Panoramica delle opzioni di autenticazione basate sull'identità File di Azure per l'accesso SMB

  • Articolo

Questo articolo illustra in che modo le condivisioni file di Azure possono usare i servizi di dominio, in locale o in Azure, per supportare l'accesso basato sulle identità alle condivisioni file di Azure tramite SMB. L'abilitazione dell'accesso basato sull'identità per le condivisioni file di Azure consente di sostituire i file server esistenti con condivisioni file di Azure senza sostituire il servizio directory esistente, mantenendo l'accesso degli utenti alle condivisioni senza interruzioni.

Si applica a

Tipo di condivisione file SMB NFS
Condivisioni file Standard (GPv2), archiviazione con ridondanza locale/archiviazione con ridondanza della zona Yes No
Condivisioni file Standard (GPv2), archiviazione con ridondanza geografica/archiviazione con ridondanza geografica della zona Yes No
Condivisioni file Premium (FileStorage), archiviazione con ridondanza locale/archiviazione con ridondanza della zona Yes No

Glossario

È utile comprendere alcuni termini chiave relativi all'autenticazione basata su identità per le condivisioni file di Azure:

  • Autenticazione Kerberos

    Kerberos è un protocollo di autenticazione usato per verificare l'identità di un utente o di un host. Per altre informazioni su Kerberos, vedere Panoramica dell'autenticazione Kerberos.

  • Protocollo Server Message Block (SMB)

    SMB è un protocollo standard di settore per la condivisione dei file in rete. Per altre informazioni su SMB, vedere Protocollo SMB di Microsoft e panoramica del protocollo CIFS.

  • Microsoft Entra ID

    Microsoft Entra ID (in precedenza Azure AD) è il servizio di gestione delle identità e della directory basato sul cloud multi-tenant di Microsoft. Microsoft Entra ID combina i servizi directory di base, la gestione degli accessi alle applicazioni e la protezione delle identità in un'unica soluzione.

  • Microsoft Entra Domain Services

    Servizi di dominio Microsoft Entra fornisce servizi di dominio gestiti, ad esempio l'aggiunta a un dominio, criteri di gruppo, LDAP e l'autenticazione Kerberos/NTLM. Questi servizi sono completamente compatibili con Active Directory Domain Services. Per altre informazioni, vedere Microsoft Entra Domain Services.

  • Servizi di Dominio di Active Directory locali

    L'integrazione di Dominio di Active Directory Services (AD DS) locale con File di Azure fornisce i metodi per l'archiviazione dei dati della directory, rendendoli disponibili agli utenti e agli amministratori di rete. La sicurezza è integrata con Active Directory Domain Services tramite l'autenticazione di accesso e il controllo di accesso agli oggetti nella directory. Con un singolo accesso alla rete, gli amministratori possono gestire i dati della directory e l'organizzazione in tutta la rete e gli utenti di rete autorizzati possono accedere alle risorse ovunque nella rete. Active Directory Domain Services viene comunemente adottato dalle aziende in ambienti locali o in macchine virtuali ospitate nel cloud e le credenziali di Active Directory Domain Services vengono usate per il controllo di accesso. Per altre informazioni, vedere Panoramica di Dominio di Active Directory Services.

  • Controllo degli accessi in base al ruolo di Azure

    Il controllo degli accessi in base al ruolo di Azure consente di gestire gli accessi con granularità fine per Azure. Usando il controllo degli accessi in base al ruolo di Azure, è possibile gestire l'accesso alle risorse concedendo agli utenti le autorizzazioni più poche necessarie per eseguire i processi. Per altre informazioni, vedere Che cos'è il controllo degli accessi in base al ruolo di Azure?

  • Identità ibride

    Le identità utente ibride sono identità in Servizi di dominio Active Directory sincronizzate con l'ID Microsoft Entra usando l'applicazione Microsoft Entra Connessione Sync locale o microsoft Entra Connessione sincronizzazione cloud, un agente leggero che può essere installato da Microsoft Entra Amministrazione Center.

Scenari di autenticazione supportati

File di Azure supporta l'autenticazione basata su identità tramite SMB tramite i metodi seguenti. È possibile usare un solo metodo per ogni account di archiviazione.

  • Autenticazione di Active Directory Domain Services locale: i computer Windows aggiunti a Servizi di dominio Active Directory locali o Aggiunti a Microsoft Entra Domain Services possono accedere alle condivisioni file di Azure con credenziali Active Directory locale sincronizzate con Microsoft Entra ID tramite SMB. Il client deve disporre di connettività di rete non implementata ad Active Directory Domain Services. Se Servizi di dominio Active Directory è già configurato in locale o in una macchina virtuale in Azure in cui i dispositivi sono aggiunti a un dominio ad Active Directory, è consigliabile usare Active Directory Domain Services per l'autenticazione delle condivisioni file di Azure.
  • Autenticazione di Servizi di dominio Microsoft Entra: le macchine virtuali Windows aggiunte a Microsoft Entra Domain Services basate sul cloud possono accedere alle condivisioni file di Azure con le credenziali di Microsoft Entra. In questa soluzione, Microsoft Entra ID esegue un dominio di Windows Server AD tradizionale per conto del cliente, che è un elemento figlio del tenant di Microsoft Entra del cliente.
  • Microsoft Entra Kerberos per le identità ibride: l'uso dell'ID Microsoft Entra per l'autenticazione delle identità utente ibride consente agli utenti di Microsoft Entra di accedere alle condivisioni file di Azure usando l'autenticazione Kerberos. Ciò significa che gli utenti finali possono accedere alle condivisioni file di Azure tramite Internet senza richiedere la connettività di rete ai controller di dominio da macchine virtuali aggiunte a Microsoft Entra ibride e microsoft Entra. Le identità solo cloud non sono attualmente supportate.
  • Autenticazione Kerberos di ACTIVE Directory per i client Linux: i client Linux possono usare l'autenticazione Kerberos tramite SMB per File di Azure usando Servizi di dominio Active Directory locali o Microsoft Entra Domain Services.

Limitazioni

  • Nessuno dei metodi di autenticazione supporta l'assegnazione di autorizzazioni a livello di condivisione agli account computer (account computer) usando il controllo degli accessi in base al ruolo di Azure, perché gli account computer non possono essere sincronizzati con un'identità in Microsoft Entra ID. Se si vuole consentire a un account computer di accedere alle condivisioni file di Azure usando l'autenticazione basata sull'identità, usare invece un'autorizzazione predefinita a livello di condivisione o prendere in considerazione l'uso di un account di accesso al servizio.
  • L'autenticazione basata su identità non è supportata con le condivisioni NFS (Network File System).

Casi d'uso comuni

L'autenticazione basata su identità con File di Azure può essere utile in diversi scenari:

Sostituire i file server locali

La deprecazione e la sostituzione di file server locali sparsi è un problema comune riscontrato da ogni azienda nel percorso di modernizzazione IT. Le condivisioni file di Azure con l'autenticazione di Active Directory Domain Services locale sono le più adatte quando è possibile eseguire la migrazione dei dati a File di Azure. Una migrazione completa consentirà di sfruttare i vantaggi di disponibilità elevata e scalabilità riducendo al minimo le modifiche lato client. Offre un'esperienza di migrazione senza problemi agli utenti finali, in modo che possano continuare ad accedere ai dati con le stesse credenziali usando i computer aggiunti a un dominio esistenti.

Trasferire in modalità lift-and-shift le applicazioni in Azure

Quando si spostano in modalità lift-and-shift le applicazioni nel cloud, si vuole mantenere lo stesso modello di autenticazione per i dati. Man mano che si estende l'esperienza di controllo degli accessi in base all'identità alle condivisioni file di Azure, l'applicazione viene eliminata e viene eliminata la necessità di modificare i metodi di autenticazione moderni e accelerare l'adozione del cloud. Le condivisioni file di Azure offrono la possibilità di eseguire l'integrazione con Microsoft Entra Domain Services o Active Directory Domain Services locale per l'autenticazione. Se il piano deve essere nativo del 100% e ridurre al minimo le attività di gestione delle infrastrutture cloud, Microsoft Entra Domain Services potrebbe essere un servizio di dominio completamente gestito. Se è necessaria la compatibilità completa con le funzionalità di Servizi di dominio Active Directory, è consigliabile estendere l'ambiente di Active Directory Domain Services al cloud tramite controller di dominio self-hosting nelle macchine virtuali. In entrambi i casi, offriamo la flessibilità necessaria per scegliere il servizio di dominio più adatto alle esigenze aziendali.

Backup e ripristino di emergenza

Se si mantiene l'archiviazione file primaria in locale, le condivisioni file di Azure possono fungere da risorsa di archiviazione ideale per il backup o il ripristino di emergenza, per migliorare la continuità aziendale. È possibile usare le condivisioni file di Azure per eseguire il backup dei dati dai file server esistenti mantenendo al tempo stesso elenchi di controllo di accesso discrezionale (DACL) di Windows. Per gli scenari di ripristino di emergenza, è possibile configurare un'opzione di autenticazione per supportare l'applicazione corretta del controllo di accesso in fase di failover.

Vantaggi dell'autenticazione basata sull'identità

L'autenticazione basata sull'identità per File di Azure offre diversi vantaggi rispetto all'uso dell'autenticazione con chiave condivisa:

  • Estendere l'esperienza di accesso alla condivisione file basata su identità tradizionale nel cloud
    Se si prevede di trasferire in modalità lift-and-shift l'applicazione nel cloud, sostituendo i file server tradizionali con condivisioni file di Azure, è possibile che l'applicazione esegua l'autenticazione con le credenziali di Servizi di dominio Active Directory locali o Microsoft Entra Domain Services per accedere ai dati dei file. File di Azure supporta l'uso di credenziali di Servizi di dominio Active Directory locali o Microsoft Entra Domain Services per accedere alle condivisioni file di Azure tramite SMB da macchine virtuali locali aggiunte a Servizi di dominio Active Directory o Microsoft Entra Domain Services.

  • Applicare il controllo dell'accesso granulare sulle condivisioni file di Azure
    È possibile concedere autorizzazioni a un'identità specifica a livello di condivisione, directory o file. Si supponga, ad esempio, che più team usino una condivisione file di Azure singola per la collaborazione a progetti. È possibile concedere a tutti i team l'accesso alle directory non sensibili, limitando al contempo l'accesso alle directory contenenti dati finanziari sensibili solo al team finanziario.

  • Eseguire il backup degli elenchi di controllo di accesso di Windows (noti anche come autorizzazioni NTFS) insieme ai dati
    È possibile usare condivisioni file di Azure per eseguire il backup delle condivisioni file locali esistenti. File di Azure conserva gli ACL insieme ai dati quando si esegue il backup di una condivisione file in condivisioni file di Azure su SMB.

Funzionamento

Le condivisioni file di Azure usano il protocollo Kerberos per l'autenticazione con un'origine AD. Quando un'identità associata a un utente o a un'applicazione in esecuzione in un client tenta di accedere ai dati nelle condivisioni file di Azure, la richiesta viene inviata all'origine di AD per autenticare l'identità. Se l'autenticazione ha esito positivo, viene restituito un token Kerberos. Il client invia una richiesta che include il token Kerberos e le condivisioni file di Azure usano il token per autorizzare la richiesta. Le condivisioni file di Azure ricevono solo il token Kerberos, non le credenziali di accesso dell'utente.

È possibile abilitare l'autenticazione basata sull'identità sugli account di archiviazione nuovi ed esistenti usando una delle tre origini di Active Directory: Servizi di dominio Active Directory, Microsoft Entra Domain Services o Microsoft Entra Kerberos (solo identità ibride). È possibile usare un'unica origine AD per l'autenticazione dell'accesso ai file nell'account di archiviazione, che si applica a tutte le condivisioni file nell'account. Prima di abilitare l'autenticazione basata su identità nell'account di archiviazione, è necessario configurare l'ambiente di dominio.

Servizi di dominio Active Directory

Per l'autenticazione di Active Directory Domain Services locale, è necessario configurare i controller di dominio DI ACTIVE Directory e aggiungere i computer o le macchine virtuali. È possibile ospitare i controller di dominio in macchine virtuali di Azure o in locale. In entrambi i casi, i client aggiunti a un dominio devono avere connettività di rete non implementata al controller di dominio, quindi devono trovarsi all'interno della rete aziendale o della rete virtuale (VNET) del servizio di dominio.

Il diagramma seguente illustra l'autenticazione di Active Directory Domain Services locale nelle condivisioni file di Azure tramite SMB. L'istanza locale di Active Directory Domain Services deve essere sincronizzata con Microsoft Entra ID usando Microsoft Entra Connessione Sync o Microsoft Entra Connessione la sincronizzazione cloud. Solo le identità utente ibride presenti sia in Active Directory Domain Services locale che nell'ID Microsoft Entra possono essere autenticate e autorizzate per l'accesso alla condivisione file di Azure. Ciò è dovuto al fatto che l'autorizzazione a livello di condivisione è configurata in base all'identità rappresentata nell'ID Microsoft Entra, mentre l'autorizzazione a livello di directory/file viene applicata con quella in Active Directory Domain Services. Assicurarsi di configurare correttamente le autorizzazioni per lo stesso utente ibrido.

Diagram that depicts on-premises AD DS authentication to Azure file shares over SMB.

Per informazioni su come abilitare l'autenticazione di Active Directory Domain Services, leggere prima Panoramica - Active Directory locale l'autenticazione di Domain Services tramite SMB per condivisioni file di Azure e quindi vedere Abilitare l'autenticazione di Active Directory Domain Services per le condivisioni file di Azure.

Servizi di dominio Microsoft Entra

Per l'autenticazione di Microsoft Entra Domain Services, è necessario abilitare Microsoft Entra Domain Services e aggiungere le macchine virtuali da cui si prevede di accedere ai dati dei file. La macchina virtuale aggiunta a un dominio deve trovarsi nella stessa rete virtuale (VNET) di Microsoft Entra Domain Services.

Il diagramma seguente rappresenta il flusso di lavoro per l'autenticazione di Microsoft Entra Domain Services nelle condivisioni file di Azure tramite SMB. Segue un modello simile all'autenticazione di Active Directory Domain Services locale, ma esistono due differenze principali:

  1. Non è necessario creare l'identità in Microsoft Entra Domain Services per rappresentare l'account di archiviazione. Questa operazione viene eseguita dal processo di abilitazione in background.

  2. Tutti gli utenti presenti in Microsoft Entra ID possono essere autenticati e autorizzati. L'utente può essere solo cloud o ibrido. La sincronizzazione da Microsoft Entra ID a Microsoft Entra Domain Services viene gestita dalla piattaforma senza richiedere alcuna configurazione utente. Tuttavia, il client deve essere aggiunto al dominio ospitato di Microsoft Entra Domain Services. Non può essere registrato o aggiunto a Microsoft Entra. Microsoft Entra Domain Services non supporta i client non Azure (ad esempio portatili utente, workstation, macchine virtuali in altri cloud e così via) aggiunti al dominio ospitato da Microsoft Entra Domain Services. Tuttavia, è possibile montare una condivisione file da un client non aggiunto a un dominio specificando credenziali esplicite, ad esempio DOMAINNAME\username o usando il nome di dominio completo (username@FQDN).

Diagram of configuration for Microsoft Entra Domain Services authentication with Azure Files over SMB.

Per informazioni su come abilitare l'autenticazione di Microsoft Entra Domain Services, vedere Abilitare l'autenticazione di Microsoft Entra Domain Services in File di Azure.

Microsoft Entra Kerberos per le identità ibride

L'abilitazione e la configurazione di Microsoft Entra ID per l'autenticazione delle identità utente ibride consente agli utenti di Microsoft Entra di accedere alle condivisioni file di Azure usando l'autenticazione Kerberos. Questa configurazione usa Microsoft Entra ID per rilasciare i ticket Kerberos necessari per accedere alla condivisione file con il protocollo SMB standard del settore. Ciò significa che gli utenti finali possono accedere alle condivisioni file di Azure tramite Internet senza richiedere la connettività di rete ai controller di dominio da macchine virtuali aggiunte a Microsoft Entra ibride e microsoft Entra. Tuttavia, la configurazione delle autorizzazioni a livello di directory e file per utenti e gruppi richiede la connettività di rete non implementata al controller di dominio locale.

Importante

L'autenticazione Kerberos di Microsoft Entra supporta solo le identità utente ibride; non supporta le identità solo cloud. È necessaria una distribuzione tradizionale di Servizi di dominio Active Directory e deve essere sincronizzata con Microsoft Entra ID usando Microsoft Entra Connessione Sync o Microsoft Entra Connessione sincronizzazione cloud. I client devono essere aggiunti a Microsoft Entra o aggiunti a Microsoft Entra ibrido. Microsoft Entra Kerberos non è supportato nei client aggiunti a Microsoft Entra Domain Services o aggiunti solo ad AD.

Diagram of configuration for Microsoft Entra Kerberos authentication for hybrid identities over SMB.

Per informazioni su come abilitare l'autenticazione Kerberos di Microsoft Entra per le identità ibride, vedere Abilitare l'autenticazione Kerberos di Microsoft Entra per le identità ibride in File di Azure.

È anche possibile usare questa funzionalità per archiviare i profili FSLogix nelle condivisioni file di Azure per le macchine virtuali aggiunte a Microsoft Entra. Per altre informazioni, vedere Creare un contenitore di profili con File di Azure e ID Microsoft Entra.

Controllo di accesso

File di Azure applica l'autorizzazione all'accesso utente sia al livello di condivisione che ai livelli di directory/file. L'assegnazione delle autorizzazioni a livello di condivisione può essere eseguita su utenti o gruppi di Microsoft Entra gestiti tramite il controllo degli accessi in base al ruolo di Azure. Con il controllo degli accessi in base al ruolo di Azure, le credenziali usate per l'accesso ai file devono essere disponibili o sincronizzate con Microsoft Entra ID. È possibile assegnare ruoli predefiniti di Azure, ad esempio Archiviazione lettore di condivisione SMB di dati file a utenti o gruppi in Microsoft Entra ID per concedere l'accesso a una condivisione file di Azure.

A livello di directory/file, File di Azure supporta il mantenimento, l'ereditarietà e l'applicazione degli ACL di Windows esattamente come qualsiasi file server di Windows. È possibile scegliere di mantenere gli ACL di Windows durante la copia dei dati tramite SMB tra la condivisione file esistente e le condivisioni file di Azure. Indipendentemente dal fatto che si intenda applicare o meno l'autorizzazione, è possibile usare condivisioni file di Azure per eseguire il backup degli ACL insieme ai dati.

Configurare le autorizzazioni a livello di condivisione per File di Azure

Dopo aver abilitato un'origine di Active Directory nell'account di archiviazione, è necessario eseguire una delle operazioni seguenti per accedere alla condivisione file:

  • Impostare un'autorizzazione a livello di condivisione predefinita che si applica a tutti gli utenti e i gruppi autenticati
  • Assegnare ruoli predefiniti del controllo degli accessi in base al ruolo di Azure a utenti e gruppi o
  • Configurare ruoli personalizzati per le identità di Microsoft Entra e assegnare diritti di accesso alle condivisioni file nell'account di archiviazione.

L'autorizzazione a livello di condivisione assegnata consente all'identità concessa di ottenere l'accesso solo alla condivisione, nient'altro, nemmeno la directory radice. È comunque necessario configurare separatamente le autorizzazioni a livello di directory e file.

Configurare le autorizzazioni a livello di directory o file per File di Azure

Le condivisioni file di Azure applicano gli ACL di Windows standard sia a livello di directory che a livello di file, inclusa la directory radice. La configurazione delle autorizzazioni a livello di directory o file è supportata sia su SMB che su REST. Montare la condivisione file di destinazione dalla macchina virtuale e configurare le autorizzazioni usando Windows Esplora file, Windows icacls o il comando Set-ACL.

Usare la chiave dell'account di archiviazione per le autorizzazioni di utente con privilegi avanzati

Un utente con la chiave dell'account di archiviazione può accedere alle condivisioni file di Azure con autorizzazioni con privilegi avanzati. Le autorizzazioni utente con privilegi avanzati ignorano tutte le restrizioni di controllo di accesso.

Importante

La procedura consigliata per la sicurezza consiste nell'evitare di condividere le chiavi dell'account di archiviazione e sfruttare l'autenticazione basata sull'identità quando possibile.

Mantenere gli ACL di directory e file durante l'importazione di dati in condivisioni file di Azure

File di Azure consente di mantenere gli ACL di directory o file durante la copia di dati in condivisioni file di Azure. È possibile copiare gli ACL di una directory o di un file in condivisioni file di Azure usando Sincronizzazione file di Azure o comuni set di strumenti di spostamento di file. Ad esempio, è possibile usare robocopy con il /copy:s flag per copiare dati e ACL in una condivisione file di Azure. Gli ACL vengono mantenuti per impostazione predefinita, quindi non è necessario abilitare l'autenticazione basata su identità nell'account di archiviazione per mantenere gli elenchi di controllo di accesso.

Prezzo

Non sono previsti costi aggiuntivi per abilitare l'autenticazione basata su identità tramite SMB nell'account di archiviazione. Per altre informazioni sui prezzi, vedere prezzi File di Azure e prezzi di Microsoft Entra Domain Services.

Passaggi successivi

Per altre informazioni sull'autenticazione basata su identità e File di Azure su SMB, vedere le risorse seguenti: