Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Platí pro: ✔️ Sdílené soubory Azure SMB
Tento článek vysvětluje, jak pomocí ověřování založeného na identitách v místním prostředí nebo v Azure povolit přístup ke sdíleným složkám Azure na základě identity přes protokol SMB (Server Message Block). Stejně jako souborové servery Windows můžete udělit oprávnění identitě na úrovni sdílené složky, adresáře nebo souboru. Za povolení ověřování na základě identity ve vašem účtu úložiště se neúčtují žádné další poplatky.
Ověřování založené na identitě se podporuje přes protokol SMB pro klienty s Windows, Linuxem a MacOS. V současné době se ale nepodporuje u sdílených složek systému souborů NFS (Network File System).
Důležité
Z bezpečnostních důvodů se doporučuje používat ověřování na základě identit pro přístup k souborovým podílům namísto použití klíče úložiště. Nikdy nesdílejte klíče účtu úložiště.
Jak to funguje
Sdílené složky Azure používají protokol Kerberos k ověření pomocí zdroje identity. Když se identita přidružená k uživateli nebo aplikaci spuštěné na klientovi pokusí o přístup k datům ve sdílených složkách Azure, odešle se žádost do zdroje identity, aby se identita ověřila. Pokud je ověření úspěšné, vrátí zdroj identity lístek Kerberos. Klient pak odešle požadavek, který zahrnuje lístek Kerberos, a Služba Azure Files tento lístek použije k autorizaci požadavku. Služba Azure Files obdrží lístek Kerberos, nikoli přihlašovací údaje pro přístup uživatele.
Běžné případy použití
Ověřování založené na identitě pomocí sdílených složek SMB Azure může být užitečné v různých scénářích:
Nahrazení místních souborových serverů
Nahrazení rozptýlených místních souborových serverů je výzvou, které každá organizace čelí během své cesty modernizace IT. Použití ověřování založeného na identitě se službou Azure Files poskytuje bezproblémové prostředí migrace, které koncovým uživatelům umožňuje dál přistupovat ke svým datům pomocí stejných přihlašovacích údajů.
Migrace aplikací metodou "lift and shift" do Azure
Když aplikace přesunete do cloudu, budete pravděpodobně chtít zachovat stejný model ověřování pro přístup ke sdílené složce. Ověřování na základě identit eliminuje nutnost změnit adresářovou službu a urychlit přechod na cloud.
Zálohování a zotavení po havárii (DR)
Pokud primární úložiště souborů uchováváte místně, je služba Azure Files ideálním řešením pro zálohování a zotavení po havárii, aby se zlepšila kontinuita podnikových procesů. Sdílené složky Azure můžete použít k zálohování souborových serverů a zachování volitelných seznamů řízení přístupu (DACLs) pro Windows. Ve scénářích DR (zotavení po havárii) můžete nakonfigurovat možnost ověřování, která podporuje správné vynucení řízení přístupu při převzetí služeb při selhání.
Volba zdroje identity pro váš účet úložiště
Než ve svém účtu úložiště povolíte ověřování založené na identitě, musíte vědět, jaký zdroj identity budete používat. Je pravděpodobné, že už ho máte, protože většina společností a organizací má nakonfigurované určité typy doménového prostředí. Obraťte se na svého správce Active Directory (AD) nebo správce IT, abyste si byli jistí. Pokud ještě nemáte zdroj identity, budete ho muset před povolením ověřování na základě identit nakonfigurovat.
Podporované scénáře ověřování
Ověřování založené na identitě přes protokol SMB můžete povolit pomocí jednoho ze tří zdrojů identit: místní služba Active Directory Domain Services (AD DS),Microsoft Entra Domain Services nebo Microsoft Entra Kerberos. Pro ověřování přístupu k souborům na účet úložiště můžete použít jenom jeden zdroj identity a vztahuje se na všechny sdílené složky v účtu.
Místní služba AD DS: Účet úložiště je připojený k místní službě AD DS a identity ze služby AD DS můžou bezpečně přistupovat ke sdíleným složkám SMB Azure z klienta připojeného k doméně nebo z klienta, který má nepřerušované připojení k řadiči domény. Místní prostředí služby AD DS se musí synchronizovat s ID Microsoft Entra pomocí místní aplikace Microsoft Entra Connect nebo Microsoft Entra Connect cloudové synchronizace, což je odlehčený agent, který je možné nainstalovat z Centra pro správu Microsoft Entra. Podívejte se na úplný seznam požadavků.
Microsoft Entra Kerberos: Microsoft Entra ID můžete použít k ověřování hybridních nebo cloudových identit (Preview), což koncovým uživatelům umožňuje přístup ke sdíleným složkám Azure. Pokud chcete ověřovat hybridní identity, budete potřebovat existující nasazení služby AD DS, které se pak synchronizuje s vaším tenantem Microsoft Entra. Podívejte se na požadavky.
Microsoft Entra Domain Services: Cloudové virtuální počítače, které jsou připojené ke službě Microsoft Entra Domain Services, mají přístup ke sdíleným složkám Azure pomocí přihlašovacích údajů Microsoft Entra. V tomto řešení používá Microsoft Entra ID tradiční doménu služby AD systému Windows Server, která je podřízená tenantovi Microsoft Entra zákazníka. Podívejte se na požadavky.
Podle následujících pokynů určete, který zdroj identity byste měli zvolit.
Pokud už vaše organizace má místní službu AD a není připravená přesunout identity do cloudu, a pokud jsou vaši klienti, virtuální počítače a aplikace připojené k doméně nebo mají k těmto řadičům domény nekomponované síťové připojení, zvolte AD DS.
Pokud někteří nebo všichni klienti nemají bezproblémové síťové připojení k vaší službě AD DS nebo pokud ukládáte profily FSLogix do sdílených složek Azure pro virtuální počítače připojené k Microsoft Entra, vyberte Microsoft Entra Kerberos.
Pokud máte existující místní službu AD, ale plánujete přesunout aplikace do cloudu a chcete, aby vaše identity existovaly místně i v cloudu (hybridní), zvolte Microsoft Entra Kerberos.
Pokud chcete ověřovat pouze cloudové identity bez použití řadičů domény, zvolte Microsoft Entra Kerberos. Tato funkce je aktuálně ve verzi Public Preview.
Pokud již používáte službu Microsoft Entra Domain Services, zvolte jako zdroj identity službu Microsoft Entra Domain Services.
Povolení zdroje identity
Jakmile vyberete zdroj identity, musíte ho povolit ve svém účtu úložiště.
AD DS
Pro ověřování AD DS můžete hostovat řadiče domény AD na virtuálních počítačích Azure nebo místně. Ať tak či onak, klienti musí mít neomezené síťové připojení k řadiči domény, takže musí být v rámci podnikové sítě nebo virtuální sítě vaší doménové služby. Doporučujeme připojení klientských počítačů nebo virtuálních počítačů k doméně, aby uživatelé nemuseli při každém přístupu ke sdílené složce zadávat explicitní přihlašovací údaje.
Následující diagram znázorňuje místní ověřování AD DS ke sdíleným složkám Azure přes protokol SMB. Místní služba AD DS se musí synchronizovat s MICROSOFT Entra ID pomocí synchronizace Microsoft Entra Connect nebo cloudové synchronizace Microsoft Entra Connect. Pro přístup ke sdílené složce Azure je možné ověřit a autorizovat pouze hybridní identity uživatelů, které existují v místní službě AD DS i v Microsoft Entra ID. Důvodem je, že oprávnění na úrovni sdílení je nakonfigurováno pro identitu reprezentovanou v Microsoft Entra ID, zatímco oprávnění na úrovni adresáře nebo souboru se vynucuje ve službě AD DS. Ujistěte se, že jste správně nakonfigurovali oprávnění pro stejného hybridního uživatele.
Pokud chcete povolit ověřování AD DS, nejprve si přečtěte Přehled – ověřování místních služeb Active Directory Domain Services přes protokol SMB pro sdílené složky Azure a pak se podívejte na Povolení ověřování AD DS pro sdílené složky Azure.
Microsoft Entra Kerberos
Povolení a konfigurace Microsoft Entra ID pro ověřování hybridních nebo cloudových identit (verze preview) umožňuje uživatelům Microsoft Entra přístup ke sdíleným složkám Azure pomocí ověřování Kerberos. Tato konfigurace používá Microsoft Entra ID k vydání lístků Kerberos pro přístup ke sdílené složce pomocí standardního protokolu SMB. To znamená, že koncoví uživatelé mají přístup ke sdíleným složkám Azure bez nutnosti síťového připojení k řadičům domény.
Důležité
Pokud chcete k ověřování hybridních identit použít protokol Microsoft Entra Kerberos, vyžaduje se tradiční nasazení služby AD DS. Musí být synchronizováno s Microsoft Entra ID pomocí Microsoft Entra Connect Sync nebo cloudové synchronizace Microsoft Entra Connect. Klienti musí být spojení s Microsoft Entra nebo Microsoft Entra hybridně připojení.
Následující diagram představuje pracovní postup ověřování Microsoft Entra Kerberos pro hybridní (tj. ne cloudové) identity přes protokol SMB.
Pokud chcete povolit ověřování protokolem Kerberos Microsoft Entra, přečtěte si téma Povolení ověřování protokolem Kerberos Microsoft Entra ve službě Azure Files.
Tuto funkci můžete použít také k ukládání profilů FSLogix do sdílených složek Azure pro virtuální počítače připojené k Microsoft Entra. Další informace najdete v tématu Vytvoření kontejneru profilu se službou Azure Files a ID Microsoft Entra.
Doménové služby Microsoft Entra
Pro ověřování služby Microsoft Entra Domain Services musíte povolit službu Microsoft Entra Domain Services a připojit k doméně virtuální počítače, ze které chcete získat přístup k datům souborů. Váš virtuální počítač připojený k doméně musí být ve stejné virtuální síti jako hostovaná doména služby Microsoft Entra Domain Services.
Následující diagram představuje pracovní postup ověřování služby Microsoft Entra Domain Services pro sdílené složky Azure přes protokol SMB. Používá se podobně jako u místního ověřování AD DS, ale existují dva hlavní rozdíly:
Pro reprezentaci účtu úložiště nemusíte ve službě Microsoft Entra Domain Services vytvářet identitu. Proces povolení se provádí na pozadí.
Všechny uživatele, kteří existují v Microsoft Entra ID, lze ověřit a autorizovat. Uživatelé můžou být jenom v cloudu nebo hybridní. Synchronizace z ID Microsoft Entra do služby Microsoft Entra Domain Services je spravována platformou bez nutnosti jakékoli konfigurace uživatele. Klient se ale musí připojit k hostované doméně služby Microsoft Entra Domain Services. Nelze ho připojit k Microsoft Entra ani ho zaregistrovat. Služba Microsoft Entra Domain Services nepodporuje klienty mimo Azure (tj. přenosné počítače, pracovní stanice, virtuální počítače v jiných cloudech atd.) připojené k doméně hostované službou Microsoft Entra Domain Services. Sdílenou složku ale můžete připojit z klienta, který není připojený k doméně, zadáním explicitních přihlašovacích údajů, jako je NÁZEV_DOMÉNY\uživatelské_jméno nebo plně kvalifikovaný název domény (username@FQDN).
Pokud chcete povolit ověřování pomocí služby Microsoft Entra Domain Services, přečtěte si téma Povolení ověřování služby Microsoft Entra Domain Services ve službě Azure Files.