Freigeben über

Übersicht über die identitätsbasierte Authentifizierung mit Azure Files für den SMB-Zugriff

  • Artikel

In diesem Artikel erfahren Sie, wie Sie die identitätsbasierte Authentifizierung lokal oder in Azure nutzen können, um den identitätsbasierten Zugriff auf Azure-Dateifreigaben über SMB zu aktivieren. Wie bei Windows-Dateiservern können Sie einer Identität Berechtigungen auf der Freigabe-, Verzeichnis- oder Dateiebene zuweisen. Für das Aktivieren der identitätsbasierten Authentifizierung in Ihrem Speicherkonto fallen keine zusätzlichen Dienstgebühren an.

Bei NFS-Freigaben (Network File System) wird die identitätsbasierte Authentifizierung derzeit nicht unterstützt. Sie ist jedoch über SMB für Windows- und Linux-Clients verfügbar.

Aus Sicherheitsgründen wird empfohlen, die identitätsbasierte Authentifizierung für den Zugriff auf Dateifreigaben anstelle des Speicherkontoschlüssels zu verwenden.

Wichtig

Teilen Sie niemals Ihre Speicherkontoschlüssel. Verwenden Sie stattdessen die identitätsbasierte Authentifizierung.

Funktionsweise

Azure-Dateifreigaben nutzen das Kerberos-Protokoll für die Authentifizierung bei einer Identitätsquelle. Wenn eine mit einem Benutzer oder mit einer auf einem Client ausgeführten Anwendung verknüpfte Identität versucht, auf Daten in Azure-Dateifreigaben zuzugreifen, wird die Anforderung zur Authentifizierung der Identität an die Identitätsquelle gesendet. Wenn die Authentifizierung erfolgreich ist, gibt die Identitätsquelle ein Kerberos-Ticket zurück. Der Client sendet dann eine Anforderung mit dem Kerberos-Ticket, und Azure Files verwendet dieses Ticket zur Autorisierung der Anforderung. Der Azure Files-Dienst empfängt nur das Kerberos-Ticket, nicht die Anmeldeinformationen des Benutzers für den Zugriff.

Gängige Anwendungsfälle

Die identitätsbasierte Authentifizierung mit SMB für Azure-Dateifreigaben kann in einer Vielzahl von Szenarien nützlich sein:

Ersatz für lokale Dateiserver

Das Ersetzen von verteilten lokalen Dateiservern stellt eine Herausforderung für jede Organisation während der IT-Modernisierung dar. Die Verwendung der identitätsbasierten Authentifizierung mit Azure Files bietet eine nahtlose Migrationserfahrung, sodass Endbenutzer weiterhin auf ihre Daten mit denselben Anmeldeinformationen zugreifen können.

Lift & Shift von Anwendungen in Azure

Wenn Sie Anwendungen per Lift & Shift in die Cloud verlagern, soll das Authentifizierungsmodell für den Zugriff auf Dateifreigaben in der Regel beibehalten werden. Bei Verwendung der identitätsbasierten Authentifizierung muss Ihr Verzeichnisdienst nicht geändert werden, wodurch die Cloudeinführung beschleunigt wird.

Sicherung und Notfallwiederherstellung

Wenn Sie Ihren primären Dateispeicher lokal betreiben, stellt Azure Files die ideale Lösung zur Sicherung oder Notfallwiederherstellung dar, um die Geschäftskontinuität zu verbessern. Sie können Azure-Dateifreigaben nutzen, um Ihre Dateiserver zu sichern und gleichzeitig besitzerverwaltete Zugriffssteuerungslisten (DACLs) von Windows beizubehalten. Für Notfallwiederherstellungsszenarien können Sie eine Authentifizierungsoption konfigurieren, um bei einem Failover die ordnungsgemäße Durchsetzung der Zugriffssteuerung zu unterstützen.

Auswählen einer Identitätsquelle für Ihr Speicherkonto

Bevor Sie die identitätsbasierte Authentifizierung für Ihr Speicherkonto aktivieren, müssen Sie wissen, welche Identitätsquelle Sie verwenden möchten. Wahrscheinlich verfügen Sie bereits über eine Identitätsquelle, da die meisten Unternehmen und Organisationen eine Art von Domänenumgebung konfiguriert haben. Wenden Sie sich an Ihren Active Directory (AD)- oder IT-Administrator, um sicher zu gehen. Wenn Sie noch nicht über eine Identitätsquelle verfügen, müssen Sie eine konfigurieren, bevor Sie die identitätsbasierte Authentifizierung aktivieren können.

Unterstützte Authentifizierungsszenarien

Sie können die identitätsbasierte Authentifizierung über SMB mithilfe einer von drei Identitätsquellen aktivieren: Lokale Active Directory Domain Services (AD DS)-Instanz, Microsoft Entra Domain Services oder Microsoft Entra Kerberos (nur Hybrididentitäten). Nur eine Identitätsquelle kann für die Authentifizierung des Dateizugriffs pro Speicherkonto verwendet werden. Diese gilt dann für alle Dateifreigaben im Konto.

  • Lokale AD DS-Instanz: Lokale AD DS-Clients und -VMs können mit Anmeldeinformationen für lokales Active Directory auf Azure-Dateifreigaben zugreifen. Die lokale AD DS-Umgebung muss mit Microsoft Entra ID synchronisiert werden. Verwenden Sie dazu entweder die lokale Microsoft Entra Connect-Anwendung oder die Microsoft Entra Connect-Cloudsynchronisierung, einen einfachen Agent, der über das Microsoft Entra Admin Center installiert werden kann. Um diese Authentifizierungsmethode verwenden zu können, muss Ihr Client in eine Domäne eingebunden sein oder über eine uneingeschränkte Netzwerkverbindung mit Ihrer AD DS-Instanz verfügen. Weitere Informationen finden Sie in der vollständigen Liste der Voraussetzungen.

  • Microsoft Entra Kerberos für Hybrididentitäten: Sie können Microsoft Entra ID verwenden, um Hybridbenutzeridentitäten zu authentifizieren, sodass Endbenutzer ohne Netzwerkverbindung mit Domänencontrollern auf Azure-Dateifreigaben zugreifen können. Diese Option erfordert eine vorhandene AD DS-Bereitstellung, die dann mit Ihrem Microsoft Entra-Mandanten synchronisiert wird, damit Microsoft Entra ID Ihre Hybrididentitäten authentifizieren kann. Reine Cloudidentitäten werden derzeit bei dieser Methode nicht unterstützt. Weitere Informationen finden Sie in der vollständigen Liste der Voraussetzungen.

  • Microsoft Entra Domain Services: Cloudbasierte VMs, die in Microsoft Entra Domain Services eingebunden sind, können auf Azure-Dateifreigaben mit Microsoft Entra-Anmeldeinformationen zugreifen. In dieser Lösung führt Microsoft Entra ID eine herkömmliche Windows Server AD-Domäne aus, die ein untergeordnetes Element des Microsoft Entra-Mandanten des Kunden ist. Microsoft Entra Domain Services stellt derzeit die einzige Option zum Authentifizieren von reinen Cloudidentitäten dar. Weitere Informationen finden Sie in der vollständigen Liste der Voraussetzungen.

Gehen Sie folgendermaßen vor, um zu bestimmen, welche Identitätsquelle ausgewählt werden sollte.

  • Wenn Ihre Organisation bereits über eine lokale Active Directory-Instanz verfügt und nicht bereit ist, Identitäten in die Cloud zu verschieben, und wenn Ihre Clients, VMs und Anwendungen in einer Domäne eingebunden sind oder über eine uneingeschränkte Netzwerkverbindung mit diesen Domänencontrollern verfügen, wählen Sie AD DS als Identitätsquelle aus.

  • Wenn einige oder alle Clients keine uneingeschränkte Netzwerkverbindung mit Ihrer AD DS-Instanz haben oder wenn Sie FSLogix-Profile in Azure-Dateifreigaben für in Microsoft Entra eingebundene VMs speichern, wählen Sie Microsoft Entra Kerberos aus.

  • Wenn Sie über eine lokale Active Directory-Instanz verfügen, aber planen, Anwendungen in die Cloud zu verschieben und Ihre Identitäten sowohl lokal als auch in der Cloud vorhanden sein sollen, wählen Sie Microsoft Entra Kerberos aus.

  • Wenn Sie nicht über eine vorhandene Identitätsquelle verfügen, wenn Sie reine Cloudidentitäten authentifizieren müssen oder wenn Sie bereits Microsoft Entra Domain Services verwenden, wählen Sie Microsoft Entra Domain Services aus. Wenn Sie noch keinen Domänendienst in Azure bereitgestellt haben, werden Sie feststellen, dass in Ihrer Azure-Rechnung eine neue Gebühr für diesen Dienst aufgeführt wird.

Aktivieren der Identitätsquelle

Nachdem Sie eine Identitätsquelle ausgewählt haben, müssen Sie sie in Ihrem Speicherkonto aktivieren.

AD DS

Für die AD DS-Authentifizierung müssen Sie Ihre Clientcomputer oder VMs in eine Domäne einbinden. Sie können Ihre Active Directory-Domänencontroller auf Azure-VMs oder lokal hosten. In jedem Fall müssen Ihre in die Domäne eingebundenen Clients über eine uneingeschränkte Netzwerkkonnektivität mit Ihrem Domänencontroller verfügen, d. h. sie müssen sich im Unternehmensnetzwerk oder im virtuellen Netzwerk (VNet) Ihres Domänendiensts befinden.

Das folgende Diagramm stellt die lokale AD DS-Authentifizierung für Azure-Dateifreigaben über SMB dar. Der lokale AD DS muss mit Microsoft Entra ID mithilfe von Microsoft Entra Connect Sync- oder Microsoft Entra Connect-Cloudsynchronisierung synchronisiert werden. Nur hybride Benutzeridentitäten, die sowohl in lokalen AD DS- als auch Microsoft Entra ID vorhanden sind, können für den Zugriff auf Azure-Dateien authentifiziert und autorisiert werden. Das liegt daran, dass die Berechtigung auf Freigabeebene mit der in Microsoft Entra ID dargestellten Identität konfiguriert ist, die Berechtigung auf Verzeichnis-/Dateiebene jedoch mit der Identität in AD DS erzwungen wird. Stellen Sie sicher, dass Sie die Berechtigungen mit demselben Hybridbenutzer ordnungsgemäß konfigurieren.

Diagramm der lokalen AD DS-Authentifizierung für Azure-Dateifreigaben über SMB

Wenn Sie erfahren möchten, wie Sie die AD DS-Authentifizierung aktivieren, lesen Sie zunächst Übersicht – lokale Active Directory Domain Services-Authentifizierung über SMB für Azure-Dateifreigaben und dann Aktivieren der AD DS-Authentifizierung für Azure-Dateifreigaben.

Microsoft Entra Kerberos für Hybrididentitäten

Das Aktivieren und Konfigurieren von Microsoft Entra ID zur Authentifizierung hybrider Benutzeridentitäten ermöglicht es Microsoft Entra-Benutzern mithilfe der Kerberos-Authentifizierung auf Azure-Dateifreigaben zuzugreifen. Diese Konfiguration verwendet Microsoft Entra ID, um die Kerberos-Tickets für den Zugriff auf die Dateifreigabe mit dem branchenüblichen SMB-Protokoll auszustellen. Dies bedeutet, dass Ihre Endbenutzer auf Azure-Dateifreigaben zugreifen können, ohne dass eine Netzwerkverbindung mit den Domänencontrollern von VMs erforderlich ist, die in Microsoft Entra Hybrid und Microsoft Entra eingebunden sind. Für die Konfiguration von Berechtigungen auf Verzeichnis- und Dateiebene für Benutzer und Gruppen ist jedoch eine uneingeschränkte Netzwerkkonnektivität mit dem lokalen Domänencontroller erforderlich.

Wichtig

Die Microsoft Entra Kerberos-Authentifizierung unterstützt nur hybride Benutzeridentitäten. Reine Cloudidentitäten werden nicht unterstützt. Eine herkömmliche AD DS-Bereitstellung ist erforderlich, und sie muss mit Microsoft Entra ID mithilfe der Microsoft Entra Connect Sync- oder Microsoft Entra Connect-Cloudsynchronisierung synchronisiert werden. Clients müssen mit Microsoft Entra oder Microsoft Entra Hybrid verbunden sein. Microsoft Entra Kerberos wird für Clients, die in Microsoft Entra Domain Services oder nur in AD eingebunden sind, nicht unterstützt.

Diagramm: Konfiguration für die Microsoft Entra Kerberos-Authentifizierung für Hybrididentitäten über SMB

Informationen zum Aktivieren der Microsoft Entra Kerberos-Authentifizierung für Hybrididentitäten finden Sie unter Aktivieren der Kerberos-Authentifizierung von Microsoft Entra für Hybrididentitäten in Azure Files.

Sie können dieses Feature auch verwenden, um FSLogix-Profile auf Azure-Dateifreigaben für in Microsoft Entra eingebundene VMs zu speichern. Weitere Informationen finden Sie unter Erstellen eines Profilcontainers mit Azure Files und Microsoft Entra ID.

Microsoft Entra Domain Services

Bei der Microsoft Entra Domain Services-Authentifizierung müssen Sie Microsoft Entra Domain Services aktivieren und die VMs, über die auf Dateidaten zugegriffen werden soll, in die Domäne einbinden. Ihre in die Domäne eingebundene VM muss sich im selben virtuellen Netzwerk (VNet) wie Ihre Microsoft Entra Domain Services-Domäne befinden.

Das folgende Diagramm stellt den Workflow für die Microsoft Entra Domain Services-Authentifizierung für Azure-Dateifreigaben über SMB dar. Der Workflow folgt einem ähnlichen Muster wie die lokale AD DS-Authentifizierung, es gibt jedoch zwei wesentliche Unterschiede:

  • Sie müssen keine Identität in Microsoft Entra Domain Services erstellen, um das Speicherkonto darzustellen. Dies wird vom Aktivierungsprozess im Hintergrund vorgenommen.

  • Alle Benutzer, die in Microsoft Entra ID vorhanden sind, können authentifiziert und autorisiert werden. Bei den Benutzern kann es sich um reine Cloudbenutzer oder um hybride Benutzer handeln. Die Synchronisierung von Microsoft Entra ID zu Microsoft Entra Domain Services wird von der Plattform verwaltet, ohne dass eine Benutzerkonfiguration erforderlich ist. Der Client muss jedoch mit der gehosteten Domäne von Microsoft Entra Domain Services verbunden sein. Er darf nicht mit Microsoft Entra verbunden oder dort registriert sein. Nicht-Azure-Clients (d. h. Benutzer-Laptops, Arbeitsstationen, VMs in anderen Clouds usw.), die in die von Microsoft Entra Domain Services gehostete Domäne eingebunden werden, werden von Microsoft Entra Domain Services nicht unterstützt. Es ist jedoch möglich, eine Dateifreigabe von einem nicht in die Domäne eingebundenen Client bereitzustellen, indem explizite Anmeldeinformationen wie DOMÄNENNAME\Benutzername oder der vollqualifizierte Domänennamen (username@FQDN) angegeben werden.

Diagramm: Konfiguration für die Microsoft Entra Domain Services-Authentifizierung mit Azure Files über SMB.

Informationen zum Aktivieren der Microsoft Entra Domain Services-Authentifizierung finden Sie unter Aktivieren der Microsoft Entra Domain Services-Authentifizierung in Azure Files.

Autorisierung und Zugriffssteuerung

Ungeachtet der ausgewählten Identitätsquelle müssen Sie die Autorisierung konfigurieren, sobald Sie sie aktiviert haben. Azure Files erzwingt die Autorisierung für den Benutzerzugriff sowohl auf der Freigabeebene als auch auf der Verzeichnis-/Dateiebene.

Sie können Microsoft Entra-Benutzern oder -Gruppen, die über die rollenbasierte Zugriffssteuerung (RBAC) von Azure verwaltet werden, Berechtigungen auf Freigabeebene zuweisen. Bei Azure RBAC müssen die für den Dateizugriff verwendeten Anmeldeinformationen verfügbar sein oder mit Microsoft Entra ID synchronisiert werden. Sie können Benutzern oder Gruppen in Microsoft Entra ID integrierte Azure-Rollen wie Leser für Speicherdateidaten-SMB-Freigabe zuweisen, um Zugriff auf eine Dateifreigabe zu gewähren.

Auf der Verzeichnis-/Dateiebene unterstützt Azure Files die Beibehaltung, Vererbung und Erzwingung von Windows-Zugriffssteuerungslisten (ACLs). Sie können Windows-ACLs beim Kopieren von Daten über SMB zwischen Ihrer vorhandenen Dateifreigabe und Ihren Azure-Dateifreigaben beibehalten. Mit Azure-Dateifreigaben können Sie ACLs zusammen mit Ihren Daten sichern, ganz gleich, ob Sie die Autorisierung erzwingen möchten.

Konfigurieren von Berechtigungen auf Freigabeebene

Nachdem Sie eine Identitätsquelle für Ihr Speicherkonto aktiviert haben, müssen Sie für den Zugriff auf die Dateifreigabe eine der folgenden Aktionen ausführen:

  • Festlegen einer Standardberechtigung auf Freigabeebene, die für alle authentifizierten Benutzer und Gruppen gilt
  • Zuweisen von integrierten Azure RBAC-Rollen zu Benutzern und Gruppen oder
  • Konfigurieren Sie benutzerdefinierte Rollen für Microsoft Entra-Identitäten und weisen Sie Zugriffsrechte für Dateifreigaben in Ihrem Speicherkonto zu.

Mit der zugewiesenen Berechtigung auf Freigabeebene kann die gewährte Identität ausschließlich auf die Freigabe zugreifen, aber nicht auf andere Elemente – auch nicht auf das Stammverzeichnis. Sie müssen dennoch separat Berechtigungen auf Verzeichnis- und Dateiebene konfigurieren.

Hinweis

Sie können Computerkonten keine Berechtigungen auf Freigabeebene mithilfe von Azure-RBAC zuweisen, weil Computerkonten nicht mit einer Identität in Microsoft Entra ID synchronisiert werden können. Wenn Sie einem Computerkonto den Zugriff auf Azure-Dateifreigaben mithilfe der identitätsbasierten Authentifizierung erlauben möchten, verwenden Sie eine Standardberechtigung auf Freigabeebene, oder verwenden Sie stattdessen ggf. ein Dienstanmeldekonto.

Konfigurieren von Berechtigungen auf Verzeichnis- oder Dateiebene

Azure-Dateifreigaben erzwingen standardmäßige Windows-Zugriffssteuerungslisten sowohl auf der Verzeichnis- als auch der Dateiebene (einschließlich des Stammverzeichnisses). Die Konfiguration von Berechtigungen auf Verzeichnis- oder Dateiebene wird über SMB und REST unterstützt. Binden Sie die gewünschte Dateifreigabe von Ihrer VM aus ein, und konfigurieren Sie Berechtigungen mit dem Datei-Explorer unter Windows mit Windows-icacls oder mit dem Befehl Set-ACL.

Beibehalten von Verzeichnis- und Datei-ACLs beim Importieren von Daten in Azure Files

Azure Files unterstützt das Beibehalten von Zugriffssteuerungslisten (ACLs) auf Verzeichnis- oder Dateiebene beim Kopieren von Daten in Azure-Dateifreigaben. Sie können Zugriffssteuerungslisten für ein Verzeichnis oder eine Datei mit der Azure-Dateisynchronisierung oder gängigen Dateiverschiebungs-Toolsets in Azure-Dateifreigaben kopieren. Beispielsweise können Sie robocopy mit dem Flag /copy:s verwenden, um sowohl die Daten als auch die Zugriffssteuerungslisten in eine Azure-Dateifreigabe zu kopieren. Zugriffssteuerungslisten werden standardmäßig beibehalten. Sie müssen die identitätsbasierte Authentifizierung für Ihr Speicherkonto daher nicht aktivieren, um Zugriffssteuerungslisten beizubehalten.

Glossar

Es ist hilfreich, einige wichtige Begriffe im Zusammenhang mit der identitätsbasierten Authentifizierung für Azure-Dateifreigaben zu verstehen:

  • Kerberos-Authentifizierung

    Kerberos ist ein Authentifizierungsprotokoll, das zum Überprüfen der Identität eines Benutzers oder Hosts verwendet wird. Weitere Informationen zu Kerberos finden Sie unter Kerberos-Authentifizierung: Übersicht.

  • Server Message Block-Protokoll (SMB)

    SMB ist ein Netzwerkprotokoll zur Dateifreigabe nach Industriestandard. Weitere Informationen zu SMB finden Sie unter Microsoft SMB-Protokoll und CIFS-Protokoll (Übersicht).

  • Microsoft Entra ID

    Microsoft Entra ID (ehemals Azure AD) ist der mehrinstanzenfähige cloudbasierte Verzeichnis- und Identitätsverwaltungsdienst von Microsoft. Microsoft Entra ID kombiniert grundlegende Verwaltungsdienste, Zugriffsverwaltung für Anwendungen und Identitätsgovernance in einer einzigen Lösung.

  • Microsoft Entra Domain Services

    Microsoft Entra ID Domain Services stellen verwaltete Domänendienste bereit, z.B. Domänenbeitritt, Gruppenrichtlinie, LDAP und Kerberos/NTLM-Authentifizierung. Diese Dienste sind vollständig kompatibel mit Active Directory Domain Services. Weitere Informationen finden Sie unter Microsoft Entra Domain Services.

  • Lokale Active Directory Domain Services (AD DS)

    Active Directory Domain Services (AD DS) wird häufig von Unternehmen in lokalen Umgebungen oder auf in der Cloud gehosteten VMs eingesetzt, und AD DS-Anmeldeinformationen werden für die Zugriffssteuerung verwendet. Weitere Informationen finden Sie unter Active Directory Domain Services – Übersicht.

  • Rollenbasierte Zugriffssteuerung von Azure (Azure RBAC)

    Azure RBAC ermöglicht eine differenzierte Zugriffsverwaltung für Azure. Mit Azure RBAC können Sie den Zugriff auf Ressourcen verwalten, indem Sie Benutzern die Mindestberechtigungen zum Ausführen ihrer Aufgaben erteilen. Weitere Informationen finden Sie unter Was ist die rollenbasierte Zugriffssteuerung in Azure?

  • Hybrididentitäten

    Hybridbenutzeridentitäten sind Identitäten in AD DS, die mit Microsoft Entra ID synchronisiert werden, entweder mithilfe der lokalen Microsoft Entra Connect-Synchronisierungsanwendung oder der Microsoft Entra Connect-Cloudsynchronisierung, einem einfachen Agent, der über das Microsoft Entra Admin Center installiert werden kann.

Nächster Schritt

Weitere Informationen finden Sie unter: