Az Azure Files identitásalapú hitelesítési lehetőségeinek áttekintése az SMB-hozzáféréshez

  • Cikk

Ez a cikk azt ismerteti, hogy az Azure-fájlmegosztások hogyan használhatják a helyszíni vagy az Azure-beli tartományi szolgáltatásokat az Azure-fájlmegosztásokhoz való identitásalapú hozzáférés SMB-n keresztüli támogatásához. Az Identitásalapú hozzáférés engedélyezése az Azure-fájlmegosztásokhoz lehetővé teszi a meglévő fájlkiszolgálók Azure-fájlmegosztásokra való cseréjét a meglévő címtárszolgáltatás cseréje nélkül, és zökkenőmentes felhasználói hozzáférést biztosít a megosztásokhoz.

A következőre érvényes:

Fájlmegosztás típusa SMB NFS
Standard szintű fájlmegosztások (GPv2), LRS/ZRS Yes No
Standard szintű fájlmegosztások (GPv2), GRS/GZRS Yes No
Prémium fájlmegosztások (FileStorage), LRS/ZRS Yes No

Szószedet

Hasznos lehet megérteni az Azure-fájlmegosztások identitásalapú hitelesítésével kapcsolatos néhány fontos kifejezést:

  • Kerberos-hitelesítés

    A Kerberos egy hitelesítési protokoll, amely egy felhasználó vagy gazdagép identitásának ellenőrzésére szolgál. A Kerberos-hitelesítésről további információt a Kerberos-hitelesítés áttekintésében talál.

  • Kiszolgálói üzenetblokk (SMB) protokoll

    Az SMB egy iparági szabványnak megfelelő hálózati fájlmegosztási protokoll. Az SMB-ről további információt a Microsoft SMB Protocol és a CIFS Protocol áttekintésében talál.

  • Microsoft Entra ID

    A Microsoft Entra ID (korábbi nevén Azure AD) a Microsoft több-bérlős felhőalapú címtár- és identitáskezelési szolgáltatása. A Microsoft Entra ID egyetlen megoldásban egyesíti az alapvető címtárszolgáltatásokat, az alkalmazáshozzáférés-kezelést és az identitásvédelmet.

  • Microsoft Entra Domain Services

    A Microsoft Entra Domain Services olyan felügyelt tartományi szolgáltatásokat biztosít, mint a tartományhoz való csatlakozás, a csoportházirendek, az LDAP és a Kerberos/NTLM-hitelesítés. Ezek a szolgáltatások teljes mértékben kompatibilisek Active Directory tartományi szolgáltatások. További információ: Microsoft Entra Domain Services.

  • Helyszíni Active Directory tartományi szolgáltatások (AD DS)

    Az Azure Files helyszíni Active Directory tartományi szolgáltatások (AD DS) integrációja lehetővé teszi a címtáradatok tárolását, miközben elérhetővé teszi őket a hálózati felhasználók és rendszergazdák számára. A biztonság integrálva van az AD DS-vel a címtárban lévő objektumok bejelentkezési hitelesítésével és hozzáférés-vezérlésével. Egyetlen hálózati bejelentkezéssel a rendszergazdák a hálózatukon keresztül kezelhetik a címtáradatokat és a szervezetet, a jogosult hálózati felhasználók pedig bárhol hozzáférhetnek az erőforrásokhoz a hálózaton. Az AD DS-t a vállalatok gyakran használják helyszíni környezetekben vagy felhőalapú virtuális gépeken, és az AD DS hitelesítő adatait használják a hozzáférés-vezérléshez. További információ: Active Directory tartományi szolgáltatások Áttekintés.

  • Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC)

    Az Azure RBAC lehetővé teszi az Azure-beli hozzáférések részletes kezelését. Az Azure RBAC használatával úgy kezelheti az erőforrásokhoz való hozzáférést, hogy megadja a felhasználók számára a munkájuk elvégzéséhez szükséges legkevesebb engedélyt. További információ: Mi az Azure szerepköralapú hozzáférés-vezérlése?

  • Hibrid identitások

    A hibrid felhasználói identitások olyan identitások az AD DS-ben, amelyek szinkronizálódnak a Microsoft Entra-azonosítóval a helyszíni Microsoft Entra Csatlakozás Sync alkalmazással vagy a Microsoft Entra Csatlakozás felhőalapú szinkronizálással, amely egy egyszerűsített ügynök, amely a Microsoft Entra Rendszergazda Centerből telepíthető.

Támogatott hitelesítési forgatókönyvek

Az Azure Files az alábbi módszerekkel támogatja az identitásalapú hitelesítést SMB-en keresztül. Tárfiókonként csak egy metódust használhat.

  • Helyszíni AD DS-hitelesítés: A helyszíni AD DS-hez csatlakoztatott vagy Microsoft Entra Domain Serviceshez csatlakoztatott Windows-gépek hozzáférhetnek az Azure-fájlmegosztásokhoz helyi Active Directory hitelesítő adatokkal, amelyek szinkronizálva vannak a Microsoft Entra-azonosítóval az SMB-n keresztül. Az ügyfélnek akadálytalan hálózati kapcsolattal kell rendelkeznie az AD DS-hez. Ha már beállította az AD DS-t a helyszíni vagy az Azure-beli virtuális gépen, ahol az eszközei tartományhoz vannak csatlakoztatva az AD-hez, az AD DS-t kell használnia az Azure-fájlmegosztások hitelesítéséhez.
  • Microsoft Entra Domain Services-hitelesítés: A felhőalapú, Microsoft Entra Domain Serviceshez csatlakoztatott Windows rendszerű virtuális gépek hozzáférhetnek az Azure-fájlmegosztásokhoz a Microsoft Entra hitelesítő adataival. Ebben a megoldásban a Microsoft Entra ID egy hagyományos Windows Server AD-tartományt futtat az ügyfél nevében, amely az ügyfél Microsoft Entra-bérlőjének gyermeke.
  • Microsoft Entra Kerberos hibrid identitásokhoz: A Microsoft Entra ID használata a hibrid felhasználói identitások hitelesítéséhez lehetővé teszi, hogy a Microsoft Entra-felhasználók Kerberos-hitelesítéssel férhessenek hozzá az Azure-fájlmegosztásokhoz. Ez azt jelenti, hogy a végfelhasználók anélkül férhetnek hozzá az Azure-fájlmegosztásokhoz az interneten keresztül, hogy hálózati kapcsolatot kellene létesítenie a Hibrid Microsoft Entra és a Microsoft Entra csatlakoztatott virtuális gépek tartományvezérlőivel. A csak felhőalapú identitások jelenleg nem támogatottak.
  • AD Kerberos-hitelesítés Linux-ügyfelekhez: A Linux-ügyfelek a Helyszíni AD DS vagy a Microsoft Entra Domain Services használatával használhatják a Kerberos-hitelesítést az Azure Files SMB-jén keresztül.

Korlátozások

  • A hitelesítési módszerek egyike sem támogatja a megosztási szintű engedélyek hozzárendelését a számítógépfiókokhoz (gépfiókokhoz) az Azure RBAC használatával, mert a számítógépfiókok nem szinkronizálhatók egy identitással a Microsoft Entra-azonosítóban. Ha engedélyezni szeretné, hogy egy számítógépfiók identitásalapú hitelesítéssel férhessen hozzá az Azure-fájlmegosztásokhoz, használjon alapértelmezett megosztási szintű engedélyt, vagy fontolja meg inkább egy szolgáltatás-bejelentkezési fiók használatát.
  • Az identitásalapú hitelesítés nem támogatott hálózati fájlrendszerbeli (NFS-) megosztásokkal.

Gyakori alkalmazási helyzetek

Az Azure Files identitásalapú hitelesítése számos esetben hasznos lehet:

Helyszíni fájlkiszolgálók cseréje

A szétszórt helyszíni fájlkiszolgálók elavult és lecserélése gyakori probléma, amelyet minden vállalat az informatikai korszerűsítés során tapasztal. A helyszíni AD DS-hitelesítéssel rendelkező Azure-fájlmegosztások itt a legalkalmasabbak, amikor az adatokat az Azure Filesba migrálhatja. A teljes migrálás lehetővé teszi, hogy kihasználja a magas rendelkezésre állás és a méretezhetőség előnyeit, ugyanakkor minimalizálja az ügyféloldali változásokat. Zökkenőmentes migrálási élményt nyújt a végfelhasználók számára, így a meglévő tartományhoz csatlakoztatott gépükkel továbbra is ugyanazokkal a hitelesítő adatokkal férhetnek hozzá adataikhoz.

Alkalmazások áthelyezése az Azure-ba

Amikor az alkalmazásokat a felhőbe emeli és áthelyezi, ugyanazt a hitelesítési modellt szeretné megőrizni az adataihoz. Mivel az identitásalapú hozzáférés-vezérlési felületet kiterjesztjük az Azure-fájlmegosztásokra, az szükségtelenné teszi, hogy az alkalmazást modern hitelesítési módszerekre módosítsa, és felgyorsítsa a felhőbevezetést. Az Azure-fájlmegosztások lehetővé teszik a Microsoft Entra Domain Services vagy a helyszíni AD DS integrálását hitelesítés céljából. Ha a terv 100%-ban natív felhő, és minimálisra csökkenti a felhőinfrastruktúra-kezelésre irányuló erőfeszítéseket, a Microsoft Entra Domain Services jobban illeszkedhet teljes mértékben felügyelt tartományi szolgáltatásként. Ha teljes kompatibilitásra van szüksége az AD DS képességeivel, érdemes lehet megfontolni az AD DS-környezet felhőre való kiterjesztését azáltal, hogy önkiszolgáló tartományvezérlőket üzemeltet a virtuális gépeken. Akárhogy is, rugalmasan választhatja ki az üzleti igényeinek leginkább megfelelő tartományi szolgáltatást.

Biztonsági mentés és vészhelyreállítás (DR)

Ha az elsődleges fájltárolót a helyszínen tartja, az Azure-fájlmegosztások ideális tárolóként szolgálhatnak a biztonsági mentéshez vagy a vészhelyreállításhoz, az üzletmenet folytonosságának javítása érdekében. Az Azure-fájlmegosztásokkal biztonsági másolatot készíthet az adatokról a meglévő fájlkiszolgálókról, miközben megőrzi a Windows diszkréciós hozzáférés-vezérlési listákat (DACLs). A DR-forgatókönyvek esetében a hitelesítési lehetőség konfigurálható a megfelelő hozzáférés-vezérlési kényszerítés támogatására a feladatátvétel során.

Az identitásalapú hitelesítés előnyei

Az Azure Files identitásalapú hitelesítése számos előnnyel jár a megosztott kulcsos hitelesítéssel szemben:

  • A hagyományos identitásalapú fájlmegosztási hozzáférési élmény kiterjesztése a felhőre
    Ha azt tervezi, hogy az alkalmazást a felhőbe szeretné áthelyezni, és a hagyományos fájlkiszolgálókat Azure-fájlmegosztásokra cseréli, akkor érdemes lehet, hogy az alkalmazás a helyszíni AD DS-vel vagy a Microsoft Entra Domain Services hitelesítő adataival hitelesítse magát a fájladatok eléréséhez. Az Azure Files támogatja a helyszíni AD DS vagy a Microsoft Entra Domain Services hitelesítő adatainak használatát az Azure-fájlmegosztások SMB-n keresztüli eléréséhez a helyszíni AD DS-ből vagy a Microsoft Entra Domain Services tartományhoz csatlakoztatott virtuális gépekről.

  • Részletes hozzáférés-vezérlés kényszerítése Azure-fájlmegosztásokon
    Engedélyeket adhat egy adott identitáshoz a megosztás, a könyvtár vagy a fájl szintjén. Tegyük fel például, hogy több csapat is egyetlen Azure-fájlmegosztást használ a projekt együttműködéséhez. Minden csapat számára hozzáférést biztosíthat a nem bizalmas könyvtárakhoz, ugyanakkor csak a pénzügyi csapat számára korlátozhatja a bizalmas pénzügyi adatokat tartalmazó könyvtárakhoz való hozzáférést.

  • Windows ACL-ek (más néven NTFS-engedélyek) biztonsági mentése az adatokkal együtt
    Az Azure-fájlmegosztásokkal biztonsági másolatot készíthet a meglévő helyszíni fájlmegosztásokról. Az Azure Files megőrzi az ACL-eket és az adatokat, amikor SMB-en keresztül készít biztonsági másolatot egy fájlmegosztásról az Azure-fájlmegosztásokra.

Hogyan működik?

Az Azure-fájlmegosztások a Kerberos protokoll használatával hitelesítik magukat egy AD-forrással. Ha egy ügyfélen futó felhasználóhoz vagy alkalmazáshoz társított identitás megpróbál hozzáférni az Azure-fájlmegosztásokban lévő adatokhoz, a rendszer elküldi a kérést az AD-forrásnak az identitás hitelesítéséhez. Ha a hitelesítés sikeres, egy Kerberos-jogkivonatot ad vissza. Az ügyfél egy Kerberos-jogkivonatot tartalmazó kérelmet küld, és az Azure-fájlmegosztások ezt a jogkivonatot használják a kérés engedélyezéséhez. Az Azure-fájlmegosztások csak a Kerberos-jogkivonatot kapják meg, a felhasználó hozzáférési hitelesítő adatait nem.

Az identitásalapú hitelesítést az új és a meglévő tárfiókokon három AD-forrás egyikével engedélyezheti: AD DS, Microsoft Entra Domain Services vagy Microsoft Entra Kerberos (csak hibrid identitások). A tárfiókon csak egy AD-forrás használható fájlhozzáférés-hitelesítéshez, amely a fiók összes fájlmegosztására vonatkozik. Ahhoz, hogy engedélyezhesse az identitásalapú hitelesítést a tárfiókján, először be kell állítania a tartományi környezetet.

AD DS

A helyszíni AD DS-hitelesítéshez be kell állítania az AD-tartományvezérlőket, és tartományhoz kell csatlakoznia a gépekhez vagy virtuális gépekhez. A tartományvezérlőket azure-beli virtuális gépeken vagy a helyszínen is üzemeltetheti. Akárhogy is, a tartományhoz csatlakoztatott ügyfeleknek akadálytalan hálózati kapcsolattal kell rendelkezniük a tartományvezérlőhöz, ezért a tartományi szolgáltatás vállalati hálózatán vagy virtuális hálózatán (VNET) kell lenniük.

Az alábbi ábra az Azure-fájlmegosztások helyszíni AD DS-hitelesítését mutatja be SMB-n keresztül. A helyszíni AD DS-t szinkronizálni kell a Microsoft Entra-azonosítóval a Microsoft Entra Csatlakozás Sync vagy a Microsoft Entra Csatlakozás felhőszinkronizálás használatával. Csak a helyszíni AD DS-ben és a Microsoft Entra-azonosítóban található hibrid felhasználói identitások hitelesíthetők és engedélyezhetők az Azure-fájlmegosztás-hozzáféréshez. Ennek az az oka, hogy a megosztási szintű engedély a Microsoft Entra-azonosítóban megadott identitáshoz van konfigurálva, míg a címtár-/fájlszintű engedély az AD DS-ben érvényes. Győződjön meg arról, hogy az engedélyeket helyesen konfigurálja ugyanahhoz a hibrid felhasználóhoz.

Diagram that depicts on-premises AD DS authentication to Azure file shares over SMB.

Az AD DS-hitelesítés engedélyezésének megismeréséhez először olvassa el az Áttekintést – helyi Active Directory Tartományi szolgáltatások hitelesítése SMB-n keresztül Azure-fájlmegosztásokhoz, majd tekintse meg az Azure-fájlmegosztások AD DS-hitelesítésének engedélyezése című témakört.

Microsoft Entra tartományi szolgáltatások

A Microsoft Entra Domain Services hitelesítéséhez engedélyeznie kell a Microsoft Entra Domain Services szolgáltatást, és tartományhoz kell csatlakoznia azokhoz a virtuális gépekhez, amelyekről fájladatokat szeretne elérni. A tartományhoz csatlakoztatott virtuális gépnek ugyanabban a virtuális hálózaton (VNET-ben) kell lennie, mint a Microsoft Entra Domain Services.

Az alábbi ábra a Microsoft Entra Domain Services SMB-en keresztüli Azure-fájlmegosztásokra történő hitelesítésének munkafolyamatát mutatja be. A helyszíni AD DS-hitelesítéshez hasonló mintát követ, de két fő különbség van:

  1. A tárfiók megjelenítéséhez nem kell létrehoznia az identitást a Microsoft Entra Domain Servicesben. Ezt a háttérben futó engedélyezési folyamat hajtja végre.

  2. A Microsoft Entra-azonosítóban található összes felhasználó hitelesíthető és engedélyezhető. A felhasználó lehet csak felhőalapú vagy hibrid. A Microsoft Entra ID és a Microsoft Entra Domain Services közötti szinkronizálást a platform kezeli felhasználói konfiguráció nélkül. Az ügyfélnek azonban csatlakoznia kell a Microsoft Entra Domain Services által üzemeltetett tartományhoz. Nem lehet a Microsoft Entra-hoz csatlakozni vagy regisztrálni. A Microsoft Entra Domain Services nem támogatja a nem Azure-beli ügyfeleket (például felhasználói laptopokat, munkaállomásokat, virtuális gépeket más felhőkben stb.), amelyeket tartományhoz csatlakoznak a Microsoft Entra Domain Services által üzemeltetett tartományhoz. A nem tartományhoz csatlakoztatott ügyfélről azonban csatlakoztatható fájlmegosztás olyan explicit hitelesítő adatokkal, mint a DOMAINNAME\username vagy a teljes tartománynév (username@FQDN).

Diagram of configuration for Microsoft Entra Domain Services authentication with Azure Files over SMB.

A Microsoft Entra Domain Services-hitelesítés engedélyezéséről további információt a Microsoft Entra Domain Services hitelesítésének engedélyezése az Azure Filesban című témakörben talál.

Microsoft Entra Kerberos hibrid identitásokhoz

Ha engedélyezi és konfigurálja a Microsoft Entra-azonosítót a hibrid felhasználói identitások hitelesítéséhez, a Microsoft Entra-felhasználók Kerberos-hitelesítéssel férhetnek hozzá az Azure-fájlmegosztásokhoz. Ez a konfiguráció a Microsoft Entra ID-val adja ki a szükséges Kerberos-jegyeket a fájlmegosztáshoz az iparági szabvány SMB protokollal való eléréséhez. Ez azt jelenti, hogy a végfelhasználók anélkül férhetnek hozzá az Azure-fájlmegosztásokhoz az interneten keresztül, hogy hálózati kapcsolatot kellene létesítenie a Hibrid Microsoft Entra és a Microsoft Entra csatlakoztatott virtuális gépek tartományvezérlőivel. A címtár- és fájlszintű engedélyek felhasználók és csoportok számára való konfigurálásához azonban akadálytalan hálózati kapcsolat szükséges a helyszíni tartományvezérlőhöz.

Fontos

A Microsoft Entra Kerberos-hitelesítés csak a hibrid felhasználói identitásokat támogatja; nem támogatja a csak felhőalapú identitásokat. Hagyományos AD DS-telepítésre van szükség, amelyet a Microsoft Entra Csatlakozás Sync vagy a Microsoft Entra Csatlakozás felhőszinkronizálás használatával kell szinkronizálni a Microsoft Entra-azonosítóval. Az ügyfeleknek Microsoft Entra-hoz vagy hibrid Microsoft Entra-hoz kell csatlakozniuk. A Microsoft Entra Kerberos nem támogatott a Microsoft Entra Domain Serviceshez csatlakozó vagy csak az AD-hez csatlakoztatott ügyfeleken.

Diagram of configuration for Microsoft Entra Kerberos authentication for hybrid identities over SMB.

A Microsoft Entra Kerberos-hitelesítés hibrid identitásokhoz való engedélyezéséről további információt a Microsoft Entra Kerberos-hitelesítés engedélyezése az Azure Files hibrid identitásaihoz című témakörben talál.

Ezzel a funkcióval FSLogix-profilokat is tárolhat Az Azure-fájlmegosztásokon a Microsoft Entra-hoz csatlakoztatott virtuális gépekhez. További információ: Profiltároló létrehozása Az Azure Files és a Microsoft Entra ID használatával.

Access control

Az Azure Files a megosztási szinthez és a címtár-/fájlszintekhez való felhasználói hozzáférés engedélyezését is kikényszeríti. A megosztási szintű engedély-hozzárendelés az Azure RBAC-n keresztül felügyelt Microsoft Entra-felhasználókon vagy csoportokon végezhető el. Az Azure RBAC-vel a fájlhozzáféréshez használt hitelesítő adatoknak elérhetővé kell lenniük, vagy szinkronizálva kell lenniük a Microsoft Entra-azonosítóval. Azure-beli beépített szerepköröket, például a Storage File Data SMB Share Readert hozzárendelheti a Microsoft Entra ID felhasználóihoz vagy csoportjaihoz, hogy hozzáférést biztosítson egy Azure-fájlmegosztáshoz.

Címtár-/fájlszinten az Azure Files ugyanúgy támogatja a Windows ACL-ek megőrzését, öröklését és kényszerítését, mint bármely Windows-fájlkiszolgálót. Dönthet úgy, hogy megtartja a Windows ACL-eket az adatok SMB-en keresztüli másolásakor a meglévő fájlmegosztás és az Azure-fájlmegosztások között. Akár szeretné kikényszeríteni az engedélyezést, akár nem, azure-fájlmegosztásokkal biztonsági másolatot készíthet az ACL-ekről az adatokkal együtt.

Megosztási szintű engedélyek konfigurálása az Azure Fileshoz

Miután engedélyezte az AD-forrást a tárfiókban, a fájlmegosztás eléréséhez az alábbiak egyikét kell elvégeznie:

  • Az összes hitelesített felhasználóra és csoportra érvényes alapértelmezett megosztási szintű engedély beállítása
  • Beépített Azure RBAC-szerepkörök hozzárendelése felhasználókhoz és csoportokhoz, vagy
  • Egyéni szerepköröket konfigurálhat a Microsoft Entra-identitásokhoz, és hozzáférési jogosultságokat rendelhet a tárfiókban lévő fájlmegosztásokhoz.

A hozzárendelt megosztási szintű engedély lehetővé teszi, hogy a megadott identitás csak a megosztáshoz férhessen hozzá, semmi máshoz, még a gyökérkönyvtárhoz sem. Továbbra is külön kell konfigurálnia a címtár- és fájlszintű engedélyeket.

Címtár- vagy fájlszintű engedélyek konfigurálása az Azure Fileshoz

Az Azure-fájlmegosztások szabványos Windows ACL-eket kényszerítenek a címtár és a fájl szintjén is, beleértve a gyökérkönyvtárat is. A címtár- vagy fájlszintű engedélyek konfigurálása SMB-en és REST-en egyaránt támogatott. Csatlakoztassa a célfájlmegosztást a virtuális gépről, és konfigurálja az engedélyeket a Windows Fájlkezelő, a Windows icacls vagy a Set-ACL paranccsal.

A tárfiókkulcs használata a felügyelői engedélyekhez

A tárfiók-kulccsal rendelkező felhasználók szuperfelhasználói engedélyekkel férhetnek hozzá az Azure-fájlmegosztásokhoz. A superuser-engedélyek megkerülik az összes hozzáférés-vezérlési korlátozást.

Fontos

Ajánlott biztonsági ajánlott eljárásunk a tárfiókkulcsok megosztásának elkerülése és az identitásalapú hitelesítés használata, amikor csak lehetséges.

Címtár és fájl ACL-ek megőrzése adatok Azure-fájlmegosztásba történő importálásakor

Az Azure Files támogatja a címtár- vagy fájlszintű ACL-ek megőrzését, amikor adatokat másol az Azure-fájlmegosztásokra. A címtárban vagy fájlban lévő ACL-eket azure-fájlmegosztásokra másolhatja az Azure File Sync vagy a gyakori fájláthelyezési eszközkészletek használatával. Használhatja például a robocopyt a /copy:s jelzővel az adatok és az ACL-ek Azure-fájlmegosztásba való másolásához. Az ACL-ek alapértelmezés szerint megmaradnak, így nem kell engedélyeznie az identitásalapú hitelesítést a tárfiókon az ACL-ek megőrzéséhez.

Árképzés

A tárfiókon az identitásalapú hitelesítés SMB-n keresztül történő engedélyezéséhez nincs további szolgáltatási díj. A díjszabással kapcsolatos további információkért tekintse meg az Azure Files díjszabását és a Microsoft Entra Domain Services díjszabását.

További lépések

További információ az Azure Filesról és az identitásalapú hitelesítésről az SMB-en keresztül: