Visão geral das opções de autenticação baseada em identidade dos Arquivos do Azure para acesso do SMB

  • Artigo

Este artigo explica como os compartilhamentos de arquivos do Azure podem usar os serviços de domínio, locais ou do Azure, para suportar o acesso baseado em identidade com o SMB. Habilitar o acesso baseado em identidade para seus compartilhamentos de arquivos do Azure permite que você substitua os servidores de arquivos existentes por compartilhamentos de arquivos do Azure sem substituir o serviço de diretório existente, mantendo contínuo o acesso do usuário aos compartilhamentos.

Aplica-se a

Tipo de compartilhamento de arquivos SMB NFS
Compartilhamentos de arquivos padrão (GPv2), LRS/ZRS Yes No
Compartilhamentos de arquivos padrão (GPv2), GRS/GZRS Yes No
Compartilhamento de arquivos premium (FileStorage), LRS/ZRS Yes No

Glossário

É útil entender alguns dos termos-chave relacionados à autenticação baseada em autenticação por SMB para compartilhamentos de arquivo do Azure:

  • Autenticação Kerberos

    Kerberos é um protocolo de autenticação usado para verificar a identidade de um usuário ou host. Para obter mais informações sobre Kerberos, consulte Visão geral da autenticação do Kerberos.

  • Protocolo SMB (Server Message Block)

    O SMB é um protocolo de compartilhamento de arquivos de rede padrão do setor. Para obter mais informações sobre o SMB, consulte Protocolo SMB da Microsoft e Visão geral do protocolo CIFS.

  • Microsoft Entra ID

    O Microsoft Entra ID (anteriormente Azure AD) é o serviço de gerenciamento de diretório e identidade multilocatário baseado em nuvem da Microsoft. O Microsoft Entra ID combina serviços de diretório principais, gerenciamento de acesso a aplicativos e proteção de identidade em uma única solução.

  • Serviços de Domínio do Microsoft Entra

    O Microsoft Entra Domain Services fornece serviços de domínio gerenciado, como ingresso no domínio, políticas de grupo, LDAP e autenticação Kerberos/NTLM. Esses serviços são totalmente compatíveis com o Active Directory Domain Services. Para obter mais informações, confira O que é o Microsoft Entra Domain Services.

  • AD DS (Active Directory Domain Services) local

    A integração do AD DS (Active Directory Domain Services local) com os Arquivos do Azure fornece os métodos para armazenar dados de diretório enquanto os disponibiliza para usuários e administradores de rede. A segurança é integrada ao AD DS por meio de autenticação de logon e controle de acesso a objetos no diretório. Com um logon de rede único, os administradores podem gerenciar dados de diretório e da organização em toda a rede e os usuários de rede autorizados podem acessar recursos em qualquer lugar da rede. O AD DS é comumente adotado por empresas em ambientes locais ou em VMs hospedadas na nuvem, e as credenciais do AD DS são usadas para controle de acesso. Para obter mais informações, confira Visão geral do Active Directory Domain Services.

  • RBAC do Azure (controle de acesso baseado em função do Azure)

    O RBAC do Azure permite gerenciamento de acesso refinado para o Azure. Usando o RBAC do Azure, você pode gerenciar o acesso aos recursos concedendo aos usuários o mínimo de permissões necessárias para que eles realizem seus trabalhos. Para obter mais informações, confira O que é o controle de acesso baseado em função do Azure?

  • Identidades híbridas

    Identidades de usuário híbrido são identidades no AD DS que são sincronizadas com o Microsoft Entra ID usando o aplicativo local de Sincronização do Microsoft Entra Connect ou a sincronização na nuvem do Microsoft Entra Connect, um agente leve que pode ser instalado no Centro de Administração do Microsoft Entra.

Cenários de autenticação com suporte

Os Arquivos do Azure dão suporte à autenticação baseada em identidade em SMB por meio dos métodos a seguir. Você só pode usar um método por conta de armazenamento.

  • Autenticação do AD DS local: os computadores do Windows ingressados no AD DS local ou no Microsoft Entra Domain Services, podem acessar compartilhamentos de arquivo do Azure com as credenciais do Active Directory local que estejam sincronizadas com o Microsoft Entra ID por SMB. Seu cliente deve ter conectividade de rede irrestrita ao AD DS. Se você já tem o AD DS configurado localmente ou em uma máquina virtual no Azure em que seus dispositivos foram conectados ao domínio do seu AD, você deve usar o AD DS para autenticação de compartilhamentos de arquivo do Azure.
  • Autenticação do Microsoft Entra Domain Services: as VMs do Windows ingressadas no Microsoft Entra Domain Services baseadas em nuvem podem acessar compartilhamentos de arquivos do Azure com as credenciais do Microsoft Entra. Nesta solução, o Microsoft Entra ID executa um domínio tradicional do Windows Server AD em nome do cliente, que é filho do locatário do Microsoft Entra do cliente.
  • Autenticação Kerberos do Microsoft Entra para identidades híbridas: usar o Microsoft Entra ID para autenticar identidades de usuário híbrido permite que os usuários do Microsoft Entra acessem compartilhamentos de arquivos do Azure usando a autenticação Kerberos. Isso significa que seus usuários finais podem acessar compartilhamentos de arquivos do Azure pela Internet sem exigir conectividade de rede com controladores de domínio de VMs ingressadas de forma híbrida no Microsoft Entra e ingressadas no Microsoft Entra. As identidades somente em nuvem não têm suporte no momento.
  • Autenticação Kerberos do AD para clientes do Linux: os clientes do Linux podem usar a autenticação Kerberos por SMB para Arquivos do Azure usando o AD DS local ou o Microsoft Entra Domain Services.

Restrições

  • Nenhum dos métodos de autenticação dá suporte à atribuição de permissões em nível de compartilhamento a contas de computador (contas de computador) usando o Azure RBAC, porque as contas de computador não podem ser sincronizadas com uma identidade no Microsoft Entra ID. Se você quiser permitir que uma conta de computador acesse compartilhamentos de arquivos do Azure usando a autenticação baseada em identidade, use uma permissão de nível de compartilhamento padrão ou considere usar uma conta de logon de serviço.
  • A autenticação baseada em identidade não é compatível com compartilhamentos NFS (Network File System).

Casos de uso comuns

A autenticação baseada em identidade com arquivos do Azure pode ser útil em uma variedade de cenários:

Substituir servidores de arquivos no local

O preterimento e a substituição de arquivos locais dispersos é um problema comum que toda empresa encontra em sua jornada de modernização de TI. Os compartilhamentos de arquivo do Azure com autenticação de AD DS local é a melhor opção aqui, pois você pode migrar os dados para os Arquivos do Azure. Uma migração completa permitirá que você aproveite os benefícios de alta disponibilidade e escalabilidade, minimizando também as alterações no lado do cliente. Ele fornece uma experiência de migração direta aos usuários finais, para que eles possam continuar acessando seus dados com as mesmas credenciais nos seus computadores já ingressados no domínio.

Fazer lift-and-shift de aplicativos para o Azure

Ao fazer lift-and-shift de aplicativos para a nuvem, o ideal será manter o mesmo modelo de autenticação para seus dados. À medida que estendemos a experiência de controle de acesso baseado em identidade para compartilhamentos de arquivo do Azure, ela elimina a necessidade de alterar seu aplicativo para métodos de autenticação modernos e agiliza a adoção da nuvem. Os compartilhamentos de arquivos do Azure fornecem a opção de integração com o Microsoft Entra Domain Services ou o AD DS local para autenticação. Se o seu plano for ser 100% nativo na nuvem e minimizar os esforços de gerenciamento de infraestruturas de nuvem, o Microsoft Entra Domain Services será uma opção melhor como um serviço de domínio totalmente gerenciado. Se precisar de compatibilidade total com recursos do AD DS, convém pensar em estender seu ambiente do AD DS para a nuvem por meio da hospedagem automática de controladores de domínio nas VMs. De qualquer forma, oferecemos a flexibilidade para você escolher os serviços de domínio que melhor atendam às suas necessidades de negócios.

Backup e DR (recuperação de desastre)

Se você estiver mantendo seu armazenamento de arquivos primário local, os compartilhamentos de arquivo do Azure podem servir como um armazenamento ideal para backup ou DR a fim de melhorar a continuidade dos negócios. Você pode usar os compartilhamentos de arquivos do Azure para fazer backup de seus dados de servidores de arquivos existentes, preservando as DACLs (listas de controle de acesso discricionário) do Windows. Para cenários de DR, você pode configurar uma opção de autenticação para dar suporte à imposição de controle de acesso adequada no failover.

Vantagens da autenticação baseada em identidade

A autenticação baseada em identidade para Arquivos do Azure oferece vários benefícios em relação ao uso da autenticação de chave compartilhada:

  • Estenda a experiência tradicional de acesso ao compartilhamento de arquivos baseado em identidade para a nuvem
    Caso planeje elevar e deslocar seu aplicativo para a nuvem, substituindo os servidores de arquivos tradicionais por compartilhamentos de arquivos do Azure, convém que seu aplicativo seja autenticado com AD DS local ou credenciais do Microsoft Entra Domain Services para acessar os dados do arquivo. Os Arquivos do Azure dão suporte ao uso de credenciais locais do AD DS ou do Microsoft Entra Domain Services, para acessar compartilhamentos de arquivos do Azure por SMB de VMs ingressadas no domínio do AD DS local ou do Microsoft Entra Domain Services.

  • Impor o controle de acesso granular em compartilhamentos de arquivos do Azure
    Você pode conceder permissões para uma identidade específica no nível do compartilhamento, do diretório ou do arquivo. Por exemplo, suponha que você tenha várias equipes usando um compartilhamento de arquivos do Azure único para colaboração em projetos. Você pode conceder acesso para todas as equipes a diretórios não confidenciais, ao mesmo tempo em que limita o acesso a diretórios que contenham dados financeiros confidenciais apenas para sua equipe de Finanças.

  • Fazer backup de ACLs do Windows (também conhecidas como NTFS) com os seus dados
    Você pode usar compartilhamentos de arquivo do Azure para fazer backup de seus compartilhamentos de arquivo locais existentes. Os Arquivos do Azure preservam suas ACLs junto com seus dados ao fazer backup de um compartilhamento de arquivos para os compartilhamentos de arquivo do Azure por SMB.

Como ele funciona

Os compartilhamentos de arquivo do Azure usam o protocolo Kerberos para autenticar com a origem do AD. Quando uma identidade associada a um usuário ou aplicativo em execução em um cliente tenta acessar dados nos compartilhamentos de arquivo do Azure, a solicitação é enviada à origem do AD para autenticar a identidade. Se a autenticação for bem-sucedida, ela retornará um token do Kerberos. O cliente envia uma solicitação que inclui o token do Kerberos e os compartilhamentos de arquivo do Azure usam esse token para autorizar a solicitação. Os compartilhamentos de arquivo do Azure recebem apenas o token do Kerberos, não as credenciais de acesso do usuário.

Habilite a autenticação baseada em identidade em suas contas de armazenamento novas e existentes usando uma das três fontes do AD: AD DS, Microsoft Entra Domain Services ou Autenticação Kerberos do Microsoft Entra (somente identidades híbridas). Somente uma origem do AD pode ser usada para autenticação do acesso a arquivos na conta de armazenamento, o qual se aplica a todos os compartilhamentos de arquivo na conta. Antes de habilitar a autenticação baseada em identidade na conta de armazenamento, primeiro você precisará configurar seu ambiente de domínio.

AD DS

Para a autenticação do AD DS local, você precisa configurar seus controladores de domínio do AD e ingressar seus computadores ou máquinas virtuais no domínio. Você pode hospedar seus controladores de domínio em VMs do Azure ou localmente. De qualquer forma, seus clientes ingressados no domínio devem ter conectividade de rede sem obstáculos ao controlador de domínio, portanto, eles devem estar dentro da rede corporativa ou rede virtual (VNet) do seu serviço de domínio.

O diagrama a seguir ilustra a autenticação do AD DS local para compartilhamentos de arquivo do Azure por SMB. O AD DS local deve ser sincronizado com o Microsoft Entra ID usando a Sincronização do Microsoft Entra Connect ou a sincronização na nuvem do Microsoft Entra Connect. Somente as identidades de usuário híbridas existentes no AD DS local e no Microsoft Entra ID, podem ser autenticadas e autorizadas para acesso ao compartilhamento de Arquivos do Azure. Isso ocorre porque a permissão no nível do compartilhamento é configurada em relação à identidade representada no Microsoft Entra ID e a permissão no nível de diretório/arquivo é imposta com isso no AD DS. Configure as permissões corretamente no mesmo usuário híbrido.

Diagram that depicts on-premises AD DS authentication to Azure file shares over SMB.

Para saber como habilitar a autenticação do AD DS, leia Visão geral – autenticação do Active Directory Domain Services local com o SMB para o compartilhamentos de arquivos do Azure e, em seguida, confira Habilitar a autenticação do AD DS para compartilhamentos de arquivo do Azure.

Serviços de Domínio do Microsoft Entra

Para autenticação do Microsoft Entra Domain Services, Habilite o Microsoft Entra Domain Services e ingresse no domínio das VMs das quais planeja acessar os dados do arquivo. Sua VM ingressada no domínio deve residir na mesma VNET (rede virtual) que o Microsoft Entra Domain Services.

O diagrama a seguir representa o fluxo de trabalho da autenticação do Microsoft Entra Domain Services para compartilhamentos de arquivos do Azure por SMB. Ele segue um padrão semelhante à autenticação do AD DS local, mas há duas diferenças principais:

  1. Não é necessário criar a identidade no Microsoft Entra Domain Services para representar a conta de armazenamento. Isso é feito pelo processo de habilitação em segundo plano.

  2. Todos os usuários existentes no Microsoft Entra ID podem ser autenticados e autorizados. O usuário pode estar somente na nuvem ou ser híbrido. A sincronização do Microsoft Entra ID com o Microsoft Entra Domain Services é gerenciada pela plataforma sem a necessidade de nenhuma configuração do usuário. No entanto, o cliente deve ser ingressado no domínio hospedado do Microsoft Entra Domain Services. Não pode ser ingressado ou registrado no Microsoft Entra. O Microsoft Entra Domain Services não dá suporte a clientes que não são do Azure (ou seja, laptops de usuário, estações de trabalho, VMs em outras nuvens etc.) sendo ingressados no domínio hospedado do Microsoft Entra Domain Services. No entanto, é possível montar um compartilhamento de arquivos a partir de um cliente que não esteja conectado a um domínio, fornecendo credenciais explícitas como NOMEDEDOMÍNIO\nome de usuário ou usando o nome de domínio totalmente qualificado (nome de usuário@FQDN).

Diagram of configuration for Microsoft Entra Domain Services authentication with Azure Files over SMB.

Para saber como habilitar a autenticação do Microsoft Entra Domain Services, consulte Habilitar a autenticação do Microsoft Entra Domain Services nos Arquivos do Azure.

Autenticação Kerberos do Microsoft Entra para identidades híbridas

Habilitar e configurar o Microsoft Entra ID para autenticar identidades híbridas de usuário, permite que os usuários do Microsoft Entra acessem compartilhamentos de arquivos do Azure usando a autenticação Kerberos. Essa configuração usa o Microsoft Entra ID para emitir os tíquetes Kerberos necessários para acessar o compartilhamento de arquivos com o protocolo SMB padrão do setor. Isso significa que seus usuários finais podem acessar compartilhamentos de arquivos do Azure pela Internet sem exigir conectividade de rede com controladores de domínio de VMs ingressadas de forma híbrida no Microsoft Entra e ingressadas no Microsoft Entra. No entanto, a configuração de permissões de diretório e de nível de arquivo para usuários e grupos requer conectividade de rede sem obstáculos ao controlador de domínio local.

Importante

A autenticação Kerberos do Microsoft Entra dá suporte apenas a identidades de usuário híbridas, ela não dá suporte a identidades somente na nuvem. Uma implantação tradicional do AD DS é necessária e deve ser sincronizada com o Microsoft Entra ID usando a Sincronização do Microsoft Entra Connect ou a sincronização na nuvem do Microsoft Entra Connect. Os clientes devem ser ingressado no Microsoft Entra ou no Microsoft Entra híbrido. A autenticação Kerberos do Microsoft Entra não tem suporte em clientes ingressados no Microsoft Entra Domain Services ou ingressados apenas no AD.

Diagram of configuration for Microsoft Entra Kerberos authentication for hybrid identities over SMB.

Para saber como habilitar a autenticação Kerberos do Microsoft Entra em identidades híbridas, confira Habilitar a autenticação Kerberos do Microsoft Entra em identidades híbridas nos Arquivos do Azure.

Também poderá usar esse recurso para armazenar perfis FSLogix em compartilhamentos de arquivo do Azure para as VMs ingressadas no Microsoft Entra. Para obter mais informações, confira Criar um contêiner de perfil com os Arquivos do Azure e o Microsoft Entra ID.

Controle de acesso

Os Arquivos do Azure impõem a autorização ao acesso do usuário nos níveis tanto do compartilhamento quanto do diretório/arquivo. A atribuição de permissão em nível de compartilhamento pode ser realizada em usuários ou grupos gerenciados do Microsoft Entra por meio do RBAC do Azure. No RBAC do Azure, as credenciais usadas para o acesso ao arquivo devem estar disponíveis ou sincronizadas com o Microsoft Entra ID. Atribua funções internas do Azure como o Leitor de Compartilhamento por SMB de Dados de Arquivo de Armazenamento aos usuários ou grupos no Microsoft Entra ID para conceder acesso a um compartilhamento de Arquivos do Azure.

No nível de diretório/arquivo, os Arquivos do Azure dão suporte à preservação, herança e imposição de ACLs do Windows, assim como qualquer servidor de arquivos do Windows. Você pode optar por manter as ACLs do Windows ao copiar dados por SMB entre o compartilhamento de arquivos existente e os compartilhamentos de arquivos do Azure. Se planeja impor ou não a autorização, pode usar compartilhamentos de arquivos do Azure para fazer backup de ACLs junto com seus dados.

Configurar permissões no nível de compartilhamento para Arquivos do Azure

Depois de habilitar uma origem do AD em sua conta de armazenamento, você deve seguir um destes procedimentos para acessar o compartilhamento de arquivos:

  • Definir uma permissão de nível de compartilhamento padrão que se aplica a todos os usuários e grupos autenticados
  • Atribuir funções RBAC internas do Azure a usuários e grupos ou
  • Configure funções personalizadas para identidades do Microsoft Entra e atribua direitos de acesso a compartilhamentos de arquivo em sua conta de armazenamento.

A permissão no nível do compartilhamento atribuída permite que a identidade concedida obtenha acesso somente ao compartilhamento e nada mais, nem mesmo ao diretório raiz. Você ainda precisa configurar separadamente as permissões no nível do diretório ou do arquivo.

Configurar permissões no nível do diretório ou do arquivo para Arquivos do Azure

Os compartilhamentos de arquivo do Azure impõem ACLs padrão do Windows no nível do diretório e do arquivo, incluindo o diretório raiz. A configuração de permissões no nível de diretório ou de arquivo é compatível tanto com SMB quanto com REST. Monte o compartilhamento de arquivo de destino da sua VM e configure as permissões usando o Explorador de Arquivos do Windows ou o comando icacls ou Set-ACL.

Use a chave de conta de armazenamento para permissões de superusuário

Um usuário com a chave de conta de armazenamento pode acessar os compartilhamentos de arquivo do Azure com permissões de superusuário. As permissões de superusuário ignoram todas as restrições de controle de acesso.

Importante

Nossa melhor prática de segurança é evitar compartilhar suas chaves de conta de armazenamento e tirar proveito da autenticação baseada em identidade sempre que possível.

Preservar ACLs de diretórios e arquivos ao importar dados para os compartilhamentos de arquivo do Azure

Os Arquivos do Azure dão suporte à preservação de ACLs no nível do diretório ou do arquivo na cópia de dados para compartilhamentos de arquivo do Azure. Você pode copiar ACLs em um diretório ou arquivo para compartilhamentos de arquivo do Azure usando a Sincronização de Arquivos do Azure ou conjuntos de ferramentas de movimentação de arquivos comuns. Por exemplo, você pode usar robocopy com o sinalizador /copy:s a fim de copiar dados e ACLs para um compartilhamento de arquivo do Azure. As ACLs são preservadas por padrão, portanto, não é necessário habilitar a autenticação baseada em identidade na sua conta de armazenamento para preservar ACLs.

Preços

Não há nenhum custo adicional de serviço para habilitar a autenticação baseada em identidade por SMB em sua conta de armazenamento. Para obter mais informações sobre preços, confira Preços dos Arquivos do Azure e Preços do Microsoft Entra Domain Services.

Próximas etapas

Para obter mais informações sobre os Arquivos do Azure e a autenticação baseada em identidade por SMB, confira estes recursos: