نظرة عامة على خيارات المصادقة المستندة إلى هوية ملفات Azure للوصول إلى SMB

توضح هذه المقالة كيف يمكن لمشاركات ملفات Azure استخدام خدمات المجال، إما محليا أو في Azure، لدعم الوصول المستند إلى الهوية إلى مشاركات ملفات Azure عبر SMB. يتيح لك تمكين الوصول المستند إلى الهوية لمشاركات ملفات Azure استبدال خوادم الملفات الموجودة بمشاركات ملفات Azure دون استبدال خدمة الدليل الموجودة لديك، مع الحفاظ على وصول المستخدم السلس إلى المشاركات.

المسرد

من المفيد فهم بعض المصطلحات الرئيسية المتعلقة بالمصادقة المستندة إلى الهوية لمشاركات ملفات Azure:

  • مصادقة Kerberos

    Kerberos هو بروتوكول مصادقة يستخدم للتحقق من هوية مستخدم أو مضيف. لمزيد من المعلومات حول Kerberos، راجع نظرة عامة على مصادقة Kerberos .

  • بروتوكول Server Message Block (SMB)

    SMB هو بروتوكول مشاركة ملفات الشبكة المتوافق مع معايير الصناعة. لمزيد من المعلومات حول SMB، راجع نظرة عامة على بروتوكول Microsoft SMB وبروتوكول CIFS .

  • معرِّف Microsoft Entra

    معرف Microsoft Entra (المعروف سابقا ب Azure AD) هو دليل Microsoft متعدد المستأجرين وخدمة إدارة الهوية المستندة إلى السحابة. يجمع معرف Microsoft Entra بين خدمات الدليل الأساسية وإدارة الوصول إلى التطبيقات وحماية الهوية في حل واحد.

  • Microsoft Entra Domain Services

    توفر Microsoft Entra Domain Services خدمات مجال مدارة مثل الانضمام إلى المجال، ونهج المجموعة، وLDAP، ومصادقة Kerberos/NTLM. هذه الخدمات متوافقة تمامًا مع خدمات مجال Active Directory. لمزيد من المعلومات، راجع Microsoft Entra Domain Services.

  • خدمات مجال Active Directory الداخلية

    يوفر تكامل خدمات مجال Active Directory (AD DS) المحلية مع Azure Files طرقًا لتخزين بيانات الدليل أثناء إتاحتها لمستخدمي الشبكة والمسؤولين. تم دمج الأمان مع خدمات مجال Active Directory من خلال مصادقة تسجيل الدخول والتحكم في الوصول إلى الكائنات الموجودة في الدليل. من خلال تسجيل دخول واحد للشبكة، يمكن للمسؤولين إدارة بيانات الدليل والتنظيم عبر شبكتهم، ويمكن لمستخدمي الشبكة المعتمدين الوصول إلى الموارد في أي مكان على الشبكة. عادة ما يتم اعتماد AD DS من قبل المؤسسات في البيئات المحلية أو على الأجهزة الظاهرية المستضافة على السحابة، ويتم استخدام بيانات اعتماد AD DS للتحكم في الوصول. لمزيد من المعلومات، راجع نظرة عامة على خدمات مجال Active Directory .

  • التحكم في الوصول المستند إلى الدور في Azure (Azure RBAC)

    يتيح Azure RBAC إدارة الوصول الدقيقة ل Azure. باستخدام Azure RBAC، يمكنك إدارة الوصول إلى الموارد من خلال منح المستخدمين أقل الأذونات اللازمة لأداء وظائفهم. لمزيد من المعلومات، راجع ما هو التحكم في الوصول المستند إلى الدور في Azure؟

  • الهويات المختلطة

    هويات المستخدم المختلط هي هويات في AD DS تتم مزامنتها مع معرف Microsoft Entra باستخدام إما تطبيق Microsoft Entra Connect Sync المحلي أو مزامنة سحابة Microsoft Entra Connect، وهو عامل خفيف الوزن يمكن تثبيته من مركز إدارة Microsoft Entra.

سيناريوهات المصادقة المدعومة

تدعم Azure Files المصادقة المستندة إلى الهوية عبر SMB من خلال الطرق التالية. يمكنك استخدام أسلوب واحد فقط لكل حساب تخزين.

  • مصادقة AD DS المحلية: يمكن لأجهزة Windows المحلية المرتبطة ب AD DS أو أجهزة Windows المرتبطة بخدمات مجال Microsoft Entra الوصول إلى مشاركات ملفات Azure باستخدام بيانات اعتماد Active Directory محلي التي تتم مزامنتها مع معرف Microsoft Entra عبر SMB. يجب أن يكون لدى العميل اتصال شبكة دون عوائق ب AD DS الخاص بك. إذا كان لديك بالفعل AD DS تم إعداده محليا أو على جهاز ظاهري في Azure حيث يتم ربط أجهزتك بالمجال إلى AD الخاص بك، فيجب عليك استخدام AD DS لمصادقة مشاركات ملفات Azure.
  • مصادقة Microsoft Entra Domain Services: يمكن لأجهزة Windows الظاهرية المنضمة إلى خدمات مجال Microsoft Entra المستندة إلى السحابة الوصول إلى مشاركات ملفات Azure باستخدام بيانات اعتماد Microsoft Entra. في هذا الحل، يقوم معرف Microsoft Entra بتشغيل مجال Windows Server AD تقليدي نيابة عن العميل، وهو تابع لمستأجر Microsoft Entra الخاص بالعميل.
  • Microsoft Entra Kerberos للهويات المختلطة: يسمح استخدام معرف Microsoft Entra لمصادقة هويات المستخدمين المختلطين لمستخدمي Microsoft Entra بالوصول إلى مشاركات ملفات Azure باستخدام مصادقة Kerberos. وهذا يعني أنه يمكن للمستخدمين النهائيين الوصول إلى مشاركات ملفات Azure عبر الإنترنت دون الحاجة إلى اتصال الشبكة بوحدات التحكم بالمجال من Microsoft Entra hybrid joined وMicrosoft Entra المنضمة إلى الأجهزة الظاهرية. الهويات السحابية فقط غير مدعومة حاليا.
  • مصادقة AD Kerberos لعملاء Linux: يمكن لعملاء Linux استخدام مصادقة Kerberos عبر SMB لملفات Azure باستخدام AD DS المحلي أو Microsoft Entra Domain Services.

القيود

  • لا تدعم أي من أساليب المصادقة تعيين أذونات على مستوى المشاركة لحسابات الكمبيوتر (حسابات الأجهزة) باستخدام Azure RBAC، لأنه لا يمكن مزامنة حسابات الكمبيوتر مع هوية في Microsoft Entra ID. إذا كنت تريد السماح لحساب كمبيوتر بالوصول إلى مشاركات ملفات Azure باستخدام المصادقة المستندة إلى الهوية، فاستخدم إذنا افتراضيا على مستوى المشاركة أو ضع في اعتبارك استخدام حساب تسجيل دخول الخدمة بدلا من ذلك.
  • المصادقة المستندة إلى الهوية غير مدعومة من خلال مشاركات نظام ملفات الشبكة (NFS).

حالات الاستخدام الشائعة

يمكن أن تكون المصادقة المستندة إلى الهوية مع Azure Files مفيدة في مجموعة متنوعة من السيناريوهات:

استبدال خوادم الملفات الداخلية

يعد إهمال واستبدال خوادم الملفات الداخلية المبعثرة مشكلة شائعة تواجهها كل مؤسسة في رحلة تحديث تكنولوجيا المعلومات الخاصة بها. تعد مشاركة ملف Azure مع مصادقة خدمات مجال Active Directory الداخلية هي الأنسب هنا، عندما يمكنك ترحيل البيانات إلى Azure Files. سيسمح لك الترحيل الكامل بالاستفادة من مزايا التوافر وقابلية التوسع العالية مع تقليل التغييرات من جانب العميل أيضًا. يوفر تجربة ترحيل سلسة للمستخدمين النهائيين، حتى يتمكنوا من الاستمرار في الوصول إلى بياناتهم بنفس بيانات الاعتماد باستخدام أجهزتهم الحالية المرتبطة بالمجال.

رفع التطبيقات وتحويلها إلى Azure

عندما ترفع التطبيقات وتحولها إلى السحابة، فأنت تريد الاحتفاظ بنموذج المصادقة نفسه لبياناتك. نظرًا لأننا نقوم بتوسيع تجربة التحكم في الوصول المستند إلى الهوية لتشمل مشاركات ملفات Azure، فإنها تلغي الحاجة إلى تغيير تطبيقك إلى أساليب المصادقة الحديثة وتسريع اعتماد السحابة. توفر مشاركات ملفات Azure خيار التكامل مع Microsoft Entra Domain Services أو AD DS المحلي للمصادقة. إذا كانت خطتك ستكون سحابية أصلية بنسبة 100٪ وتقليل الجهود المبذولة لإدارة البنية الأساسية السحابية، فقد تكون خدمات مجال Microsoft Entra مناسبة بشكل أفضل كخدمة مجال مدارة بالكامل. إذا كنت بحاجة إلى التوافق الكامل مع إمكانات AD DS، فقد تحتاج إلى النظر في توسيع بيئة AD DS إلى السحابة عن طريق وحدات التحكم بالمجال ذاتية الاستضافة على الأجهزة الظاهرية. وفي كلتا الحالتين، نقدم المرونة لاختيار خدمة المجال التي تناسب احتياجات عملك.

النسخ الاحتياطي والإصلاح بعد كارثة (DR)

إذا كنت تحتفظ بمخزن الملفات الأساسي محليا، يمكن أن تكون مشاركات ملفات Azure بمثابة تخزين مثالي للنسخ الاحتياطي أو الإصلاح بعد الكوارث، لتحسين استمرارية الأعمال. يمكنك استخدام مشاركات ملفات Azure لنسخ بياناتك احتياطيا من خوادم الملفات الموجودة مع الاحتفاظ بقوائم التحكم في الوصول الاختيارية ل Windows (DACLs). بالنسبة لسيناريوهات DR، يمكنك تكوين خيار مصادقة لدعم فرض التحكم في الوصول المناسب عند تجاوز الفشل.

مزايا المصادقة المستندة إلى الهوية

توفر المصادقة المستندة إلى الهوية لملفات Azure العديد من المزايا باستخدام مصادقة المفتاح المشترك:

  • توسيع تجربة الوصول إلى مشاركة الملفات التقليدية المستندة إلى الهوية إلى السحابة
    إذا كنت تخطط لرفع تطبيقك وتحويله إلى السحابة، واستبدال خوادم الملفات التقليدية بمشاركات ملفات Azure، فقد ترغب في مصادقة التطبيق الخاص بك باستخدام بيانات اعتماد AD DS المحلية أو Microsoft Entra Domain Services للوصول إلى بيانات الملفات. تدعم Azure Files استخدام بيانات اعتماد AD DS المحلية أو Microsoft Entra Domain Services للوصول إلى مشاركات ملفات Azure عبر SMB إما من AD DS المحلي أو الأجهزة الظاهرية المرتبطة بمجال Microsoft Entra Domain Services.

  • فرض التحكم الدقيق في الوصول على مشاركات ملف Azure
    يمكنك منح أذونات لهوية معينة على مستوى المشاركة أو الدليل أو الملف. على سبيل المثال، افترض أن لديك عدة فرق باستخدام مشاركة ملف Azure واحد للتعاون المشروع. يمكنك منح جميع الفرق حق الوصول إلى الدلائل غير الحساسة، مع تقييد الوصول إلى الدلائل التي تحتوي على بيانات مالية حساسة لفريقك المالي فقط.

  • النسخ الاحتياطي لـ Windows ACLs (المعروف أيضًا باسم أذونات NTFS) جنبًا إلى جنب مع البيانات الخاصة بك
    يمكنك استخدام مشاركات الملفات Azure لدعم مشاركات الملفات المحلية الموجودة لديك. تحتفظ Azure Files بـ ACLs مع بياناتك عند عمل نسخة احتياطية من مشاركة ملف إلى مشاركات ملفات Azure عبر SMB.

طريقة العمل

تستخدم مشاركات ملفات Azure بروتوكول Kerberos للمصادقة مع مصدر AD. عندما تحاول هوية مقترنة بمستخدم أو تطبيق يعمل على عميل الوصول إلى البيانات في مشاركات ملفات Azure، يتم إرسال الطلب إلى مصدر AD لمصادقة الهوية. إذا نجحت المصادقة، فإنها تُرجع رمز Kerberos المميز. يرسل العميل طلباً يتضمن رمز Kerberos المميز، وتستخدم مشاركات ملفات Azure هذا الرمز المميز لتخويل الطلب. تتلقى مشاركات ملفات Azure رمز Kerberos المميز فقط، وليس بيانات اعتماد وصول المستخدم.

يمكنك تمكين المصادقة المستندة إلى الهوية على حسابات التخزين الجديدة والحالية باستخدام أحد مصادر AD الثلاثة: AD DS أو Microsoft Entra Domain Services أو Microsoft Entra Kerberos (الهويات المختلطة فقط). يمكن استخدام مصدر AD واحد فقط لمصادقة الوصول إلى الملفات على حساب التخزين، والذي ينطبق على جميع مشاركات الملفات في الحساب. قبل أن تتمكن من تمكين المصادقة المستندة إلى الهوية على حساب التخزين الخاص بك، يجب عليك أولا إعداد بيئة المجال الخاصة بك.

AD DS

لمصادقة AD DS المحلية، يجب عليك إعداد وحدات تحكم مجال AD والانضمام إلى مجال أجهزتك أو الأجهزة الظاهرية. يمكنك استضافة وحدات التحكم بالمجال الخاصة بك على أجهزة Azure الظاهرية أو الداخلية. وفي كلتا الحالتين، يجب أن يكون لدى العملاء المرتبطين بالمجال اتصال شبكة دون عوائق بوحدة تحكم المجال، لذلك يجب أن يكونوا ضمن شبكة الشركة أو الشبكة الظاهرية (VNET) لخدمة المجال الخاصة بك.

يوضح الرسم التخطيطي التالي مصادقة خدمات مجال Active Directory الداخلية لمشاركات ملفات Azure عبر SMB. يجب مزامنة AD DS المحلي مع معرف Microsoft Entra باستخدام Microsoft Entra Connect Sync أو مزامنة سحابة Microsoft Entra Connect. يمكن فقط مصادقة هويات المستخدمين المختلطين الموجودة في كل من AD DS المحلي ومعرف Microsoft Entra والمخولة للوصول إلى مشاركة ملف Azure. وذلك لأنه تم تكوين إذن مستوى المشاركة مقابل الهوية الممثلة في معرف Microsoft Entra، بينما يتم فرض إذن مستوى الدليل/الملف مع ذلك في AD DS. تأكد من تكوين الأذونات بشكل صحيح مقابل نفس المستخدم المختلط.

الرسم التخطيطي الذي يوضح مصادقة خدمات مجال AD DS الداخلية لمشاركات ملفات Azure عبر SMB.

لمعرفة كيفية تمكين مصادقة AD DS، اقرأ أولا نظرة عامة - Active Directory محلي مصادقة خدمات المجال عبر SMB لمشاركات ملفات Azure ثم راجع تمكين مصادقة AD DS لمشاركات ملفات Azure.

خدمات مجال Microsoft Entra

بالنسبة لمصادقة Microsoft Entra Domain Services، يجب تمكين خدمات مجال Microsoft Entra والانضمام إلى المجال للأجهزة الظاهرية التي تخطط للوصول إلى بيانات الملف منها. يجب أن يتواجد الجهاز الظاهري المرتبط بالمجال في نفس الشبكة الظاهرية (VNET) مثل Microsoft Entra Domain Services.

يمثل الرسم التخطيطي التالي سير العمل لمصادقة Microsoft Entra Domain Services لمشاركات ملفات Azure عبر SMB. يتبع نمطا مشابها لمصادقة AD DS المحلية، ولكن هناك اختلافان رئيسيان:

  1. لا تحتاج إلى إنشاء الهوية في Microsoft Entra Domain Services لتمثيل حساب التخزين. يتم تنفيذ ذلك من خلال عملية التمكين في الخلفية.

  2. يمكن مصادقة جميع المستخدمين الموجودين في معرف Microsoft Entra وتخويفهم. يمكن أن يكون المستخدم سحابيا فقط أو مختلطا. تتم إدارة المزامنة من معرف Microsoft Entra إلى Microsoft Entra Domain Services بواسطة النظام الأساسي دون الحاجة إلى أي تكوين للمستخدم. ومع ذلك، يجب ربط العميل بالمجال المستضاف Microsoft Entra Domain Services. لا يمكن أن يكون Microsoft Entra منضما أو مسجلا. لا تدعم Microsoft Entra Domain Services عملاء غير Azure (مثل أجهزة الكمبيوتر المحمولة للمستخدم ومحطات العمل والأجهزة الظاهرية في السحب الأخرى وما إلى ذلك) التي يتم ربطها بالمجال المستضاف في Microsoft Entra Domain Services. ومع ذلك، من الممكن تحميل مشاركة ملف من عميل غير مرتبط بالمجال من خلال توفير بيانات اعتماد صريحة مثل DOMAINNAME\username أو استخدام اسم المجال المؤهل بالكامل (username@FQDN).

رسم تخطيطي لتكوين مصادقة Microsoft Entra Domain Services مع ملفات Azure عبر SMB.

لمعرفة كيفية تمكين مصادقة Microsoft Entra Domain Services، راجع تمكين مصادقة Microsoft Entra Domain Services على Azure Files.

Microsoft Entra Kerberos للهويات المختلطة

يتيح تمكين وتكوين معرف Microsoft Entra لمصادقة هويات المستخدمين المختلطين لمستخدمي Microsoft Entra الوصول إلى مشاركات ملفات Azure باستخدام مصادقة Kerberos. يستخدم هذا التكوين معرف Microsoft Entra لإصدار تذاكر Kerberos الضرورية للوصول إلى مشاركة الملف مع بروتوكول SMB القياسي في الصناعة. وهذا يعني أنه يمكن للمستخدمين النهائيين الوصول إلى مشاركات ملفات Azure عبر الإنترنت دون الحاجة إلى اتصال الشبكة بوحدات التحكم بالمجال من Microsoft Entra hybrid joined وMicrosoft Entra المنضمة إلى الأجهزة الظاهرية. ومع ذلك، يتطلب تكوين الأذونات على مستوى الدليل والملف للمستخدمين والمجموعات اتصال شبكة اتصال دون عوائق بوحدة تحكم المجال المحلية.

هام

تدعم مصادقة Microsoft Entra Kerberos هويات المستخدمين المختلطين فقط؛ لا يدعم هويات السحابة فقط. مطلوب توزيع AD DS تقليدي، ويجب مزامنته مع معرف Microsoft Entra باستخدام Microsoft Entra Connect Sync أو مزامنة سحابة Microsoft Entra Connect. يجب أن يكون العملاء منضمين إلى Microsoft Entra أو منضما إلى Microsoft Entra المختلط. لا يتم دعم Microsoft Entra Kerberos على العملاء الذين انضموا إلى Microsoft Entra Domain Services أو انضموا إلى AD فقط.

رسم تخطيطي لتكوين مصادقة Microsoft Entra Kerberos للهويات المختلطة عبر SMB.

لمعرفة كيفية تمكين مصادقة Microsoft Entra Kerberos للهويات المختلطة، راجع تمكين مصادقة Microsoft Entra Kerberos للهويات المختلطة على ملفات Azure.

يمكنك أيضا استخدام هذه الميزة لتخزين ملفات تعريف FSLogix على مشاركات ملفات Azure للأجهزة الظاهرية المنضمة إلى Microsoft Entra. لمزيد من المعلومات، راجع إنشاء حاوية ملف تعريف باستخدام ملفات Azure ومعرف Microsoft Entra.

عنصر تحكم الوصول

تفرض Azure Files التخويل على وصول المستخدم إلى كل من مستوى المشاركة ومستويات الدليل/الملف. يمكن تنفيذ تعيين الأذونات على مستوى المشاركة على مستخدمي Microsoft Entra أو المجموعات المدارة من خلال Azure RBAC. باستخدام Azure RBAC، يجب أن تكون بيانات الاعتماد التي تستخدمها للوصول إلى الملفات متاحة أو متزامنة مع معرف Microsoft Entra. يمكنك تعيين أدوار Azure المضمنة مثل Storage File Data SMB Share Reader للمستخدمين أو المجموعات في Microsoft Entra ID لمنح حق الوصول إلى مشاركة ملف Azure.

على مستوى الدليل/الملف، تدعم Azure Files الاحتفاظ بقوائم التحكم بالوصول في Windows وتوريثها وفرضها تماما مثل أي خادم ملفات Windows. يمكنك اختيار الاحتفاظ بقوائم التحكم في الوصول في Windows عند نسخ البيانات عبر SMB بين مشاركة الملفات الموجودة ومشاركات ملفات Azure. سواء كنت تخطط لفرض التخويل أم لا، يمكنك استخدام مشاركات ملفات Azure لإنشاء احتياطية من ACLs مع بياناتك.

تكوين أذونات على مستوى المشاركة لـAzure Files

بمجرد تمكين مصدر AD على حساب التخزين الخاص بك، يجب عليك القيام بأحد الإجراءات التالية للوصول إلى مشاركة الملف:

  • تعيين إذن افتراضي على مستوى المشاركة ينطبق على جميع المستخدمين والمجموعات المصادق عليها
  • تعيين أدوار Azure RBAC المضمنة للمستخدمين والمجموعات، أو
  • تكوين أدوار مخصصة لهويات Microsoft Entra وتعيين حقوق الوصول إلى مشاركات الملفات في حساب التخزين الخاص بك.

يسمح الإذن المعين على مستوى المشاركة للهوية الممنوحة بالوصول إلى المشاركة فقط، ولا شيء آخر، ولا حتى الدليل الجذر. لا تزال بحاجة إلى تكوين الأذونات على مستوى الدليل والملف بشكل منفصل.

تكوين الدليل أو أذونات على مستوى الملف لـAzure Files.

تفرض مشاركات ملفات Azure قوائم ACL القياسية ل Windows على كل من مستوى الدليل والملف، بما في ذلك الدليل الجذر. يتم دعم تكوين أذونات الدليل أو الملف على كل من SMB و REST. قم بتثبيت مشاركة الملف الهدف من الجهاز الظاهري وتكوين الأذونات باستخدام Windows File Explorer أو Windows icacls أو الأمر Set-ACL .

استخدام مفتاح حساب التخزين للحصول على أذونات المستخدم المتميز

يمكن لمستخدم لديه مفتاح حساب التخزين الوصول إلى مشاركات ملفات Azure بأذونات المستخدم المتميز. تتجاوز أذونات المستخدم المتميز جميع قيود التحكم في الوصول.

هام

أفضل ممارسات الأمان التي نوصي بها هي تجنب مشاركة مفاتيح حساب التخزين والاستفادة من المصادقة القائمة على الهوية كلما أمكن ذلك.

الاحتفاظ بـ ACLs الدليل والملف عند استيراد البيانات إلى مشاركات الملفات Azure

تدعم Azure Files الاحتفاظ بـ ACL مستوى الدليل أو الملف عند نسخ البيانات إلى مشاركات الملفات Azure. يمكنك نسخ ACLs على دليل أو ملف إلى مشاركات الملفات Azure باستخدام مزامنة ملف Azure أو مجموعات أدوات حركة الملفات الشائعة. على سبيل المثال، يمكنك استخدام robocopy بعلامة /copy:s لنسخ البيانات بالإضافة إلى قوائم ACL إلى مشاركة ملف Azure. يتم الاحتفاظ ب ACLs بشكل افتراضي، لذلك لا تحتاج إلى تمكين المصادقة المستندة إلى الهوية على حساب التخزين الخاص بك للحفاظ على قوائم التحكم في الوصول.

التسعير

لا توجد رسوم خدمة إضافية لتمكين المصادقة المستندة إلى الهوية عبر SMB على حساب التخزين الخاص بك. لمزيد من المعلومات حول التسعير، راجع تسعير ملفات Azure وأسعار خدمات مجال Microsoft Entra.

الخطوات التالية

لمزيد من المعلومات حول Azure Files والمصادقة المستندة إلى الهوية عبر SMB، راجع هذه الموارد: