Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel wordt uitgelegd hoe u verificatie op basis van identiteiten, on-premises of in Azure, kunt gebruiken om identiteitstoegang tot Azure-bestandsshares via SMB mogelijk te maken. Net als windows-bestandsservers kunt u machtigingen verlenen aan een identiteit op share-, map- of bestandsniveau. Er worden geen extra servicekosten in rekening gebracht om verificatie op basis van identiteiten in te schakelen voor uw opslagaccount.
Verificatie op basis van identiteit wordt momenteel niet ondersteund met NFS-shares (Network File System). Het is echter beschikbaar via SMB voor zowel Windows- als Linux-clients.
Om veiligheidsredenen wordt het gebruik van identiteitsgebaseerde authenticatie voor toegang tot bestandsshares aanbevolen boven het gebruik van de sleutel van het opslagaccount.
Belangrijk
Deel uw opslagaccountsleutels nooit. Gebruik in plaats daarvan verificatie op basis van identiteiten.
Van toepassing op
| Beheermodel | Betaalmodel | Medianiveau | Redundantie | Kleine en Middelgrote Ondernemingen (SMB) | NFS (Network File System) |
|---|---|---|---|---|---|
| Microsoft.Storage | Geconfigureerd v2 | HDD (standaard) | Lokaal (LRS) |
|
|
| Microsoft.Storage | Geconfigureerd v2 | HDD (standaard) | Zone (ZRS) |
|
|
| Microsoft.Storage | Geconfigureerd v2 | HDD (standaard) | Aardrijkskunde (GRS) |
|
|
| Microsoft.Storage | Geconfigureerd v2 | HDD (standaard) | GeoZone (GZRS) |
|
|
| Microsoft.Storage | Geconfigureerd v1 | SSD (hoogwaardig) | Lokaal (LRS) |
|
|
| Microsoft.Storage | Geconfigureerd v1 | SSD (hoogwaardig) | Zone (ZRS) |
|
|
| Microsoft.Storage | Betalen per gebruik | HDD (standaard) | Lokaal (LRS) |
|
|
| Microsoft.Storage | Betalen per gebruik | HDD (standaard) | Zone (ZRS) |
|
|
| Microsoft.Storage | Betalen per gebruik | HDD (standaard) | Aardrijkskunde (GRS) |
|
|
| Microsoft.Storage | Betalen per gebruik | HDD (standaard) | GeoZone (GZRS) |
|
|
Hoe het werkt
Azure-bestandsshares maken gebruik van het Kerberos-protocol om te verifiëren met een identiteitsbron. Wanneer een identiteit die is gekoppeld aan een gebruiker of toepassing die wordt uitgevoerd op een client toegang probeert te krijgen tot gegevens in Azure-bestandsshares, wordt de aanvraag verzonden naar de identiteitsbron om de identiteit te verifiëren. Als de verificatie is geslaagd, retourneert de identiteitsbron een Kerberos-ticket. De client verzendt vervolgens een aanvraag met het Kerberos-ticket en Azure Files gebruikt dat ticket om de aanvraag te autoriseren. De Azure Files-service ontvangt alleen het Kerberos-ticket, niet de toegangsreferenties van de gebruiker.
Veelvoorkomende toepassingen
Verificatie op basis van identiteit met SMB Azure-bestandsshares kan handig zijn in verschillende scenario's:
On-premises bestandsservers vervangen
Het vervangen van verspreide on-premises bestandsservers is een uitdaging voor elke organisatie tijdens hun IT-moderniseringstraject. Het gebruik van verificatie op basis van identiteiten met Azure Files biedt een naadloze migratie-ervaring, zodat eindgebruikers toegang kunnen blijven krijgen tot hun gegevens met dezelfde referenties.
Verplaats en migreer toepassingen naar Azure
Wanneer u toepassingen naar de cloud tilt en verplaatst, wilt u waarschijnlijk hetzelfde verificatiemodel behouden voor toegang tot bestandsshares. Verificatie op basis van identiteit elimineert de noodzaak om uw adreslijstservice te wijzigen, waardoor de overstap naar de cloud wordt versneld.
Back-up en herstel na noodgevallen (DR)
Als u uw primaire bestandsopslag on-premises bewaart, is Azure Files een ideale oplossing voor back-up en herstel na noodgevallen om de bedrijfscontinuïteit te verbeteren. U kunt Azure-bestandsshares gebruiken om een back-up te maken van uw bestandsservers, terwijl u discretionaire toegangsbeheerlijsten (DACL's) van Windows behoudt. Voor dr-scenario's kunt u een verificatieoptie configureren om de juiste afdwinging van toegangsbeheer bij failover te ondersteunen.
Kies een identiteitsbron voor uw opslagaccount
Voordat u verificatie op basis van identiteiten inschakelt voor uw opslagaccount, moet u weten welke identiteitsbron u gaat gebruiken. Het is waarschijnlijk dat u er al een hebt, omdat de meeste bedrijven en organisaties een bepaald type domeinomgeving hebben geconfigureerd. Neem contact op met uw Active Directory (AD) of IT-beheerder om er zeker van te zijn. Als u nog geen identiteitsbron hebt, moet u er een configureren voordat u verificatie op basis van identiteiten kunt inschakelen.
Ondersteunde verificatiescenario's
U kunt verificatie op basis van identiteiten via SMB inschakelen met behulp van een van de drie identiteitsbronnen: On-premises Active Directory-domein Services (AD DS), Microsoft Entra Domain Services of Microsoft Entra Kerberos (alleen hybride identiteiten). U kunt slechts één identiteitsbron gebruiken voor verificatie van bestandstoegang per opslagaccount en is van toepassing op alle bestandsshares in het account.
On-premises AD DS: on-premises AD DS-clients en virtuele machines (VM's) hebben toegang tot Azure-bestandsshares met on-premises Active Directory-referenties. De on-premises AD DS-omgeving moet worden gesynchroniseerd met Microsoft Entra ID met behulp van de on-premises Microsoft Entra Connect-toepassing of Microsoft Entra Connect-cloudsynchronisatie, een lichtgewicht agent die kan worden geïnstalleerd vanuit het Microsoft Entra-beheercentrum. Als u deze verificatiemethode wilt gebruiken, moet uw client lid zijn van een domein of ongestoorde netwerkconnectiviteit hebben met uw AD DS. Bekijk de volledige lijst met vereisten.
Microsoft Entra Kerberos voor hybride identiteiten: u kunt Microsoft Entra-id gebruiken om hybride gebruikersidentiteiten te verifiëren, zodat eindgebruikers toegang hebben tot Azure-bestandsshares zonder dat netwerkconnectiviteit met domeincontrollers is vereist. Voor deze optie is een bestaande AD DS-implementatie vereist, die vervolgens wordt gesynchroniseerd met uw Microsoft Entra-tenant, zodat Microsoft Entra ID uw hybride identiteiten kan verifiëren. Identiteiten in de cloud worden momenteel niet ondersteund met behulp van deze methode. Bekijk de volledige lijst met vereisten.
Microsoft Entra Domain Services: vm's in de cloud die zijn gekoppeld aan Microsoft Entra Domain Services hebben toegang tot Azure-bestandsshares met Microsoft Entra-referenties. In deze oplossing voert Microsoft Entra ID een traditioneel Windows Server AD-domein uit dat een onderliggend element is van de Microsoft Entra-tenant van de klant. Microsoft Entra Domain Services is momenteel de enige optie voor het verifiëren van cloudidentiteiten. Bekijk de volledige lijst met vereisten.
Gebruik de volgende richtlijnen om te bepalen welke identiteitsbron u moet kiezen.
Als uw organisatie al een on-premises AD heeft en niet klaar is om identiteiten naar de cloud te verplaatsen, en als uw clients, VM's en toepassingen lid zijn van een domein of onbelemmerde netwerkverbinding met deze domeincontrollers hebben, kies dan voor AD DS.
Als sommige of alle clients geen niet-beperkte netwerkverbinding met uw AD DS hebben of als u FSLogix-profielen op Azure-bestandsshares opslaat voor aan Microsoft Entra gekoppelde VM's, kiest u Microsoft Entra Kerberos.
Als u een bestaande on-premises AD hebt, maar van plan bent om toepassingen naar de cloud te verplaatsen en u wilt dat uw identiteiten zowel on-premises als in de cloud bestaan, kiest u Microsoft Entra Kerberos.
Als u geen bestaande identiteitsbron hebt, als u identiteiten in de cloud wilt verifiëren of als u Microsoft Entra Domain Services al gebruikt, kiest u Microsoft Entra Domain Services. Als u nog geen domeinservice hebt geïmplementeerd in Azure, ziet u een nieuwe kostenpost op uw Azure-factuur voor deze service.
Een identiteitsbron inschakelen
Nadat u een identiteitsbron hebt gekozen, moet u deze inschakelen in uw opslagaccount.
AD DS
Voor AD DS-verificatie kunt u uw AD-domeincontrollers hosten op Azure-VM's of op locatie. In beide gevallen moeten uw clients een niet-gempte netwerkverbinding met de domeincontroller hebben, dus ze moeten zich in het bedrijfsnetwerk of het virtuele netwerk (VNET) van uw domeinservice bevinden. We raden u aan uw clientcomputers of VM's toe te voegen aan een domein, zodat gebruikers niet telkens wanneer ze toegang hebben tot de share expliciete referenties hoeven op te geven.
In het volgende diagram ziet u on-premises AD DS-verificatie voor Azure-bestandsshares via SMB. De on-premises AD DS moet worden gesynchroniseerd met Microsoft Entra ID met behulp van Microsoft Entra Connect Sync of Microsoft Entra Connect-cloudsynchronisatie. Alleen hybride gebruikersidentiteiten die bestaan in zowel on-premises AD DS als Microsoft Entra-id kunnen worden geverifieerd en geautoriseerd voor toegang tot Azure-bestandsshares. Dit komt doordat de machtiging op deelnemersniveau is geconfigureerd voor de identiteit die wordt weergegeven in Microsoft Entra ID, terwijl de machtigingen op map- en bestandsniveau worden afgedwongen met die in AD DS. Zorg ervoor dat u de machtigingen juist configureert voor dezelfde hybride gebruiker.
Als u AD DS-verificatie wilt inschakelen, leest u eerst Overzicht: on-premises Active Directory-domeinservices-authenticatie via SMB voor Azure-bestandsshares en raadpleegt u daarna AD DS-verificatie inschakelen voor Azure-bestandsshares.
Microsoft Entra Kerberos voor hybride identiteiten
Als u Microsoft Entra-id inschakelt en configureert voor het verifiëren van hybride gebruikersidentiteiten , kunnen Microsoft Entra-gebruikers toegang krijgen tot Azure-bestandsshares met behulp van Kerberos-verificatie. Deze configuratie maakt gebruik van Microsoft Entra ID om de Kerberos-tickets uit te geven voor toegang tot de bestandsshare met het standaard SMB-protocol. Dit betekent dat eindgebruikers toegang hebben tot Azure-bestandsshares zonder dat netwerkconnectiviteit met domeincontrollers van hybride Microsoft Entra-gekoppelde en aan Microsoft Entra gekoppelde VM's is vereist. Voor het configureren van machtigingen op map- en bestandsniveau voor gebruikers en groepen is echter een niet-gempte netwerkverbinding met de on-premises domeincontroller vereist.
Belangrijk
Microsoft Entra Kerberos-verificatie ondersteunt alleen hybride gebruikersidentiteiten; het biedt geen ondersteuning voor identiteiten in de cloud. Een traditionele AD DS-implementatie is vereist en moet worden gesynchroniseerd met Microsoft Entra ID door middel van Microsoft Entra Connect Sync of Microsoft Entra Connect-cloudsynchronisatie. Clients moeten gekoppeld zijn met Microsoft Entra of hybride gekoppeld met Microsoft Entra. Microsoft Entra Kerberos wordt niet ondersteund op clients die zijn toegevoegd aan Microsoft Entra Domain Services of alleen lid zijn van AD.
Als u Microsoft Entra Kerberos-verificatie voor hybride identiteiten wilt inschakelen, raadpleegt u Microsoft Entra Kerberos-verificatie inschakelen voor hybride identiteiten in Azure Files.
U kunt deze functie ook gebruiken om FSLogix-profielen op te slaan op Azure-bestandsshares voor aan Microsoft Entra gekoppelde VM's. Zie Een profielcontainer maken met Azure Files en Microsoft Entra ID voor meer informatie.
Microsoft Entra Domain Services.
Voor Microsoft Entra Domain Services-verificatie moet u Microsoft Entra Domain Services inschakelen en de VM's die u wilt gebruiken om toegang te krijgen tot bestandsgegevens aan het domein koppelen. Uw domein-gekoppelde VM moet zich in hetzelfde VNET bevinden als uw door Microsoft Entra Domain Services gehost domein.
Het volgende diagram vertegenwoordigt de workflow voor verificatie van Microsoft Entra Domain Services voor Azure-bestandsshares met SMB. Het volgt een vergelijkbaar patroon als on-premises AD DS-verificatie, maar er zijn twee belangrijke verschillen:
U hoeft geen identiteit te maken in Microsoft Entra Domain Services om het opslagaccount weer te geven. Dit wordt uitgevoerd door het activeringsproces op de achtergrond.
Alle gebruikers die in Microsoft Entra-id bestaan, kunnen worden geverifieerd en geautoriseerd. Gebruikers kunnen uitsluitend in de cloud of hybride zijn. De synchronisatie van Microsoft Entra-id naar Microsoft Entra Domain Services wordt beheerd door het platform zonder dat hiervoor gebruikersconfiguratie is vereist. De client moet echter worden toegevoegd aan het gehoste domein van Microsoft Entra Domain Services. Microsoft Entra kan niet worden verbonden of geregistreerd. Microsoft Entra Domain Services biedt geen ondersteuning voor niet-Azure-clients (bijvoorbeeld laptops van gebruikers, werkstations, VM's in andere clouds, enzovoort) die lid zijn van een domein dat is toegevoegd aan het gehoste domein van Microsoft Entra Domain Services. Het is echter mogelijk om een bestanddeling te koppelen vanaf een niet-domein-gekoppelde client door expliciete inloggegevens op te geven, zoals DOMAINNAME\username of met behulp van de volledig gekwalificeerde domeinnaam (username@FQDN).
Zie Microsoft Entra Domain Services-verificatie inschakelen in Azure Files om Microsoft Entra Domain Services-verificatie in te schakelen.
Woordenlijst
Het is handig om inzicht te hebben in enkele belangrijke termen met betrekking tot verificatie op basis van identiteiten voor Azure-bestandsshares:
Kerberos-verificatie
Kerberos is een verificatieprotocol dat wordt gebruikt om de identiteit van een gebruiker of host te verifiëren. Zie Het overzicht van Kerberos-verificatie voor meer informatie over Kerberos.
SMB-protocol (Server Message Block)
SMB is een industriestandaard protocol voor het delen van bestanden in het netwerk. Zie Overzicht van Microsoft SMB Protocol en CIFS Protocol voor meer informatie over SMB.
Microsoft Entra ID
Microsoft Entra ID (voorheen Azure AD) is de multitenant cloudgebaseerde directory- en identiteitsbeheerservice van Microsoft. Microsoft Entra ID combineert kerndirectoryservices, toegangsbeheer voor toepassingen en identiteitsbeveiliging in één oplossing.
Microsoft Entra Domain Services.
Microsoft Entra Domain Services biedt beheerde domeinservices, zoals domeindeelname, groepsbeleid, LDAP en Kerberos/NTLM-verificatie. Deze services zijn volledig compatibel met Active Directory-domein Services. Zie Microsoft Entra Domain Services voor meer informatie.
Lokale Active Directory-domeindiensten (AD DS)
AD DS wordt meestal gebruikt door ondernemingen in on-premises omgevingen of op in de cloud gehoste VM's en AD DS-referenties worden gebruikt voor toegangsbeheer. Zie Active Directory-domein Services-overzicht voor meer informatie.
Hybride identiteiten
Hybride gebruikersidentiteiten zijn identiteiten in AD DS die worden gesynchroniseerd met Microsoft Entra ID met behulp van de on-premises Microsoft Entra Connect Sync-toepassing of Microsoft Entra Connect-cloudsynchronisatie, een lichtgewicht agent die kan worden geïnstalleerd vanuit het Microsoft Entra-beheercentrum.