Přehled ověřování založeného na identitě služby Azure Files pro přístup k protokolu SMB
Tento článek vysvětluje, jak můžete pomocí ověřování založeného na identitách v místním prostředí nebo v Azure povolit přístup ke sdíleným složkám Azure přes protokol SMB. Stejně jako souborové servery Windows můžete udělit oprávnění identitě na úrovni sdílené složky, adresáře nebo souboru. Za povolení ověřování na základě identity ve vašem účtu úložiště se neúčtují žádné další poplatky.
U sdílených složek systému souborů NFS (Network File System) se v současné době nepodporuje ověřování na základě identity. Je však k dispozici přes protokol SMB pro klienty s Windows i Linuxem.
Z bezpečnostních důvodů se pro přístup ke sdíleným složkám doporučuje používat ověřování na základě identit.
Důležité
Nikdy nesdílejte klíče účtu úložiště. Místo toho použijte ověřování založené na identitě.
Sdílené složky Azure používají protokol Kerberos k ověření ve zdroji identity. Když se identita přidružená k uživateli nebo aplikaci spuštěné na klientovi pokusí o přístup k datům ve sdílených složkách Azure, odešle se žádost do zdroje identity, aby se identita ověřila. Pokud je ověření úspěšné, vrátí zdroj identity lístek Kerberos. Klient pak odešle požadavek, který zahrnuje lístek Kerberos, a Služba Azure Files tento lístek použije k autorizaci požadavku. Služba Azure Files obdrží lístek Kerberos, nikoli přihlašovací údaje pro přístup uživatele.
Ověřování na základě identity se sdílenými složkami SMB Azure může být užitečné v různých scénářích:
Nahrazení rozptýlených místních souborových serverů je výzvou, které každá organizace čelí během své cesty modernizace IT. Použití ověřování založeného na identitě se službou Azure Files poskytuje bezproblémové prostředí migrace, které koncovým uživatelům umožňuje dál přistupovat ke svým datům pomocí stejných přihlašovacích údajů.
Když aplikace přesunete do cloudu, budete pravděpodobně chtít zachovat stejný model ověřování pro přístup ke sdílené složce. Ověřování na základě identit eliminuje nutnost změnit adresářovou službu a urychlit přechod na cloud.
Pokud primární úložiště souborů uchováváte místně, je služba Azure Files ideálním řešením pro zálohování a zotavení po havárii, aby se zlepšila kontinuita podnikových procesů. Sdílené složky Azure můžete použít k zálohování souborových serverů a zachování volitelných seznamů řízení přístupu (DACLs) pro Windows. Ve scénářích zotavení po havárii můžete nakonfigurovat možnost ověřování, která podporuje správné vynucení řízení přístupu při převzetí služeb při selhání.
Než ve svém účtu úložiště povolíte ověřování založené na identitě, musíte vědět, jaký zdroj identity budete používat. Je pravděpodobné, že už ho máte, protože většina společností a organizací má nakonfigurované určité typy doménového prostředí. Ujistěte se, že se obraťte na správce ACTIVE Directory (AD) nebo správce IT. Pokud ještě nemáte zdroj identity, budete ho muset před povolením ověřování na základě identit nakonfigurovat.
Ověřování založené na identitách přes protokol SMB můžete povolit pomocí jednoho ze tří zdrojů identit: místní služby Doména služby Active Directory Services (AD DS), Služby Microsoft Entra Domain Services nebo Microsoft Entra Kerberos (pouze hybridní identity). Pro ověřování přístupu k souborům na účet úložiště můžete použít jenom jeden zdroj identity a vztahuje se na všechny sdílené složky v účtu.
Místní služba AD DS: Místní klienti a virtuální počítače služby AD DS mají přístup ke sdíleným složkám Azure s místní Active Directory přihlašovacími údaji. Místní prostředí SLUŽBY AD DS se musí synchronizovat s ID Microsoft Entra pomocí místní aplikace Microsoft Entra Connect nebo cloudové synchronizace Microsoft Entra Connect, odlehčeného agenta, který je možné nainstalovat z Centra pro správu Microsoft Entra. Pokud chcete použít tuto metodu ověřování, musí být váš klient připojený k doméně nebo musí mít nešiřované síťové připojení ke službě AD DS. Podívejte se na úplný seznam požadavků.
Microsoft Entra Kerberos pro hybridní identity: K ověřování hybridních identit uživatelů můžete použít Microsoft Entra ID, což koncovým uživatelům umožňuje přístup ke sdíleným složkám Azure bez nutnosti síťového připojení k řadičům domény. Tato možnost vyžaduje existující nasazení služby AD DS, které se pak synchronizuje s vaším tenantem Microsoft Entra, aby ID Microsoft Entra bylo možné ověřit vaše hybridní identity. Pomocí této metody se v současné době nepodporují pouze cloudové identity. Podívejte se na úplný seznam požadavků.
Microsoft Entra Domain Services: Cloudové virtuální počítače, které jsou připojené ke službě Microsoft Entra Domain Services, mají přístup ke sdíleným složkám Azure pomocí přihlašovacích údajů Microsoft Entra. V tomto řešení používá Microsoft Entra ID tradiční doménu služby AD systému Windows Server, která je podřízená tenantovi Microsoft Entra zákazníka. Služba Microsoft Entra Domain Services je v současné době jedinou možností pro ověřování výhradně cloudových identit. Podívejte se na úplný seznam požadavků.
Podle následujících pokynů určete, který zdroj identity byste měli zvolit.
Pokud už vaše organizace má místní službu AD a není připravená přesunout identity do cloudu, a pokud jsou vaši klienti, virtuální počítače a aplikace připojené k doméně nebo mají k těmto řadičům domény nekomponované síťové připojení, zvolte AD DS.
Pokud někteří nebo všichni klienti nemají nešifrované síťové připojení k vaší službě AD DS nebo pokud ukládáte profily FSLogix do sdílených složek Azure pro virtuální počítače připojené k Microsoft Entra, zvolte Protokol Kerberos Microsoft Entra.
Pokud máte existující místní službu AD, ale plánujete přesunout aplikace do cloudu a chcete, aby vaše identity existovaly místně i v cloudu, zvolte Microsoft Entra Kerberos.
Pokud nemáte existující zdroj identity, potřebujete ověřit pouze cloudové identity nebo pokud už používáte službu Microsoft Entra Domain Services, zvolte Microsoft Entra Domain Services. Pokud ještě nemáte v Azure nasazenou službu Domain Service, všimnete si nové poplatky na faktuře za Azure za tuto službu.
Jakmile vyberete zdroj identity, musíte ho povolit ve svém účtu úložiště.
Pro ověřování AD DS je nutné připojit klientské počítače nebo virtuální počítače k doméně. Řadiče domény AD můžete hostovat na virtuálních počítačích Azure nebo místně. Klienti připojení k doméně musí mít bez omezení síťového připojení k řadiči domény, takže musí být v rámci podnikové sítě nebo virtuální sítě vaší doménové služby.
Následující diagram znázorňuje místní ověřování AD DS ke sdíleným složkám Azure přes protokol SMB. Místní služba AD DS se musí synchronizovat s MICROSOFT Entra ID pomocí synchronizace Microsoft Entra Connect nebo cloudové synchronizace Microsoft Entra Connect. Pro přístup ke sdílené složce Azure je možné ověřit a autorizovat pouze hybridní identity uživatelů, které existují v místní službě AD DS i v Microsoft Entra ID. Důvodem je to, že oprávnění na úrovni sdílené složky je nakonfigurované pro identitu reprezentovanou v Microsoft Entra ID, zatímco oprávnění na úrovni adresáře nebo souboru se vynucuje s tímto oprávněním ve službě AD DS. Ujistěte se, že jste správně nakonfigurovali oprávnění pro stejného hybridního uživatele.
Pokud chcete povolit ověřování AD DS, nejprve si přečtěte přehled – místní Active Directory ověřování službou Domain Services přes protokol SMB pro sdílené složky Azure a pak se podívejte na téma Povolení ověřování AD DS pro sdílené složky Azure.
Povolení a konfigurace ID Microsoft Entra pro ověřování hybridních identit uživatelů umožňuje uživatelům Microsoft Entra přistupovat ke sdíleným složkám Azure pomocí ověřování kerberos. Tato konfigurace používá Microsoft Entra ID k vydání lístků Kerberos pro přístup ke sdílené složce pomocí standardního protokolu SMB. To znamená, že koncoví uživatelé mají přístup ke sdíleným složkám Azure bez nutnosti síťového připojení k řadičům domény z hybridního připojení Microsoft Entra a virtuálních počítačů připojených k Microsoft Entra. Konfigurace oprávnění na úrovni adresáře a souborů pro uživatele a skupiny ale vyžaduje bez omezení síťového připojení k místnímu řadiči domény.
Důležité
Ověřování Microsoft Entra Kerberos podporuje pouze hybridní identity uživatelů; nepodporuje pouze cloudové identity. Vyžaduje se tradiční nasazení služby AD DS a musí se synchronizovat s MICROSOFT Entra ID pomocí synchronizace Microsoft Entra Connect nebo cloudové synchronizace Microsoft Entra Connect. Klienti musí být připojení k microsoftu Entra nebo hybridní připojení Microsoft Entra. Protokol Microsoft Entra Kerberos není podporován u klientů připojených k Microsoft Entra Domain Services nebo připojených pouze k AD.
Pokud chcete povolit ověřování protokolem Kerberos Microsoft Entra pro hybridní identity, přečtěte si téma Povolení ověřování protokolem Kerberos Microsoft Entra pro hybridní identity ve službě Azure Files.
Tuto funkci můžete použít také k ukládání profilů FSLogix do sdílených složek Azure pro virtuální počítače připojené k Microsoft Entra. Další informace najdete v tématu Vytvoření kontejneru profilu se službou Azure Files a ID Microsoft Entra.
Pro ověřování služby Microsoft Entra Domain Services musíte povolit službu Microsoft Entra Domain Services a připojit k doméně virtuální počítače, ze které chcete získat přístup k datům souborů. Váš virtuální počítač připojený k doméně musí být ve stejné virtuální síti jako hostovaná doména služby Microsoft Entra Domain Services.
Následující diagram představuje pracovní postup ověřování služby Microsoft Entra Domain Services pro sdílené složky Azure přes protokol SMB. Používá se podobně jako u místního ověřování AD DS, ale existují dva hlavní rozdíly:
Pro reprezentaci účtu úložiště nemusíte ve službě Microsoft Entra Domain Services vytvářet identitu. To provádí proces povolení na pozadí.
Všichni uživatelé, kteří existují v Microsoft Entra ID, je možné ověřit a autorizovat. Uživatelé můžou být jenom v cloudu nebo hybridní. Synchronizace z ID Microsoft Entra do služby Microsoft Entra Domain Services je spravována platformou bez nutnosti jakékoli konfigurace uživatele. Klient se ale musí připojit k hostované doméně služby Microsoft Entra Domain Services. Není možné ho zaregistrovat ani připojit k Microsoft Entra. Služba Microsoft Entra Domain Services nepodporuje klienty mimo Azure (tj. přenosné počítače, pracovní stanice, virtuální počítače v jiných cloudech atd.) připojené k doméně hostované službou Microsoft Entra Domain Services. Sdílenou složku ale můžete připojit z klienta, který není připojený k doméně, zadáním explicitních přihlašovacích údajů, jako je NÁZEV_DOMÉNY\uživatelské_jméno nebo plně kvalifikovaný název domény (username@FQDN).
Pokud chcete povolit ověřování pomocí služby Microsoft Entra Domain Services, přečtěte si téma Povolení ověřování služby Microsoft Entra Domain Services ve službě Azure Files.
Bez ohledu na to, který zdroj identity zvolíte, budete muset po povolení nakonfigurovat autorizaci. Služba Azure Files vynucuje autorizaci přístupu uživatelů na úrovni sdílené složky i na úrovni adresáře nebo souboru.
Oprávnění na úrovni sdílení můžete přiřadit uživatelům nebo skupinám Microsoft Entra spravovaným prostřednictvím Azure RBAC. V Azure RBAC by měly být přihlašovací údaje, které používáte pro přístup k souborům, dostupné nebo synchronizované s ID Microsoft Entra. K udělení přístupu ke sdílené složce můžete uživatelům nebo skupinám v MICROSOFT Entra ID přiřadit předdefinované role Azure, jako je například čtenář smb dat souborů úložiště.
Na úrovni adresáře nebo souboru azure Files podporuje zachování, dědění a vynucování seznamů ACL systému Windows. Při kopírování dat přes protokol SMB mezi existující sdílenou složkou a sdílenými složkami Azure můžete zachovat seznamy ACL windows. Bez ohledu na to, jestli plánujete vynutit autorizaci, můžete pomocí sdílených složek Azure zálohovat seznamy ACL spolu s vašimi daty.
Jakmile ve svém účtu úložiště povolíte zdroj identity, musíte pro přístup ke sdílené složce udělat jednu z těchto věcí:
- Nastavení výchozího oprávnění na úrovni sdílené složky, které platí pro všechny ověřené uživatele a skupiny
- Přiřazení předdefinovaných rolí Azure RBAC uživatelům a skupinám nebo
- Nakonfigurujte vlastní role pro identity Microsoft Entra a přiřaďte přístupová práva ke sdíleným složkám ve vašem účtu úložiště.
Přiřazené oprávnění na úrovni sdílené složky umožňuje udělené identitě získat přístup pouze ke sdílené složce, nic jiného, ani ke kořenovému adresáři. Stále potřebujete samostatně konfigurovat oprávnění na úrovni adresáře a souborů.
Poznámka
Pomocí Azure RBAC nemůžete přiřadit oprávnění na úrovni sdílené složky k účtům počítačů (účtům počítačů), protože účty počítačů se nedají synchronizovat s identitou v Microsoft Entra ID. Pokud chcete účtu počítače povolit přístup ke sdíleným složkám Azure pomocí ověřování na základě identity, použijte výchozí oprávnění na úrovni sdílené složky nebo místo toho zvažte použití přihlašovacího účtu služby.
Sdílené složky Azure vynucuje standardní seznamy ACL windows na úrovni adresáře i souboru, včetně kořenového adresáře. Konfigurace oprávnění na úrovni adresáře nebo souboru se podporuje přes protokol SMB i REST. Připojte cílovou sdílenou složku z virtuálního počítače a nakonfigurujte oprávnění pomocí windows Průzkumník souborů, Windows icacls nebo příkazu Set-ACL.
Azure Files podporuje zachování seznamů ACL na úrovni adresáře nebo souborů při kopírování dat do sdílených složek Azure. Seznamy ACL v adresáři nebo souboru můžete kopírovat do sdílených složek Azure pomocí Synchronizace souborů Azure nebo běžných sad nástrojů pro přesun souborů. Můžete například použít robocopy s příznakem /copy:s
ke kopírování dat a seznamů ACL do sdílené složky Azure. Seznamy ACL se ve výchozím nastavení zachovají, takže pro zachování seznamů ACL nemusíte u účtu úložiště povolovat ověřování založené na identitě.
Je užitečné pochopit některé klíčové termíny týkající se ověřování na základě identit pro sdílené složky Azure:
Ověřování protokolem Kerberos
Kerberos je ověřovací protokol, který slouží k ověření identity uživatele nebo hostitele. Další informace o protokolu Kerberos najdete v tématu Přehled ověřování kerberos.
Protokol SMB (Server Message Block)
SMB je standardní síťový protokol pro sdílení souborů. Další informace o protokolu SMB naleznete v tématu Přehled protokolu MICROSOFT SMB a CIFS Protocol.
Microsoft Entra ID
Microsoft Entra ID (dříve Azure AD) je víceklientská cloudová adresářová služba a služba pro správu identit od Microsoftu. Microsoft Entra ID kombinuje základní adresářové služby, správu přístupu k aplikacím a ochranu identit do jednoho řešení.
Microsoft Entra Domain Services
Služba Microsoft Entra Domain Services poskytuje spravované doménové služby, jako je připojení k doméně, zásady skupiny, ldap a ověřování Kerberos/NTLM. Tyto služby jsou plně kompatibilní se službami Doména služby Active Directory Services. Další informace naleznete v tématu Microsoft Entra Domain Services.
Místní Doména služby Active Directory Services (AD DS)
Ad DS běžně přijímají podniky v místních prostředích nebo na virtuálních počítačích hostovaných v cloudu a přihlašovací údaje služby AD DS se používají k řízení přístupu. Další informace najdete v tématu Doména služby Active Directory Přehled služeb.
Řízení přístupu Azure na základě rolí (Azure RBAC)
Azure RBAC umožňuje jemně odstupňovanou správu přístupu pro Azure. Pomocí Azure RBAC můžete spravovat přístup k prostředkům tím, že uživatelům udělíte nejmenší oprávnění potřebná k provádění úloh. Další informace najdete v tématu Co je řízení přístupu na základě role v Azure?
Hybridní identity
Hybridní identity uživatelů jsou identity ve službě AD DS, které se synchronizují s ID Microsoft Entra pomocí místní aplikace Microsoft Entra Connect Sync nebo cloudové synchronizace Microsoft Entra Connect, odlehčeného agenta, který je možné nainstalovat z Centra pro správu Microsoft Entra.
Další informace naleznete v tématu: