共用方式為

SMB 存取 Azure 檔案儲存體 身分識別型驗證概觀

  • 發行項

本文說明如何使用內部部署或 Azure 中的身分識別型驗證,透過 SMB 啟用 Azure 檔案共用的身分識別型存取。 就像 Windows 檔伺服器一樣,您可以將許可權授與共用、目錄或檔案層級的身分識別。 在您的記憶體帳戶上啟用以身分識別為基礎的驗證,不需要額外的服務費用。

網路文件系統 (NFS) 共用目前不支援以身分識別為基礎的驗證。 不過,它可透過SMB提供給Windows和 Linux用戶端使用。

基於安全性考慮,建議使用身分識別型驗證來存取檔案共用,而不要使用記憶體帳戶密鑰。

重要

永遠不要共用您的記憶體帳戶金鑰。 請改用身分識別型驗證。

運作方式

Azure 檔案共用會使用 Kerberos 通訊協定向身分識別來源進行驗證。 當與用戶端上執行的使用者或應用程式相關聯的身分識別嘗試存取 Azure 檔案共用中的數據時,會將要求傳送至身分識別來源以驗證身分識別。 如果驗證成功,識別來源會傳回 Kerberos 票證。 然後客戶端會傳送包含 Kerberos 票證的要求,Azure 檔案儲存體 使用該票證來授權要求。 Azure 檔案儲存體 服務只會接收 Kerberos 票證,而不是使用者的存取認證。

常見使用案例

使用 SMB Azure 檔案共用的身分識別型驗證在各種案例中很有用:

取代內部部署檔案伺服器

取代分散的內部部署檔伺服器,是每個組織在IT現代化旅程中面臨的挑戰。 使用身分識別型驗證搭配 Azure 檔案儲存體 提供順暢的移轉體驗,讓用戶能夠繼續使用相同的認證來存取其數據。

將應用程式隨即轉移至 Azure

當您將應用程式隨即轉移至雲端時,可能會想要保留相同的驗證模型以進行檔案共用存取。 身分識別型驗證不需要變更目錄服務、加快雲端採用。

備份和災害復原 (DR)

如果您要在內部部署環境中保留主要檔案記憶體,Azure 檔案儲存體 是備份和DR的理想解決方案,可改善商務持續性。 您可以使用 Azure 檔案共享來備份檔案伺服器,同時保留 Windows 任意存取控制清單 (DACL)。 在 DR 案例中,您可以設定驗證選項,在容錯移轉時支援適當的存取控制強制執行。

選擇記憶體帳戶的身分識別來源

在記憶體帳戶上啟用身分識別型驗證之前,您必須知道您要使用的身分識別來源。 您可能已經有一個,因為大部分的公司和組織都已設定某種類型的網域環境。 請洽詢您的 Active Directory(AD)或 IT 系統管理員以確定。 如果您還沒有身分識別來源,您必須先設定一個身分識別來源,才能啟用身分識別型驗證。

支援的驗證案例

您可以使用三個身分識別來源之一,透過SMB啟用身分識別型驗證:內部部署 Active Directory 網域服務 (AD DS)Microsoft Entra Domain Services,或Microsoft Entra Kerberos(僅限混合式身分識別)。 您只能針對每個記憶體帳戶使用一個身分識別來源進行檔案存取驗證,並套用至帳戶中的所有檔案共用。

  • 內部部署 AD DS:內部部署 AD DS 用戶端和虛擬機 (VM) 可以使用 內部部署的 Active Directory 認證來存取 Azure 檔案共用。 內部部署 AD DS 環境必須使用內部部署Microsoft Entra Connect 應用程式或 Microsoft Entra Connect 雲端同步,同步處理為可從 Microsoft Entra Admin Center 安裝的羽量型代理程式,才能將內部部署 AD DS 環境同步至 Microsoft Entra ID。 若要使用此驗證方法,您的客戶端必須已加入網域,或已對 AD DS 進行未受限制的網路連線。 請參閱必要條件的完整清單。

  • Microsoft適用於混合式身分識別的 Entra Kerberos: 您可以使用 Microsoft Entra ID 來驗證 混合式使用者身分識別,讓使用者不需要對域控制器進行網路連線,即可存取 Azure 檔案共用。 此選項需要現有的 AD DS 部署,然後同步至您的Microsoft Entra 租使用者,讓Microsoft Entra ID 可以驗證混合式身分識別。 目前不支援使用此方法的僅限雲端身分識別。 請參閱必要條件的完整清單。

  • Microsoft Entra Domain Services: 已加入 Microsoft Entra Domain Services 的雲端式 VM 可以使用 Microsoft Entra 認證來存取 Azure 檔案共用。 在此解決方案中,Microsoft Entra ID 會執行傳統的 Windows Server AD 網域,該網域是客戶Microsoft Entra 租使用者的子系。 Microsoft Entra Domain Services 目前是唯一用來驗證僅限雲端身分識別的選項。 請參閱必要條件的完整清單。

使用下列指導方針來判斷您應該選擇哪一個身分識別來源。

  • 如果您的組織已經有內部部署 AD,且尚未準備好將身分識別移至雲端,而且如果您的用戶端、VM 和應用程式已加入網域,或未限制這些域控制器的網路連線,請選擇 AD DS。

  • 如果部分或所有客戶端沒有對 AD DS 的未受限制網路連線,或如果您要將 FSLogix 配置檔儲存在已加入 Microsoft Entra 之 VM 的 Azure 檔案共用上,請選擇 [Microsoft Entra Kerberos]。

  • 如果您有現有的內部部署AD,但打算將應用程式移至雲端,而且您想要讓身分識別同時存在於內部部署和雲端中,請選擇 Microsoft Entra Kerberos。

  • 如果您沒有現有的身分識別來源,如果您需要驗證僅限雲端的身分識別,或如果您已經使用 Microsoft Entra Domain Services,請選擇 [Microsoft Entra Domain Services]。 如果您尚未在 Azure 中部署網域服務,您會注意到此服務的 Azure 帳單上有新的費用。

啟用身分識別來源

選擇身分識別來源之後,您必須在記憶體帳戶上啟用它。

AD DS

針對 AD DS 驗證,您必須將用戶端電腦或 VM 加入網域。 您可以在 Azure VM 或內部部署上裝載 AD 域控制器。 無論使用何種方式,已加入網域的用戶端必須具有該網域控制站不受限制的網路連線能力,因此必須位於您網域服務的公司網路或虛擬網路 (VNET) 內。

下圖說明透過 SMB,對 Azure 檔案共用進行的內部部署 AD DS 驗證。 內部部署 AD DS 必須使用 Microsoft Entra Connect 同步或 Microsoft Entra Connect 雲端同步,同步至 Microsoft Entra ID。只有內部部署 AD DS 和 Microsoft Entra ID 中的混合式使用者身分識別,才能進行驗證並取得 Azure 檔案共用存取。 這是因為共用層級權限是針對 Microsoft Entra ID 中所示的身分識別而設定,而 AD DS 內的身分識別係強制執行目錄/檔案層級權限。 請確定您已針對相同的混合式使用者正確設定權限。

圖表描述透過SMB對 Azure 檔案共用的內部部署AD DS驗證。

若要啟用 AD DS 驗證,請先閱讀概觀 - 內部部署的 Active Directory 透過 SMB 進行 Azure 檔案共用的網域服務驗證,然後參閱啟用 Azure 檔案共用的 AD DS 驗證。

適用於混合式身分識別的 Microsoft Entra Kerberos

啟用和設定 Microsoft Entra ID 以驗證混合式使用者身分識別,可讓 Microsoft Entra 使用者使用 Kerberos 驗證來存取 Azure 檔案共用。 此設定會使用 Microsoft Entra ID 發出 Kerberos 票證,以使用業界標準 SMB 通訊協定存取檔案共用。 這表示使用者可以存取 Azure 檔案共用,而不需要從已加入Microsoft Entra 混合式和已加入 entra 的 VM Microsoft域控制器進行網路連線。 不過,為使用者和群組設定目錄和檔案層級權限,需要能夠不受限制網路連線至內部部署網域控制站。

重要

Microsoft Entra Kerberos 驗證僅支援混合式使用者身分識別,不支援僅限雲端的身分識別。 必須部署傳統 AD DS,且必須使用 Microsoft Entra Connect Sync 同步或 Microsoft Entra Connect 雲端同步,同步至 Microsoft Entra ID。用戶端必須是已加入 Microsoft Entra 或已加入 Microsoft Entra 混合式。 Microsoft Entra Kerberos 不支援已加入 Microsoft Entra Domain Services 或僅加入 AD 的用戶端。

Microsoft透過SMB進行混合式身分識別的 Kerberos 驗證設定圖表。

若要啟用混合式身分識別的 Microsoft Entra Kerberos 驗證,請參閱在 Azure 檔案儲存體 上啟用混合式身分識別的 Microsoft Entra Kerberos 驗證。

您也可使用這項功能,針對已加入 Microsoft Entra 的 VM,將 FSLogix 設定檔儲存在 Azure 檔案共用內。 如需詳細資訊,請參閱使用 Azure 檔案儲存體和 Microsoft Entra ID 建立設定檔容器

Microsoft Entra Domain Services

針對Microsoft Entra Domain Services 驗證,您必須啟用 Microsoft Entra Domain Services,並加入您計劃從中存取檔案數據的 VM。 已加入網域的 VM 必須位於與 Microsoft Entra Domain Services 裝載網域相同的 VNET 中。

下圖代表透過 SMB,對 Azure 檔案共用進行 Microsoft Entra Domain Services 驗證的工作流程。 其模式類似於內部部署 AD DS 驗證,但有兩個主要差異:

  • 您不需要在 Microsoft Entra Domain Services 中建立身分識別,即可代表記憶體帳戶。 這會由背景中的啟用流程執行。

  • 存在於 Microsoft Entra ID 中的所有使用者都可進行驗證和授權。 用戶可以是僅限雲端或混合式。 從 Microsoft Entra ID 到 Microsoft Entra Domain Services 的同步處理是由平台管理,無須任何使用者設定。 然而,用戶端必須加入 Microsoft Entra Domain Services 託管網域, 不可僅加入或註冊 Microsoft Entra。 Microsoft Entra Domain Services 不支援非 Azure 用戶端 (例如使用者的筆記型電腦、工作站、其他雲端中的 VM 等) 加入 Microsoft Entra Domain Services 託管網域。 然而,只要提供明確認證 (如 DOMAINNAME\username) 或使用完整網域名稱 (username@FQDN),即可從未加入網域的用戶端掛接檔案共用。

透過SMB Azure 檔案儲存體 Microsoft Entra Domain Services 驗證的組態圖。

若要啟用 Microsoft Entra Domain Services 驗證,請參閱在 Azure 檔案儲存體 上啟用 Microsoft Entra Domain Services 驗證。

授權和存取控制

無論您選擇哪一個身分識別來源,一旦您啟用該身分識別來源,就必須設定授權。 Azure 檔案儲存體 在共用層級和目錄/檔案層級上強制執行使用者存取的授權。

您可以將共享層級許可權指派給透過 Azure RBAC 管理Microsoft Entra 使用者或群組。 使用 Azure RBAC,您針對檔案存取使用的認證應可用於 Microsoft Entra ID 或同步至其中。 您可以將記憶體檔案數據 SMB 共用讀取器Azure 內建角色指派給 Microsoft Entra 識別符中的使用者或群組,以授與檔案共用的存取權。

在目錄/檔案層級,Azure 檔案儲存體 支援保留、繼承及強制執行 Windows ACL。 在現有檔案共用與您的 Azure 檔案共用之間,透過 SMB 複製資料時,您可以選擇保留 Windows ACL。 無論您是否打算強制授權,都可使用 Azure 檔案共用來備份 ACL 和您的資料。

設定共用層級許可權

在記憶體帳戶上啟用身分識別來源之後,您必須執行下列其中一項來存取檔案分享:

  • 設定適用於所有已驗證使用者和群組的預設共用層級權限
  • 將內建的 Azure RBAC 角色指派給使用者和群組,或
  • 設定 Microsoft Entra 身分識別的自訂角色,並將存取權限指派給儲存體帳戶中的檔案共用。

指派的共用層級權限讓授與的身分識別只取得共用的存取權,甚至沒有根目錄的存取權。 您仍須個別設定目錄和檔案層級權限。

注意

您無法使用 Azure RBAC 將共用層級許可權指派給電腦帳戶(計算機帳戶),因為電腦帳戶無法同步至 Microsoft Entra 識別碼中的身分識別。 如果您希望允許電腦帳戶使用身分識別型驗證存取 Azure 檔案共用,請使用預設共用層級權限,或考慮改用服務登入帳戶。

設定目錄或檔案層級許可權

Azure 檔案共用會在目錄和檔案層級 (包括根目錄) 強制執行標準 Windows ACL。 目錄或檔案層級權限的設定可透過 SMB 和 REST 來支援。 從 VM 掛接目標檔案共用,並使用 Windows 檔案總管、Windows icaclsSet-ACL 命令來設定權限。

將數據匯入至 Azure 檔案儲存體 時保留目錄和檔案 ACL

Azure 檔案儲存體 支援將數據複製到 Azure 檔案共用時保留目錄或檔案層級 ACL。 您可以使用 Azure 檔案同步或一般檔案移動工具組,將目錄或檔案上的 ACL 複製到 Azure 檔案共用。 例如,您可以使用 robocopy 搭配 /copy:s 旗標,將資料和 ACL 一起複製到 Azure 檔案共用。 預設會保留 ACL,因此您無須在儲存體帳戶上啟用身分識別型驗證,即可保留 ACL。

字彙

最好先了解 Azure 檔案共用適用的身分識別型驗證一些相關重要詞彙:

  • Kerberos 驗證

    Kerberos 是用來驗證使用者或主機身分的驗證通訊協定。 如需有關 Kerberos 的詳細資訊,請參閱 Kerberos 驗證概觀

  • 伺服器訊息區 (SMB) 通訊協定

    SMB 是業界標準網路檔案共用通訊協定。 如需有關 SMB 的詳細資訊,請參閱 Microsoft SMB 通訊協定和 CIFS 通訊協定概觀

  • Microsoft Entra ID

    Microsoft Entra ID(先前稱為 Azure AD)是Microsoft的多租使用者雲端式目錄和身分識別管理服務。 Microsoft Entra ID 將核心目錄服務、應用程式存取管理及身分識別保護結合到單個解決方案。

  • Microsoft Entra Domain Services

    Microsoft Entra Domain Services 提供受控網域服務,例如:加入網域、群組原則、LDAP 以及 Kerberos/NTLM 驗證。 這些服務均與 Active Directory Domain Services 完全相容。 如需詳細資訊,請參閱 Microsoft Entra Domain Services

  • 內部部署的 Active Directory Domain Services (AD DS)

    在內部部署環境或雲端託管 VM 中,企業通常會採用 AD DS,並使用 AD DS 認證作為存取控制。 如需詳細資訊,請參閱 Active Directory Domain Services 概觀

  • Azure 角色型存取控制 (Azure RBAC)

    Azure RBAC 可提供細部的 Azure 存取管理能力。 使用 Azure RBAC,您可以對使用者授與執行其工作所需的最少權限,以管理對資源的存取。 如需詳細資訊,請參閱什麼是 Azure 角色型存取控制?

  • 混合式身分識別

    混合式使用者身分識別為 AD DS 內的身分識別,可同步至 Microsoft Entra ID,方法是使用內部部署 Microsoft Entra Connect Sync 應用程式或 Microsoft Entra Connect 雲端同步 (可從 Microsoft Entra 系統管理中心安裝的輕量型代理程式)。

後續步驟

如需詳細資訊,請參閱