Identitets- og adgangskontrol

  • 9 minutter

I dette undermodul får du mere at vide om, hvordan du godkender brugere og giver adgang til Azure-filshares. Azure Files understøtter identitetsbaseret godkendelse for kunder, der får adgang til filshares via SMB. Derudover kan SMB-brugere også godkende ved hjælp af en lagerkontonøgle. NFS-filshares er afhængige af godkendelse på netværksniveau og er derfor kun tilgængelige via begrænsede netværk. Brug af et NFS-filshare kræver altid et vist niveau af netværkskonfiguration. Filshareadgang via REST API'er bruger signaturer med delt adgang og lagerkontonøgler til bestemte dataadministrationshandlinger.

  • identitetsbaseret godkendelse: Kunder kan bruge identitetsbaseret adgang via Kerberos-godkendelsesprotokollen. Active Directory-tjenester gemmer brugerkontooplysninger som f.eks. brugernavne, adgangskoder, kontaktoplysninger osv. Azure Files kan integreres med Common Directory Services for at bekræfte oplysningerne om brugerkontoen og aktivere vellykket godkendelse. I forbindelse med SMB er identitetsbaseret godkendelse den mest sikre og anbefalede mulighed.

  • Lagerkontonøgle: En bruger med lagerkontonøglen kan få adgang til Azure-filshares med superbrugertilladelser via SMB og REST. Ideelt set er det kun superbrugeradministratorer, der skal bruge lagerkontonøgler, fordi de tilsidesætter alle adgangsbegrænsninger. For filshares, der bruges af virksomhedskunder, er lagerkontonøgler ikke skalerbare eller sikre mekanismer til adgang for hele organisationen og anbefales derfor ikke. Den anbefalede bedste praksis for sikkerhed er at undgå at dele lagerkontonøgler og bruge identitetsbaseret godkendelse.

  • signatur for delt adgang: Kunder, der bruger REST, kan bruge en SAS (Shared Access Signature) til godkendelse med Azure Files. Signaturer med delt adgang bruges i specifikke scenarier, hvor uafhængige softwareleverandører udvikler REST API-programmer og bruger Azure Files som en lagerløsning. De bruges også, når interne partnere har brug for adgang via REST til dataadministrationshandlinger. En signatur for delt adgang er en URI, der giver begrænsede adgangsrettigheder til Azure Storage-ressourcer. Du kan bruge en signatur for delt adgang til at give klienter adgang til visse lagerkontoressourcer uden at skulle give dem adgang til din lagerkontonøgle.

Identitetsbaseret godkendelse

Azure Files understøtter identitetsbaseret godkendelse af SMB-filshares ved hjælp af Kerberos-protokollen. Når en identitet, der er knyttet til en bruger eller et program, der kører på en klient, forsøger at få adgang til data i Azure-filshares, sendes anmodningen til domænetjenesten for at godkende identiteten. Hvis godkendelsen lykkes, returneres et Kerberos-token. Klienten sender en anmodning, der indeholder Kerberos-tokenet, og Azure-filshares bruger dette token til at godkende anmodningen. Azure-filshares modtager kun Kerberos-tokenet og ikke adgang til legitimationsoplysninger.

Azure Files understøtter følgende godkendelsesmetoder for SMB-filshares:

  • AD DS-(Active Directory Domain Services) i det lokale miljø: Aktivering af AD DS-godkendelse for et Azure-filshare giver brugerne mulighed for at godkende ved hjælp af deres AD DS-legitimationsoplysninger i det lokale miljø. AD DS i det lokale miljø skal synkroniseres til Microsoft Entra ID ved hjælp af Microsoft Entra Connect-synkronisering. Kun hybridbrugere, der findes i både AD DS og Microsoft Entra ID i det lokale miljø, kan godkendes og godkendes til adgang til Azure-filshares. Kunden skal konfigurere sine domænecontrollere, og domænet skal tilsluttes deres maskiner eller virtuelle maskiner (VM'er). Domænecontrollerne kan hostes i det lokale miljø eller på VM'er, men klienterne skal have en sigtelinje til domænecontrollerne, enten på et lokalt netværk eller på det samme virtuelle netværk.

  • Microsoft Entra Domain Services: Til Microsoft Entra Domain Services-godkendelse skal kunderne aktivere Domænetjenester og derefter domænetilslutte de VM'er, de vil have adgang til fildata fra. De domænetilsluttede VM'er skal være placeret i det samme virtuelle netværk som Domænetjenester. Kunder behøver dog ikke at oprette identiteten i Domænetjenester for at repræsentere lagerkontoen. Aktiveringsprocessen opretter identiteten i baggrunden. Derudover kan alle brugere, der findes i Microsoft Entra ID, godkendes og godkendes. Brugeren kan kun være cloud eller hybrid. Platformen administrerer synkroniseringen fra Microsoft Entra ID til Domænetjenester uden at kræve nogen brugerkonfiguration.

  • Microsoft Entra Kerberos til hybride brugeridentiteter: Azure Files understøtter Microsoft Entra Kerberos-godkendelse (tidligere Azure AD Kerberos) for hybride brugeridentiteter, som er AD-identiteter i det lokale miljø, der synkroniseres til cloudmiljøet. Denne konfiguration bruger Microsoft Entra-id til at udstede Kerberos-billetter for at få adgang til filsharet via SMB. Det betyder, at slutbrugerne kan få adgang til Azure-filshares via internettet uden at kræve en sigtelinje for domænecontrollere fra Microsoft Entra hybrid joinforbundet og Microsoft Entra-tilsluttede VM'er. Med denne funktion kan Azure Virtual Desktop-kunder desuden oprette et Azure-filshare for at gemme brugerprofilobjektbeholdere, som hybride brugeridentiteter kan få adgang til.

  • AD-godkendelse for Linux-klienter: Godkendelse til Linux-klienter understøttes via AD DS eller Microsoft Entra Domain Services.

Almindelige use cases til identitetsbaseret godkendelse

Følgende er nogle almindelige scenarier for brug af identitetsbaseret godkendelse:

  • Overførsel fra filservere i det lokale miljø til Azure Files: Erstatning af filservere i det lokale miljø er en almindelig brugssag for mange kunder i forbindelse med it-transformation. Brug af AD DS i det lokale miljø til at muliggøre en problemfri migrering til Azure-filer giver ikke kun en god brugeroplevelse, men giver også brugerne mulighed for at få adgang til filsharet og dataene ved hjælp af deres aktuelle legitimationsoplysninger ved at domænetilføje deres computere.

  • Flytning af virksomhedsprogrammer til cloud-: Når kunderne flytter deres oprindelige programmer i det lokale miljø til cloudmiljøet, fjerner identitetsbaseret godkendelse med Azure Files behovet for at ændre dine godkendelsesmekanismer for at understøtte cloudprogrammer.

  • til sikkerhedskopiering og it-katastrofeberedskab: Azure Files kan fungere som sikkerhedskopieringslagersystem for filservere i det lokale miljø. Konfiguration af korrekt godkendelse hjælper med at gennemtvinge adgangskontrol i scenarier med it-katastrofeberedskab.