Introduzione alla configurazione di File di Azure
Per poter accedere a File di Azure, gli utenti di Contoso devono prima eseguire l'autenticazione. L'accesso anonimo non è supportato. In qualità di sistemista capo, è necessario conoscere i metodi di autenticazione supportati da File di Azure, descritti nella tabella seguente.
| Metodo di autenticazione | Descrizione |
|---|---|
| Autenticazione basata sull'identità tramite SMB | Preferibile quando si accede a File di Azure, offre un'esperienza di Single Sign-On facile per l'accesso alle condivisioni file di Azure analoga all'accesso alle condivisioni file locali. L'autenticazione basata sull'identità supporta l'autenticazione Kerberos che usa identità di Microsoft Entra ID (in precedenza Azure) AD o AD DS. |
| Chiave di accesso | Una chiave di accesso è un'opzione meno recente e meno flessibile. Un account di archiviazione di Azure ha due chiavi di accesso che possono essere usate per effettuare una richiesta all'account di archiviazione, incluso File di Azure. Le chiavi di accesso sono statiche e forniscono l'accesso con controllo completo a File di Azure. Le chiavi di accesso devono essere protette e non condivise con gli utenti, in quanto ignorano tutte le restrizioni di controllo di accesso. È consigliabile evitare di condividere le chiavi dell'account di archiviazione e usare l'autenticazione basata sull'identità quando possibile. |
| Token di firma di accesso condiviso | La firma di accesso condiviso è un URI (Uniform Resource Identifier) generato dinamicamente e basato sulla chiave di accesso alle risorse di archiviazione. La firma di accesso condiviso fornisce diritti di accesso limitati a un account di archiviazione di Azure. Le limitazioni includono autorizzazioni consentite, ora di inizio e di scadenza, indirizzi IP consentiti da cui è possibile inviare le richieste e protocolli consentiti. Con File di Azure, un token di firma di accesso condiviso viene usato solo per fornire l'accesso all'API REST dal codice. |
Usare l'autenticazione basata sull'identità
È possibile abilitare l'autenticazione basata sull'identità negli account di archiviazione di Azure. Il primo passaggio consiste nel configurare l'origine di Active Directory (AD) per l'account di archiviazione. Per Windows, è possibile scegliere tra le tre origini di Active Directory seguenti:
- AD DS locale
- Microsoft Entra Domain Services (in precedenza Azure Active Directory Domain Services)
- Kerberos di Microsoft Entra (solo per le identità ibride)
Per usare Active Directory Domain Services o Kerberos di Microsoft Entra, è necessario assicurarsi che Active Directory Domain Services locale sia sincronizzato con Microsoft Entra ID tramite Microsoft Entra Connect o la sincronizzazione cloud di Microsoft Entra Connect.
Dopo aver abilitato l'autenticazione basata sull'identità per un account di archiviazione, gli utenti possono accedere ai file nella condivisione file di Azure con le proprie credenziali di accesso. Quando un utente cerca di accedere ai dati in File di Azure, la richiesta viene inviata ad Active Directory Domain Services o Microsoft Entra ID per l'autenticazione, a seconda dell’origine di Azure Directory selezionata. Se l'autenticazione viene completata, Azure Directory restituisce un token Kerberos. L'utente invia quindi una richiesta che include il token Kerberos e la condivisione file di Azure usa il token per autorizzare la richiesta.
Configurare le autorizzazioni per la condivisione file di Azure
Se è stata abilitata l'autenticazione basata sull'identità, è possibile usare i ruoli di controllo degli accessi in base al ruolo (RBAC) per controllare i diritti di accesso (o le autorizzazioni) alle condivisioni file di Azure. La tabella seguente elenca i ruoli predefiniti per File di Azure.
| Ruolo Controllo degli accessi in base al ruolo di Azure | Descrizione |
|---|---|
| Collaboratore per la condivisione SMB di dati per file di archiviazione | Gli utenti con questo ruolo hanno accesso in lettura, scrittura ed eliminazione alle condivisioni file di Azure tramite SMB. |
| Collaboratore con privilegi elevati per la condivisione SMB di dati per file di archiviazione | Gli utenti con questo ruolo hanno accesso in lettura, scrittura, eliminazione e modifica delle autorizzazioni NTFS nelle condivisioni file di Azure tramite SMB. Questo ruolo ha autorizzazioni di controllo completo sulla condivisione file di Azure. |
| Ruolo con autorizzazioni di lettura per la condivisione SMB di dati per file di archiviazione | Gli utenti con questo ruolo hanno accesso in lettura alla condivisione file di Azure tramite SMB. |
| Lettore con privilegi per i dati dei file di archiviazione | Gli utenti di questo ruolo hanno accesso in lettura completo a tutti i dati nelle condivisioni per tutti gli account di archiviazione configurati, indipendentemente dalle autorizzazioni NTFS a livello di file/directory impostate. |
| Collaboratore con privilegi per i dati dei file di archiviazione | Gli utenti di questo ruolo dispongono di accesso completo in lettura, scrittura, modifica e eliminazione dell'accesso a tutti i dati nelle condivisioni per tutti gli account di archiviazione configurati, indipendentemente dalle autorizzazioni NTFS a livello di file/directory impostate. |
Se necessario, è anche possibile creare e usare ruoli Controllo degli accessi in base al ruolo personalizzati. Questi tipi di ruoli, tuttavia, concedono l'accesso solo a una condivisione. Per accedere ai file, un utente deve avere anche le autorizzazioni a livello di directory e file.
Le condivisioni file di Azure applicano le autorizzazioni standard per i file di Windows a livello di cartella e file. È possibile montare la condivisione e configurare le autorizzazioni tramite SMB allo stesso modo delle condivisioni file locali.
Importante
Per il controllo amministrativo completo di una condivisione file di Azure, inclusa la possibilità di assumere la proprietà di un file, è necessario usare la chiave dell'account di archiviazione.
Crittografia dei dati
Tutti i dati archiviati in un account di archiviazione di Azure, inclusi i dati nelle condivisioni file di Azure, vengono sempre crittografati mentre sono inattivi tramite la crittografia del servizio di archiviazione. I dati vengono crittografati quando vengono scritti nei data center di Azure e vengono decrittografati automaticamente al momento dell'accesso. Per impostazione predefinita, i dati vengono crittografati tramite chiavi gestite da Microsoft, ma si può scegliere di usare una chiave di crittografia personalizzata.
Per impostazione predefinita, la crittografia in transito è abilitata per tutti gli account di archiviazione di Azure. Questo garantisce che tutti i dati vengano crittografati durante il trasferimento dal data center di Azure al dispositivo. L'accesso non crittografato tramite SMB 2.1 e SMB 3.0 senza crittografia o HTTP non è consentito per impostazione predefinita e i client non sono in grado di connettersi alle condivisioni file di Azure senza crittografia. Questa configurazione può essere applicata a un account di archiviazione di Azure ed è valida per tutti i servizi dell'account di archiviazione.
Creazione di condivisioni file di Azure
File di Azure viene distribuito come parte di un account di archiviazione di Azure. Le impostazioni specificate durante la creazione di un account di archiviazione di Azure, come la posizione, la replica e il metodo di connettività, si applicano anche a File di Azure. Alcune impostazioni dell'account di archiviazione di Azure, come le prestazioni e il tipo di account, possono limitare le opzioni disponibili per File di Azure. Ad esempio, se si vogliono usare le condivisioni file Premium, che usano unità SSD, è necessario selezionare le prestazioni Premium e il tipo di account di archiviazione FileStorage al momento della creazione dell'account di archiviazione di Azure.
Una volta creato un account di archiviazione di Azure, è possibile creare una condivisione file di Azure usando il portale di Azure, Azure PowerShell, l'interfaccia della riga di comando di Azure o l'API REST. È anche possibile creare un account di archiviazione di Azure usando Windows Admin Center quando si distribuisce Sincronizzazione file di Azure.
Per creare una condivisione file SMB di Azure Standard, seguire questa procedura. Se si crea una condivisione file di Azure Premium, è necessario specificare anche la capacità di cui è stato effettuato il provisioning.
- Accedere al portale di Azure e selezionare l'account di archiviazione appropriato.
- Nel menu del servizio, in Archiviazione dati, selezionare Condivisioni file.
- Sulla barra degli strumenti nel riquadro dei dettagli selezionare + Condivisione file.
- Nel pannello Nuova condivisione file immettere il Nome desiderato e selezionare un Livello di accesso.
- Selezionare Rivedi e crea e quindi Crea.