Vue d’ensemble des options d’authentification basée sur l’identité Azure Files pour l’accès SMB

Cet article explique la façon dont les partages de fichiers Azure peuvent utiliser des services de domaine, localement ou dans Azure, pour prendre en charge l’accès basé sur l’identité aux partages de fichiers Azure via le protocole SMB. L’activation de l’accès basé sur l’identité pour vos partages de fichiers Azure vous permet de remplacer les serveurs de fichiers existants par des partages de fichiers Azure sans remplacer votre service d’annuaire existant, en conservant l’accès fluide des utilisateurs aux partages.

S’applique à

Type de partage de fichiers	SMB	NFS
Partages de fichiers Standard (GPv2), LRS/ZRS
Partages de fichiers Standard (GPv2), GRS/GZRS
Partages de fichiers Premium (FileStorage), LRS/ZRS

Glossaire

Vous devez comprendre certains termes clés relatifs à l’authentification basée sur l’identité Azure AD pour le partage de fichiers Azure :

• Authentification Kerberos

  Kerberos est un protocole d’authentification utilisé pour vérifier l’identité d’un utilisateur ou d’un hôte. Pour plus d’informations sur Kerberos, consultez Vue d’ensemble de l’authentification Kerberos.

• Protocole SMB (Server Message Block)

  SMB est un protocole de partage de fichier réseau standard. Pour plus d’informations sur SMB, consultez Vue d’ensemble du protocole SMB et du protocole CIFS de Microsoft.

• Microsoft Entra ID

  Microsoft Entra ID (anciennement Azure AD) est le service cloud de gestion des identités et des annuaires multilocataires de Microsoft. Microsoft Entra ID associe des services d’annuaires principaux, la gestion de l’accès aux applications et la protection des identités dans une même solution.

• Microsoft Entra Domain Services

  Microsoft Entra Domain Services fournit des services de domaine gérés, comme la jonction de domaine, les stratégies de groupe, le protocole LDAP et l’authentification Kerberos/NTLM. Ces services sont entièrement compatibles avec Active Directory Domain Services. Pour plus d’informations, consultez Microsoft Entra Domain Services.

• Active Directory Domain Services (AD DS) en local

  L’intégration d’Active Directory Domain Services (AD DS) local à Azure Files fournit les méthodes permettant de stocker des données d’annuaire tout en les mettant à la disposition des utilisateurs et administrateurs du réseau. La sécurité est intégrée avec AD DS par le biais de l’authentification d’ouverture de session et du contrôle d’accès aux objets de l’annuaire. Avec une simple ouverture de session réseau, les administrateurs peuvent gérer les données et l’organisation de l’annuaire au sein de leur réseau, et les utilisateurs du réseau autorisés peuvent accéder aux ressources n’importe où sur le réseau. AD DS est couramment adopté par des entreprises dans des environnements locaux ou des machines virtuelles hébergées dans le cloud. Les informations d’identification AD DS sont utilisées pour le contrôle d’accès. Pour plus d’informations, voir Présentation des services de domaine Active Directory.

• Contrôle d’accès en fonction du rôle Azure (Azure RBAC)

  RBAC Azure permet une gestion fine des accès pour Azure. Grâce à Azure RBAC, vous pouvez gérer l’accès aux ressources en accordant aux utilisateurs les autorisations minimales dont ils ont besoin pour effectuer leur travail. Pour plus d’informations, consultez Qu’est-ce que le contrôle d’accès en fonction du rôle Azure ?

• Identités hybrides

  Les identités utilisateur hybrides sont des identités d’AD DS qui sont synchronisées avec Microsoft Entra ID, soit via l’application locale de synchronisation Microsoft Entra Connect, soit via la synchronisation cloud Microsoft Entra Connect, un agent léger qui peut être installé à partir du Centre d’administration Microsoft Entra.

Scénarios d’authentification pris en charge

Azure Files prend en charge l’authentification basée sur l’identité sur le protocole SMB via les méthodes suivantes. Vous pouvez utiliser une seule méthode par compte de stockage.

• Authentification AD DS locale : les machines Windows jointes à Microsoft Entra Domain Services ou AD DS local peuvent accéder à des partages de fichiers Azure avec des informations d’identification Active Directory locales synchronisées avec Microsoft Entra ID via SMB. Votre client doit disposer d’une connectivité réseau sans entraves à votre AD DS. Si AD DS est déjà configuré localement ou sur une machine virtuelle dans Azure, et que vos appareils sont joints à votre domaine AD, vous devez utiliser AD DS pour l’authentification des partages de fichiers Azure.
• Authentification Microsoft Entra Domain Services : les machines virtuelles informatiques Windows jointes à Microsoft Entra Domain Services peuvent accéder aux partages de fichiers Azure avec les informations d’identification Microsoft Entra. Dans cette solution, Microsoft Entra ID exécute un domaine Windows Server AD traditionnel pour le compte du client, qui est un enfant du locataire Microsoft Entra du client.
• Kerberos Microsoft Entra pour les identités hybrides : l’utilisation de Microsoft Entra ID pour authentifier des identités utilisateur hybrides permet aux utilisateurs de Microsoft Entra d’accéder aux partages de fichiers Azure à l’aide de l’authentification Kerberos. Cela signifie que vos utilisateurs finaux peuvent accéder à des partages de fichiers Azure par Internet sans avoir besoin d’une connectivité réseau aux contrôleurs de domaine des machines virtuelles jointes à Microsoft Entra de façon classique ou hybride. Les identités uniquement cloud ne sont pas prises en charge actuellement.
• Authentification Kerberos AD pour les clients Linux : les clients Linux peuvent utiliser l’authentification Kerberos sur SMB pour Azure Files à l’aide d’AD DS local ou de Microsoft Entra Domain Services.

Restrictions

• Aucune des méthodes d’authentification ne prend en charge l’attribution d’autorisations au niveau du partage aux comptes d’ordinateur (comptes de machines) à l’aide du contrôle d’accès en fonction du rôle (RBAC) Azure, car les comptes d’ordinateur ne peuvent pas être synchronisés avec une identité dans Microsoft Entra ID. Si vous souhaitez autoriser un compte d’ordinateur à accéder aux partages de fichiers Azure à l’aide de l’authentification basée sur l’identité, utilisez une autorisation de niveau partage par défaut ou envisagez d’utiliser un compte de connexion au service à la place.
• L’authentification basée sur l’identité n’est pas prise en charge avec les partages NFS (Network File System).

Cas d’utilisation courants

L’authentification basée sur l’identité avec Azure Files peut être utile dans plusieurs scénarios :

Remplacer des serveurs de fichiers locaux

L’abandon et le remplacement de serveurs de fichiers locaux éparpillés est un problème courant que chaque entreprise rencontre dans son parcours de modernisation informatique. Les partages de fichiers Azure avec une authentification AD DS en local sont les plus adaptés pour la migration de données vers Azure Files. Une migration complète vous permet de tirer parti des avantages de la haute disponibilité et de l’extensibilité, tout en minimisant les modifications côté client. Cette solution offre une expérience de migration transparente aux utilisateurs finaux qui peuvent ainsi continuer à accéder à leurs données avec les mêmes informations d’identification à l’aide de leurs machines jointes au domaine existantes.

Migration lift-and-shift des applications vers Azure

Lorsque vous effectuez une migration lift-and-shift d’applications vers le cloud, vous souhaitez conserver le même modèle d’authentification pour vos données. Du fait que nous étendons l’expérience de contrôle d’accès basée sur l’identité aux partages de fichiers Azure, il n’est plus nécessaire de modifier vos applications en méthodes d’authentification modernes et d’accélérer l’adoption du cloud. Les partages de fichiers Azure offrent la possibilité d’effectuer une intégration à Microsoft Entra Domain Services ou AD DS local pour l’authentification. Si vous souhaitez être complètement cloud native et réduire les efforts de gestion des infrastructures cloud, Microsoft Entra Domain Services sera plus adapté en tant que service de domaine complètement managé. Si vous avez besoin d’une compatibilité complète avec les fonctionnalités d’AD DS, vous pouvez envisager d’étendre votre environnement AD DS au cloud en auto-hébergeant des contrôleurs de domaine sur des machines virtuelles. Dans les deux cas, nous offrons la possibilité de choisir les services de domaine adaptés à vos besoins métier.

Sauvegarde et récupération d’urgence (DR)

Si vous conservez votre stockage de fichiers principal localement, les partages de fichiers Azure sont un moyen de stockage idéal pour la sauvegarde ou la récupération d’urgence, afin d’améliorer la continuité des activités. Vous pouvez utiliser des partages de fichiers Azure pour sauvegarder vos données à partir de serveurs de fichiers existants, tout en conservant les listes de contrôle d’accès discrétionnaire Windows. Pour les scénarios de récupération d’urgence, vous pouvez configurer une option d’authentification pour prendre en charge l’application d’un contrôle d’accès approprié au moment du basculement.

Avantages de l’authentification basée sur l’identité

L’authentification basée sur l’identité pour Azure Files offre plusieurs avantages par rapport à l’utilisation de l’authentification par clé partagée :

• Étendre l’expérience d’accès au partage de fichiers traditionnel basé sur l’identité au cloud
  Si vous prévoyez d’effectuer une migration « lift-and-shift » de votre application vers le cloud en remplaçant les serveurs de fichiers classiques par des partages de fichiers Azure, votre application peut s’authentifier avec des informations d’identification AD DS locales ou Microsoft Entra Domain Services pour accéder aux données de fichier. Le service Azure Files prend en charge l’utilisation d’informations d’identification AD DS locales ou Microsoft Entra Domain Services pour accéder aux partages de fichiers Azure sur SMB à partir de machines virtuelles AD DS locales ou Microsoft Entra Domain Services jointes à un domaine.

• Appliquer un contrôle d’accès granulaire sur les partages de fichiers Azure
  Vous pouvez accorder des autorisations à une identité spécifique au niveau du partage, du répertoire ou du fichier. Par exemple, supposons que vous avez plusieurs équipes qui utilisent un partage de fichiers Azure pour la collaboration de projet. Vous pouvez accorder à toutes les équipes un accès aux répertoires non sensibles, et limiter l’accès aux répertoires contenant les données financières sensibles uniquement à l’équipe de finance.

• Sauvegarder les listes de contrôle d’accès (ACL) Windows (également appelées autorisations NTFS) avec vos données
  Vous pouvez utiliser des partages de fichiers Azure pour sauvegarder vos partages de fichiers locaux existants. Le service Azure Files conserve vos ACL avec vos données quand vous sauvegardez un partage de fichiers dans des partages de fichiers Azure sur SMB.

Fonctionnement

Les partages de fichiers Azure utilisent le protocole Kerberos pour s’authentifier auprès d’une source AD. Quand une identité associée à un utilisateur ou à une application s’exécutant sur un client tente d’accéder à des données se trouvant dans des partages de fichiers Azure, la requête est envoyée à la source AD afin d’authentifier l’identité. Si l’authentification réussit, un jeton Kerberos est renvoyé. L’application envoie une requête incluant le jeton Kerberos, que les partages de fichiers Azure utilisent pour autoriser la requête. Les partages de fichiers Azure reçoivent uniquement le jeton Kerberos, et non les informations d’identification d’accès de l’utilisateur.

Vous pouvez activer l’authentification basée sur l’identité sur vos comptes de stockage nouveaux et existants à l’aide de l’une des trois sources AD : AD DS, Microsoft Entra Domain Services ou Kerberos Microsoft Entra (pour les identités hybrides uniquement). Vous ne pouvez utiliser qu’une seule source AD pour l’authentification d’accès aux fichiers sur le compte de stockage, qui s’applique à tous les partages de fichiers du compte. Avant de pouvoir activer l’authentification basée sur l’identité sur votre compte de stockage, vous devez configurer votre environnement de domaine.

AD DS

Pour l’authentification AD DS locale, vous devez configurer vos contrôleurs de domaine AD et joindre vos machines ou machines virtuelles à un domaine. Vous pouvez héberger vos contrôleurs de domaine sur des machines virtuelles Azure ou localement. Dans les deux cas, vos clients joints à un domaine doivent disposer d’une connectivité réseau sans entrave au contrôleur de domaine : ils doivent donc se trouver dans le réseau virtuel (VNet) ou dans le réseau d’entreprise de votre service de domaine.

Le diagramme suivant illustre l’authentification AD DS locale pour l’accès aux partages de fichiers Azure sur SMB. Les services AD DS locaux doivent être synchronisés avec Microsoft Entra ID à l’aide de la synchronisation Microsoft Entra Connect ou de la synchronisation cloud Microsoft Entra Connect. Seuls les identités utilisateur hybrides, qui existent à la fois dans AD DS local et Microsoft Entra ID, peuvent être authentifiés et autorisés à accéder aux partages de fichiers Azure. Cela est dû au fait que l’autorisation au niveau du partage est configurée par rapport à l’identité représentée dans Microsoft Entra ID, alors que l’autorisation au niveau du répertoire/fichier est appliquée avec elle dans AD DS. Veillez à configurer correctement les autorisations pour le même utilisateur hybride.

Pour découvrir comment activer l’authentification AD DS, commencez par consulter Vue d’ensemble : Authentification locale Active Directory Domain Services via le protocole SMB pour les partages de fichiers Azure, puis Activer l’authentification AD DS pour les partages de fichiers Azure.

Services de domaine Microsoft Entra

Pour l’authentification Microsoft Entra Domain Services, vous devez activer Microsoft Entra Domain Services et joindre à un domaine les machines virtuelles à partir desquelles vous prévoyez d’accéder aux données de fichier. Votre machine virtuelle jointe à un domaine doit résider dans le même réseau virtuel que Microsoft Entra Domain Services.

Le diagramme suivant illustre le flux de travail de l’authentification Microsoft Entra Domain Services pour l’accès aux partages de fichiers Azure via SMB. Il suit un modèle similaire à l’authentification AD DS locale, mais il existe deux différences importantes :

1. Vous n’avez pas besoin de créer l’identité dans Microsoft Entra Domain Services pour représenter le compte de stockage. Cette opération est effectuée par le processus d’activation en arrière-plan.

2. Tous les utilisateurs qui existent dans Microsoft Entra ID peuvent être authentifiés et autorisés. L’utilisateur peut être de type cloud uniquement ou hybride. La synchronisation de Microsoft Entra ID vers Microsoft Entra Domain Services est gérée par la plateforme sans nécessiter de configuration utilisateur. Toutefois, le client doit être joint au domaine hébergé par Microsoft Entra Domain Services. Il ne peut pas être joint ou inscrit à Microsoft Entra. Microsoft Entra Domain Services ne prend pas en charge les clients non Azure (c’est-à-dire les ordinateurs portables utilisateur, les stations de travail, les machines virtuelles d’autres clouds, etc.) qui sont jointes au domaine hébergé Microsoft Entra Domain Services. Toutefois, il est possible de monter un partage de fichiers à partir d’un client non joint à un domaine en fournissant des informations d’identification explicites telles que NOM_DOMAINE\nom_utilisateur ou en utilisant le nom de domaine complet (nom_utilisateur@FQDN).

Pour savoir comment activer l’authentification Microsoft Entra Domain Services, consultez Activer l’authentification Microsoft Entra Domain Services sur Azure Files.

Kerberos Microsoft Entra pour les identités hybrides

L’activation et la configuration de Microsoft Entra ID pour l’authentification des identités utilisateur hybrides permettent aux utilisateurs de Microsoft Entra d’accéder aux partages de fichiers Azure à l’aide de l’authentification Kerberos. Cette configuration utilise Microsoft Entra ID pour émettre les tickets Kerberos nécessaires pour accéder au partage de fichiers avec le protocole SMB standard. Cela signifie que vos utilisateurs finaux peuvent accéder à des partages de fichiers Azure par Internet sans avoir besoin d’une connectivité réseau aux contrôleurs de domaine des machines virtuelles jointes à Microsoft Entra de façon classique ou hybride. Cependant, la configuration d’autorisations au niveau des répertoires et des fichiers pour des utilisateurs ou des groupes nécessite une connectivité réseau sans entrave au contrôleur de domaine local.

Important

L’authentification Kerberos Microsoft Entra prend uniquement en charge les identités utilisateur hybrides. Elle ne prend pas en charge les identités cloud uniquement. Un déploiement AD DS traditionnel est requis et doit être synchronisé avec Microsoft Entra ID à l’aide de la synchronisation Microsoft Entra Connect ou de la synchronisation cloud Microsoft Entra Connect. Les clients doivent être joints à Microsoft Entra ou à Microsoft Entra hybride. Kerberos Microsoft Entra n’est pas pris en charge sur les clients joints à Microsoft Entra Domain Services ou joints à AD uniquement.

Pour savoir comment activer l’authentification Kerberos Microsoft Entra pour les identités hybrides, consultez Activer l’authentification Kerberos Microsoft Entra pour les identités hybrides sur Azure Files.

Vous pouvez également utiliser cette fonctionnalité pour stocker des profils FSLogix sur des partages de fichiers Azure pour les machines virtuelles jointes à Microsoft Entra. Pour plus d’informations, consultez Créer un conteneur de profil avec Azure Files and Microsoft Entra ID.

Contrôle d’accès

Azure Files applique l’autorisation d’accès de l’utilisateur à la fois au niveau du partage et au niveau du répertoire/fichier. L’attribution d’autorisations au niveau du partage peut être effectuée sur des utilisateurs ou groupes Microsoft Entra gérés via Azure RBAC. Avec Azure RBAC, les informations d’identification que vous utilisez pour l’accès aux fichiers doivent être disponibles ou synchronisées avec Microsoft Entra ID. Vous pouvez attribuer des rôles Azure intégrés comme Lecteur de partage SMB de données de fichier de stockage à des utilisateurs ou des groupes dans Microsoft Entra ID pour accorder l’accès à un partage de fichiers Azure.

Au niveau du répertoire/fichier, Azure Files prend en charge la préservation, l’héritage et l’application des listes de contrôle d’accès Windows comme tout serveur de fichiers Windows. Vous pouvez choisir de conserver les ACL Windows lors de la copie de données via SMB entre votre partage de fichiers existant et vos partages de fichiers Azure. Que vous ayez l’intention ou non d’appliquer l’autorisation, vous pouvez utiliser les partages de fichiers Azure pour sauvegarder des listes de contrôle d’accès ainsi que vos données.

Configurer les autorisations au niveau du partage pour Azure Files

Une fois que vous avez activé une source AD sur votre compte de stockage, vous pouvez effectuer l’une des opérations suivantes pour accéder au partage de fichiers :

• Définir une autorisation au niveau du partage par défaut qui s’applique à tous les utilisateurs et groupes authentifiés
• Attribuer des rôles RBAC intégrés à Azure aux utilisateurs et aux groupes, ou
• Configurer des rôles personnalisés pour les identités Microsoft Entra et attribuer des droits d’accès aux partages de fichiers dans votre compte de stockage.

L’autorisation attribuée au niveau du partage permet à l’identité concernée d’obtenir l’accès au partage uniquement, mais pas au répertoire racine. Vous devez toujours configurer séparément les autorisations au niveau du répertoire et du fichier.

Configurer des autorisations au niveau du répertoire ou du fichier pour Azure Files

Les partages de fichiers Azure appliquent des listes de contrôle d’accès Windows standard à la fois au niveau du répertoire et du fichier, notamment au niveau du répertoire racine. La configuration des autorisations au niveau du répertoire ou du fichier est prise en charge sur SMB et REST. Montez le partage de fichiers cible à partir de votre machine virtuelle, et configurez des autorisations à l’aide de l’Explorateur de fichiers Windows, de la commande Windows icacls ou de la commande Set-ACL.

Utiliser la clé de compte de stockage pour les autorisations de superutilisateur

Un utilisateur disposant de la clé de compte de stockage peut accéder aux partages de fichiers Azure avec des autorisations de superutilisateur. Des autorisations de superutilisateur contournent toutes les restrictions de contrôle d’accès.

Important

Notre meilleure pratique de sécurité recommandée consiste à éviter de partager vos clés de compte de stockage et à tirer parti autant que possible de l’authentification basée sur l’identité.

Conserver les ACL de répertoire et de fichier lors de l’importation de données dans des partages de fichiers Azure

Le service Azure Files prend en charge la conservation des ACL de répertoire ou de fichier lors de la copie de données vers des partages de fichiers Azure. Vous pouvez copier des listes de contrôle d’accès (ACL) d’un répertoire ou d’un fichier vers des partages de fichiers Azure à l’aide d’Azure File Sync ou d’outils de déplacement de fichiers communs. Par exemple, vous pouvez utiliser robocopy avec l’étiquette /copy:s pour copier des données et des ACL vers un partage de fichiers Azure. Les listes de contrôle d’accès étant conservées par défaut, il n’est pas nécessaire d’activer l’authentification basée sur l’identité sur votre compte de stockage pour les conserver.

Tarifs

L’activation d’une authentification basée sur l’identité via le protocole SMB sur votre compte de stockage n’engendre pas de frais de service supplémentaires. Pour plus d’informations sur les prix, consultez Tarifs Azure Files et Tarifs Microsoft Entra Domain Services.

Étapes suivantes

Pour plus d’informations sur Azure Files et l’authentification basée sur l’identité sur SMB, voir les ressources suivantes :

• Planification d’un déploiement Azure Files
• Vue d’ensemble - Authentification Active Directory Domain Services locale sur SMB pour les partages de fichiers Azure
• Activer l’authentification Microsoft Entra Domain Services sur Azure Files
• Activer l’authentification Kerberos Microsoft Entra pour les identités hybrides sur Azure Files
• Activer l’authentification Kerberos AD pour des clients Linux
• FORUM AUX QUESTIONS