Udostępnij za pośrednictwem


Omówienie opcji uwierzytelniania opartego na tożsamościach usługi Azure Files na potrzeby dostępu do protokołu SMB

W tym artykule wyjaśniono, jak udziały plików platformy Azure mogą używać usług domenowych ( lokalnych lub na platformie Azure) do obsługi dostępu opartego na tożsamościach do udziałów plików platformy Azure za pośrednictwem protokołu SMB. Włączenie dostępu opartego na tożsamościach dla udziałów plików platformy Azure umożliwia zastąpienie istniejących serwerów plików udziałami plików platformy Azure bez zastępowania istniejącej usługi katalogowej, zapewniając bezproblemowy dostęp użytkowników do udziałów.

Słownik

Warto zrozumieć niektóre kluczowe terminy dotyczące uwierzytelniania opartego na tożsamościach dla udziałów plików platformy Azure:

  • Uwierzytelnianie Kerberos

    Kerberos to protokół uwierzytelniania używany do weryfikowania tożsamości użytkownika lub hosta. Aby uzyskać więcej informacji na temat protokołu Kerberos, zobacz Omówienie uwierzytelniania Kerberos.

  • Protokół SMB (Server Message Block)

    Protokół SMB to standardowy w branży protokół udostępniania plików. Aby uzyskać więcej informacji na temat protokołu SMB, zobacz Microsoft SMB Protocol and CIFS Protocol Overview (Omówienie protokołu SMB firmy Microsoft i protokołu CIFS).

  • Tożsamość Microsoft Entra

    Microsoft Entra ID (dawniej Azure AD) to wielodostępna usługa zarządzania katalogami i tożsamościami firmy Microsoft. Microsoft Entra ID łączy podstawowe usługi katalogowe, zarządzanie dostępem do aplikacji i ochronę tożsamości w jednym rozwiązaniu.

  • Usługi domenowe Microsoft Entra

    Usługi Microsoft Entra Domain Services udostępniają zarządzane usługi domenowe, takie jak przyłączenie do domeny, zasady grupy, protokół LDAP i uwierzytelnianie Kerberos/NTLM. Te usługi są w pełni zgodne z usługami domena usługi Active Directory. Aby uzyskać więcej informacji, zobacz Microsoft Entra Domain Services.

  • Lokalne usługi domena usługi Active Directory (AD DS)

    Integracja lokalnych usług domena usługi Active Directory Services (AD DS) z usługą Azure Files zapewnia metody przechowywania danych katalogu podczas udostępniania ich użytkownikom sieci i administratorom. Zabezpieczenia są zintegrowane z usługami AD DS za pośrednictwem uwierzytelniania logowania i kontroli dostępu do obiektów w katalogu. Za pomocą logowania do jednej sieci administratorzy mogą zarządzać danymi katalogu i organizacją w całej sieci, a autoryzowani użytkownicy sieci mogą uzyskiwać dostęp do zasobów w dowolnym miejscu w sieci. Usługi AD DS są często stosowane przez przedsiębiorstwa w środowiskach lokalnych lub na maszynach wirtualnych hostowanych w chmurze, a poświadczenia usług AD DS są używane do kontroli dostępu. Aby uzyskać więcej informacji, zobacz omówienie usług domena usługi Active Directory.

  • Kontrola dostępu oparta na rolach platformy Azure (Azure RBAC)

    Kontrola dostępu oparta na rolach platformy Azure umożliwia szczegółowe zarządzanie dostępem na platformie Azure. Korzystając z kontroli dostępu opartej na rolach platformy Azure, możesz zarządzać dostępem do zasobów, udzielając użytkownikom najmniejszych uprawnień potrzebnych do wykonywania swoich zadań. Aby uzyskać więcej informacji, zobacz Co to jest kontrola dostępu oparta na rolach platformy Azure?

  • Tożsamości hybrydowe

    Tożsamości użytkowników hybrydowych to tożsamości w usługach AD DS, które są synchronizowane z identyfikatorem Entra firmy Microsoft przy użyciu lokalnej aplikacji Microsoft Entra Connect Sync lub synchronizacji chmury Microsoft Entra Connect, uproszczonego agenta, który można zainstalować z centrum administracyjnego firmy Microsoft Entra.

Obsługiwane scenariusze uwierzytelniania

Usługa Azure Files obsługuje uwierzytelnianie oparte na tożsamościach za pośrednictwem protokołu SMB za pomocą następujących metod. Można użyć tylko jednej metody na konto magazynu.

  • Lokalne uwierzytelnianie usług AD DS: lokalne przyłączone do usług AD DS lub maszyny z systemem Windows przyłączone do usług Microsoft Entra Domain Services mogą uzyskiwać dostęp do udziałów plików platformy Azure przy użyciu lokalna usługa Active Directory poświadczeń synchronizowanych z identyfikatorem Entra firmy Microsoft za pośrednictwem protokołu SMB. Klient musi mieć niezmpedowaną łączność sieciową z usługami AD DS. Jeśli masz już usługi AD DS skonfigurowane lokalnie lub na maszynie wirtualnej na platformie Azure, na której urządzenia są przyłączone do domeny usługi AD, należy użyć usług AD DS do uwierzytelniania udziałów plików platformy Azure.
  • Uwierzytelnianie usług Microsoft Entra Domain Services: oparte na chmurze maszyny wirtualne z systemem Windows dołączone do usług Microsoft Entra Domain Services mogą uzyskiwać dostęp do udziałów plików platformy Azure przy użyciu poświadczeń firmy Microsoft Entra. W tym rozwiązaniu identyfikator Entra firmy Microsoft uruchamia tradycyjną domenę usługi AD systemu Windows Server w imieniu klienta, która jest elementem podrzędnym dzierżawy firmy Microsoft Entra klienta.
  • Microsoft Entra Kerberos dla tożsamości hybrydowych: używanie identyfikatora Entra firmy Microsoft do uwierzytelniania tożsamości użytkowników hybrydowych umożliwia użytkownikom firmy Microsoft Entra dostęp do udziałów plików platformy Azure przy użyciu uwierzytelniania Kerberos. Oznacza to, że użytkownicy końcowi mogą uzyskiwać dostęp do udziałów plików platformy Azure za pośrednictwem Internetu bez konieczności łączności sieciowej z kontrolerami domeny z urządzeń hybrydowych dołączonych do firmy Microsoft Entra i maszyn wirtualnych dołączonych do firmy Microsoft Entra. Tożsamości tylko w chmurze nie są obecnie obsługiwane.
  • Uwierzytelnianie Kerberos usługi AD dla klientów z systemem Linux: klienci z systemem Linux mogą używać uwierzytelniania Kerberos za pośrednictwem protokołu SMB dla usługi Azure Files przy użyciu lokalnych usług AD DS lub Microsoft Entra Domain Services.

Ograniczenia

  • Żadna z metod uwierzytelniania nie obsługuje przypisywania uprawnień na poziomie udziału do kont komputerów (kont komputerów) przy użyciu kontroli dostępu opartej na rolach platformy Azure, ponieważ nie można synchronizować kont komputerów z tożsamością w usłudze Microsoft Entra ID. Jeśli chcesz zezwolić kontu komputera na dostęp do udziałów plików platformy Azure przy użyciu uwierzytelniania opartego na tożsamościach, użyj domyślnego uprawnienia na poziomie udziału lub rozważ użycie konta logowania do usługi.
  • Uwierzytelnianie oparte na tożsamości nie jest obsługiwane w przypadku udziałów systemu plików sieciowych (NFS).

Typowe przypadki użycia

Uwierzytelnianie oparte na tożsamościach w usłudze Azure Files może być przydatne w różnych scenariuszach:

Zastępowanie lokalnych serwerów plików

Wycofanie i zastąpienie rozproszonych lokalnych serwerów plików jest typowym problemem, który występuje w każdym przedsiębiorstwie podczas modernizacji IT. Udziały plików platformy Azure z lokalnym uwierzytelnianiem usług AD DS najlepiej nadają się tutaj, gdy można migrować dane do usługi Azure Files. Kompletna migracja umożliwia korzystanie z zalet wysokiej dostępności i skalowalności, jednocześnie minimalizując zmiany po stronie klienta. Zapewnia bezproblemowe środowisko migracji użytkownikom końcowym, dzięki czemu mogą nadal uzyskiwać dostęp do swoich danych przy użyciu tych samych poświadczeń przy użyciu istniejących maszyn przyłączonych do domeny.

Aplikacje metodą "lift and shift" na platformę Azure

W przypadku przenoszenia aplikacji do chmury chcesz zachować ten sam model uwierzytelniania dla danych. W miarę rozszerzania środowiska kontroli dostępu opartej na tożsamościach do udziałów plików platformy Azure eliminuje konieczność zmiany aplikacji na nowoczesne metody uwierzytelniania i przyspiesza wdrażanie chmury. Udziały plików platformy Azure umożliwiają integrację z usługami Microsoft Entra Domain Services lub lokalnymi usługami AD DS na potrzeby uwierzytelniania. Jeśli Twój plan ma być natywny dla chmury w 100% i zminimalizować nakłady pracy związane z zarządzaniem infrastrukturami w chmurze, usługi Microsoft Entra Domain Services mogą być lepiej dopasowane jako w pełni zarządzana usługa domeny. Jeśli potrzebujesz pełnej zgodności z możliwościami usług AD DS, warto rozważyć rozszerzenie środowiska usług AD DS do chmury przez samodzielne hostowanie kontrolerów domeny na maszynach wirtualnych. Tak czy inaczej, zapewniamy elastyczność wyboru usługi domeny, która najlepiej odpowiada Twoim potrzebom biznesowym.

Tworzenie kopii zapasowych i odzyskiwanie po awarii (DR)

Jeśli utrzymujesz podstawowy magazyn plików w środowisku lokalnym, udziały plików platformy Azure mogą służyć jako idealny magazyn do tworzenia kopii zapasowych lub odzyskiwania po awarii, aby poprawić ciągłość działania. Udziały plików platformy Azure umożliwiają tworzenie kopii zapasowych danych z istniejących serwerów plików przy jednoczesnym zachowaniu listy kontroli dostępu (DACLS) systemu Windows. W przypadku scenariuszy odzyskiwania po awarii można skonfigurować opcję uwierzytelniania, aby obsługiwać odpowiednie wymuszanie kontroli dostępu w trybie failover.

Zalety uwierzytelniania opartego na tożsamościach

Uwierzytelnianie oparte na tożsamościach dla usługi Azure Files oferuje kilka korzyści z korzystania z uwierzytelniania za pomocą klucza współużytkowanego:

  • Rozszerzanie tradycyjnego środowiska dostępu do udziału plików opartego na tożsamościach do chmury
    Jeśli planujesz podnieść i przenieść aplikację do chmury, zastępując tradycyjne serwery plików udziałami plików platformy Azure, możesz chcieć, aby aplikacja uwierzytelniła się przy użyciu lokalnych poświadczeń usług AD DS lub Microsoft Entra Domain Services w celu uzyskania dostępu do danych plików. Usługa Azure Files obsługuje używanie lokalnych poświadczeń usług AD DS lub Microsoft Entra Domain Services w celu uzyskania dostępu do udziałów plików platformy Azure za pośrednictwem protokołu SMB z lokalnych usług AD DS lub microsoft Entra Domain Services przyłączonych do domeny maszyn wirtualnych.

  • Wymuszanie szczegółowej kontroli dostępu w udziałach plików platformy Azure
    Uprawnienia do określonej tożsamości można przyznać na poziomie udziału, katalogu lub pliku. Załóżmy na przykład, że masz kilka zespołów korzystających z jednego udziału plików platformy Azure na potrzeby współpracy nad projektem. Możesz udzielić wszystkim zespołom dostępu do katalogów niewrażliwych, ograniczając jednocześnie dostęp do katalogów zawierających poufne dane finansowe tylko zespołowi finansowemu.

  • Tworzenie kopii zapasowych list ACL systemu Windows (nazywanych również uprawnieniami NTFS) wraz z danymi
    Udziały plików platformy Azure umożliwiają tworzenie kopii zapasowych istniejących lokalnych udziałów plików. Usługa Azure Files zachowuje listy ACL wraz z danymi podczas tworzenia kopii zapasowej udziału plików w udziałach plików platformy Azure za pośrednictwem protokołu SMB.

Jak to działa

Udziały plików platformy Azure używają protokołu Kerberos do uwierzytelniania za pomocą źródła usługi AD. Gdy tożsamość skojarzona z użytkownikiem lub aplikacją uruchomioną na kliencie próbuje uzyskać dostęp do danych w udziałach plików platformy Azure, żądanie jest wysyłane do źródła usługi AD w celu uwierzytelnienia tożsamości. Jeśli uwierzytelnianie zakończy się pomyślnie, zwraca token Protokołu Kerberos. Klient wysyła żądanie zawierające token Kerberos, a udziały plików platformy Azure używają tego tokenu do autoryzowania żądania. Udziały plików platformy Azure otrzymują tylko token Protokołu Kerberos, a nie poświadczenia dostępu użytkownika.

Uwierzytelnianie oparte na tożsamościach można włączyć na nowych i istniejących kontach magazynu przy użyciu jednego z trzech źródeł usługi AD: USŁUG AD DS, Microsoft Entra Domain Services lub Microsoft Entra Kerberos (tylko tożsamości hybrydowe). Tylko jedno źródło usługi AD może służyć do uwierzytelniania dostępu do plików na koncie magazynu, które ma zastosowanie do wszystkich udziałów plików na koncie. Przed włączeniem uwierzytelniania opartego na tożsamościach na koncie magazynu należy najpierw skonfigurować środowisko domeny.

AD DS

W przypadku uwierzytelniania lokalnych usług AD DS należy skonfigurować kontrolery domeny usługi AD i przyłączanie do domeny maszyn lub maszyn wirtualnych. Kontrolery domeny można hostować na maszynach wirtualnych platformy Azure lub lokalnie. Tak czy inaczej, klienci przyłączni do domeny muszą mieć niezmpedowaną łączność sieciową z kontrolerem domeny, więc muszą znajdować się w sieci firmowej lub sieci wirtualnej (VNET) usługi domeny.

Na poniższym diagramie przedstawiono lokalne uwierzytelnianie usług AD DS w udziałach plików platformy Azure za pośrednictwem protokołu SMB. Lokalne usługi AD DS muszą być zsynchronizowane z identyfikatorem Entra firmy Microsoft przy użyciu programu Microsoft Entra Connect Sync lub synchronizacji z chmurą Microsoft Entra Connect. Tylko tożsamości użytkowników hybrydowych , które istnieją zarówno w lokalnych usługach AD DS, jak i Microsoft Entra ID, mogą być uwierzytelniane i autoryzowane na potrzeby dostępu do udziału plików platformy Azure. Jest to spowodowane tym, że uprawnienie na poziomie udziału jest skonfigurowane względem tożsamości reprezentowanej w identyfikatorze Entra firmy Microsoft, natomiast uprawnienie na poziomie katalogu/pliku jest wymuszane za pomocą tego uprawnienia w usługach AD DS. Upewnij się, że uprawnienia są poprawnie skonfigurowane dla tego samego użytkownika hybrydowego.

Diagram przedstawiający lokalne uwierzytelnianie usług AD DS w udziałach plików platformy Azure za pośrednictwem protokołu SMB.

Aby dowiedzieć się, jak włączyć uwierzytelnianie usług AD DS, najpierw przeczytaj Omówienie — lokalna usługa Active Directory uwierzytelnianie usług Domain Services za pośrednictwem protokołu SMB dla udziałów plików platformy Azure, a następnie zobacz Włączanie uwierzytelniania usług AD DS dla udziałów plików platformy Azure.

Usługi domenowe Microsoft Entra

W przypadku uwierzytelniania usług Microsoft Entra Domain Services należy włączyć usługi Microsoft Entra Domain Services i przyłączyć do domeny maszyny wirtualne, z których planujesz uzyskać dostęp do danych plików. Maszyna wirtualna przyłączona do domeny musi znajdować się w tej samej sieci wirtualnej co usługi Microsoft Entra Domain Services.

Na poniższym diagramie przedstawiono przepływ pracy uwierzytelniania usług Microsoft Entra Domain Services w udziałach plików platformy Azure za pośrednictwem protokołu SMB. Jest on zgodny ze wzorcem podobnym do lokalnego uwierzytelniania usług AD DS, ale istnieją dwie główne różnice:

  1. Nie musisz tworzyć tożsamości w usługach Microsoft Entra Domain Services, aby reprezentować konto magazynu. Jest to wykonywane przez proces włączania w tle.

  2. Wszyscy użytkownicy, którzy istnieją w identyfikatorze Entra firmy Microsoft, mogą być uwierzytelniani i autoryzowani. Użytkownik może być tylko w chmurze lub hybrydowy. Synchronizacja z usługi Microsoft Entra ID do usług Microsoft Entra Domain Services jest zarządzana przez platformę bez konieczności konfigurowania użytkownika. Jednak klient musi być przyłączony do domeny hostowanej przez usługi Microsoft Entra Domain Services. Nie można jej dołączyć ani zarejestrować w firmie Microsoft. Usługi Microsoft Entra Domain Services nie obsługują klientów spoza platformy Azure (np. laptopów użytkowników, stacji roboczych, maszyn wirtualnych w innych chmurach itp.) przyłączonych do domeny hostowanej w usługach Microsoft Entra Domain Services. Można jednak zainstalować udział plików z klienta nieprzyłączonych do domeny, podając jawne poświadczenia, takie jak DOMAINNAME\username lub używając w pełni kwalifikowanej nazwy domeny (username@FQDN).

Diagram konfiguracji uwierzytelniania usług Microsoft Entra Domain Services za pomocą usługi Azure Files za pośrednictwem protokołu SMB.

Aby dowiedzieć się, jak włączyć uwierzytelnianie usług Microsoft Entra Domain Services, zobacz Włączanie uwierzytelniania usług Microsoft Entra Domain Services w usłudze Azure Files.

Microsoft Entra Kerberos dla tożsamości hybrydowych

Włączanie i konfigurowanie identyfikatora Entra firmy Microsoft na potrzeby uwierzytelniania tożsamości użytkowników hybrydowych umożliwia użytkownikom firmy Microsoft Entra dostęp do udziałów plików platformy Azure przy użyciu uwierzytelniania Kerberos. Ta konfiguracja używa identyfikatora Entra firmy Microsoft do wystawiania niezbędnych biletów Protokołu Kerberos w celu uzyskania dostępu do udziału plików przy użyciu standardowego protokołu SMB w branży. Oznacza to, że użytkownicy końcowi mogą uzyskiwać dostęp do udziałów plików platformy Azure za pośrednictwem Internetu bez konieczności łączności sieciowej z kontrolerami domeny z urządzeń hybrydowych dołączonych do firmy Microsoft Entra i maszyn wirtualnych dołączonych do firmy Microsoft Entra. Jednak skonfigurowanie uprawnień na poziomie katalogu i pliku dla użytkowników i grup wymaga niezamkniętych połączeń sieciowych z lokalnym kontrolerem domeny.

Ważne

Uwierzytelnianie Kerberos firmy Microsoft entra obsługuje tylko tożsamości użytkowników hybrydowych; nie obsługuje tożsamości tylko w chmurze. Wymagane jest tradycyjne wdrożenie usług AD DS i musi być zsynchronizowane z identyfikatorem Entra firmy Microsoft przy użyciu usługi Microsoft Entra Connect Sync lub synchronizacji z chmurą microsoft Entra Connect. Klienci muszą być przyłączeni do firmy Microsoft Entra lub przyłączeni hybrydowi firmy Microsoft Entra. Protokół Kerberos firmy Microsoft entra nie jest obsługiwany na klientach dołączonych do usług Microsoft Entra Domain Services ani dołączonych tylko do usługi AD.

Diagram konfiguracji uwierzytelniania Kerberos firmy Microsoft dla tożsamości hybrydowych za pośrednictwem protokołu SMB.

Aby dowiedzieć się, jak włączyć uwierzytelnianie Kerberos firmy Microsoft dla tożsamości hybrydowych, zobacz Włączanie uwierzytelniania Kerberos firmy Microsoft dla tożsamości hybrydowych w usłudze Azure Files.

Za pomocą tej funkcji można również przechowywać profile FSLogix w udziałach plików platformy Azure dla maszyn wirtualnych dołączonych do firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz Create a profile container with Azure Files and Microsoft Entra ID (Tworzenie kontenera profilu za pomocą usługi Azure Files i identyfikatora Entra firmy Microsoft).

Kontrola dostępu

Usługa Azure Files wymusza autoryzację dostępu użytkownika zarówno na poziomie udziału, jak i na poziomie katalogu/pliku. Przypisanie uprawnień na poziomie udziału można wykonać dla użytkowników lub grup firmy Microsoft zarządzanych za pośrednictwem kontroli dostępu opartej na rolach platformy Azure. W przypadku kontroli dostępu opartej na rolach platformy Azure poświadczenia używane do uzyskiwania dostępu do plików powinny być dostępne lub zsynchronizowane z identyfikatorem Entra firmy Microsoft. Możesz przypisać wbudowane role platformy Azure, takie jak Czytelnik udziału SMB danych plików magazynu do użytkowników lub grup w usłudze Microsoft Entra ID, aby udzielić dostępu do udziału plików platformy Azure.

Na poziomie katalogu/pliku usługa Azure Files obsługuje zachowywanie, dziedziczenie i wymuszanie list ACL systemu Windows, podobnie jak w przypadku dowolnego serwera plików systemu Windows. Możesz zachować listy ACL systemu Windows podczas kopiowania danych za pośrednictwem protokołu SMB między istniejącym udziałem plików a udziałami plików platformy Azure. Niezależnie od tego, czy planujesz wymusić autoryzację, czy nie, możesz użyć udziałów plików platformy Azure do tworzenia kopii zapasowych list ACL wraz z danymi.

Konfigurowanie uprawnień na poziomie udziału dla usługi Azure Files

Po włączeniu źródła usługi AD na koncie magazynu należy wykonać jedną z następujących czynności, aby uzyskać dostęp do udziału plików:

  • Ustaw domyślne uprawnienie na poziomie udziału, które ma zastosowanie do wszystkich uwierzytelnionych użytkowników i grup
  • Przypisywanie wbudowanych ról RBAC platformy Azure do użytkowników i grup lub
  • Skonfiguruj role niestandardowe dla tożsamości firmy Microsoft i przypisz prawa dostępu do udziałów plików na koncie magazynu.

Przypisane uprawnienie na poziomie udziału umożliwia danej tożsamości uzyskanie dostępu tylko do udziału, nic innego, a nawet katalogu głównego. Nadal musisz oddzielnie skonfigurować uprawnienia na poziomie katalogu i pliku.

Konfigurowanie uprawnień na poziomie katalogu lub pliku dla usługi Azure Files

Udziały plików platformy Azure wymuszają standardowe listy ACL systemu Windows zarówno na poziomie katalogu, jak i pliku, w tym katalogu głównego. Konfiguracja uprawnień na poziomie katalogu lub pliku jest obsługiwana zarówno przez protokół SMB, jak i rest. Zainstaluj docelowy udział plików z maszyny wirtualnej i skonfiguruj uprawnienia przy użyciu Eksplorator plików systemu Windows, icacls systemu Windows lub polecenia Set-ACL.

Użyj klucza konta magazynu dla uprawnień administratora

Użytkownik z kluczem konta magazynu może uzyskać dostęp do udziałów plików platformy Azure z uprawnieniami administratora. Uprawnienia administratora pomijają wszystkie ograniczenia kontroli dostępu.

Ważne

Naszym zalecanym najlepszym rozwiązaniem w zakresie zabezpieczeń jest unikanie udostępniania kluczy konta magazynu i korzystanie z uwierzytelniania opartego na tożsamościach, jeśli jest to możliwe.

Zachowywanie list ACL katalogu i plików podczas importowania danych do udziałów plików platformy Azure

Usługa Azure Files obsługuje zachowywanie list ACL na poziomie katalogu lub plików podczas kopiowania danych do udziałów plików platformy Azure. Listy ACL można skopiować w katalogu lub pliku do udziałów plików platformy Azure przy użyciu usługi Azure File Sync lub typowych zestawów narzędzi przenoszenia plików. Możesz na przykład użyć narzędzia robocopy z flagą /copy:s , aby skopiować dane, a także listy ACL do udziału plików platformy Azure. Listy ACL są domyślnie zachowywane, więc nie trzeba włączać uwierzytelniania opartego na tożsamościach na koncie magazynu w celu zachowania list ACL.

Cennik

Nie ma dodatkowych opłat za usługę umożliwiających uwierzytelnianie oparte na tożsamościach za pośrednictwem protokołu SMB na koncie magazynu. Aby uzyskać więcej informacji na temat cen, zobacz Cennik usługi Azure Files i Cennik usług Microsoft Entra Domain Services.

Następne kroki

Aby uzyskać więcej informacji na temat usługi Azure Files i uwierzytelniania opartego na tożsamościach za pośrednictwem protokołu SMB, zobacz następujące zasoby: