Konfigurieren von Azure Files
Bevor Benutzer bei Contoso auf Azure Files zugreifen können, müssen sie sich zunächst authentifizieren. Ein anonymer Zugriff wird nicht unterstützt. Als leitender Systemingenieur müssen Sie die Authentifizierungsmethoden kennen, die von Azure Files unterstützt und in der folgenden Tabelle beschrieben werden.
| Authentifizierungsmethode | BESCHREIBUNG |
|---|---|
| Identitätsbasierte Authentifizierung über SMB | Dies ist die bevorzugte Methode für den Zugriff auf Azure Files. Damit können Benutzer per SSO (Single Sign-On, einmaliges Anmelden) genauso nahtlos auf Azure-Dateifreigaben zugreifen wie auf lokale Freigaben. Die identitätsbasierte Authentifizierung unterstützt die Kerberos-Authentifizierung, die Identitäten aus Microsoft Entra ID (früher Azure AD) oder AD DS verwendet. |
| Zugriffsschüssel | Zugriffsschlüssel sind eine ältere und weniger flexible Option. Ein Azure-Speicherkonto verfügt über zwei Zugriffsschlüssel, die bei Anforderungen an das Speicherkonto und an Azure Files verwendet werden können. Zugriffsschlüssel sind statisch und bieten Vollzugriff auf Azure Files. Zugriffsschlüssel müssen gesichert werden und dürfen nicht an Benutzer weitergegeben werden, da sie alle Beschränkungen der Zugriffssteuerung umgehen. Es empfiehlt sich, nach Möglichkeit die Freigabe von Speicherkontoschlüsseln zu vermeiden und stattdessen die identitätsbasierte Authentifizierung zu verwenden. |
| Ein SAS-Token (Shared Access Signature) | Eine SAS ist ein dynamisch generierter URI (Uniform Resource Identifier), der auf dem Speicherzugriffsschlüssel basiert. SAS bietet eingeschränkte Zugriffsrechte auf ein Azure-Speicherkonto. Zu den Einschränkungen gehören zulässige Berechtigungen, Start- und Ablaufzeit, zulässige IP-Adressen, von denen Anforderungen gesendet werden können, und zulässige Protokolle. Bei Azure Files wird ein SAS-Token nur verwendet, um REST-API-Zugriff über Code bereitzustellen. |
Verwenden der identitätsbasierten Authentifizierung
Sie können die identitätsbasierte Authentifizierung für Azure-Speicherkonten aktivieren. Der erste Schritt besteht darin, Ihre Active Directory (AD)-Quelle für das Speicherkonto einzurichten. Für Windows können Sie aus den folgenden drei AD-Quellen wählen:
- AD DS lokal
- Microsoft Entra Domain Services (ehemals Azure Active Directory Domain Services)
- Microsoft Entra Kerberos (nur für Hybrididentitäten)
Um AD DS oder Microsoft Entra Kerberos verwenden zu können, müssen Sie sicherstellen, dass der lokale AD DS über Microsoft Entra Connect oder Microsoft Entra Connect Cloud-Sync mit Microsoft Entra ID synchronisiert wird.
Nachdem Sie die identitätsbasierte Authentifizierung für ein Speicherkonto aktiviert haben, können Benutzer mit ihren Anmeldeinformationen auf Dateien in der Azure-Dateifreigabe zugreifen. Wenn Benutzer versuchen, auf Daten in Azure Files zuzugreifen, wird die Anforderung zur Authentifizierung entweder an AD DS oder an Microsoft Entra ID gesendet, abhängig von der ausgewählten AD-Quelle. Bei erfolgreicher Authentifizierung gibt die AD-Quelle ein Kerberos-Token zurück. Der Benutzer sendet dann eine Anforderung mit dem Kerberos-Token, und die Azure-Dateifreigabe verwendet dieses Token zur Autorisierung der Anforderung.
Konfigurieren von Berechtigungen für Azure-Dateifreigaben
Wenn Sie die identitätsbasierte Authentifizierung aktiviert haben, können Sie RBAC-Rollen (Role-Based Access Control, rollenbasierte Zugriffssteuerung) zum Steuern der Zugriffsrechte (bzw. Zugriffsberechtigungen) für Azure-Dateifreigaben verwenden. In der folgenden Tabelle sind die integrierten Rollen für Azure Files aufgeführt.
| Azure RBAC-Rolle | Beschreibung |
|---|---|
| Speicherdateidaten-SMB-Freigabemitwirkender | Benutzer mit dieser Rolle haben Lese-, Schreib- und Löschzugriff in Azure-Dateifreigaben über SMB. |
| Speicherdateidaten-SMB-Freigabemitwirkender mit erhöhten Rechten | Benutzer mit dieser Rolle haben Lese-, Schreib-, Lösch- und Änderungszugriff auf NTFS-Berechtigungen in Azure-Dateifreigaben über SMB. Diese Rolle verfügt über Berechtigungen für den Vollzugriff auf die Azure-Dateifreigabe. |
| Speicherdateidaten-SMB-Freigabeleser | Benutzer mit dieser Rolle haben Lesezugriff auf die Azure-Dateifreigabe über SMB. |
| Privilegierter Leser von Speicherdateidaten | Benutzer in dieser Rolle haben vollständigen Lesezugriff auf alle Daten in den Freigaben für alle konfigurierten Speicherkonten, unabhängig von den festgelegten NTFS-Berechtigungen auf Datei-/Verzeichnisebene. |
| Privilegierter Mitwirkender für Speicherdateidaten | Benutzer in dieser Rolle verfügen über vollständigen Zugriff zum Lesen, Schreiben, Ändern von ACLs und Löschen auf alle Daten in den Freigaben für alle konfigurierten Speicherkonten, unabhängig von den NTFS-Berechtigungen auf Datei-/Verzeichnisebene, die festgelegt sind. |
Bei Bedarf können Sie auch benutzerdefinierte RBAC-Rollen erstellen und verwenden. RBAC-Rollen gewähren allerdings nur Zugriff auf eine Freigabe. Für den Zugriff auf Dateien müssen Benutzer auch über Berechtigungen auf Verzeichnis- und Dateiebene verfügen.
Azure-Dateifreigaben erzwingen standardmäßige Windows-Dateiberechtigungen auf Ordner- und Dateiebene. Sie können die Freigabe einbinden und Berechtigungen über SMB genauso konfigurieren wie für Ihre lokalen Dateifreigaben.
Wichtig
Die vollständige administrative Kontrolle über eine Azure-Dateifreigabe, einschließlich der Möglichkeit, den Besitz einer Rolle zu übernehmen, erfordert die Verwendung des Speicherkontenschlüssels.
Datenverschlüsselung
Alle Daten in einem Azure-Speicherkonto (also auch die Daten in Azure-Dateifreigaben) sind im Ruhezustand jederzeit über die Speicherdienstverschlüsselung (Storage Service Encryption, SSE) verschlüsselt. Daten werden beim Schreiben in Azure-Rechenzentren verschlüsselt und beim Zugriff automatisch entschlüsselt. Standardmäßig werden Daten mit von Microsoft verwalteten Schlüsseln verschlüsselt, Sie können aber auch einen eigenen Verschlüsselungsschlüssel verwenden.
Standardmäßig ist für alle Azure-Speicherkonten die Verschlüsselung während der Übertragung aktiviert. Damit ist sichergestellt, dass alle Daten bei der Übertragung vom Azure-Rechenzentrum auf Ihr Gerät verschlüsselt sind. Ein nicht verschlüsselter Zugriff über SMB 2.1 und SMB 3.0 ohne Verschlüsselung oder HTTP ist standardmäßig nicht zulässig, und Clients können ohne Verschlüsselung keine Verbindung mit Azure-Dateifreigaben herstellen. Dies kann für ein Azure-Speicherkonto konfiguriert werden und gilt für alle Speicherkontodienste.
Erstellen von Azure-Dateifreigaben
Azure Files wird im Rahmen eines Azure-Speicherkontos bereitgestellt. Einstellungen, die Sie beim Erstellen eines Azure-Speicherkontos angeben – z. B. Standort, Replikation und Konnektivitätsmethode –, gelten auch für Azure Files. Einige Einstellungen des Azure-Speicherkontos wie etwa Leistung und Kontotyp können die Optionen einschränken, die für Azure Files verfügbar sind. Wenn Sie beispielsweise Premium-Dateifreigaben verwenden möchten (die SSDs nutzen), müssen Sie beim Erstellen des Azure-Speicherkontos die Option „Premium-Leistung“ und den FileStorage-Kontotyp auswählen.
Nach dem Einrichten des Azure-Speicherkontos können Sie über das Azure-Portal, Azure PowerShell, die Azure CLI oder die REST-API eine Azure-Dateifreigabe erstellen. Wenn Sie die Azure-Dateisynchronisierung bereitstellen, können Sie ein Azure-Speicherkonto auch über Windows Admin Center erstellen.
Führen Sie die folgenden Schritte aus, um eine Standard-SMB-Azure-Dateifreigabe zu erstellen. Wenn Sie eine Premium-Azure-Dateifreigabe erstellen, müssen Sie auch die bereitgestellte Kapazität angeben.
- Melden Sie sich im Azure-Portal an, und wählen Sie ein geeignetes Speicherkonto aus.
- Wählen Sie im Dienstmenüunter Datenspeicher die Option Dateifreigaben aus.
- Wählen Sie im Detailbereich auf der Symbolleiste die Option + Dateifreigabe aus.
- Geben Sie im Blatt Neue Dateifreigabe in das Feld Name den gewünschten Namen ein, und wählen Sie eine Zugriffsebene aus.
- Wählen Sie Überprüfen und erstellen und anschließend Erstellen aus.