Händelser
31 mars 23 - 2 apr. 23
Den största utbildningshändelsen för Infrastruktur, Power BI och SQL. 31 mars – 2 april. Använd koden FABINSIDER för att spara 400 USD.
Anmäl dig i dagÖversikt över identitetsbaserad autentisering i Azure Files för SMB-åtkomst
Den här artikeln beskriver hur du kan använda identitetsbaserad autentisering, antingen lokalt eller i Azure, för att aktivera identitetsbaserad åtkomst till Azure-filresurser via SMB. Precis som Windows-filservrar kan du bevilja behörigheter till en identitet på resurs-, katalog- eller filnivå. Det finns ingen extra tjänstavgift för att aktivera identitetsbaserad autentisering på ditt lagringskonto.
Identitetsbaserad autentisering stöds för närvarande inte med NFS-resurser (Network File System). Den är dock tillgänglig via SMB för både Windows- och Linux-klienter.
Av säkerhetsskäl rekommenderar vi att du använder identitetsbaserad autentisering för att komma åt filresurser via lagringskontonyckeln.
Viktigt
Dela aldrig dina lagringskontonycklar. Använd identitetsbaserad autentisering i stället.
Azure-filresurser använder Kerberos-protokollet för att autentisera med en identitetskälla. När en identitet som är associerad med en användare eller ett program som körs på en klient försöker komma åt data i Azure-filresurser skickas begäran till identitetskällan för att autentisera identiteten. Om autentiseringen lyckas returnerar identitetskällan en Kerberos-biljett. Klienten skickar sedan en begäran som innehåller Kerberos-biljetten, och Azure Files använder den biljetten för att auktorisera begäran. Azure Files-tjänsten tar bara emot Kerberos-biljetten, inte användarens åtkomstautentiseringsuppgifter.
Identitetsbaserad autentisering med SMB Azure-filresurser kan vara användbar i en mängd olika scenarier:
Att ersätta spridda lokala filservrar är en utmaning som varje organisation står inför under sin IT-moderniseringsresa. Att använda identitetsbaserad autentisering med Azure Files ger en sömlös migreringsupplevelse som gör att slutanvändarna kan fortsätta att komma åt sina data med samma autentiseringsuppgifter.
När du lyfter och flyttar program till molnet vill du förmodligen behålla samma autentiseringsmodell för filresursåtkomst. Identitetsbaserad autentisering eliminerar behovet av att ändra katalogtjänsten, vilket påskyndar molnimplementeringen.
Om du behåller din primära fillagring lokalt är Azure Files en idealisk lösning för säkerhetskopiering och dr för att förbättra affärskontinuiteten. Du kan använda Azure-filresurser för att säkerhetskopiera dina filservrar samtidigt som du bevarar Windows diskretionära åtkomstkontrollistor (DACLs). För DR-scenarier kan du konfigurera ett autentiseringsalternativ för att stödja korrekt åtkomstkontroll vid redundansväxling.
Innan du aktiverar identitetsbaserad autentisering på ditt lagringskonto måste du veta vilken identitetskälla du ska använda. Det är troligt att du redan har en, eftersom de flesta företag och organisationer har någon typ av domänmiljö konfigurerad. Kontakta Active Directory (AD) eller IT-administratören för att vara säker. Om du inte redan har en identitetskälla måste du konfigurera en innan du kan aktivera identitetsbaserad autentisering.
Du kan aktivera identitetsbaserad autentisering via SMB med någon av tre identitetskällor: Lokala Active Directory-domän Services (AD DS), Microsoft Entra Domain Services eller Microsoft Entra Kerberos (endast hybrididentiteter). Du kan bara använda en identitetskälla för filåtkomstautentisering per lagringskonto och den gäller för alla filresurser i kontot.
Lokal AD DS: Lokala AD DS-klienter och virtuella datorer kan komma åt Azure-filresurser med lokal Active Directory autentiseringsuppgifter. Den lokala AD DS-miljön måste synkroniseras med Microsoft Entra-ID med antingen det lokala Microsoft Entra Connect-programmet eller Microsoft Entra Connect-molnsynkroniseringen, en lättviktsagent som kan installeras från Microsoft Entra Admin Center. Om du vill använda den här autentiseringsmetoden måste klienten vara domänansluten eller ha en obehindrad nätverksanslutning till din AD DS. Se den fullständiga listan över förutsättningar.
Microsoft Entra Kerberos för hybrididentiteter: Du kan använda Microsoft Entra-ID för att autentisera hybridanvändares identiteter, så att slutanvändarna kan komma åt Azure-filresurser utan att kräva nätverksanslutning till domänkontrollanter. Det här alternativet kräver en befintlig AD DS-distribution som sedan synkroniseras med din Microsoft Entra-klientorganisation så att Microsoft Entra-ID kan autentisera dina hybrididentiteter. Molnbaserade identiteter stöds för närvarande inte med den här metoden. Se den fullständiga listan över förutsättningar.
Microsoft Entra Domain Services: Molnbaserade virtuella datorer som är anslutna till Microsoft Entra Domain Services kan komma åt Azure-filresurser med Microsoft Entra-autentiseringsuppgifter. I den här lösningen kör Microsoft Entra ID en traditionell Windows Server AD-domän som är underordnad kundens Microsoft Entra-klientorganisation. Microsoft Entra Domain Services är för närvarande det enda alternativet för att autentisera molnbaserade identiteter. Se den fullständiga listan över förutsättningar.
Använd följande riktlinjer för att avgöra vilken identitetskälla du ska välja.
Om din organisation redan har en lokal AD och inte är redo att flytta identiteter till molnet och om dina klienter, virtuella datorer och program är domänanslutna eller har obehindrat nätverksanslutning till dessa domänkontrollanter väljer du AD DS.
Om vissa eller alla klienter inte har obehindrat nätverksanslutning till din AD DS, eller om du lagrar FSLogix-profiler på Azure-filresurser för Microsoft Entra-anslutna virtuella datorer, väljer du Microsoft Entra Kerberos.
Om du har en befintlig lokal AD men planerar att flytta program till molnet och vill att dina identiteter ska finnas både lokalt och i molnet väljer du Microsoft Entra Kerberos.
Om du inte har någon befintlig identitetskälla, om du behöver autentisera molnbaserade identiteter eller om du redan använder Microsoft Entra Domain Services, väljer du Microsoft Entra Domain Services. Om du inte redan har en domäntjänst distribuerad i Azure kommer du att märka en ny avgift på din Azure-faktura för den här tjänsten.
När du har valt en identitetskälla måste du aktivera den på ditt lagringskonto.
För AD DS-autentisering måste du domänansluta dina klientdatorer eller virtuella datorer. Du kan vara värd för dina AD-domänkontrollanter på virtuella Azure-datorer eller lokalt. Hur som helst måste dina domänanslutna klienter ha obehindrat nätverksanslutning till domänkontrollanten, så de måste vara inom företagsnätverket eller det virtuella nätverket (VNET) för din domäntjänst.
Följande diagram visar lokal AD DS-autentisering till Azure-filresurser via SMB. Den lokala AD DS måste synkroniseras med Microsoft Entra-ID med hjälp av Microsoft Entra Connect Sync eller Microsoft Entra Connect-molnsynkronisering. Endast hybridanvändaridentiteter som finns i både lokal AD DS och Microsoft Entra-ID kan autentiseras och auktoriseras för Åtkomst till Azure-filresurser. Det beror på att behörigheten på resursnivå har konfigurerats mot den identitet som representeras i Microsoft Entra-ID, medan behörigheten på katalog-/filnivå tillämpas med den i AD DS. Kontrollera att du konfigurerar behörigheterna korrekt mot samma hybridanvändare.
Om du vill aktivera AD DS-autentisering läser du först Översikt – lokal Active Directory Domain Services-autentisering via SMB för Azure-filresurser och läser sedan Aktivera AD DS-autentisering för Azure-filresurser.
Genom att aktivera och konfigurera Microsoft Entra-ID för att autentisera hybridanvändaridentiteter kan Microsoft Entra-användare komma åt Azure-filresurser med hjälp av Kerberos-autentisering. Den här konfigurationen använder Microsoft Entra-ID för att utfärda Kerberos-biljetter för att få åtkomst till filresursen med SMB-protokollet av branschstandard. Det innebär att slutanvändare kan komma åt Azure-filresurser utan att kräva nätverksanslutning till domänkontrollanter från Microsoft Entra-hybridanslutna och Microsoft Entra-anslutna virtuella datorer. För att konfigurera katalog- och filnivåbehörigheter för användare och grupper krävs dock en obehindrad nätverksanslutning till den lokala domänkontrollanten.
Viktigt
Microsoft Entra Kerberos-autentisering stöder endast hybridanvändares identiteter. Det stöder inte molnbaserade identiteter. En traditionell AD DS-distribution krävs och den måste synkroniseras med Microsoft Entra-ID med Microsoft Entra Connect Sync eller Microsoft Entra Connect-molnsynkronisering. Klienter måste vara Microsoft Entra-anslutna eller Microsoft Entra-hybridanslutningar. Microsoft Entra Kerberos stöds inte på klienter som är anslutna till Microsoft Entra Domain Services eller endast anslutna till AD.
Information om hur du aktiverar Microsoft Entra Kerberos-autentisering för hybrididentiteter finns i Aktivera Microsoft Entra Kerberos-autentisering för hybrididentiteter i Azure Files.
Du kan också använda den här funktionen för att lagra FSLogix-profiler på Azure-filresurser för Microsoft Entra-anslutna virtuella datorer. Mer information finns i Skapa en profilcontainer med Azure Files och Microsoft Entra-ID.
För Microsoft Entra Domain Services-autentisering måste du aktivera Microsoft Entra Domain Services och domänansluta de virtuella datorer som du planerar att komma åt fildata från. Den domänanslutna virtuella datorn måste finnas i samma virtuella nätverk som din Microsoft Entra Domain Services-värddomän.
Följande diagram representerar arbetsflödet för Microsoft Entra Domain Services-autentisering till Azure-filresurser via SMB. Det följer ett liknande mönster som lokal AD DS-autentisering, men det finns två stora skillnader:
Du behöver inte skapa en identitet i Microsoft Entra Domain Services för att representera lagringskontot. Detta utförs av aktiveringsprocessen i bakgrunden.
Alla användare som finns i Microsoft Entra-ID kan autentiseras och auktoriseras. Användare kan vara molnbaserade eller hybrida. Synkroniseringen från Microsoft Entra-ID till Microsoft Entra Domain Services hanteras av plattformen utan att någon användarkonfiguration krävs. Klienten måste dock vara ansluten till microsoft Entra Domain Services-värddomänen. Det kan inte vara Microsoft Entra-anslutet eller registrerat. Microsoft Entra Domain Services stöder inte icke-Azure-klienter (t.ex. bärbara datorer, arbetsstationer, virtuella datorer i andra moln osv.) som är domänanslutna till domänen microsoft Entra Domain Services. Det går dock att montera en filresurs från en icke-domänansluten klient genom att ange explicita autentiseringsuppgifter som DOMAINNAME\username eller med det fullständigt kvalificerade domännamnet (username@FQDN).
Information om hur du aktiverar Microsoft Entra Domain Services-autentisering finns i Aktivera Microsoft Entra Domain Services-autentisering på Azure Files.
Oavsett vilken identitetskälla du väljer måste du konfigurera auktorisering när du aktiverar den. Azure Files tillämpar auktorisering för användaråtkomst på både resursnivå och katalog-/filnivå.
Du kan tilldela behörigheter på resursnivå till Microsoft Entra-användare eller grupper som hanteras via Azure RBAC. Med Azure RBAC bör de autentiseringsuppgifter som du använder för filåtkomst vara tillgängliga eller synkroniserade med Microsoft Entra-ID. Du kan tilldela inbyggda Azure-roller som Storage File Data SMB Share Reader till användare eller grupper i Microsoft Entra-ID för att bevilja åtkomst till en filresurs.
På katalog-/filnivå har Azure Files stöd för att bevara, ärva och framtvinga Windows-ACL:er. Du kan välja att behålla Windows-ACL:er när du kopierar data via SMB mellan din befintliga filresurs och dina Azure-filresurser. Oavsett om du planerar att framtvinga auktorisering eller inte kan du använda Azure-filresurser för att säkerhetskopiera ACL:er tillsammans med dina data.
När du har aktiverat en identitetskälla på ditt lagringskonto måste du göra något av följande för att få åtkomst till filresursen:
- Ange en standardbehörighet på resursnivå som gäller för alla autentiserade användare och grupper
- Tilldela inbyggda Azure RBAC-roller till användare och grupper, eller
- Konfigurera anpassade roller för Microsoft Entra-identiteter och tilldela åtkomsträttigheter till filresurser i ditt lagringskonto.
Med den tilldelade behörigheten på resursnivå kan den beviljade identiteten endast få åtkomst till resursen, inget annat, inte ens rotkatalogen. Du måste fortfarande konfigurera katalog- och filnivåbehörigheter separat.
Anteckning
Du kan inte tilldela behörigheter på resursnivå till datorkonton (datorkonton) med hjälp av Azure RBAC, eftersom datorkonton inte kan synkroniseras med en identitet i Microsoft Entra-ID. Om du vill tillåta att ett datorkonto får åtkomst till Azure-filresurser med identitetsbaserad autentisering använder du en standardbehörighet på resursnivå eller överväger att använda ett konto för tjänstinloggning i stället.
Azure-filresurser tillämpar windows-standard-ACL:er på både katalog- och filnivå, inklusive rotkatalogen. Konfiguration av katalog- eller filnivåbehörigheter stöds över både SMB och REST. Montera målfilresursen från den virtuella datorn och konfigurera behörigheter med hjälp av Windows Utforskaren, Windows icacls eller Kommandot Set-ACL.
Azure Files har stöd för att bevara ACL:er på katalog- eller filnivå när data kopieras till Azure-filresurser. Du kan kopiera ACL:er på en katalog eller fil till Azure-filresurser med hjälp av antingen Azure File Sync eller vanliga verktygsuppsättningar för filflytt. Du kan till exempel använda robocopy med /copy:s flaggan för att kopiera data och ACL:er till en Azure-filresurs. ACL:er bevaras som standard, så du behöver inte aktivera identitetsbaserad autentisering på ditt lagringskonto för att bevara ACL:er.
Det är bra att förstå några viktiga termer som rör identitetsbaserad autentisering för Azure-filresurser:
Kerberos-autentisering
Kerberos är ett autentiseringsprotokoll som används för att verifiera identiteten för en användare eller värd. Mer information om Kerberos finns i Översikt över Kerberos-autentisering.
SMB-protokoll (Server Message Block)
SMB är ett branschstandardprotokoll för nätverksfildelning. Mer information om SMB finns i Översikt över Microsoft SMB-protokoll och CIFS-protokoll.
Microsoft Entra ID
Microsoft Entra ID (tidigare Azure AD) är Microsofts molnbaserade katalog- och identitetshanteringstjänst för flera klientorganisationer. Microsoft Entra ID kombinerar kärnkatalogtjänster, programåtkomsthantering och identitetsskydd till en enda lösning.
Microsoft Entra Domain Services
Microsoft Entra Domain Services tillhandahåller hanterade domäntjänster som domänanslutning, grupprinciper, LDAP och Kerberos/NTLM-autentisering. Dessa tjänster är helt kompatibla med Active Directory-domän Services. Mer information finns i Microsoft Entra Domain Services.
Lokala Active Directory-domän Services (AD DS)
AD DS används ofta av företag i lokala miljöer eller på molnbaserade virtuella datorer och AD DS-autentiseringsuppgifter används för åtkomstkontroll. Mer information finns i översikten över Active Directory-domän Services.
Rollbaserad åtkomstkontroll i Azure (Azure RBAC)
Azure RBAC möjliggör detaljerad åtkomsthantering för Azure. Med Hjälp av Azure RBAC kan du hantera åtkomst till resurser genom att ge användarna de minsta behörigheter som krävs för att utföra sina jobb. Mer information finns i Vad är rollbaserad åtkomstkontroll i Azure?
Hybrididentiteter
Hybridanvändaridentiteter är identiteter i AD DS som synkroniseras med Microsoft Entra-ID med antingen det lokala Microsoft Entra Connect Sync-programmet eller Microsoft Entra Connect-molnsynkronisering, en lättviktsagent som kan installeras från Administrationscenter för Microsoft Entra.
Mer information finns i:
Ytterligare resurser
Utbildning
Modul
Implementera hybrididentitet med Windows Server - Training
Implementera hybrididentitet med Windows Server
Certifiering
Microsoft-certifierad: Identitets- och åtkomstadministratör Associate - Certifications
Demonstrera funktionerna i Microsoft Entra ID för att modernisera identitetslösningar, implementera hybridlösningar och implementera identitetsstyrning.