Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Van toepassing op: ✔️ SMB Azure-bestandsdelingen
In dit artikel wordt uitgelegd hoe u verificatie op basis van identiteiten, on-premises of in Azure, kunt gebruiken om op identiteit gebaseerde toegang tot Azure-bestandsshares via het SMB-protocol (Server Message Block) in te schakelen. Net als windows-bestandsservers kunt u machtigingen verlenen aan een identiteit op share-, map- of bestandsniveau. Er worden geen extra servicekosten in rekening gebracht om verificatie op basis van identiteiten in te schakelen voor uw opslagaccount.
Verificatie op basis van identiteit wordt ondersteund via SMB voor Windows-, Linux- en MacOS-clients. Het wordt momenteel echter niet ondersteund met NFS-shares (Network File System).
Belangrijk
Om veiligheidsredenen wordt het gebruik van identiteitsgebaseerde authenticatie voor toegang tot bestandsshares aanbevolen boven het gebruik van de sleutel van het opslagaccount. Deel uw opslagaccountsleutels nooit.
Hoe het werkt
Azure-bestandsshares maken gebruik van het Kerberos-protocol om te verifiëren met een identiteitsbron. Wanneer een identiteit die is gekoppeld aan een gebruiker of toepassing die wordt uitgevoerd op een client toegang probeert te krijgen tot gegevens in Azure-bestandsshares, wordt de aanvraag verzonden naar de identiteitsbron om de identiteit te verifiëren. Als de verificatie is geslaagd, retourneert de identiteitsbron een Kerberos-ticket. De client verzendt vervolgens een aanvraag met het Kerberos-ticket en Azure Files gebruikt dat ticket om de aanvraag te autoriseren. De Azure Files-service ontvangt alleen het Kerberos-ticket, niet de toegangsreferenties van de gebruiker.
Veelvoorkomende toepassingen
Verificatie op basis van identiteit met SMB Azure-bestandsshares kan handig zijn in verschillende scenario's:
On-premises bestandsservers vervangen
Het vervangen van verspreide on-premises bestandsservers is een uitdaging voor elke organisatie tijdens hun IT-moderniseringstraject. Het gebruik van verificatie op basis van identiteiten met Azure Files biedt een naadloze migratie-ervaring, zodat eindgebruikers toegang kunnen blijven krijgen tot hun gegevens met dezelfde referenties.
Verplaats en migreer toepassingen naar Azure
Wanneer u toepassingen naar de cloud tilt en verplaatst, wilt u waarschijnlijk hetzelfde verificatiemodel behouden voor toegang tot bestandsshares. Verificatie op basis van identiteit elimineert de noodzaak om uw adreslijstservice te wijzigen, waardoor de overstap naar de cloud wordt versneld.
Back-up en herstel na noodgevallen (DR)
Als u uw primaire bestandsopslag on-premises bewaart, is Azure Files een ideale oplossing voor back-up en herstel na noodgevallen om de bedrijfscontinuïteit te verbeteren. U kunt Azure-bestandsshares gebruiken om een back-up te maken van uw bestandsservers, terwijl u discretionaire toegangsbeheerlijsten (DACL's) van Windows behoudt. Voor dr-scenario's kunt u een verificatieoptie configureren om de juiste afdwinging van toegangsbeheer bij failover te ondersteunen.
Kies een identiteitsbron voor uw opslagaccount
Voordat u verificatie op basis van identiteiten inschakelt voor uw opslagaccount, moet u weten welke identiteitsbron u gaat gebruiken. Het is waarschijnlijk dat u er al een hebt, omdat de meeste bedrijven en organisaties een bepaald type domeinomgeving hebben geconfigureerd. Neem contact op met uw Active Directory (AD) of IT-beheerder om er zeker van te zijn. Als u nog geen identiteitsbron hebt, moet u er een configureren voordat u verificatie op basis van identiteiten kunt inschakelen.
Ondersteunde verificatiescenario's
U kunt verificatie op basis van identiteiten via SMB inschakelen met behulp van een van de drie identiteitsbronnen: On-premises Active Directory Domain Services (AD DS), Microsoft Entra Domain Services of Microsoft Entra Kerberos. U kunt slechts één identiteitsbron gebruiken voor verificatie van bestandstoegang per opslagaccount en is van toepassing op alle bestandsshares in het account.
On-premises AD DS: Het opslagaccount is gekoppeld aan de on-premises AD DS en identiteiten van AD DS hebben veilig toegang tot SMB Azure-bestandsshares vanaf een client die lid is van een domein of een client die ononderbroken verbinding heeft met de domeincontroller. De on-premises AD DS-omgeving moet worden gesynchroniseerd met Microsoft Entra ID met behulp van de on-premises Microsoft Entra Connect-toepassing of Microsoft Entra Connect-cloudsynchronisatie, een lichtgewicht agent die kan worden geïnstalleerd vanuit het Microsoft Entra-beheercentrum. Bekijk de volledige lijst met vereisten.
Microsoft Entra Kerberos: U kunt Microsoft Entra ID gebruiken om hybride of cloudidentiteiten (preview) te verifiëren, zodat eindgebruikers toegang hebben tot Azure-bestandsshares. Als u hybride identiteiten wilt verifiëren, hebt u een bestaande AD DS-implementatie nodig, die vervolgens wordt gesynchroniseerd met uw Microsoft Entra-tenant. Bekijk de vereisten.
Microsoft Entra Domain Services: vm's in de cloud die zijn gekoppeld aan Microsoft Entra Domain Services hebben toegang tot Azure-bestandsshares met Microsoft Entra-referenties. In deze oplossing voert Microsoft Entra ID een traditioneel Windows Server AD-domein uit dat een onderliggend element is van de Microsoft Entra-tenant van de klant. Bekijk de vereisten.
Gebruik de volgende richtlijnen om te bepalen welke identiteitsbron u moet kiezen.
Als uw organisatie al een on-premises AD heeft en niet klaar is om identiteiten naar de cloud te verplaatsen, en als uw clients, VM's en toepassingen lid zijn van een domein of onbelemmerde netwerkverbinding met deze domeincontrollers hebben, kies dan voor AD DS.
Als sommige of alle clients geen niet-beperkte netwerkverbinding met uw AD DS hebben of als u FSLogix-profielen op Azure-bestandsshares opslaat voor aan Microsoft Entra gekoppelde VM's, kiest u Microsoft Entra Kerberos.
Als u een bestaande on-premises AD hebt, maar van plan bent om toepassingen naar de cloud te verplaatsen en u wilt dat uw identiteiten zowel on-premises als in de cloud (hybride) bestaan, kiest u Microsoft Entra Kerberos.
Als u cloudidentiteiten wilt verifiëren zonder domeincontrollers te gebruiken, kiest u Microsoft Entra Kerberos. Deze functie is momenteel beschikbaar als preview-versie.
Als u Microsoft Entra Domain Services al gebruikt, kiest u Microsoft Entra Domain Services als uw identiteitsbron.
Een identiteitsbron inschakelen
Nadat u een identiteitsbron hebt gekozen, moet u deze inschakelen in uw opslagaccount.
AD DS
Voor AD DS-verificatie kunt u uw AD-domeincontrollers hosten op Azure-VM's of op locatie. In beide gevallen moeten uw clients een niet-gempte netwerkverbinding met de domeincontroller hebben, dus ze moeten zich in het bedrijfsnetwerk of het virtuele netwerk (VNET) van uw domeinservice bevinden. We raden u aan uw clientcomputers of VM's toe te voegen aan een domein, zodat gebruikers niet telkens wanneer ze toegang hebben tot de share expliciete referenties hoeven op te geven.
In het volgende diagram ziet u on-premises AD DS-verificatie voor Azure-bestandsshares via SMB. De on-premises AD DS moet worden gesynchroniseerd met Microsoft Entra ID met behulp van Microsoft Entra Connect Sync of Microsoft Entra Connect-cloudsynchronisatie. Alleen hybride gebruikersidentiteiten die bestaan in zowel on-premises AD DS als Microsoft Entra-id kunnen worden geverifieerd en geautoriseerd voor toegang tot Azure-bestandsshares. Dit komt doordat de machtiging op deelnemersniveau is geconfigureerd voor de identiteit die wordt weergegeven in Microsoft Entra ID, terwijl de machtigingen op map- en bestandsniveau worden afgedwongen met die in AD DS. Zorg ervoor dat u de machtigingen juist configureert voor dezelfde hybride gebruiker.
Als u AD DS-verificatie wilt inschakelen, leest u eerst Overzicht: on-premises Active Directory-domeinservices-authenticatie via SMB voor Azure-bestandsshares en raadpleegt u daarna AD DS-verificatie inschakelen voor Azure-bestandsshares.
Microsoft Entra Kerberos
Als u Microsoft Entra-id inschakelt en configureert voor het verifiëren van hybride of cloudidentiteiten (preview), kunnen Microsoft Entra-gebruikers toegang krijgen tot Azure-bestandsshares met behulp van Kerberos-verificatie. Deze configuratie maakt gebruik van Microsoft Entra ID om de Kerberos-tickets uit te geven voor toegang tot de bestandsshare met het standaard SMB-protocol. Dit betekent dat eindgebruikers toegang hebben tot Azure-bestandsshares zonder dat netwerkconnectiviteit met domeincontrollers is vereist.
Belangrijk
Als u Microsoft Entra Kerberos wilt gebruiken om hybride identiteiten te verifiëren, is een traditionele AD DS-implementatie vereist. Deze moet worden gesynchroniseerd met Microsoft Entra ID met behulp van Microsoft Entra Connect Sync of Microsoft Entra Connect-cloudsynchronisatie. Clients moeten lid zijn van Microsoft Entra of hybride Microsoft Entra-deelname.
Het volgende diagram vertegenwoordigt de werkstroom voor Microsoft Entra Kerberos-verificatie voor hybride identiteiten (dus niet alleen in de cloud) via SMB.
Zie Microsoft Entra Kerberos-verificatie inschakelen in Azure Files om Microsoft Entra Kerberos-verificatie in te schakelen.
U kunt deze functie ook gebruiken om FSLogix-profielen op te slaan op Azure-bestandsshares voor aan Microsoft Entra gekoppelde VM's. Zie Een profielcontainer maken met Azure Files en Microsoft Entra ID voor meer informatie.
Microsoft Entra Domain Services.
Voor Microsoft Entra Domain Services-verificatie moet u Microsoft Entra Domain Services en domein toevoegen aan de virtuele machines die toegang krijgen tot Azure-bestandsshares met behulp van Kerberos-verificatie. Deze virtuele machines moeten netwerkconnectiviteit hebben met het door Microsoft Entra Domain Services beheerde domein.
De verificatiestroom is vergelijkbaar met on-premises AD DS-verificatie, met de volgende verschillen:
- De identiteit van het opslagaccount wordt automatisch gemaakt tijdens het inschakelen.
- Alle Microsoft Entra ID-gebruikers kunnen worden geverifieerd en geautoriseerd. Gebruikers kunnen uitsluitend in de cloud of hybride zijn. Gebruikerssynchronisatie van Microsoft Entra ID naar Microsoft Entra Domain Services wordt beheerd door het platform.
Toegangsvereisten voor Microsoft Entra Domain Services
Voor gebruikers die zich kunnen authenticeren met behulp van Microsoft Entra Domain Services, moet aan de volgende vereisten worden voldaan.
- Kerberos-verificatie vereist dat de client lid is van een domein dat is toegevoegd aan het beheerde domein van Microsoft Entra Domain Services.
- Niet-Azure cliënten kunnen niet worden toegevoegd aan het beheerd domein van Microsoft Entra Domain Services.
- Clients die geen lid zijn van een domein kunnen nog steeds Azure-bestandsshares benaderen met expliciete referenties, op voorwaarde dat de client ongelimiteerde netwerkconnectiviteit heeft met de domeincontrollers van Microsoft Entra Domain Services, bijvoorbeeld via een VPN of andere ondersteunde verbindingen.
Zie Microsoft Entra Domain Services-verificatie inschakelen in Azure Files om Microsoft Entra Domain Services-verificatie in te schakelen.