Visão geral das opções de autenticação baseada em identidade dos Arquivos do Azure para acesso SMB

  • Artigo

Este artigo explica como os compartilhamentos de arquivos do Azure podem usar serviços de domínio, no local ou no Azure, para dar suporte ao acesso baseado em identidade aos compartilhamentos de arquivos do Azure no SMB. Habilitar o acesso baseado em identidade para seus compartilhamentos de arquivos do Azure permite que você substitua servidores de arquivos existentes por compartilhamentos de arquivos do Azure sem substituir seu serviço de diretório existente, mantendo o acesso contínuo do usuário aos compartilhamentos.

Aplica-se a

Tipo de partilhas de ficheiros SMB NFS
Partilhas de ficheiros Standard (GPv2), LRS/ZRS Yes No
Partilhas de ficheiros Standard (GPv2), GRS/GZRS Yes No
Partilhas de ficheiros Premium (FileStorage), LRS/ZRS Yes No

Glossário

É útil entender alguns termos-chave relacionados à autenticação baseada em identidade para compartilhamentos de arquivos do Azure:

  • Autenticação Kerberos

    Kerberos é um protocolo de autenticação usado para verificar a identidade de um usuário ou host. Para obter mais informações sobre Kerberos, consulte Visão geral da autenticação Kerberos.

  • Protocolo SMB (Server Message Block)

    O SMB é um protocolo de compartilhamento de arquivos de rede padrão do setor. Para obter mais informações sobre o SMB, consulte Visão geral do protocolo Microsoft SMB e do protocolo CIFS.

  • Microsoft Entra ID

    O Microsoft Entra ID (anteriormente Azure AD) é o serviço de gerenciamento de identidades e diretório multilocatário baseado em nuvem da Microsoft. O Microsoft Entra ID combina serviços de diretório principais, gerenciamento de acesso a aplicativos e proteção de identidade em uma única solução.

  • Microsoft Entra Domain Services

    Os Serviços de Domínio Microsoft Entra fornecem serviços de domínio gerenciados, como ingresso no domínio, políticas de grupo, LDAP e autenticação Kerberos/NTLM. Esses serviços são totalmente compatíveis com os Serviços de Domínio Ative Directory. Para obter mais informações, consulte Serviços de domínio do Microsoft Entra.

  • Serviços de Domínio Ative Directory (AD DS) locais

    A integração dos Serviços de Domínio Ative Directory (AD DS) no local com os Arquivos do Azure fornece os métodos para armazenar dados de diretório e, ao mesmo tempo, disponibilizá-los para usuários e administradores da rede. A segurança é integrada ao AD DS por meio de autenticação de logon e controle de acesso a objetos no diretório. Com um único logon de rede, os administradores podem gerenciar dados de diretório e organização em toda a rede, e os usuários autorizados da rede podem acessar recursos em qualquer lugar da rede. O AD DS é normalmente adotado por empresas em ambientes locais ou em VMs hospedadas na nuvem, e as credenciais do AD DS são usadas para controle de acesso. Para obter mais informações, consulte Visão geral dos Serviços de Domínio Ative Directory.

  • Controle de acesso baseado em função do Azure (Azure RBAC)

    O RBAC do Azure habilita o gerenciamento de acesso refinado para o Azure. Usando o RBAC do Azure, você pode gerenciar o acesso a recursos concedendo aos usuários o menor número de permissões necessárias para executar seus trabalhos. Para obter mais informações, consulte O que é o controle de acesso baseado em função do Azure?

  • Identidades híbridas

    As identidades de usuário híbridas são identidades no AD DS que são sincronizadas com a ID do Microsoft Entra usando o aplicativo local Microsoft Entra Connect Sync ou a sincronização na nuvem do Microsoft Entra Connect, um agente leve que pode ser instalado a partir do Centro de Administração do Microsoft Entra.

Cenários de autenticação suportados

Os Arquivos do Azure dão suporte à autenticação baseada em identidade sobre SMB por meio dos seguintes métodos. Você só pode usar um método por conta de armazenamento.

  • Autenticação do AD DS local: as máquinas Windows associadas ao AD DS local ou aos Serviços de Domínio Microsoft Entra podem acessar compartilhamentos de arquivos do Azure com credenciais do Ative Directory local que são sincronizadas com a ID do Microsoft Entra por SMB. O cliente deve ter conectividade de rede desimpedida com o AD DS. Se você já tiver o AD DS configurado no local ou em uma VM no Azure onde seus dispositivos ingressaram no domínio do seu AD, você deve usar o AD DS para autenticação de compartilhamentos de arquivos do Azure.
  • Autenticação dos Serviços de Domínio Microsoft Entra: As VMs do Windows baseadas na nuvem e associadas aos Serviços de Domínio Microsoft Entra podem aceder a partilhas de ficheiros do Azure com credenciais do Microsoft Entra. Nesta solução, o Microsoft Entra ID executa um domínio tradicional do Windows Server AD em nome do cliente, que é filho do locatário do Microsoft Entra do cliente.
  • Microsoft Entra Kerberos para identidades híbridas: Usar o Microsoft Entra ID para autenticar identidades de usuário híbridas permite que os usuários do Microsoft Entra acessem compartilhamentos de arquivos do Azure usando a autenticação Kerberos. Isso significa que seus usuários finais podem acessar compartilhamentos de arquivos do Azure pela Internet sem exigir conectividade de rede com controladores de domínio do Microsoft Entra híbrido ingressado e Microsoft Entra ingressado VMs. Atualmente, não há suporte para identidades somente na nuvem.
  • Autenticação Kerberos do AD para clientes Linux: os clientes Linux podem usar a autenticação Kerberos sobre SMB para Arquivos do Azure usando o AD DS local ou os Serviços de Domínio Microsoft Entra.

Restrições

  • Nenhum dos métodos de autenticação suporta a atribuição de permissões de nível de partilha a contas de computador (contas de máquina) utilizando o RBAC do Azure, porque as contas de computador não podem ser sincronizadas com uma identidade no Microsoft Entra ID. Se você quiser permitir que uma conta de computador acesse compartilhamentos de arquivos do Azure usando autenticação baseada em identidade, use uma permissão padrão no nível de compartilhamento ou considere usar uma conta de logon de serviço.
  • A autenticação baseada em identidade não é suportada com partilhas NFS (Network File System).

Casos comuns de utilização

A autenticação baseada em identidade com os Arquivos do Azure pode ser útil em vários cenários:

Substituir servidores de arquivos locais

Substituir e substituir servidores de arquivos locais dispersos é um problema comum que toda empresa encontra em sua jornada de modernização de TI. Os compartilhamentos de arquivos do Azure com autenticação do AD DS local são a melhor opção aqui, quando você pode migrar os dados para os Arquivos do Azure. Uma migração completa permitirá que você aproveite os benefícios de alta disponibilidade e escalabilidade, ao mesmo tempo em que minimiza as alterações do lado do cliente. Ele fornece uma experiência de migração perfeita para os usuários finais, para que eles possam continuar a acessar seus dados com as mesmas credenciais usando suas máquinas de domínio existentes.

Elevar e deslocar aplicativos para o Azure

Ao elevar e deslocar aplicativos para a nuvem, você deseja manter o mesmo modelo de autenticação para seus dados. À medida que estendemos a experiência de controle de acesso baseada em identidade para compartilhamentos de arquivos do Azure, ele elimina a necessidade de alterar seu aplicativo para métodos de autenticação modernos e acelerar a adoção da nuvem. Os compartilhamentos de arquivos do Azure oferecem a opção de integração com os Serviços de Domínio Microsoft Entra ou com o AD DS local para autenticação. Se o seu plano é ser 100% nativo da nuvem e minimizar os esforços de gerenciamento de infraestruturas de nuvem, os Serviços de Domínio do Microsoft Entra podem ser mais adequados como um serviço de domínio totalmente gerenciado. Se você precisar de compatibilidade total com os recursos do AD DS, convém considerar estender seu ambiente AD DS para a nuvem por meio da hospedagem automática de controladores de domínio em VMs. De qualquer forma, oferecemos a flexibilidade de escolher o serviço de domínio que melhor se adapta às necessidades do seu negócio.

Backup e recuperação de desastres (DR)

Se você estiver mantendo seu armazenamento de arquivos principal no local, os compartilhamentos de arquivos do Azure podem servir como um armazenamento ideal para backup ou DR, para melhorar a continuidade dos negócios. Você pode usar compartilhamentos de arquivos do Azure para fazer backup de seus dados de servidores de arquivos existentes, preservando as listas de controle de acesso discricionário (DACLs) do Windows. Para cenários de DR, você pode configurar uma opção de autenticação para dar suporte à aplicação adequada do controle de acesso no failover.

Vantagens da autenticação baseada em identidade

A autenticação baseada em identidade para Arquivos do Azure oferece vários benefícios em relação ao uso da autenticação de Chave Compartilhada:

  • Estenda a experiência tradicional de acesso de compartilhamento de arquivos baseada em identidade para a nuvem
    Se você planeja elevar e mudar seu aplicativo para a nuvem, substituindo servidores de arquivos tradicionais por compartilhamentos de arquivos do Azure, talvez queira que seu aplicativo seja autenticado com credenciais locais do AD DS ou dos Serviços de Domínio Microsoft Entra para acessar dados de arquivo. Os Arquivos do Azure dão suporte ao uso de credenciais locais do AD DS ou dos Serviços de Domínio Microsoft Entra para acessar compartilhamentos de arquivos do Azure por SMB a partir de VMs associadas ao domínio do AD DS local ou dos Serviços de Domínio Microsoft Entra.

  • Impor controle de acesso granular em compartilhamentos de arquivos do Azure
    Você pode conceder permissões a uma identidade específica no nível de compartilhamento, diretório ou arquivo. Por exemplo, suponha que você tenha várias equipes usando um único compartilhamento de arquivos do Azure para colaboração de projetos. Você pode conceder a todas as equipes acesso a diretórios não confidenciais, limitando o acesso a diretórios contendo dados financeiros confidenciais apenas à sua equipe financeira.

  • Faça backup de ACLs do Windows (também conhecidas como permissões NTFS) junto com seus dados
    Você pode usar compartilhamentos de arquivos do Azure para fazer backup de seus compartilhamentos de arquivos locais existentes. O Azure Files preserva suas ACLs junto com seus dados quando você faz backup de um compartilhamento de arquivos para compartilhamentos de arquivos do Azure por SMB.

Como funciona

Os compartilhamentos de arquivos do Azure usam o protocolo Kerberos para autenticar com uma fonte do AD. Quando uma identidade associada a um usuário ou aplicativo em execução em um cliente tenta acessar dados em compartilhamentos de arquivos do Azure, a solicitação é enviada à fonte do AD para autenticar a identidade. Se a autenticação for bem-sucedida, ela retornará um token Kerberos. O cliente envia uma solicitação que inclui o token Kerberos e os compartilhamentos de arquivos do Azure usam esse token para autorizar a solicitação. Os compartilhamentos de arquivos do Azure recebem apenas o token Kerberos, não as credenciais de acesso do usuário.

Você pode habilitar a autenticação baseada em identidade em suas contas de armazenamento novas e existentes usando uma das três fontes do AD: AD DS, Serviços de Domínio Microsoft Entra ou Microsoft Entra Kerberos (somente identidades híbridas). Apenas uma fonte do AD pode ser usada para autenticação de acesso a arquivos na conta de armazenamento, que se aplica a todos os compartilhamentos de arquivos na conta. Antes de habilitar a autenticação baseada em identidade em sua conta de armazenamento, você deve primeiro configurar seu ambiente de domínio.

AD DS

Para autenticação do AD DS local, você deve configurar seus controladores de domínio do AD e ingressar no domínio de suas máquinas ou VMs. Você pode hospedar seus controladores de domínio em VMs do Azure ou localmente. De qualquer forma, seus clientes ingressados no domínio devem ter conectividade de rede desimpedida com o controlador de domínio, portanto, eles devem estar dentro da rede corporativa ou rede virtual (VNET) do seu serviço de domínio.

O diagrama a seguir mostra a autenticação do AD DS local para compartilhamentos de arquivos do Azure no SMB. O AD DS local deve ser sincronizado com a ID do Microsoft Entra usando o Microsoft Entra Connect Sync ou a sincronização na nuvem do Microsoft Entra Connect. Somente identidades de usuário híbridas que existem no AD DS local e na ID do Microsoft Entra podem ser autenticadas e autorizadas para acesso ao compartilhamento de arquivos do Azure. Isso ocorre porque a permissão de nível de compartilhamento é configurada em relação à identidade representada na ID do Microsoft Entra, enquanto a permissão de nível de diretório/arquivo é imposta com a permissão no AD DS. Certifique-se de configurar as permissões corretamente em relação ao mesmo usuário híbrido.

Diagram that depicts on-premises AD DS authentication to Azure file shares over SMB.

Para saber como habilitar a autenticação do AD DS, primeiro leia Visão geral - autenticação dos Serviços de Domínio Ative Directory local sobre SMB para compartilhamentos de arquivos do Azure e, em seguida, consulte Habilitar a autenticação do AD DS para compartilhamentos de arquivos do Azure.

Microsoft Entra Domain Services

Para autenticação dos Serviços de Domínio Microsoft Entra, você deve habilitar os Serviços de Domínio Microsoft Entra e ingressar no domínio das VMs das quais você planeja acessar dados de arquivo. Sua VM ingressada no domínio deve residir na mesma rede virtual (VNET) que os Serviços de Domínio Microsoft Entra.

O diagrama a seguir representa o fluxo de trabalho para autenticação dos Serviços de Domínio Microsoft Entra para compartilhamentos de arquivos do Azure no SMB. Ele segue um padrão semelhante à autenticação do AD DS local, mas há duas diferenças principais:

  1. Não é necessário criar a identidade nos Serviços de Domínio Microsoft Entra para representar a conta de armazenamento. Isso é realizado pelo processo de habilitação em segundo plano.

  2. Todos os usuários que existem no Microsoft Entra ID podem ser autenticados e autorizados. O usuário pode ser somente na nuvem ou híbrido. A sincronização do ID do Microsoft Entra com os Serviços de Domínio do Microsoft Entra é gerenciada pela plataforma sem exigir qualquer configuração do usuário. No entanto, o cliente deve estar associado ao domínio hospedado dos Serviços de Domínio Microsoft Entra. Não pode ser associado ou registado pelo Microsoft Entra. Os Serviços de Domínio do Microsoft Entra não suportam clientes que não sejam do Azure (ou seja, portáteis de utilizadores, estações de trabalho, VMs noutras nuvens, etc.) associados a domínios associados ao domínio alojado nos Serviços de Domínio Microsoft Entra. No entanto, é possível montar um compartilhamento de arquivos a partir de um cliente não associado ao domínio fornecendo credenciais explícitas, como DOMAINNAME\username ou usando o nome de domínio totalmente qualificado (username@FQDN).

Diagram of configuration for Microsoft Entra Domain Services authentication with Azure Files over SMB.

Para saber como habilitar a autenticação dos Serviços de Domínio Microsoft Entra, consulte Habilitar a autenticação dos Serviços de Domínio Microsoft Entra nos Arquivos do Azure.

Microsoft Entra Kerberos para identidades híbridas

Habilitar e configurar a ID do Microsoft Entra para autenticar identidades de usuário híbridas permite que os usuários do Microsoft Entra acessem compartilhamentos de arquivos do Azure usando a autenticação Kerberos. Essa configuração usa a ID do Microsoft Entra para emitir os tíquetes Kerberos necessários para acessar o compartilhamento de arquivos com o protocolo SMB padrão do setor. Isso significa que seus usuários finais podem acessar compartilhamentos de arquivos do Azure pela Internet sem exigir conectividade de rede com controladores de domínio do Microsoft Entra híbrido ingressado e Microsoft Entra ingressado VMs. No entanto, a configuração de permissões de diretório e nível de arquivo para usuários e grupos requer conectividade de rede desimpedida com o controlador de domínio local.

Importante

A autenticação Kerberos do Microsoft Entra suporta apenas identidades de usuário híbridas; não suporta identidades apenas na nuvem. É necessária uma implantação tradicional do AD DS que deve ser sincronizada com a ID do Microsoft Entra usando o Microsoft Entra Connect Sync ou a sincronização na nuvem do Microsoft Entra Connect. Os clientes devem ser associados ao Microsoft Entra ou híbridos do Microsoft Entra. O Microsoft Entra Kerberos não é suportado em clientes que aderiram aos Serviços de Domínio Microsoft Entra ou aderiram apenas ao AD.

Diagram of configuration for Microsoft Entra Kerberos authentication for hybrid identities over SMB.

Para saber como habilitar a autenticação Kerberos do Microsoft Entra para identidades híbridas, consulte Habilitar a autenticação Kerberos do Microsoft Entra para identidades híbridas nos Arquivos do Azure.

Você também pode usar esse recurso para armazenar perfis FSLogix em compartilhamentos de arquivos do Azure para VMs associadas ao Microsoft Entra. Para obter mais informações, consulte Criar um contêiner de perfil com Arquivos do Azure e ID do Microsoft Entra.

Controlo de acesso

Os Arquivos do Azure impõem a autorização no acesso do usuário ao nível de compartilhamento e aos níveis de diretório/arquivo. A atribuição de permissão em nível de compartilhamento pode ser executada em usuários ou grupos do Microsoft Entra gerenciados por meio do RBAC do Azure. Com o RBAC do Azure, as credenciais que você usa para acesso a arquivos devem estar disponíveis ou sincronizadas com a ID do Microsoft Entra. Você pode atribuir funções internas do Azure, como o Storage File Data, SMB Share Reader , a usuários ou grupos no Microsoft Entra ID para conceder acesso a um compartilhamento de arquivos do Azure.

No nível de diretório/arquivo, o Azure Files dá suporte à preservação, herança e imposição de ACLs do Windows como qualquer servidor de arquivos do Windows. Você pode optar por manter ACLs do Windows ao copiar dados sobre SMB entre seu compartilhamento de arquivos existente e seus compartilhamentos de arquivos do Azure. Quer planeie impor a autorização ou não, pode utilizar partilhas de ficheiros do Azure para fazer cópias de segurança de ACLs juntamente com os seus dados.

Configurar permissões de nível de compartilhamento para Arquivos do Azure

Depois de habilitar uma fonte do AD em sua conta de armazenamento, siga um destes procedimentos para acessar o compartilhamento de arquivos:

  • Definir uma permissão padrão de nível de compartilhamento que se aplique a todos os usuários e grupos autenticados
  • Atribua funções internas do RBAC do Azure a usuários e grupos, ou
  • Configure funções personalizadas para identidades do Microsoft Entra e atribua direitos de acesso a compartilhamentos de arquivos em sua conta de armazenamento.

A permissão de nível de compartilhamento atribuída permite que a identidade concedida obtenha acesso apenas ao compartilhamento, nada mais, nem mesmo o diretório raiz. Você ainda precisa configurar separadamente as permissões de diretório e nível de arquivo.

Configurar permissões de diretório ou de nível de arquivo para Arquivos do Azure

Os compartilhamentos de arquivos do Azure impõem ACLs padrão do Windows no nível do diretório e do arquivo, incluindo o diretório raiz. A configuração de permissões de diretório ou nível de arquivo é suportada em SMB e REST. Monte o compartilhamento de arquivos de destino de sua VM e configure permissões usando o Explorador de Arquivos do Windows, icacls do Windows ou o comando Set-ACL.

Usar a chave da conta de armazenamento para permissões de superusuário

Um usuário com a chave da conta de armazenamento pode acessar compartilhamentos de arquivos do Azure com permissões de superusuário. As permissões de superusuário ignoram todas as restrições de controle de acesso.

Importante

Nossa prática recomendada de segurança é evitar o compartilhamento de chaves de conta de armazenamento e aproveitar a autenticação baseada em identidade sempre que possível.

Preservar ACLs de diretório e arquivo ao importar dados para compartilhamentos de arquivos do Azure

O Azure Files dá suporte à preservação de ACLs de diretório ou nível de arquivo ao copiar dados para compartilhamentos de arquivos do Azure. Você pode copiar ACLs em um diretório ou arquivo para compartilhamentos de arquivos do Azure usando o Azure File Sync ou conjuntos de ferramentas comuns de movimentação de arquivos. Por exemplo, você pode usar robocopy com o /copy:s sinalizador para copiar dados, bem como ACLs para um compartilhamento de arquivos do Azure. As ACLs são preservadas por padrão, portanto, você não precisa habilitar a autenticação baseada em identidade em sua conta de armazenamento para preservar as ACLs.

Definição de Preços

Não há nenhuma taxa de serviço adicional para habilitar a autenticação baseada em identidade sobre SMB em sua conta de armazenamento. Para obter mais informações sobre preços, consulte Preços dos Arquivos do Azure e Preços dos Serviços de Domínio Microsoft Entra.

Próximos passos

Para obter mais informações sobre Arquivos do Azure e autenticação baseada em identidade sobre SMB, consulte estes recursos: