Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver hur du kan använda identitetsbaserad autentisering, antingen lokalt eller i Azure, för att aktivera identitetsbaserad åtkomst till Azure-filresurser via SMB. Precis som Windows-filservrar kan du bevilja behörigheter till en identitet på resurs-, katalog- eller filnivå. Det finns ingen extra tjänstavgift för att aktivera identitetsbaserad autentisering på ditt lagringskonto.
Identitetsbaserad autentisering stöds för närvarande inte med NFS-delningar (Network File System). Den är dock tillgänglig via SMB för både Windows- och Linux-klienter.
Av säkerhetsskäl rekommenderas att använda identitetsbaserad autentisering för att komma åt filresurser snarare än att använda lagringskontonyckeln.
Viktigt!
Dela aldrig dina lagringskontonycklar. Använd identitetsbaserad autentisering i stället.
Applies to
| Hanteringsmodell | Faktureringsmodell | Medieklass | Redundancy | Små och medelstora företag (SMB) | NFS |
|---|---|---|---|---|---|
| Microsoft.Storage | Provisioned v2 | HDD (standard) | Local (LRS) |
|
|
| Microsoft.Storage | Provisioned v2 | HDD (standard) | Zone (ZRS) |
|
|
| Microsoft.Storage | Provisioned v2 | HDD (standard) | Geo (GRS) |
|
|
| Microsoft.Storage | Provisioned v2 | HDD (standard) | GeoZone (GZRS) |
|
|
| Microsoft.Storage | Provisioned v1 | SSD (hög kvalitet) | Local (LRS) |
|
|
| Microsoft.Storage | Provisioned v1 | SSD (hög kvalitet) | Zone (ZRS) |
|
|
| Microsoft.Storage | Pay-as-you-go | HDD (standard) | Local (LRS) |
|
|
| Microsoft.Storage | Pay-as-you-go | HDD (standard) | Zone (ZRS) |
|
|
| Microsoft.Storage | Pay-as-you-go | HDD (standard) | Geo (GRS) |
|
|
| Microsoft.Storage | Pay-as-you-go | HDD (standard) | GeoZone (GZRS) |
|
|
Hur det fungerar
Azure-filresurser använder Kerberos-protokollet för att autentisera med en identitetskälla. När en identitet som är associerad med en användare eller ett program som körs på en klient försöker komma åt data i Azure-filresurser skickas begäran till identitetskällan för att autentisera identiteten. Om autentiseringen lyckas returnerar identitetskällan en Kerberos-biljett. Klienten skickar sedan en begäran som innehåller Kerberos-biljetten, och Azure Files använder den biljetten för att auktorisera begäran. Azure Files-tjänsten tar bara emot Kerberos-biljetten, inte användarens åtkomstautentiseringsuppgifter.
Vanliga användningsfall
Identitetsbaserad autentisering med SMB Azure-filresurser kan vara användbar i en mängd olika scenarier:
Ersätt lokala filservrar
Att ersätta spridda lokala filservrar är en utmaning som varje organisation står inför under sin IT-moderniseringsresa. Att använda identitetsbaserad autentisering med Azure Files ger en sömlös migreringsupplevelse som gör att slutanvändarna kan fortsätta att komma åt sina data med samma autentiseringsuppgifter.
Lyfta och flytta program till Azure
När du lyfter och flyttar program till molnet vill du förmodligen behålla samma autentiseringsmodell för filresursåtkomst. Identitetsbaserad autentisering eliminerar behovet av att ändra katalogtjänsten, vilket påskyndar molnimplementeringen.
Säkerhetskopiering och haveriberedskap (DR)
If you're keeping your primary file storage on-premises, Azure Files is an ideal solution for backup and DR to improve business continuity. Du kan använda Azure-fildelningar för att säkerhetskopiera dina filservrar och samtidigt upprätthålla Windows diskretionära åtkomstkontrollistor (DACLs). För DR-scenarier kan du konfigurera ett autentiseringsalternativ för att stödja korrekt åtkomstkontroll vid redundansväxling.
Välj en identitetskälla för ditt lagringskonto
Innan du aktiverar identitetsbaserad autentisering på ditt lagringskonto måste du veta vilken identitetskälla du ska använda. Det är troligt att du redan har en, eftersom de flesta företag och organisationer har någon typ av domänmiljö konfigurerad. Kontakta Active Directory (AD) eller IT-administratören för att vara säker. Om du inte redan har en identitetskälla måste du konfigurera en innan du kan aktivera identitetsbaserad autentisering.
Autentiseringsscenarier som stöds
Du kan aktivera identitetsbaserad autentisering via SMB med någon av tre identitetskällor: Lokala Active Directory-domän Services (AD DS), Microsoft Entra Domain Services eller Microsoft Entra Kerberos (endast hybrididentiteter). Du kan bara använda en identitetskälla för filåtkomstautentisering per lagringskonto och den gäller för alla filresurser i kontot.
Lokal AD DS: Lokala AD DS-klienter och virtuella datorer kan komma åt Azure-filresurser med lokal Active Directory autentiseringsuppgifter. Den lokala AD DS-miljön måste synkroniseras med Microsoft Entra-ID med antingen det lokala Microsoft Entra Connect-programmet eller Microsoft Entra Connect-molnsynkroniseringen, en lättviktsagent som kan installeras från Microsoft Entra Admin Center. Om du vill använda den här autentiseringsmetoden måste klienten vara domänansluten eller ha en obehindrad nätverksanslutning till din AD DS. Se den fullständiga listan över förutsättningar.
Microsoft Entra Kerberos för hybrididentiteter: Du kan använda Microsoft Entra-ID för att autentisera hybridanvändares identiteter, så att slutanvändarna kan komma åt Azure-filresurser utan att kräva nätverksanslutning till domänkontrollanter. Det här alternativet kräver en befintlig AD DS-distribution som sedan synkroniseras med din Microsoft Entra-klientorganisation så att Microsoft Entra-ID kan autentisera dina hybrididentiteter. Molnbaserade identiteter stöds för närvarande inte med den här metoden. Se den fullständiga listan över förutsättningar.
Microsoft Entra Domain Services: Molnbaserade virtuella datorer som är anslutna till Microsoft Entra Domain Services kan komma åt Azure-filresurser med Microsoft Entra-autentiseringsuppgifter. I den här lösningen kör Microsoft Entra ID en traditionell Windows Server AD-domän som är underordnad kundens Microsoft Entra-klientorganisation. Microsoft Entra Domain Services är för närvarande det enda alternativet för att autentisera molnbaserade identiteter. Se den fullständiga listan över förutsättningar.
Använd följande riktlinjer för att avgöra vilken identitetskälla du ska välja.
Om din organisation redan har en lokal AD och inte är redo att flytta identiteter till molnet och om dina klienter, virtuella datorer och program är domänanslutna eller har obehindrat nätverksanslutning till dessa domänkontrollanter väljer du AD DS.
Om vissa eller alla klienter inte har obehindrat nätverksanslutning till din AD DS, eller om du lagrar FSLogix-profiler på Azure-filresurser för Microsoft Entra-anslutna virtuella datorer, väljer du Microsoft Entra Kerberos.
Om du har en befintlig lokal AD men planerar att flytta program till molnet och vill att dina identiteter ska finnas både lokalt och i molnet väljer du Microsoft Entra Kerberos.
Om du inte har någon befintlig identitetskälla, om du behöver autentisera molnbaserade identiteter eller om du redan använder Microsoft Entra Domain Services, väljer du Microsoft Entra Domain Services. Om du inte redan har en domäntjänst distribuerad i Azure kommer du att märka en ny avgift på din Azure-faktura för den här tjänsten.
Aktivera en identitetskälla
När du har valt en identitetskälla måste du aktivera den på ditt lagringskonto.
AD DS
For AD DS authentication, you can host your AD domain controllers on Azure VMs or on-premises. Either way, your clients must have unimpeded network connectivity to the domain controller, so they must be within the corporate network or virtual network (VNET) of your domain service. We recommend domain-joining your client machines or VMs so that users don't have to provide explicit credentials each time they access the share.
Följande diagram visar lokal AD DS-autentisering till Azure-filresurser via SMB. Den lokala AD DS måste synkroniseras med Microsoft Entra-ID med hjälp av Microsoft Entra Connect Sync eller Microsoft Entra Connect-molnsynkronisering. Endast hybridanvändaridentiteter som finns i både lokal AD DS och Microsoft Entra-ID kan autentiseras och auktoriseras för Åtkomst till Azure-filresurser. Detta beror på att behörigheten på delningsnivå har konfigurerats mot den identitet som representeras i Microsoft Entra ID, medan behörigheten på katalog-/filnivå tillämpas med den i AD DS. Kontrollera att du konfigurerar behörigheterna korrekt mot samma hybridanvändare.
Om du vill aktivera AD DS-autentisering läser du först Översikt – lokal Active Directory Domain Services-autentisering via SMB för Azure-filresurser och läser sedan Aktivera AD DS-autentisering för Azure-filresurser.
Microsoft Entra Kerberos för hybrididentiteter
Genom att aktivera och konfigurera Microsoft Entra-ID för att autentisera hybridanvändaridentiteter kan Microsoft Entra-användare komma åt Azure-filresurser med hjälp av Kerberos-autentisering. Den här konfigurationen använder Microsoft Entra ID för att utfärda Kerberos-biljetter för att få åtkomst till fildelningen med branschstandardprotokollet SMB. Det innebär att slutanvändare kan komma åt Azure-filresurser utan att kräva nätverksanslutning till domänkontrollanter från Microsoft Entra-hybridanslutna och Microsoft Entra-anslutna virtuella datorer. För att konfigurera katalog- och filnivåbehörigheter för användare och grupper krävs dock en obehindrad nätverksanslutning till den lokala domänkontrollanten.
Viktigt!
Microsoft Entra Kerberos-autentisering stöder endast hybridanvändares identiteter. Det stöder inte molnbaserade identiteter. En traditionell AD DS-distribution krävs och den måste synkroniseras med Microsoft Entra-ID med Microsoft Entra Connect Sync eller Microsoft Entra Connect-molnsynkronisering. Klienter måste vara Microsoft Entra-anslutna eller Microsoft Entra-hybridanslutningar. Microsoft Entra Kerberos stöds inte på klienter som är anslutna till Microsoft Entra Domain Services eller endast anslutna till AD.
Information om hur du aktiverar Microsoft Entra Kerberos-autentisering för hybrididentiteter finns i Aktivera Microsoft Entra Kerberos-autentisering för hybrididentiteter i Azure Files.
Du kan också använda den här funktionen för att lagra FSLogix-profiler på Azure-filresurser för Microsoft Entra-anslutna virtuella datorer. Mer information finns i Skapa en profilcontainer med Azure Files och Microsoft Entra-ID.
Microsoft Entra Domain Services
För Microsoft Entra Domain Services-autentisering måste du aktivera Microsoft Entra Domain Services och domänansluta de virtuella datorer som du planerar att komma åt fildata från. Den domänanslutna virtuella datorn måste finnas i samma virtuella nätverk som din Microsoft Entra Domain Services-värddomän.
Följande diagram representerar arbetsflödet för Microsoft Entra Domain Services-autentisering till Azure-filresurser via SMB. Det följer ett liknande mönster som lokal AD DS-autentisering, men det finns två stora skillnader:
Du behöver inte skapa en identitet i Microsoft Entra Domain Services för att representera lagringskontot. Detta utförs av aktiveringsprocessen i bakgrunden.
Alla användare som finns i Microsoft Entra-ID kan autentiseras och auktoriseras. Användare kan vara molnbaserade eller hybrida. Synkroniseringen från Microsoft Entra-ID till Microsoft Entra Domain Services hanteras av plattformen utan att någon användarkonfiguration krävs. However, the client must be joined to the Microsoft Entra Domain Services hosted domain. It can't be Microsoft Entra joined or registered. Microsoft Entra Domain Services stöder inte icke-Azure-klienter (t.ex. bärbara datorer, arbetsstationer, virtuella datorer i andra moln osv.) som är domänanslutna till domänen microsoft Entra Domain Services. However, it's possible to mount a file share from a non-domain-joined client by providing explicit credentials such as DOMAINNAME\username or using the fully qualified domain name (username@FQDN).
Information om hur du aktiverar Microsoft Entra Domain Services-autentisering finns i Aktivera Microsoft Entra Domain Services-autentisering på Azure Files.
Ordlista
Det är bra att förstå några viktiga termer som rör identitetsbaserad autentisering för Azure-filresurser:
Kerberos-autentisering
Kerberos är ett autentiseringsprotokoll som används för att verifiera identiteten för en användare eller värd. Mer information om Kerberos finns i Översikt över Kerberos-autentisering.
SMB-protokoll (Server Message Block)
SMB är ett branschstandardprotokoll för nätverksfildelning. Mer information om SMB finns i Översikt över Microsoft SMB-protokoll och CIFS-protokoll.
Microsoft Entra ID
Microsoft Entra ID (tidigare Azure AD) är Microsofts molnbaserade katalog- och identitetshanteringstjänst för flera klientorganisationer. Microsoft Entra ID kombinerar kärnkatalogtjänster, programåtkomsthantering och identitetsskydd till en enda lösning.
Microsoft Entra Domain Services
Microsoft Entra Domain Services tillhandahåller hanterade domäntjänster som domänanslutning, grupprinciper, LDAP och Kerberos/NTLM-autentisering. Dessa tjänster är helt kompatibla med Active Directory-domän Services. Mer information finns i Microsoft Entra Domain Services.
Onsite Active Directory-domäntjänster (AD DS)
AD DS används ofta av företag i lokala miljöer eller på molnbaserade virtuella datorer och AD DS-autentiseringsuppgifter används för åtkomstkontroll. För mer information, se Översikt över Active Directory-domäntjänster.
Hybrididentiteter
Hybridanvändaridentiteter är identiteter i AD DS som synkroniseras med Microsoft Entra-ID med antingen det lokala Microsoft Entra Connect Sync-programmet eller Microsoft Entra Connect-molnsynkronisering, en lättviktsagent som kan installeras från Administrationscenter för Microsoft Entra.