Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo explica como você pode usar a autenticação baseada em identidade, local ou no Azure, para habilitar o acesso baseado em identidade a compartilhamentos de arquivos do Azure no SMB. Assim como os servidores de arquivos do Windows, você pode conceder permissões a uma identidade no nível de compartilhamento, diretório ou arquivo. Não há cobrança de serviço adicional para habilitar a autenticação baseada em identidade em sua conta de armazenamento.
Atualmente, a autenticação baseada em identidade não é suportada com compartilhamentos NFS (Network File System). No entanto, está disponível em SMB para clientes Windows e Linux.
Por motivos de segurança, recomenda-se o uso da autenticação baseada em identidade para acessar compartilhamentos de arquivos em vez do uso da chave da conta de armazenamento.
Importante
Nunca partilhe as chaves da sua conta de armazenamento. Em vez disso, use a autenticação baseada em identidade.
Aplica-se a
| Modelo de gestão | Modelo de faturação | Nível de média | Redundância | PME | Sistema de Arquivos de Rede (NFS) |
|---|---|---|---|---|---|
| Microsoft.Storage | Provisionado v2 | HDD (padrão) | Local (LRS) |
|
|
| Microsoft.Storage | Provisionado v2 | HDD (padrão) | Zona (ZRS) |
|
|
| Microsoft.Storage | Provisionado v2 | HDD (padrão) | Geo (GRS) |
|
|
| Microsoft.Storage | Provisionado v2 | HDD (padrão) | GeoZona (GZRS) |
|
|
| Microsoft.Storage | Provisionado v1 | SSD (de qualidade superior) | Local (LRS) |
|
|
| Microsoft.Storage | Provisionado v1 | SSD (de qualidade superior) | Zona (ZRS) |
|
|
| Microsoft.Storage | Pagamento conforme o uso | HDD (padrão) | Local (LRS) |
|
|
| Microsoft.Storage | Pagamento conforme o uso | HDD (padrão) | Zona (ZRS) |
|
|
| Microsoft.Storage | Pagamento conforme o uso | HDD (padrão) | Geo (GRS) |
|
|
| Microsoft.Storage | Pagamento conforme o uso | HDD (padrão) | GeoZona (GZRS) |
|
|
Como funciona
Os compartilhamentos de arquivos do Azure usam o protocolo Kerberos para autenticar com uma fonte de identidade. Quando uma identidade associada a um usuário ou aplicativo em execução em um cliente tenta acessar dados em compartilhamentos de arquivos do Azure, a solicitação é enviada à fonte de identidade para autenticar a identidade. Se a autenticação for bem-sucedida, a fonte de identidade retorna um ticket Kerberos. Em seguida, o cliente envia uma solicitação que inclui o tíquete Kerberos, e o Azure Files usa esse tíquete para autorizar a solicitação. O serviço de Ficheiros Azure recebe apenas o tíquete Kerberos, não as credenciais de acesso do usuário.
Casos comuns de utilização
A autenticação baseada em identidade com compartilhamentos de arquivos SMB do Azure pode ser útil em vários cenários:
Substituir servidores de arquivos locais
A substituição de servidores de arquivos locais dispersos é um desafio que toda organização enfrenta durante sua jornada de modernização de TI. Usar a autenticação baseada em identidade com os Arquivos do Azure fornece uma experiência de migração perfeita, permitindo que os usuários finais continuem a acessar seus dados com as mesmas credenciais.
Elevar e deslocar aplicativos para o Azure
Quando você eleva e desloca aplicativos para a nuvem, provavelmente desejará manter o mesmo modelo de autenticação para acesso ao compartilhamento de arquivos. A autenticação baseada em identidade elimina a necessidade de alterar o serviço de diretório, acelerando a adoção da nuvem.
Backup e recuperação de desastres (DR)
Se você estiver mantendo seu armazenamento de arquivos principal no local, o Azure Files é uma solução ideal para backup e DR para melhorar a continuidade dos negócios. Você pode usar compartilhamentos de arquivos do Azure para fazer backup de seus servidores de arquivos, preservando as DACLs (listas de controle de acesso discricionário) do Windows. Para cenários de DR, pode-se configurar uma opção de autenticação para apoiar a aplicação adequada do controlo de acesso no failover.
Escolha uma fonte de identidade para sua conta de armazenamento
Antes de habilitar a autenticação baseada em identidade em sua conta de armazenamento, você precisa saber qual fonte de identidade vai usar. É provável que você já tenha um, pois a maioria das empresas e organizações tem algum tipo de ambiente de domínio configurado. Consulte o administrador do Ative Directory (AD) ou de TI para ter certeza. Se você ainda não tiver uma fonte de identidade, precisará configurá-la antes de habilitar a autenticação baseada em identidade.
Cenários de autenticação suportados
Você pode habilitar a autenticação baseada em identidade no SMB usando uma das três fontes de identidade: Serviços de Domínio Active Directory (AD DS) locais, Serviços de Domínio Microsoft Entra ou Microsoft Entra Kerberos (somente identidades híbridas). Você só pode usar uma fonte de identidade para autenticação de acesso a arquivos por conta de armazenamento, e isso se aplica a todos os compartilhamentos de arquivos na conta.
AD DS local: clientes AD DS locais e máquinas virtuais (VMs) podem acessar compartilhamentos de arquivos do Azure com credenciais do Ative Directory local. O ambiente AD DS local deve ser sincronizado com o Microsoft Entra ID usando o aplicativo Microsoft Entra Connect local ou Microsoft Entra Connect cloud sync, um agente leve que pode ser instalado a partir do Centro de Administração Microsoft Entra. Para usar este método de autenticação, o cliente deve estar associado ao domínio ou ter conectividade de rede desimpedida com o AD DS. Veja a lista completa de pré-requisitos.
Microsoft Entra Kerberos para identidades híbridas: você pode usar a ID do Microsoft Entra para autenticar identidades de usuário híbridas, permitindo que os usuários finais acessem compartilhamentos de arquivos do Azure sem exigir conectividade de rede com controladores de domínio. Essa opção requer uma implantação existente do AD DS, que é sincronizada com o seu locatário do Microsoft Entra para que a ID do Microsoft Entra possa autenticar as suas identidades híbridas. Atualmente, não há suporte para identidades somente na nuvem usando esse método. Veja a lista completa de pré-requisitos.
Serviços de Domínio Microsoft Entra: VMs baseadas em nuvem que ingressaram nos Serviços de Domínio Microsoft Entra podem acessar compartilhamentos de arquivos do Azure com credenciais do Microsoft Entra. Nesta solução, o Microsoft Entra ID executa um domínio tradicional do Windows Server AD que é um subdomínio do inquilino Microsoft Entra do cliente. Os Serviços de Domínio Microsoft Entra são atualmente a única opção para autenticar identidades somente na nuvem. Veja a lista completa de pré-requisitos.
Use as diretrizes a seguir para determinar qual fonte de identidade você deve escolher.
Se a sua organização já tiver um AD local e não estiver pronta para mover identidades para a nuvem, e se os seus clientes, VMs e aplicações estiverem associados a um domínio ou tiverem conectividade de rede desimpedida com esses controladores de domínio, escolha AD DS.
Se alguns ou todos os clientes não tiverem conectividade de rede desimpedida com seu AD DS, ou se você estiver armazenando perfis FSLogix em compartilhamentos de arquivos do Azure para VMs ingressadas do Microsoft Entra, escolha Microsoft Entra Kerberos.
Se você tiver um AD local existente, mas estiver planejando mover aplicativos para a nuvem e quiser que suas identidades existam tanto no local quanto na nuvem, escolha Microsoft Entra Kerberos.
Se você não tiver uma fonte de identidade existente, se precisar autenticar identidades somente na nuvem ou se já usar os Serviços de Domínio Microsoft Entra, escolha Serviços de Domínio Microsoft Entra. Se você ainda não tiver um serviço de domínio implantado no Azure, notará uma nova cobrança na sua fatura do Azure por esse serviço.
Habilitar uma fonte de identidade
Depois de escolher uma fonte de identidade, você deve habilitá-la em sua conta de armazenamento.
AD DS
Para autenticação do AD DS, você pode hospedar seus controladores de domínio do AD em VMs do Azure ou localmente. De qualquer forma, seus clientes devem ter conectividade de rede desimpedida com o controlador de domínio, portanto, eles devem estar dentro da rede corporativa ou rede virtual (VNET) do seu serviço de domínio. Recomendamos ingressar no domínio de suas máquinas cliente ou VMs para que os usuários não precisem fornecer credenciais explícitas cada vez que acessarem o compartilhamento.
O diagrama a seguir mostra a autenticação do AD DS local para compartilhamentos de arquivos do Azure no SMB. O AD DS local deve ser sincronizado com a ID do Microsoft Entra usando o Microsoft Entra Connect Sync ou a sincronização na nuvem do Microsoft Entra Connect. Somente identidades de usuário híbridas que existem no AD DS local e na ID do Microsoft Entra podem ser autenticadas e autorizadas para acesso ao compartilhamento de arquivos do Azure. Isso ocorre porque a permissão de nível de compartilhamento é configurada contra a identidade representada no Microsoft Entra ID, enquanto a permissão de nível de diretório/arquivo é aplicada com aquela no AD DS. Certifique-se de configurar as permissões corretamente em relação ao mesmo usuário híbrido.
Para habilitar a autenticação do AD DS, primeiro leia Visão geral - autenticação dos Serviços de Domínio Ative Directory local sobre SMB para compartilhamentos de arquivos do Azure e, em seguida, consulte Habilitar a autenticação do AD DS para compartilhamentos de arquivos do Azure.
Microsoft Entra Kerberos para as identidades híbridas
Habilitar e configurar a ID do Microsoft Entra para autenticar identidades de usuário híbridas permite que os usuários do Microsoft Entra acessem compartilhamentos de arquivos do Azure usando a autenticação Kerberos. Esta configuração utiliza o Microsoft Entra ID para emitir os tickets Kerberos, permitindo o acesso ao compartilhamento de arquivos com o protocolo SMB padrão da indústria. Isso significa que os utilizadores finais podem aceder a partilhas de ficheiros do Azure sem exigir conectividade de rede com controladores de domínio a partir de VMs associadas ao Microsoft Entra, tanto em modo híbrido como dedicados. No entanto, a configuração de permissões de diretório e nível de arquivo para usuários e grupos requer conectividade de rede desimpedida com o controlador de domínio local.
Importante
A autenticação Kerberos do Microsoft Entra suporta apenas identidades de usuário híbridas; não suporta identidades apenas na nuvem. É necessária uma implantação tradicional do AD DS que deve ser sincronizada com o Microsoft Entra ID usando o Microsoft Entra Connect Sync ou a sincronização na nuvem do Microsoft Entra Connect. Os clientes devem estar aderidos ao Microsoft Entra ou aderidos de forma híbrida ao Microsoft Entra. O Microsoft Entra Kerberos não é suportado em clientes que aderiram aos Serviços de Domínio Microsoft Entra ou aderiram apenas ao AD.
Para habilitar a autenticação Kerberos do Microsoft Entra para identidades híbridas, consulte Habilitar a autenticação Kerberos do Microsoft Entra para identidades híbridas nos Arquivos do Azure.
Você também pode usar esse recurso para armazenar perfis FSLogix em compartilhamentos de arquivos do Azure para VMs associadas ao Microsoft Entra. Para obter mais informações, consulte Criar um contêiner de perfil com Arquivos do Azure e ID do Microsoft Entra.
Microsoft Entra Domain Services
Para autenticação dos Serviços de Domínio Microsoft Entra, você deve habilitar os Serviços de Domínio Microsoft Entra e ingressar no domínio das VMs a partir das quais planeja acessar dados de arquivo. Sua Máquina Virtual associada ao domínio deve residir na mesma VNET que o domínio hospedado pelos Serviços de Domínio Microsoft Entra.
O diagrama a seguir representa o fluxo de trabalho para autenticação dos Serviços de Domínio Microsoft Entra para compartilhamentos de arquivos do Azure no SMB. Ele segue um padrão semelhante à autenticação do AD DS local, mas há duas diferenças principais:
Não é necessário criar uma identidade nos Serviços de Domínio do Microsoft Entra para representar a conta de armazenamento. Isso é realizado pelo processo de habilitação em plano de fundo.
Todos os usuários que existem no Microsoft Entra ID podem ser autenticados e autorizados. Os utilizadores podem ser apenas de nuvem ou híbridos. A sincronização do ID do Microsoft Entra com os Serviços de Domínio do Microsoft Entra é gerenciada pela plataforma sem exigir qualquer configuração do usuário. No entanto, o cliente deve estar associado ao domínio hospedado dos Serviços de Domínio Microsoft Entra. Não pode ser associado ou registado ao Microsoft Entra. Os Serviços de Domínio do Microsoft Entra não suportam clientes que não sejam do Azure (ou seja, portáteis de utilizadores, estações de trabalho, VMs noutras nuvens, etc.) associados a domínios associados ao domínio alojado nos Serviços de Domínio Microsoft Entra. No entanto, é possível montar um compartilhamento de arquivos a partir de um cliente não associado ao domínio fornecendo credenciais explícitas, como DOMAINNAME\username ou usando o nome de domínio totalmente qualificado (username@FQDN).
Para habilitar a autenticação dos Serviços de Domínio Microsoft Entra, consulte Habilitar a autenticação dos Serviços de Domínio Microsoft Entra nos Arquivos do Azure.
Glossário
É útil entender alguns termos-chave relacionados à autenticação baseada em identidade para compartilhamentos de arquivos do Azure:
Autenticação Kerberos
Kerberos é um protocolo de autenticação usado para verificar a identidade de um usuário ou host. Para obter mais informações sobre Kerberos, consulte Visão geral da autenticação Kerberos.
Protocolo SMB (Server Message Block)
O SMB é um protocolo de compartilhamento de arquivos de rede padrão do setor. Para obter mais informações sobre o SMB, consulte Visão geral do protocolo Microsoft SMB e do protocolo CIFS.
Microsoft Entra ID
O Microsoft Entra ID (anteriormente Azure AD) é o serviço de gerenciamento de identidades e diretório multilocatário baseado em nuvem da Microsoft. O Microsoft Entra ID combina serviços de diretório principais, gerenciamento de acesso a aplicativos e proteção de identidade em uma única solução.
Microsoft Entra Domain Services
Os Serviços de Domínio Microsoft Entra fornecem serviços de domínio gerenciados, como ingresso no domínio, políticas de grupo, LDAP e autenticação Kerberos/NTLM. Esses serviços são totalmente compatíveis com os Serviços de Domínio Ative Directory. Para obter mais informações, consulte Serviços de domínio do Microsoft Entra.
Serviços de Domínio Active Directory (AD DS) locais
O AD DS é normalmente adotado por empresas em ambientes locais ou em VMs hospedadas na nuvem, e as credenciais do AD DS são usadas para controle de acesso. Para obter mais informações, consulte Visão geral dos Serviços de Domínio Ative Directory.
Identidades híbridas
Identidades de usuário híbridas são identidades no AD DS que são sincronizadas com a ID do Microsoft Entra usando o aplicativo local Microsoft Entra Connect Sync ou a sincronização na nuvem do Microsoft Entra Connect, um agente leve que pode ser instalado a partir do Centro de Administração do Microsoft Entra.