Vue d’ensemble des options d’authentification basée sur l’identité Azure Files pour l’accès SMB

Cet article explique la façon dont les partages de fichiers Azure peuvent utiliser des services de domaine, localement ou dans Azure, pour prendre en charge l’accès basé sur l’identité aux partages de fichiers Azure via le protocole SMB. L’activation de l’accès basé sur l’identité pour vos partages de fichiers Azure vous permet de remplacer les serveurs de fichiers existants par des partages de fichiers Azure sans remplacer votre service d’annuaire existant, en conservant l’accès fluide des utilisateurs aux partages.

S’applique à

Type de partage de fichiers SMB NFS
Partages de fichiers Standard (GPv2), LRS/ZRS Oui Non
Partages de fichiers Standard (GPv2), GRS/GZRS Oui Non
Partages de fichiers Premium (FileStorage), LRS/ZRS Oui Non

Glossaire

Vous devez comprendre certains termes clés relatifs à l’authentification basée sur l’identité Azure AD pour le partage de fichiers Azure :

  • Authentification Kerberos

    Kerberos est un protocole d’authentification utilisé pour vérifier l’identité d’un utilisateur ou d’un hôte. Pour plus d’informations sur Kerberos, consultez Vue d’ensemble de l’authentification Kerberos.

  • Protocole SMB (Server Message Block)

    SMB est un protocole de partage de fichier réseau standard. SMB est aussi appelé Common Internet File System, ou CIFS. Pour plus d’informations sur SMB, consultez Vue d’ensemble du protocole SMB et du protocole CIFS de Microsoft.

  • Azure Active Directory (Azure AD)

    Azure AD est le service mutualisé Microsoft de gestion des répertoires et des identités basé sur le cloud. Azure AD associe des services d’annuaires principaux, la gestion de l’accès aux applications et la protection des identités dans une même solution.

  • Azure Active Directory Domain Services (Azure AD DS)

    Azure AD DS fournit des services de domaine gérés, comme la jonction de domaine, les stratégies de groupe, le protocole LDAP et l’authentification Kerberos/NTLM. Ces services sont entièrement compatibles avec Active Directory Domain Services. Pour plus d’informations, consultez Azure Active Directory Domain Services.

  • Active Directory Domain Services (AD DS) en local

    L’intégration d’Active Directory Domain Services (AD DS) local à Azure Files fournit les méthodes permettant de stocker des données d’annuaire tout en les mettant à la disposition des utilisateurs et administrateurs du réseau. La sécurité est intégrée avec AD DS par le biais de l’authentification d’ouverture de session et du contrôle d’accès aux objets de l’annuaire. Avec une simple ouverture de session réseau, les administrateurs peuvent gérer les données et l’organisation de l’annuaire au sein de leur réseau, et les utilisateurs du réseau autorisés peuvent accéder aux ressources n’importe où sur le réseau. AD DS est couramment adopté par des entreprises dans des environnements locaux ou des machines virtuelles hébergées dans le cloud. Les informations d’identification AD DS sont utilisées pour le contrôle d’accès. Pour plus d’informations, voir Présentation des services de domaine Active Directory.

  • Contrôle d’accès en fonction du rôle Azure (Azure RBAC)

    RBAC Azure permet une gestion fine des accès pour Azure. Grâce à Azure RBAC, vous pouvez gérer l’accès aux ressources en accordant aux utilisateurs les autorisations minimales dont ils ont besoin pour effectuer leur travail. Pour plus d’informations, consultez Qu’est-ce que le contrôle d’accès en fonction du rôle Azure ?

  • Identités hybrides

    Les identités utilisateur hybrides sont des identités d’AD DS qui sont synchronisées avec Azure AD, soit via l’application locale de synchronisation Azure AD Connect, soit via la synchronisation cloud Azure AD Connect, un agent léger qui peut être installé à partir du Centre d’administration Azure Active Directory.

Scénarios d’authentification pris en charge

Azure Files prend en charge l’authentification basée sur l’identité pour les partages de fichiers Windows via le protocole SMB par le biais des trois méthodes suivantes. Vous pouvez utiliser une seule méthode par compte de stockage.

  • Authentification AD DS locale : les machines Windows jointes à Azure AD DS ou AD DS local peuvent accéder à des partages de fichiers Azure avec des informations d’identification Active Directory locales synchronisées avec Azure AD via SMB. Votre client doit pouvoir visualiser votre instance AD DS. Si AD DS est déjà configuré localement ou sur une machine virtuelle dans Azure, et que vos appareils sont joints à votre domaine AD, vous devez utiliser AD DS pour l’authentification des partages de fichiers Azure.
  • Authentification Azure AD DS : les machines virtuelles Windows sur le cloud jointes à Azure AD DS peuvent accéder à des partages de fichiers Azure avec des informations d’identification Azure AD. Dans cette solution, Azure AD exécute un domaine Windows Server AD traditionnel pour le compte du client, qui est un enfant du locataire Azure AD du client.
  • Kerberos Azure AD pour les identités hybrides : l’utilisation d’Azure AD pour authentifier des identités utilisateur hybrides permet aux utilisateurs d’Azure AD d’accéder aux partages de fichiers Azure à l’aide de l’authentification Kerberos. Cela signifie que vos utilisateurs finaux peuvent accéder à des partages de fichiers Azure via internet sans avoir besoin d’une ligne de vue sur des contrôleurs de domaine à partir de machines virtuelles jointes à Azure AD Hybride et à Azure AD. Les identités uniquement cloud ne sont pas prises en charge actuellement.

Restrictions

  • Aucune des méthodes d’authentification ne prend en charge l’attribution d’autorisations au niveau du partage aux comptes d’ordinateur (comptes de machines) à l’aide du contrôle d’accès en fonction du rôle (RBAC) Azure, car les comptes d’ordinateur ne peuvent pas être synchronisés avec une identité dans Azure AD. Si vous souhaitez autoriser un compte d’ordinateur à accéder aux partages de fichiers Azure à l’aide de l’authentification basée sur l’identité, utilisez une autorisation de niveau partage par défaut ou envisagez d’utiliser un compte de connexion au service à la place.
  • Ni l’authentification Azure AD DS locale, ni l’authentification AD DS n’est prise en charge par rapport aux appareils joints à Azure AD ou aux appareils inscrits auprès d’Azure AD.
  • L’authentification basée sur l’identité n’est pas prise en charge avec les partages NFS (Network File System).

Cas d’utilisation courants

L’authentification basée sur l’identité avec Azure Files peut être utile dans plusieurs scénarios :

Remplacer des serveurs de fichiers locaux

L’abandon et le remplacement de serveurs de fichiers locaux éparpillés est un problème courant que chaque entreprise rencontre dans son parcours de modernisation informatique. Les partages de fichiers Azure avec une authentification AD DS en local sont les plus adaptés pour la migration de données vers Azure Files. Une migration complète vous permet de tirer parti des avantages de la haute disponibilité et de l’extensibilité, tout en minimisant les modifications côté client. Cette solution offre une expérience de migration transparente aux utilisateurs finaux qui peuvent ainsi continuer à accéder à leurs données avec les mêmes informations d’identification à l’aide de leurs machines jointes au domaine existantes.

Migration lift-and-shift des applications vers Azure

Lorsque vous effectuez une migration lift-and-shift d’applications vers le cloud, vous souhaitez conserver le même modèle d’authentification pour vos données. Du fait que nous étendons l’expérience de contrôle d’accès basée sur l’identité aux partages de fichiers Azure, il n’est plus nécessaire de modifier vos applications en méthodes d’authentification modernes et d’accélérer l’adoption du cloud. Les partages de fichiers Azure offrent la possibilité d’effectuer une intégration à Azure AD DS ou AD DS local pour l’authentification. Si vous souhaitez être complètement cloud native et réduire les efforts de gestion des infrastructures cloud, Azure AD DS sera plus adapté en tant que service de domaine complètement managé. Si vous avez besoin d’une compatibilité complète avec les fonctionnalités d’AD DS, vous pouvez envisager d’étendre votre environnement AD DS au cloud en auto-hébergeant des contrôleurs de domaine sur des machines virtuelles. Dans les deux cas, nous offrons la possibilité de choisir les services de domaine adaptés à vos besoins métier.

Sauvegarde et récupération d’urgence (DR)

Si vous conservez votre stockage de fichiers principal localement, les partages de fichiers Azure sont un moyen de stockage idéal pour la sauvegarde ou la récupération d’urgence, afin d’améliorer la continuité des activités. Vous pouvez utiliser des partages de fichiers Azure pour sauvegarder vos données à partir de serveurs de fichiers existants, tout en conservant les listes de contrôle d’accès discrétionnaire Windows. Pour les scénarios de récupération d’urgence, vous pouvez configurer une option d’authentification pour prendre en charge l’application d’un contrôle d’accès approprié au moment du basculement.

Avantages de l’authentification basée sur l’identité

L’authentification basée sur l’identité pour Azure Files offre plusieurs avantages par rapport à l’utilisation de l’authentification par clé partagée :

  • Étendre l’expérience d’accès au partage de fichiers traditionnel basé sur l’identité au cloud
    Si vous prévoyez d’effectuer une migration « lift-and-shift » de votre application vers le cloud en remplaçant les serveurs de fichiers classiques par des partages de fichiers Azure, votre application peut s’authentifier avec des informations d’identification AD DS locales ou Azure AD DS pour accéder aux données de fichier. Le service Azure Files prend en charge l’utilisation d’informations d’identification AD DS locales ou Azure AD DS pour accéder aux partages de fichiers Azure sur SMB à partir de machines virtuelles AD DS locales ou Azure AD DS jointes à un domaine.

  • Appliquer un contrôle d’accès granulaire sur les partages de fichiers Azure
    Vous pouvez accorder des autorisations à une identité spécifique au niveau du partage, du répertoire ou du fichier. Par exemple, supposons que vous avez plusieurs équipes qui utilisent un partage de fichiers Azure pour la collaboration de projet. Vous pouvez accorder à toutes les équipes un accès aux répertoires non sensibles, et limiter l’accès aux répertoires contenant les données financières sensibles uniquement à l’équipe de finance.

  • Sauvegarder les listes de contrôle d’accès (ACL) Windows (également appelées autorisations NTFS) avec vos données
    Vous pouvez utiliser des partages de fichiers Azure pour sauvegarder vos partages de fichiers locaux existants. Le service Azure Files conserve vos ACL avec vos données quand vous sauvegardez un partage de fichiers dans des partages de fichiers Azure sur SMB.

Fonctionnement

Les partages de fichiers Azure utilisent le protocole Kerberos pour s’authentifier auprès d’une source AD. Quand une identité associée à un utilisateur ou à une application s’exécutant sur un client tente d’accéder à des données se trouvant dans des partages de fichiers Azure, la requête est envoyée à la source AD afin d’authentifier l’identité. Si l’authentification réussit, un jeton Kerberos est renvoyé. L’application envoie une requête incluant le jeton Kerberos, que les partages de fichiers Azure utilisent pour autoriser la requête. Les partages de fichiers Azure reçoivent uniquement le jeton Kerberos, et non les informations d’identification d’accès de l’utilisateur.

Vous pouvez activer l’authentification basée sur l’identité sur vos comptes de stockage nouveaux et existants à l’aide de l’une des trois sources AD : AD DS, Azure AD DS ou Azure AD Kerberos (pour les identités hybrides uniquement). Vous ne pouvez utiliser qu’une seule source AD pour l’authentification d’accès aux fichiers sur le compte de stockage, qui s’applique à tous les partages de fichiers du compte. Avant de pouvoir activer l’authentification basée sur l’identité sur votre compte de stockage, vous devez configurer votre environnement de domaine.

AD DS

Pour l’authentification AD DS locale, vous devez configurer vos contrôleurs de domaine AD et joindre vos machines ou machines virtuelles à un domaine. Vous pouvez héberger vos contrôleurs de domaine sur des machines virtuelles Azure ou localement. Dans les deux cas, vos clients joints à un domaine doivent pouvoir accéder au contrôleur de domaine. Ils doivent donc se trouver dans le réseau virtuel (VNet) ou dans le réseau d’entreprise de votre service de domaine.

Le diagramme suivant illustre l’authentification AD DS locale pour l’accès aux partages de fichiers Azure sur SMB. L’environnement AD DS local doit être synchronisé avec Azure AD à l’aide de la synchronisation Azure AD Connect ou la synchronisation cloud Azure AD Connect. Seuls les identités d’utilisateurs hybrides, qui existent à la fois dans l’environnement AD DS local et Azure AD, peuvent être authentifiés et autorisés à accéder aux partages de fichiers Azure. Cela est dû au fait que l’autorisation au niveau du partage est configurée par rapport à l’identité représentée dans Azure AD, alors que l’autorisation au niveau du répertoire/fichier est appliquée avec elle dans AD DS. Veillez à configurer correctement les autorisations pour le même utilisateur hybride.

Diagramme illustrant l’authentification AD DS locale sur des partages de fichiers Azure via SMB.

Pour découvrir comment activer l’authentification AD DS, commencez par consulter Vue d’ensemble – Authentification Active Directory Domain Services locale via le protocole SMB pour les partages de fichiers Azure, puis Activer l’authentification Active Directory Domain Services locale via le protocole SMB pour les partages de fichiers Azure.

Azure AD DS

Pour l’authentification Azure AD DS, vous devez activer Azure AD DS et joindre à un domaine les machines virtuelles à partir desquelles vous prévoyez d’accéder aux données de fichier. Votre machine virtuelle jointe à un domaine doit résider dans le même réseau virtuel qu’Azure AD DS.

Le diagramme suivant illustre le flux de travail de l’authentification Azure AD DS pour l’accès aux partages de fichiers Azure via SMB. Il suit un modèle similaire à l’authentification AD DS locale, mais il existe deux différences importantes :

  1. Vous n’avez pas besoin de créer l’identité dans Azure AD DS pour représenter le compte de stockage. Cette opération est effectuée par le processus d’activation en arrière-plan.

  2. Tous les utilisateurs présents dans Azure AD peuvent être authentifiés et autorisés. L’utilisateur peut être de type cloud uniquement ou hybride. La synchronisation depuis Azure AD vers Azure AD DS est gérée par la plateforme sans nécessiter de configuration utilisateur. Toutefois, le client doit être joint au domaine hébergé Azure AD DS. Il ne peut pas être joint ou inscrit à Azure AD. Azure AD DS ne prend pas en charge les machines virtuelles non cloud (c’est-à-dire les ordinateurs portables utilisateur, les stations de travail, les machines virtuelles d’autres clouds, etc.) qui sont jointes au domaine hébergé Azure AD DS.

Diagramme de configuration pour l’authentification Azure AD DS avec Azure Files sur SMB.

Pour découvrir comment activer l’authentification Azure AD DS, consultez Activer l’authentification Azure Active Directory Domain Services sur Azure Files.

Kerberos Azure AD pour les identités hybrides

L’activation et la configuration d’Azure AD pour l’authentification des identités utilisateur hybrides permettent aux utilisateurs d’Azure AD d’accéder aux partages de fichiers Azure à l’aide de l’authentification Kerberos. Cette configuration utilise Azure AD pour émettre les tickets Kerberos nécessaires pour accéder au partage de fichiers avec le protocole SMB standard. Cela signifie que vos utilisateurs finaux peuvent accéder à des partages de fichiers Azure via internet sans avoir besoin d’une ligne de vue sur des contrôleurs de domaine à partir de machines virtuelles jointes à Azure AD Hybride et à Azure AD. Toutefois, la configuration d’autorisations au niveau des répertoires et des fichiers pour des utilisateurs ou des groupes nécessite une ligne de vue sur le contrôleur de domaine local.

Important

L’authentification Kerberos Azure AD prend uniquement en charge les identités utilisateur hybrides. Elle ne prend pas en charge les identités cloud uniquement. Un déploiement AD DS traditionnel est nécessaire. Il doit être synchronisé avec Azure AD à l’aide de la synchronisation Azure AD Connect ou de la synchronisation cloud Azure AD Connect. Les clients doivent joindre Azure AD ou Azure AD Hybride. Azure AD Kerberos n’est pas pris en charge pour les clients joints à Azure AD DS ou joints à AD uniquement.

Diagramme de configuration pour l’authentification Azure AD Kerberos pour les identités hybrides sur SMB.

Pour savoir comment activer l’authentification Kerberos Azure AD pour les identités hybrides, consultez Activer l’authentification Kerberos Azure Active Directory pour les identités hybrides sur Azure Files.

Vous pouvez également utiliser cette fonctionnalité pour stocker des profils FSLogix sur des partages de fichiers Azure pour les machines virtuelles jointes à Azure AD. Pour plus d’informations, consultez Créer un conteneur de profil avec Azure Files and Azure Active Directory.

Contrôle d’accès

Azure Files applique l’autorisation d’accès de l’utilisateur à la fois au niveau du partage et au niveau du répertoire/fichier. L’attribution d’autorisations au niveau du partage peut être effectuée sur des utilisateurs ou groupes Azure AD gérés via Azure RBAC. Avec Azure RBAC, les informations d’identification que vous utilisez pour l’accès aux fichiers doivent être disponibles ou synchronisées avec Azure AD. Vous pouvez attribuer des rôles Azure intégrés comme Lecteur de partage SMB de données de fichier de stockage à des utilisateurs ou des groupes dans Azure AD pour accorder l’accès à un partage de fichiers Azure.

Au niveau du répertoire/fichier, Azure Files prend en charge la préservation, l’héritage et l’application des listes de contrôle d’accès Windows comme tout serveur de fichiers Windows. Vous pouvez choisir de conserver les ACL Windows lors de la copie de données via SMB entre votre partage de fichiers existant et vos partages de fichiers Azure. Que vous ayez l’intention ou non d’appliquer l’autorisation, vous pouvez utiliser les partages de fichiers Azure pour sauvegarder des listes de contrôle d’accès ainsi que vos données.

Configurer les autorisations au niveau du partage pour Azure Files

Une fois que vous avez activé une source AD sur votre compte de stockage, vous pouvez effectuer l’une des opérations suivantes pour accéder au partage de fichiers :

  • Définir une autorisation au niveau du partage par défaut qui s’applique à tous les utilisateurs et groupes authentifiés
  • Attribuer des rôles RBAC intégrés à Azure aux utilisateurs et aux groupes, ou
  • Configurer des rôles personnalisés pour les identités Azure AD et attribuer des droits d’accès aux partages de fichiers dans votre compte de stockage.

L’autorisation attribuée au niveau du partage permet à l’identité concernée d’obtenir l’accès au partage uniquement, mais pas au répertoire racine. Vous devez toujours configurer séparément les autorisations au niveau du répertoire et du fichier.

Configurer des autorisations au niveau du répertoire ou du fichier pour Azure Files

Les partages de fichiers Azure appliquent des listes de contrôle d’accès Windows standard à la fois au niveau du répertoire et du fichier, notamment au niveau du répertoire racine. La configuration des autorisations au niveau du répertoire ou du fichier est prise en charge sur SMB et REST. Montez le partage de fichiers cible à partir de votre machine virtuelle, et configurez des autorisations à l’aide de l’Explorateur de fichiers Windows, de la commande Windows icacls ou de la commande Set-ACL.

Utiliser la clé de compte de stockage pour les autorisations de superutilisateur

Un utilisateur disposant de la clé de compte de stockage peut accéder aux partages de fichiers Azure avec des autorisations de superutilisateur. Des autorisations de superutilisateur contournent toutes les restrictions de contrôle d’accès.

Important

Notre meilleure pratique de sécurité recommandée consiste à éviter de partager vos clés de compte de stockage et à tirer parti autant que possible de l’authentification basée sur l’identité.

Conserver les ACL de répertoire et de fichier lors de l’importation de données dans des partages de fichiers Azure

Le service Azure Files prend en charge la conservation des ACL de répertoire ou de fichier lors de la copie de données vers des partages de fichiers Azure. Vous pouvez copier des listes de contrôle d’accès (ACL) d’un répertoire ou d’un fichier vers des partages de fichiers Azure à l’aide d’Azure File Sync ou d’outils de déplacement de fichiers communs. Par exemple, vous pouvez utiliser robocopy avec l’étiquette /copy:s pour copier des données et des ACL vers un partage de fichiers Azure. Les listes de contrôle d’accès étant conservées par défaut, il n’est pas nécessaire d’activer l’authentification basée sur l’identité sur votre compte de stockage pour les conserver.

Tarifs

L’activation d’une authentification basée sur l’identité via le protocole SMB sur votre compte de stockage n’engendre pas de frais de service supplémentaires. Pour plus d’informations sur les prix, consultez Tarifs Azure Files et Tarifs Azure AD Domain Services.

Étapes suivantes

Pour plus d’informations sur Azure Files et l’authentification basée sur l’identité sur SMB, voir les ressources suivantes :