Обзор проверки подлинности на основе удостоверений Файлы Azure для доступа SMB
В этой статье объясняется, как использовать проверку подлинности на основе удостоверений ( локальную или в Azure) для включения доступа на основе удостоверений к общим папкам Azure через SMB. Как и файловые серверы Windows, вы можете предоставить разрешения на удостоверение на уровне общего ресурса, каталога или файла. Дополнительная плата за обслуживание не взимается, чтобы включить проверку подлинности на основе удостоверений в учетной записи хранения.
Проверка подлинности на основе удостоверений в настоящее время не поддерживается в общих папках сетевой файловой системы (NFS). Однако он доступен через SMB для клиентов Windows и Linux.
По соображениям безопасности рекомендуется использовать проверку подлинности на основе удостоверений для доступа к общим папкам с помощью ключа учетной записи хранения.
Внимание
Никогда не делитесь ключами учетной записи хранения. Вместо этого используйте проверку подлинности на основе удостоверений.
Принцип работы
Общие папки Azure используют протокол Kerberos для проверки подлинности с помощью источника удостоверений. Если удостоверение, связанное с пользователем или приложением, запущенным на клиенте, пытается получить доступ к данным в общих папках Azure, запрос отправляется источнику удостоверений для проверки подлинности удостоверения. Если проверка подлинности выполнена успешно, источник удостоверений возвращает билет Kerberos. Затем клиент отправляет запрос, включающий билет Kerberos, и Файлы Azure использует этот билет для авторизации запроса. Служба Файлы Azure получает только билет Kerberos, а не учетные данные доступа пользователя.
Распространенные варианты использования
Проверка подлинности на основе удостоверений с помощью общих папок Azure SMB может оказаться полезной в различных сценариях:
Замена локальных файловых серверов
Замена разбросанных локальных файловых серверов — это проблема, с которыми сталкивается каждая организация во время модернизации ИТ-специалистов. Использование проверки подлинности на основе удостоверений с Файлы Azure обеспечивает простой процесс миграции, что позволяет конечным пользователям продолжать получать доступ к данным с теми же учетными данными.
Перенос приложений в Azure по методу lift-and-shift
При подъеме и перемещении приложений в облако, скорее всего, потребуется сохранить ту же модель проверки подлинности для доступа к общей папке. Проверка подлинности на основе удостоверений устраняет необходимость изменения службы каталогов и ускорения внедрения облака.
Резервное копирование и аварийное восстановление (DR)
Если вы храните основное хранилище файлов в локальной среде, Файлы Azure является идеальным решением для резервного копирования и аварийного восстановления для повышения непрерывности бизнес-процессов. Общие папки Azure можно использовать для резервного копирования файловых серверов при сохранении списков управления доступом для Windows для управления доступом (DACLs). Для сценариев аварийного восстановления можно настроить параметр проверки подлинности для поддержки надлежащего управления доступом при отработке отказа.
Выбор источника удостоверений для учетной записи хранения
Прежде чем включить проверку подлинности на основе удостоверений в учетной записи хранения, необходимо знать, какой источник удостоверений вы собираетесь использовать. Скорее всего, у вас уже есть один, так как большинство компаний и организаций имеют определенный тип среды домена. Чтобы убедиться, обратитесь к администратору Active Directory (AD) или ИТ-администратору. Если у вас еще нет источника удостоверений, необходимо настроить его, прежде чем включить проверку подлинности на основе удостоверений.
Поддерживаемые сценарии проверки подлинности
Проверку подлинности на основе удостоверений можно включить через SMB, используя один из трех источников удостоверений: локальные службы домен Active Directory (AD DS), доменные службы Microsoft Entra или Microsoft Entra Kerberos (только гибридные удостоверения). Вы можете использовать только один источник удостоверений для проверки подлинности доступа к файлам для каждой учетной записи хранения и применяется ко всем общим папкам в учетной записи.
Локальные доменные службы ACTIVE DS. Локальные клиенты и виртуальные машины AD DS (виртуальные машины) могут получить доступ к общим папкам Azure с помощью учетных данных локальная служба Active Directory. Локальная среда AD DS должна быть синхронизирована с идентификатором Microsoft Entra ID с помощью локального приложения Microsoft Entra Connect или облачной синхронизации Microsoft Entra Connect, упрощенного агента, который можно установить из Центра администрирования Microsoft Entra. Чтобы использовать этот метод проверки подлинности, клиент должен быть присоединен к домену или не подключен к ad DS. Полный список необходимых компонентов см. в списке необходимых компонентов.
Microsoft Entra Kerberos для гибридных удостоверений. Идентификатор Microsoft Entra можно использовать для проверки подлинности гибридных удостоверений пользователей, позволяя конечным пользователям получать доступ к общим папкам Azure без необходимости подключения к контроллерам домена. Для этого параметра требуется существующее развертывание AD DS, которое затем синхронизируется с клиентом Microsoft Entra, чтобы идентификатор Microsoft Entra смог пройти проверку подлинности гибридных удостоверений. В настоящее время удостоверения, доступные только для облака, не поддерживаются с помощью этого метода. Полный список необходимых компонентов см. в списке необходимых компонентов.
Доменные службы Microsoft Entra: облачные виртуальные машины, присоединенные к доменным службам Microsoft Entra, могут получить доступ к общим папкам Azure с учетными данными Microsoft Entra. В этом решении идентификатор Microsoft Entra запускает традиционный домен Windows Server AD, который является дочерним клиентом Клиента Microsoft Entra. Доменные службы Microsoft Entra в настоящее время являются единственным вариантом проверки подлинности удостоверений, доступных только для облака. Полный список необходимых компонентов см. в списке необходимых компонентов.
Используйте следующие рекомендации, чтобы определить, какой источник удостоверений следует выбрать.
Если у вашей организации уже есть локальная служба AD и она не готова перемещать удостоверения в облако, а если клиенты, виртуальные машины и приложения присоединены к домену или не подключены к этим контроллерам домена, выберите AD DS.
Если некоторые или все клиенты не имеют единого сетевого подключения к AD DS или если вы храните профили FSLogix в общих папках Azure для виртуальных машин, присоединенных к Microsoft Entra, выберите Microsoft Entra Kerberos.
Если у вас есть локальная служба AD, но планируется переместить приложения в облако, и вы хотите, чтобы удостоверения существовали как в локальной среде, так и в облаке, выберите Microsoft Entra Kerberos.
Если у вас нет существующего источника удостоверений, если требуется пройти проверку подлинности только облачных удостоверений или если вы уже используете доменные службы Microsoft Entra, выберите доменные службы Microsoft Entra. Если у вас еще нет службы домена, развернутой в Azure, вы заметите новую плату за счет Azure для этой службы.
Включение источника удостоверений
После выбора источника удостоверений необходимо включить его в учетной записи хранения.
AD DS
Для проверки подлинности AD DS необходимо присоединить клиентские компьютеры или виртуальные машины к домену. Вы можете разместить контроллеры домена AD на виртуальных машинах Azure или локально. В любом случае клиенты, присоединенные к домену, должны иметь неодновременное сетевое подключение к контроллеру домена, поэтому они должны находиться в корпоративной сети или виртуальной сети вашей службы домена.
На следующей схеме показана локальная проверка подлинности AD DS в общих папках Azure по протоколу SMB. Локальные ad DS должны быть синхронизированы с идентификатором Microsoft Entra Id с помощью синхронизации Microsoft Entra Connect или облачной синхронизации Microsoft Entra Connect. Для доступа к общей папке Azure можно пройти проверку подлинности и авторизацию только гибридных удостоверений пользователей, которые существуют как в локальной службе AD DS, так и идентификатор Microsoft Entra. Это связано с тем, что разрешение на уровне общего ресурса настроено для удостоверения, представленного в идентификаторе Microsoft Entra, в то время как разрешение на уровне каталога или файла применяется в AD DS. Убедитесь, что вы правильно настроили разрешения для одного и того же гибридного пользователя.
Чтобы включить проверку подлинности AD DS, сначала ознакомьтесь с обзором— локальная служба Active Directory аутентификации доменных служб по протоколу SMB для общих папок Azure, а затем см. раздел "Включить проверку подлинности AD DS" для общих папок Azure.
Microsoft Entra Kerberos для гибридных удостоверений
Включение и настройка идентификатора Microsoft Entra для проверки подлинности удостоверений гибридных пользователей позволяет пользователям Microsoft Entra получать доступ к общим папкам Azure с помощью проверки подлинности Kerberos. Эта конфигурация использует идентификатор Microsoft Entra для выдачи билетов Kerberos для доступа к общей папке с помощью стандартного протокола SMB в отрасли. Это означает, что конечные пользователи могут получить доступ к общим папкам Azure, не требуя сетевого подключения к контроллерам домена из гибридного соединения Microsoft Entra и присоединенных к Microsoft Entra виртуальных машин. Однако для настройки разрешений на уровне каталога и файлов для пользователей и групп требуется неодновременное сетевое подключение к локальному контроллеру домена.
Внимание
Проверка подлинности Microsoft Entra Kerberos поддерживает только гибридные удостоверения пользователей; он не поддерживает удостоверения, доступные только для облака. Требуется традиционное развертывание AD DS, и оно должно быть синхронизировано с идентификатором Microsoft Entra Connect с помощью службы синхронизации Microsoft Entra Connect или облачной синхронизации Microsoft Entra Connect. Клиенты должны быть присоединены к Microsoft Entra или гибридное присоединение к Microsoft Entra. Microsoft Entra Kerberos не поддерживается для клиентов, присоединенных к доменным службам Microsoft Entra или присоединенных только к AD.
Сведения о включении проверки подлинности Microsoft Entra Kerberos для гибридных удостоверений см. в статье "Включение проверки подлинности Microsoft Entra Kerberos" для гибридных удостоверений в Файлы Azure.
Эту функцию можно также использовать для хранения профилей FSLogix в общих папках Azure для виртуальных машин, присоединенных к Microsoft Entra. Дополнительные сведения см. в разделе "Создание контейнера профиля с Файлы Azure и идентификатором Microsoft Entra".
Доменные службы Microsoft Entra
Для проверки подлинности доменных служб Microsoft Entra необходимо включить доменные службы Microsoft Entra и присоединиться к виртуальным машинам, которые планируется получить доступ к данным файлов. Виртуальная машина, присоединенная к домену, должна находиться в той же виртуальной сети, что и размещенный домен доменных служб Microsoft Entra.
На следующей схеме представлен рабочий процесс проверки подлинности доменных служб Microsoft Entra в общих папках Azure по протоколу SMB. Он соответствует аналогичной схеме локальной проверки подлинности AD DS, но существует два основных различия.
Для представления учетной записи хранения не требуется создать удостоверение в доменных службах Microsoft Entra. Это выполняется процессом включения в фоновом режиме.
Все пользователи, которые существуют в идентификаторе Microsoft Entra, могут проходить проверку подлинности и авторизованы. Пользователи могут быть облачными или гибридными. Синхронизация с идентификатором Microsoft Entra с доменными службами Microsoft Entra управляется платформой, не требуя настройки пользователя. Однако клиент должен быть присоединен к домену, размещенного в домене доменных служб Microsoft Entra. Оно не может быть присоединено к Microsoft Entra или зарегистрировано. Доменные службы Microsoft Entra не поддерживают клиенты, отличные от Azure (например, пользовательские ноутбуки, рабочие станции, виртуальные машины в других облаках и т. д.), присоединенные к домену доменных служб Microsoft Entra. Однако можно подключить общую папку из клиента, не присоединенного к домену, предоставив явные учетные данные, такие как DOMAINNAME\username или используя полное доменное имя (username@FQDN).
Сведения о включении проверки подлинности доменных служб Microsoft Entra см. в статье "Включение проверки подлинности доменных служб Microsoft Entra" на Файлы Azure.
Проверка подлинности и управление доступом
Независимо от выбранного источника удостоверений, после его включения необходимо настроить авторизацию. Файлы Azure применяет авторизацию для доступа пользователей как на уровне общего ресурса, так и на уровне каталога или файла.
Вы можете назначить разрешения на уровне общего доступа пользователям или группам Microsoft Entra, управляемым с помощью Azure RBAC. При использовании Azure RBAC учетные данные, используемые для доступа к файлам, должны быть доступны или синхронизированы с идентификатором Microsoft Entra. Встроенные роли Azure, такие как средство чтения общих файловых данных хранилища SMB , можно назначать пользователям или группам в идентификаторе Microsoft Entra, чтобы предоставить доступ к общей папке.
На уровне каталога или файла Файлы Azure поддерживает сохранение, наследование и применение списков управления доступом Windows. Вы можете сохранить списки управления доступом Windows при копировании данных по SMB между существующей общей папкой и общими папками Azure. Вне зависимости от того, планируется применять авторизацию или нет, общую папку Azure можно использовать для резервного копирования списков ACL вместе с данными.
Настройка разрешений на уровне общего доступа
После включения источника удостоверений в учетной записи хранения необходимо выполнить одно из следующих действий, чтобы получить доступ к общей папке:
- Установка разрешения на уровне общего доступа по умолчанию, которое применяется ко всем прошедшим проверку подлинности пользователям и группам
- Назначение встроенных ролей Azure RBAC пользователям и группам или
- Настройте пользовательские роли для удостоверений Microsoft Entra и назначьте права доступа к общим папкам в учетной записи хранения.
Назначенное разрешение на уровне общего ресурса позволяет предоставленному удостоверению получить доступ только к общей папке, ничего другого, а не корневого каталога. Вам по-прежнему необходимо отдельно настроить разрешения на уровне каталога и файлов.
Примечание.
Нельзя назначать разрешения на уровне общего ресурса учетным записям компьютеров (учетным записям компьютеров) с помощью Azure RBAC, так как учетные записи компьютеров не могут быть синхронизированы с удостоверением в идентификаторе Microsoft Entra. Если вы хотите разрешить учетной записи компьютера доступ к общим папкам Azure с помощью проверки подлинности на основе удостоверений, используйте разрешение на уровне общего доступа по умолчанию или попробуйте использовать учетную запись входа в службу.
Настройка разрешений на уровне каталога или файлов
Общие папки Azure применяют стандартные списки управления доступом Windows как на уровне каталога, так и на уровне файлов, включая корневой каталог. Конфигурация разрешений на уровне каталога или файла поддерживается как по SMB, так и с помощью REST. Подключите целевую общую папку с вашей виртуальной машины и настройте разрешения с помощью проводника Windows и команды Windows icacls или Set-ACL.
Сохранение списков управления доступом к каталогу и файлам при импорте данных в Файлы Azure
Файлы Azure поддерживает сохранение каталогов или списков управления доступом на уровне файлов при копировании данных в общие папки Azure. Вы можете скопировать списки управления доступом для каталога или файла в общие папки Azure с помощью службы "Синхронизация файлов Azure" или обычных наборов инструментов для перемещения файлов. Например, для копирования данных, а также списков управления доступом в общую папку Azure вы можете использовать команду robocopy с флагом /copy:s. Списки управления доступом сохраняются по умолчанию, поэтому для сохранения списков управления доступом не требуется включить проверку подлинности на основе удостоверений в учетной записи хранения.
Глоссарий
Полезно понять некоторые ключевые термины, связанные с проверкой подлинности на основе удостоверений для общих папок Azure:
Проверка подлинности Kerberos
Kerberos — это протокол проверки подлинности, используемый для проверки удостоверения пользователя или узла. Дополнительные сведения о протоколе Kerberos см. в разделе Обзор проверки подлинности Kerberos.
Протокол SMB (Server Message Block)
SMB — это стандартный протокол обмена файлами по сети. Дополнительные сведения о SMB см. в разделе Протокол SMB Майкрософт и обзор протокола CIFS.
Microsoft Entra ID
Идентификатор Microsoft Entra (прежнее название — Azure AD) — это мультитенантная облачная служба каталогов и службы управления удостоверениями Майкрософт. Идентификатор Microsoft Entra объединяет основные службы каталогов, управление доступом к приложениям и защиту идентификации в одном решении.
Доменные службы Microsoft Entra
Доменные службы Microsoft Entra предоставляют управляемые доменные службы, такие как присоединение к домену, групповые политики, LDAP и проверка подлинности Kerberos/NTLM. Эти службы полностью совместимы с доменными службами Active Directory. Дополнительные сведения см. в разделе "Доменные службы Microsoft Entra".
Локальные доменные службы Active Directory (AD DS)
AD DS обычно используется предприятиями в локальных средах или на облачных виртуальных машинах, а учетные данные AD DS используются для управления доступом. Дополнительные сведения см. в обзоре доменных служб Active Directory.
Управление доступом на основе ролей в Azure (Azure RBAC).
Azure RBAC предлагает детализированное управление доступом для Azure. С помощью Azure RBAC можно управлять доступом к ресурсам, предоставляя пользователям наименьшие необходимые разрешения для выполнения поставленных задач. Дополнительные сведения см. в статье "Что такое управление доступом на основе ролей Azure"?
Гибридные удостоверения
Гибридные удостоверения пользователей — это удостоверения в AD DS, которые синхронизируются с идентификатором Microsoft Entra ID с помощью локального приложения Синхронизации Microsoft Entra Connect или облачной синхронизации Microsoft Entra Connect, упрощенного агента, который можно установить из Центра администрирования Microsoft Entra.
Следующий шаг
Дополнительные сведения см. в разделе: