld administrativ kontrol af et Azure-filshare, herunder muligheden for at overtage ejerskabet af en fil, kræver brug af lagerkontonøglen.
Datakryptering
Alle data, der er gemt på en Azure Storage-konto (som omfatter dataene på Azure-filshares), krypteres altid inaktivt ved hjælp af Storage Service Encryption (SSE). Data krypteres, som de skrives i Azure-datacentre, og de dekrypteres automatisk, når du tilgår dem. Data krypteres som standard ved hjælp af Microsoft-administrerede nøgler, men du kan vælge at medbringe din egen krypteringsnøgle.
Som standard er kryptering under overførsel aktiveret for alle Azure-lagerkonti. Dette sikrer, at alle data krypteres, når der overføres fra Azure-datacenteret til din enhed. Ukrypteret adgang ved hjælp af SMB 2.1 og SMB 3.0 uden kryptering eller HTTP er ikke tilladt som standard, og klienter kan ikke oprette forbindelse til Azure-filshares uden kryptering. Dette kan konfigureres for en Azure Storage-konto og er effektivt for alle lagerkontotjenester.
Oprettelse af Azure-filshares
Azure Files udrulles som en del af en Azure Storage-konto. De indstillinger, du angiver, når du opretter en Azure Storage-konto, f.eks. placering, replikering og forbindelsesmetode, gælder også for Azure Files. Nogle indstillinger for Azure Storage-konto, f.eks. ydeevne og kontotype, kan begrænse de indstillinger, der er tilgængelige for Azure Files. Hvis du f.eks. vil bruge Premium-filshares, som bruger SSD'er, skal du vælge premiumydeevne og kontoen FileStorage, når du opretter Azure Storage-kontoen.
Når en Azure Storage-konto er på plads, kan du oprette et Azure-filshare ved hjælp af Azure Portal, Azure PowerShell, Azure Command-Line Interface (Azure CLI) eller REST API. Du kan også oprette en Azure Storage-konto ved hjælp af Windows Administration, når du udruller Azure File Sync.
Hvis du vil oprette et standard-SMB Azure-filshare, skal du benytte følgende fremgangsmåde. Hvis du opretter et Premium Azure-filshare, skal du også angive klargjort kapacitet.
- Log på Azure Portal, og vælg den relevante lagerkonto.
- Vælg Filsharesunder Datalageri tjenestemenuen .
- Vælg + Filsharepå værktøjslinjen i detaljeruden.
- På bladet Nyt filshare skal du angive det ønskede Navn og vælge et Access-niveau.
- Vælg Gennemse + opret, og vælg derefter Opret.