Overzicht van verificatie op basis van identiteit van Azure Files voor SMB-toegang
In dit artikel wordt uitgelegd hoe u verificatie op basis van identiteiten, on-premises of in Azure, kunt gebruiken om identiteitstoegang tot Azure-bestandsshares via SMB mogelijk te maken. Net als windows-bestandsservers kunt u machtigingen verlenen aan een identiteit op share-, map- of bestandsniveau. Er worden geen extra servicekosten in rekening gebracht om verificatie op basis van identiteiten in te schakelen voor uw opslagaccount.
Verificatie op basis van identiteit wordt momenteel niet ondersteund met NFS-shares (Network File System). Het is echter beschikbaar via SMB voor zowel Windows- als Linux-clients.
Om veiligheidsredenen wordt het gebruik van verificatie op basis van identiteit voor toegang tot bestandsshares aanbevolen via de sleutel van het opslagaccount.
Belangrijk
Deel uw opslagaccountsleutels nooit. Gebruik in plaats daarvan verificatie op basis van identiteiten.
Hoe het werkt
Azure-bestandsshares maken gebruik van het Kerberos-protocol om te verifiëren met een identiteitsbron. Wanneer een identiteit die is gekoppeld aan een gebruiker of toepassing die wordt uitgevoerd op een client toegang probeert te krijgen tot gegevens in Azure-bestandsshares, wordt de aanvraag verzonden naar de identiteitsbron om de identiteit te verifiëren. Als de verificatie is geslaagd, retourneert de identiteitsbron een Kerberos-ticket. De client verzendt vervolgens een aanvraag met het Kerberos-ticket en Azure Files gebruikt dat ticket om de aanvraag te autoriseren. De Azure Files-service ontvangt alleen het Kerberos-ticket, niet de toegangsreferenties van de gebruiker.
Veelvoorkomende toepassingen
Verificatie op basis van identiteit met SMB Azure-bestandsshares kan handig zijn in verschillende scenario's:
On-premises bestandsservers vervangen
Het vervangen van verspreide on-premises bestandsservers is een uitdaging voor elke organisatie tijdens hun IT-moderniseringstraject. Het gebruik van verificatie op basis van identiteiten met Azure Files biedt een naadloze migratie-ervaring, zodat eindgebruikers toegang kunnen blijven krijgen tot hun gegevens met dezelfde referenties.
Toepassingen lift and shift to Azure
Wanneer u toepassingen naar de cloud tilt en verplaatst, wilt u waarschijnlijk hetzelfde verificatiemodel behouden voor toegang tot bestandsshares. Verificatie op basis van identiteit elimineert de noodzaak om uw adreslijstservice te wijzigen, waardoor de overstap naar de cloud wordt versneld.
Back-up en herstel na noodgevallen (DR)
Als u uw primaire bestandsopslag on-premises bewaart, is Azure Files een ideale oplossing voor back-up en herstel na noodgevallen om de bedrijfscontinuïteit te verbeteren. U kunt Azure-bestandsshares gebruiken om een back-up te maken van uw bestandsservers, terwijl u discretionaire toegangsbeheerlijsten (DACL's) van Windows behoudt. Voor dr-scenario's kunt u een verificatieoptie configureren om de juiste afdwinging van toegangsbeheer bij failover te ondersteunen.
Kies een identiteitsbron voor uw opslagaccount
Voordat u verificatie op basis van identiteiten inschakelt voor uw opslagaccount, moet u weten welke identiteitsbron u gaat gebruiken. Het is waarschijnlijk dat u er al een hebt, omdat de meeste bedrijven en organisaties een bepaald type domeinomgeving hebben geconfigureerd. Neem contact op met uw Active Directory (AD) of IT-beheerder om er zeker van te zijn. Als u nog geen identiteitsbron hebt, moet u er een configureren voordat u verificatie op basis van identiteiten kunt inschakelen.
Ondersteunde verificatiescenario's
U kunt verificatie op basis van identiteiten via SMB inschakelen met behulp van een van de drie identiteitsbronnen: On-premises Active Directory-domein Services (AD DS), Microsoft Entra Domain Services of Microsoft Entra Kerberos (alleen hybride identiteiten). U kunt slechts één identiteitsbron gebruiken voor verificatie van bestandstoegang per opslagaccount en is van toepassing op alle bestandsshares in het account.
On-premises AD DS: on-premises AD DS-clients en virtuele machines (VM's) hebben toegang tot Azure-bestandsshares met on-premises Active Directory-referenties. De on-premises AD DS-omgeving moet worden gesynchroniseerd met Microsoft Entra ID met behulp van de on-premises Microsoft Entra Connect-toepassing of Microsoft Entra Connect-cloudsynchronisatie, een lichtgewicht agent die kan worden geïnstalleerd vanuit het Microsoft Entra-beheercentrum. Als u deze verificatiemethode wilt gebruiken, moet uw client lid zijn van een domein of geen netwerkconnectiviteit hebben met uw AD DS. Bekijk de volledige lijst met vereisten.
Microsoft Entra Kerberos voor hybride identiteiten: u kunt Microsoft Entra-id gebruiken om hybride gebruikersidentiteiten te verifiëren, zodat eindgebruikers toegang hebben tot Azure-bestandsshares zonder dat netwerkconnectiviteit met domeincontrollers is vereist. Voor deze optie is een bestaande AD DS-implementatie vereist, die vervolgens wordt gesynchroniseerd met uw Microsoft Entra-tenant, zodat Microsoft Entra ID uw hybride identiteiten kan verifiëren. Identiteiten in de cloud worden momenteel niet ondersteund met behulp van deze methode. Bekijk de volledige lijst met vereisten.
Microsoft Entra Domain Services: vm's in de cloud die zijn gekoppeld aan Microsoft Entra Domain Services hebben toegang tot Azure-bestandsshares met Microsoft Entra-referenties. In deze oplossing voert Microsoft Entra ID een traditioneel Windows Server AD-domein uit dat een onderliggend element is van de Microsoft Entra-tenant van de klant. Microsoft Entra Domain Services is momenteel de enige optie voor het verifiëren van cloudidentiteiten. Bekijk de volledige lijst met vereisten.
Gebruik de volgende richtlijnen om te bepalen welke identiteitsbron u moet kiezen.
Als uw organisatie al een on-premises AD heeft en niet klaar is om identiteiten naar de cloud te verplaatsen en als uw clients, VM's en toepassingen lid zijn van een domein of geen netwerkverbinding met deze domeincontrollers hebben, kiest u AD DS.
Als sommige of alle clients geen niet-beperkte netwerkverbinding met uw AD DS hebben of als u FSLogix-profielen op Azure-bestandsshares opslaat voor aan Microsoft Entra gekoppelde VM's, kiest u Microsoft Entra Kerberos.
Als u een bestaande on-premises AD hebt, maar van plan bent om toepassingen naar de cloud te verplaatsen en u wilt dat uw identiteiten zowel on-premises als in de cloud bestaan, kiest u Microsoft Entra Kerberos.
Als u geen bestaande identiteitsbron hebt, als u identiteiten in de cloud wilt verifiëren of als u Microsoft Entra Domain Services al gebruikt, kiest u Microsoft Entra Domain Services. Als u nog geen domeinservice hebt geïmplementeerd in Azure, ziet u een nieuwe kosten voor uw Azure-factuur voor deze service.
Een identiteitsbron inschakelen
Nadat u een identiteitsbron hebt gekozen, moet u deze inschakelen in uw opslagaccount.
AD DS
Voor AD DS-verificatie moet u lid worden van uw clientcomputers of VM's. U kunt uw AD-domeincontrollers hosten op azure-VM's of on-premises. In beide gevallen moeten uw clients die lid zijn van een domein geen netwerkverbinding hebben met de domeincontroller, dus ze moeten zich binnen het bedrijfsnetwerk of het virtuele netwerk (VNET) van uw domeinservice bevinden.
In het volgende diagram ziet u on-premises AD DS-verificatie voor Azure-bestandsshares via SMB. De on-premises AD DS moet worden gesynchroniseerd met Microsoft Entra ID met behulp van Microsoft Entra Connect Sync of Microsoft Entra Connect-cloudsynchronisatie. Alleen hybride gebruikersidentiteiten die bestaan in zowel on-premises AD DS als Microsoft Entra-id kunnen worden geverifieerd en geautoriseerd voor toegang tot Azure-bestandsshares. Dit komt doordat de machtiging op shareniveau is geconfigureerd voor de identiteit die wordt weergegeven in Microsoft Entra-id, terwijl de machtiging op map-/bestandsniveau wordt afgedwongen met die in AD DS. Zorg ervoor dat u de machtigingen juist configureert voor dezelfde hybride gebruiker.
Als u AD DS-verificatie wilt inschakelen, leest u eerst Overzicht : on-premises Active Directory-domein Services-verificatie via SMB voor Azure-bestandsshares en raadpleegt u Ad DS-verificatie inschakelen voor Azure-bestandsshares.
Microsoft Entra Kerberos voor hybride identiteiten
Als u Microsoft Entra-id inschakelt en configureert voor het verifiëren van hybride gebruikersidentiteiten , kunnen Microsoft Entra-gebruikers toegang krijgen tot Azure-bestandsshares met behulp van Kerberos-verificatie. Deze configuratie maakt gebruik van Microsoft Entra ID om de Kerberos-tickets uit te geven voor toegang tot de bestandsshare met het standaard SMB-protocol. Dit betekent dat eindgebruikers toegang hebben tot Azure-bestandsshares zonder dat netwerkconnectiviteit met domeincontrollers van hybride Microsoft Entra-gekoppelde en aan Microsoft Entra gekoppelde VM's is vereist. Voor het configureren van machtigingen op map- en bestandsniveau voor gebruikers en groepen is echter een niet-gempte netwerkverbinding met de on-premises domeincontroller vereist.
Belangrijk
Microsoft Entra Kerberos-verificatie ondersteunt alleen hybride gebruikersidentiteiten; het biedt geen ondersteuning voor identiteiten in de cloud. Een traditionele AD DS-implementatie is vereist en moet worden gesynchroniseerd met Microsoft Entra ID met behulp van Microsoft Entra Connect Sync of Microsoft Entra Connect-cloudsynchronisatie. Clients moeten lid zijn van Microsoft Entra of hybride Microsoft Entra-deelname. Microsoft Entra Kerberos wordt niet ondersteund op clients die zijn toegevoegd aan Microsoft Entra Domain Services of alleen lid zijn van AD.
Als u Microsoft Entra Kerberos-verificatie voor hybride identiteiten wilt inschakelen, raadpleegt u Microsoft Entra Kerberos-verificatie inschakelen voor hybride identiteiten in Azure Files.
U kunt deze functie ook gebruiken om FSLogix-profielen op te slaan op Azure-bestandsshares voor aan Microsoft Entra gekoppelde VM's. Zie Een profielcontainer maken met Azure Files en Microsoft Entra ID voor meer informatie.
Microsoft Entra Domain Services.
Voor Microsoft Entra Domain Services-verificatie moet u Microsoft Entra Domain Services inschakelen en de VM's van waaruit u toegang wilt krijgen tot bestandsgegevens inschakelen. Uw domein-gekoppelde VM moet zich in hetzelfde VNET bevinden als uw door Microsoft Entra Domain Services gehost domein.
Het volgende diagram vertegenwoordigt de werkstroom voor Verificatie van Microsoft Entra Domain Services voor Azure-bestandsshares via SMB. Het volgt een vergelijkbaar patroon als on-premises AD DS-verificatie, maar er zijn twee belangrijke verschillen:
U hoeft geen identiteit te maken in Microsoft Entra Domain Services om het opslagaccount weer te geven. Dit wordt uitgevoerd door het activeringsproces op de achtergrond.
Alle gebruikers die in Microsoft Entra-id bestaan, kunnen worden geverifieerd en geautoriseerd. Gebruikers kunnen alleen in de cloud of hybride zijn. De synchronisatie van Microsoft Entra-id naar Microsoft Entra Domain Services wordt beheerd door het platform zonder dat hiervoor gebruikersconfiguratie is vereist. De client moet echter worden toegevoegd aan het gehoste domein van Microsoft Entra Domain Services. Microsoft Entra kan niet worden toegevoegd of geregistreerd. Microsoft Entra Domain Services biedt geen ondersteuning voor niet-Azure-clients (bijvoorbeeld laptops van gebruikers, werkstations, VM's in andere clouds, enzovoort) die lid zijn van een domein dat is toegevoegd aan het gehoste domein van Microsoft Entra Domain Services. Het is echter mogelijk om een bestandsshare te koppelen vanaf een niet-domein-gekoppelde client door expliciete referenties op te geven, zoals DOMAINNAME\username of met behulp van de volledig gekwalificeerde domeinnaam (username@FQDN).
Zie Microsoft Entra Domain Services-verificatie inschakelen in Azure Files om Microsoft Entra Domain Services-verificatie in te schakelen.
Autorisatie en toegangsbeheer
Ongeacht welke identiteitsbron u kiest, moet u, nadat u deze inschakelt, autorisatie configureren. Azure Files dwingt autorisatie af voor gebruikerstoegang op zowel het niveau van de share als de map-/bestandsniveaus.
U kunt machtigingen op shareniveau toewijzen aan Microsoft Entra-gebruikers of -groepen die worden beheerd via Azure RBAC. Met Azure RBAC moeten de referenties die u gebruikt voor bestandstoegang beschikbaar zijn of worden gesynchroniseerd met Microsoft Entra-id. U kunt ingebouwde Azure-rollen, zoals Storage File Data SMB Share Reader , toewijzen aan gebruikers of groepen in Microsoft Entra ID om toegang te verlenen tot een bestandsshare.
Op map-/bestandsniveau biedt Azure Files ondersteuning voor het behouden, overnemen en afdwingen van Windows ACL's. U kunt ervoor kiezen windows-ACL's te bewaren bij het kopiëren van gegevens via SMB tussen uw bestaande bestandsshare en uw Azure-bestandsshares. Of u nu autorisatie wilt afdwingen of niet, u kunt Azure-bestandsshares gebruiken om een back-up te maken van ACL's samen met uw gegevens.
Machtigingen op shareniveau configureren
Nadat u een identiteitsbron hebt ingeschakeld voor uw opslagaccount, moet u een van de volgende handelingen uitvoeren om toegang te krijgen tot de bestandsshare:
- Een standaardmachtiging op shareniveau instellen die van toepassing is op alle geverifieerde gebruikers en groepen
- Ingebouwde Azure RBAC-rollen toewijzen aan gebruikers en groepen, of
- Configureer aangepaste rollen voor Microsoft Entra-identiteiten en wijs toegangsrechten toe aan bestandsshares in uw opslagaccount.
Met de toegewezen machtiging op shareniveau kan de verleende identiteit alleen toegang krijgen tot de share, niets anders, niet eens de hoofdmap. U moet nog steeds afzonderlijk machtigingen op map- en bestandsniveau configureren.
Notitie
U kunt geen machtigingen op shareniveau toewijzen aan computeraccounts (computeraccounts) met behulp van Azure RBAC, omdat computeraccounts niet kunnen worden gesynchroniseerd met een identiteit in Microsoft Entra-id. Als u een computeraccount toegang wilt geven tot Azure-bestandsshares met behulp van verificatie op basis van identiteit, gebruikt u een standaardmachtiging op shareniveau of kunt u in plaats daarvan een serviceaanmeldingsaccount gebruiken.
Machtigingen op map- of bestandsniveau configureren
Azure-bestandsshares dwingen standaard Windows-ACL's af op zowel map- als bestandsniveau, inclusief de hoofdmap. De configuratie van map- of bestandsmachtigingen wordt ondersteund via zowel SMB als REST. Koppel de doelbestandsshare vanaf uw VIRTUELE machine en configureer machtigingen met behulp van Windows Bestandenverkenner, Windows icacls of de opdracht Set-ACL.
Map- en bestands-ACL's behouden bij het importeren van gegevens in Azure Files
Azure Files biedt ondersteuning voor het behouden van ACL's op map- of bestandsniveau bij het kopiëren van gegevens naar Azure-bestandsshares. U kunt ACL's in een map of bestand kopiëren naar Azure-bestandsshares met behulp van Azure File Sync of veelgebruikte hulpprogramma's voor bestandsverplaatsing. U kunt robocopy bijvoorbeeld gebruiken met de /copy:s vlag om gegevens en ACL's te kopiëren naar een Azure-bestandsshare. ACL's blijven standaard behouden, dus u hoeft verificatie op basis van identiteit niet in te schakelen voor uw opslagaccount om ACL's te behouden.
Woordenlijst
Het is handig om inzicht te hebben in enkele belangrijke termen met betrekking tot verificatie op basis van identiteiten voor Azure-bestandsshares:
Kerberos-verificatie
Kerberos is een verificatieprotocol dat wordt gebruikt om de identiteit van een gebruiker of host te verifiëren. Zie Het overzicht van Kerberos-verificatie voor meer informatie over Kerberos.
SMB-protocol (Server Message Block)
SMB is een industriestandaard protocol voor het delen van bestanden in het netwerk. Zie Overzicht van Microsoft SMB Protocol en CIFS Protocol voor meer informatie over SMB.
Microsoft Entra ID
Microsoft Entra ID (voorheen Azure AD) is de multitenant cloudgebaseerde directory- en identiteitsbeheerservice van Microsoft. Microsoft Entra ID combineert kerndirectoryservices, toegangsbeheer voor toepassingen en identiteitsbeveiliging in één oplossing.
Microsoft Entra Domain Services.
Microsoft Entra Domain Services biedt beheerde domeinservices, zoals domeindeelname, groepsbeleid, LDAP en Kerberos/NTLM-verificatie. Deze services zijn volledig compatibel met Active Directory-domein Services. Zie Microsoft Entra Domain Services voor meer informatie.
On-premises Active Directory-domein Services (AD DS)
AD DS wordt meestal gebruikt door ondernemingen in on-premises omgevingen of op in de cloud gehoste VM's en AD DS-referenties worden gebruikt voor toegangsbeheer. Zie Active Directory-domein Services-overzicht voor meer informatie.
Azure RBAC (op rollen gebaseerd toegangsbeheer van Azure)
Azure RBAC maakt fijnmazig toegangsbeheer mogelijk voor Azure. Met Behulp van Azure RBAC kunt u de toegang tot resources beheren door gebruikers de minste machtigingen te verlenen die nodig zijn om hun taken uit te voeren. Zie Wat is op rollen gebaseerd toegangsbeheer van Azure voor meer informatie?
Hybride identiteiten
Hybride gebruikersidentiteiten zijn identiteiten in AD DS die worden gesynchroniseerd met Microsoft Entra ID met behulp van de on-premises Microsoft Entra Connect Sync-toepassing of Microsoft Entra Connect-cloudsynchronisatie, een lichtgewicht agent die kan worden geïnstalleerd vanuit het Microsoft Entra-beheercentrum.
Volgende stap
Zie voor meer informatie: