Azure Files configureren
Voordat gebruikers bij Contoso toegang hebben tot Azure Files, moeten ze eerst verifiëren en anonieme toegang niet worden ondersteund. Als hoofdsysteemengineer moet u weten welke verificatiemethoden door Azure Files worden ondersteund, zoals beschreven in de volgende tabel.
| Verificatiemethode | Beschrijving |
|---|---|
| Verificatie op basis van identiteit via SMB | Bij voorkeur bij het openen van Azure Files biedt het dezelfde naadloze ervaring voor eenmalige aanmelding (SSO) bij het openen van Azure-bestandsshares als het openen van on-premises bestandsshares. Verificatie op basis van identiteit ondersteunt Kerberos-verificatie die gebruikmaakt van identiteiten van Microsoft Entra ID (voorheen Azure AD) of AD DS. |
| Toegangssleutel | Een toegangssleutel is een oudere en minder flexibele optie. Een Azure-opslagaccount heeft twee toegangssleutels die kunnen worden gebruikt bij het indienen van een aanvraag bij het opslagaccount, met inbegrip van Azure Files. Toegangssleutels zijn statisch en bieden volledige toegang tot Azure Files. Toegangssleutels moeten worden beveiligd en niet worden gedeeld met gebruikers, omdat ze alle beperkingen voor toegangsbeheer omzeilen. Een best practice is om te voorkomen dat opslagaccountsleutels worden gedeeld en waar mogelijk verificatie op basis van identiteiten te gebruiken. |
| Een SAS-token (Shared Access Signature) | SAS is een dynamisch gegenereerde URI (Uniform Resource Identifier) die is gebaseerd op de toegangssleutel voor opslag. SAS biedt beperkte toegangsrechten voor een Azure-opslagaccount. Beperkingen omvatten toegestane machtigingen, begin- en verlooptijd, toegestane IP-adressen van waaruit aanvragen kunnen worden verzonden en toegestane protocollen. Met Azure Files wordt een SAS-token alleen gebruikt om REST API-toegang te bieden vanuit code. |
Verificatie op basis van identiteit gebruiken
U kunt verificatie op basis van identiteiten inschakelen voor Azure-opslagaccounts. De eerste stap is het instellen van uw Active Directory-bron (AD) voor het opslagaccount. Voor Windows kunt u kiezen uit de volgende drie AD-bronnen:
- On-premises AD DS
- Microsoft Entra Domain Services (voorheen Azure Active Directory-domein Services)
- Microsoft Entra Kerberos (alleen voor hybride identiteiten)
Als u AD DS of Microsoft Entra Kerberos wilt gebruiken, moet u ervoor zorgen dat de on-premises AD DS wordt gesynchroniseerd met Microsoft Entra ID via Microsoft Entra Connect of Microsoft Entra Connect-cloudsynchronisatie.
Nadat u verificatie op basis van identiteiten voor een opslagaccount hebt ingeschakeld, hebben gebruikers toegang tot bestanden op de Azure-bestandsshare met hun aanmeldingsreferenties. Wanneer een gebruiker toegang probeert te krijgen tot gegevens in Azure Files, wordt de aanvraag verzonden naar AD DS of Microsoft Entra-id voor verificatie, afhankelijk van de AD-bron die u hebt geselecteerd. Als de verificatie slaagt, retourneert de AD-bron een Kerberos-token. De gebruiker verzendt vervolgens een aanvraag die het Kerberos-token bevat en de Azure-bestandsshare gebruikt dat token om de aanvraag te autoriseren.
Machtigingen voor Azure-bestandsshares configureren
Als u verificatie op basis van identiteiten hebt ingeschakeld, kunt u op rollen gebaseerd toegangsbeheer (RBAC) van Azure gebruiken om toegangsrechten (of machtigingen ) voor Azure-bestandsshares te beheren. De volgende tabel bevat de ingebouwde rollen voor Azure Files.
| Azure RBAC-rol | Beschrijving |
|---|---|
| Inzender voor opslagbestandsgegevens via SMB-share | Gebruikers met deze rol hebben lees-, schrijf- en verwijdertoegang in Azure-bestandsshares via SMB. |
| Inzender met verhoogde bevoegdheden voor opslagbestandsgegevens via SMB-share | Gebruikers in deze rol hebben lees-, schrijf-, verwijder- en wijzigingstoegang tot NTFS-machtigingen in Azure-bestandsshares via SMB. Deze rol heeft machtigingen voor volledig beheer voor de Azure-bestandsshare. |
| Lezer voor opslagbestandgegevens via SMB-share | Gebruikers met deze rol hebben leestoegang tot de Azure-bestandsshare via SMB. |
| Lezer met bevoegdheid voor opslagbestandsgegevens | Gebruikers in deze rol hebben volledige leestoegang tot alle gegevens in de shares voor alle geconfigureerde opslagaccounts, ongeacht de NTFS-machtigingen op bestand/mapniveau die zijn ingesteld. |
| Inzender met bevoegdheid voor opslagbestandsgegevens | Gebruikers in deze rol hebben volledige lees-, schrijf-, wijzigings-ACL's en verwijderen toegang tot alle gegevens in de shares voor alle geconfigureerde opslagaccounts, ongeacht de NTFS-machtigingen op bestand/directoryniveau die zijn ingesteld. |
Indien nodig kunt u ook aangepaste RBAC-rollen maken en gebruiken. RBAC-rollen verlenen echter alleen toegang tot een share. Voor toegang tot bestanden moet een gebruiker ook machtigingen op map- en bestandsniveau hebben.
Azure-bestandsshares dwingen standaardmachtigingen voor Windows-bestanden af op map- en bestandsniveau. U kunt de share koppelen en machtigingen configureren via SMB op dezelfde manier als met on-premises bestandsshares.
Belangrijk
Voor volledig beheer van een Azure-bestandsshare, inclusief de mogelijkheid om eigenaar te worden van een bestand, moet u de sleutel van het opslagaccount gebruiken.
Gegevensversleuteling
Alle gegevens die zijn opgeslagen in een Azure-opslagaccount (inclusief de gegevens op Azure-bestandsshares), worden altijd in rust versleuteld met behulp van Storage Service Encryption (SSE). Gegevens worden versleuteld omdat ze worden geschreven in Azure-datacenters en worden automatisch ontsleuteld wanneer u deze opent. Gegevens worden standaard versleuteld met behulp van door Microsoft beheerde sleutels, maar u kunt ervoor kiezen om uw eigen versleutelingssleutel mee te nemen.
Standaard is voor alle Azure-opslagaccounts versleuteling in transit ingeschakeld. Dit zorgt ervoor dat alle gegevens worden versleuteld bij het overdragen van het Azure-datacenter naar uw apparaat. Niet-versleutelde toegang met behulp van SMB 2.1 en SMB 3.0 zonder versleuteling of HTTP is standaard niet toegestaan en clients kunnen geen verbinding maken met Azure-bestandsshares zonder versleuteling. Dit kan worden geconfigureerd voor een Azure-opslagaccount en is effectief voor alle opslagaccountservices.
Azure-bestandsshares maken
Azure Files wordt geïmplementeerd als onderdeel van een Azure-opslagaccount. Instellingen die u opgeeft bij het maken van een Azure-opslagaccount, zoals locatie, replicatie en connectiviteitsmethode, zijn ook van toepassing op Azure Files. Sommige azure-opslagaccountinstellingen, zoals prestaties en accounttype, kunnen opties beperken die beschikbaar zijn voor Azure Files. Als u bijvoorbeeld Premium-bestandsshares wilt gebruiken die SSD's gebruiken, moet u premiumprestaties en het FileStorage-accounttype selecteren bij het maken van het Azure-opslagaccount.
Nadat een Azure-opslagaccount is ingesteld, kunt u een Azure-bestandsshare maken met behulp van Azure Portal, Azure PowerShell, Azure Cli (Opdrachtregelinterface) of REST API. U kunt ook een Azure-opslagaccount maken met behulp van het Windows-beheercentrum wanneer u Azure File Sync implementeert.
Als u een standaard-SMB Azure-bestandsshare wilt maken, gebruikt u de volgende procedure. Als u een Premium Azure-bestandsshare maakt, moet u ook ingerichte capaciteit opgeven.
- Meld u aan bij Azure Portal en selecteer het juiste opslagaccount.
- Selecteer in het servicemenu onder Gegevensopslag de optie Bestandsshares.
- Selecteer + Bestandsshare in het detailvenster op de werkbalk.
- Voer op de blade Nieuwe bestandsshare de gewenste naam in en selecteer een Access-laag.
- Selecteer Controleren en maken en selecteer vervolgens Maken.