適用於 SMB 存取的 Azure 檔案儲存體以身分識別為基礎的驗證選項概觀
此文章說明 Azure 檔案共用如何在內部部署或 Azure 中使用網域服務,以支援透過 SMB 對 Azure 檔案共用進行以身分識別型存取。 針對 Azure 檔案共用啟用身分識別型存取,可讓您將現有檔案伺服器取代為 Azure 檔案共用,而不取代現有目錄服務,以讓使用者保持對共用的順暢存取。
字彙
最好先了解 Azure 檔案共用適用的身分識別型驗證一些相關重要詞彙:
Kerberos 驗證
Kerberos 是用來驗證使用者或主機身分的驗證通訊協定。 如需有關 Kerberos 的詳細資訊,請參閱 Kerberos 驗證概觀。
伺服器訊息區 (SMB) 通訊協定
SMB 是業界標準網路檔案共用通訊協定。 如需有關 SMB 的詳細資訊,請參閱 Microsoft SMB 通訊協定和 CIFS 通訊協定概觀。
Microsoft Entra ID
Microsoft Entra ID (原為 Azure AD) 是 Microsoft 的多租用戶雲端型目錄和身分識別管理服務。 Microsoft Entra ID 將核心目錄服務、應用程式存取管理及身分識別保護結合到單個解決方案。
Microsoft Entra Domain Services
Microsoft Entra Domain Services 提供受控網域服務,例如:加入網域、群組原則、LDAP 以及 Kerberos/NTLM 驗證。 這些服務均與 Active Directory Domain Services 完全相容。 如需詳細資訊,請參閱 Microsoft Entra Domain Services。
內部部署的 Active Directory Domain Services (AD DS)
內部部署的 Active Directory Domain Services (AD DS) 與 Azure 檔案儲存體整合,可提供儲存目錄資料的方法,同時可讓網路使用者和管理員使用。 安全性會透過對目錄中物件的登入驗證與存取控制來與 AD DS 整合。 透過單一網路登入,系統管理員可以管理整個網路的目錄資料和組織,而授權的網路使用者可以存取網路上任何地方的資源。 在內部部署環境或雲端託管 VM 中,企業通常會採用 AD DS,並使用 AD DS 認證作為存取控制。 如需詳細資訊,請參閱 Active Directory Domain Services 概觀。
Azure 角色型存取控制 (Azure RBAC)
Azure RBAC 可提供細部的 Azure 存取管理能力。 使用 Azure RBAC,您可以對使用者授與執行其工作所需的最少權限,以管理對資源的存取。 如需詳細資訊,請參閱什麼是 Azure 角色型存取控制?
混合式身分識別
混合式使用者身分識別為 AD DS 內的身分識別,可同步至 Microsoft Entra ID,方法是使用內部部署 Microsoft Entra Connect Sync 應用程式或 Microsoft Entra Connect 雲端同步 (可從 Microsoft Entra 系統管理中心安裝的輕量型代理程式)。
支援的驗證案例
Azure 檔案儲存體支援以下列方法透過 SMB 進行身分識別型驗證。 每個儲存體帳戶只能使用一種方法。
- 內部部署 AD DS 驗證:已加入內部部署 AD DS 或 Microsoft Entra Domain Services 的 Windows 電腦可以透過 SMB,使用同步至 Microsoft Entra ID 的內部部署 Active Directory 認證來存取 Azure 檔案共用。 您的用戶端必須具有與 AD DS 的未受限制網路連線能力。 如果您已在 Azure 內部部署或 VM 中安裝了 AD DS,而且已將您的裝置加入至 AD 網域,則您應使用 AD DS 進行 Azure 檔案共用驗證。
- Microsoft Entra Domain Services 驗證:加入 Microsoft Entra Domain Services 的雲端型 Windows VM 可使用 Microsoft Entra 認證存取 Azure 檔案共用。 在此解決方案中,Microsoft Entra ID 代表客戶執行傳統 Windows Server AD 網域,此為客戶 Microsoft Entra 租用戶的子項目。
- 適用於混合式身分識別的 Microsoft Entra Kerberos:使用 Microsoft Entra ID 以驗證混合式使用者身分識別,讓 Microsoft Entra 使用者可以使用 Kerberos 驗證來存取 Azure 檔案共用。 這表示您的終端使用者可以透過網際網路存取 Azure 檔案共用,而不需要從已加入 Microsoft Entra 混合式和已加入 Microsoft Entra 的 VM,對網域控制站進行網路連線。 目前不支援僅限雲端的身分識別。
- Linux 用戶端的 AD Kerberos 驗證:Linux 用戶端可使用內部部署 AD DS 或 Microsoft Entra Domain Services,透過 SMB 進行 Kerberos 驗證來存取 Azure 檔案儲存體。
限制
- 這些驗證方法都不支援使用 Azure RBAC 將共用層級權限指派給電腦帳戶 (電腦帳戶),因為電腦帳戶無法同步至 Microsoft Entra ID 中的身分識別。 如果您希望允許電腦帳戶使用身分識別型驗證存取 Azure 檔案共用,請使用預設共用層級權限,或考慮改用服務登入帳戶。
- 網路檔案系統 (NFS) 共用不支援任何以身分識別為基礎的驗證。
常見使用案例
身分識別型驗證存取 Azure 檔案儲存體有許多實用案例:
取代內部部署檔案伺服器
淘汰並取代散佈的內部部署檔案伺服器,是每家企業在 IT 現代化旅程中遇到的常見問題。 使用內部部署 AD DS 驗證的 Azure 檔案共用,在您可將資料移轉至 Azure 檔案儲存體時,是最適合的選擇。 完整的移轉將可讓您利用高可用性和可擴縮性的優點,同時還能將對用戶端的變更降至最低。 它可為終端使用者提供順暢的移轉體驗,讓他們可以繼續使用目前已加入網域的電腦,使用相同認證來存取資料。
將應用程式隨即轉移至 Azure
當您將應用程式隨即轉移至雲端時,您想要為資料保留相同的驗證模型。 當我們將以身分識別為基礎的存取控制體驗擴充至 Azure 檔案共用時,不需將應用程式變更為新式驗證方法,並加速雲端採用。 Azure 檔案共用提供選項,可讓您整 合Microsoft Entra Domain Services 或內部部署的 AD DS 以進行驗證。 如果您的計劃是 100% 雲端原生,並將投入管理雲端基礎結構的努力降到最低,那麼,更適合使用 Microsoft Entra Domain Services 作為完全受控網域服務。 如果您需要與 AD DS 功能完全相容,可以考慮透過 VM 上的自我裝載網域控制站來將 AD DS 環境擴充至雲端。 無論使用何種方式,我們都提供彈性來選擇最符合您商務需求的網域服務。
備份和災害復原 (DR)
如果您要將主要檔案儲存體保留在內部部署,Azure 檔案共用可作為備份或 DR 的理想儲存體,以改善商務持續性。 您可以使用 Azure 檔案共用來備份現有檔案伺服器中的資料,同時保留 Windows 自主存取控制清單 (DACL)。 在 DR 案例中,您可以設定驗證選項,在容錯移轉時支援適當的存取控制強制執行。
身分識別型驗證的優點
相較於使用共用金鑰驗證,針對 Azure 檔案儲存體之身分識別型驗證有數個優點:
將傳統的身分識別型檔案共用存取體驗,擴充至雲端
如果您計劃將應用程式隨即轉移至雲端,進而使用 Azure 檔案共用來取代傳統的檔案伺服器,然後您可能想要讓應用程式使用內部部署的 AD DS 或 Microsoft Entra Domain Services 認證進行驗證,以存取檔案資料。 Azure 檔案儲存體支援使用內部部署的 AD DS 或 Microsoft Entra Domain Services 認證,從內部部署的 AD DS 或已加入 Microsoft Entra Domain Services 網域的 VM,透過 SMB 存取 Azure 檔案共用。在 Azure 檔案共用上強制執行細微存取控制
您可以在共用、目錄或檔案層級,將權限授與特定的身分識別。 例如,假設您有多個小組使用同一個 Azure 檔案共用來進行某個專案的共同作業。 您可以授權所有小組存取非敏感目錄,同時將包含敏感財務資料之目錄的存取權僅授與財務小組。備份 Windows ACL (也稱為 NTFS 權限) 和您的資料
您可以使用 Azure 檔案共用來備份現有的內部部署檔案共用。 透過 SMB 將檔案共用備份到 Azure 檔案共用時,Azure 檔案儲存體會保留您的 ACL 和資料。
運作方式
Azure 檔案共用會使用 Kerberos 通訊協定向 AD 來源進行驗證。 當與在用戶端上執行的使用者或應用程式相關聯的身分識別嘗試存取 Azure 檔案共用中的資料時,會將要求傳送至 AD 來源來驗證身分識別。 如果驗證成功,則會傳回 Kerberos 權杖。 用戶端會傳送包含 Kerberos 權杖的要求,而 Azure 檔案共用會使用該權杖來授權要求。 Azure 檔案共用只會接收 Kerberos 權杖,而不會接收使用者的存取認證。
新的和現有儲存體帳戶上啟用身分識別型驗證時,可使用三個 AD 來源之一:AD DS、Microsoft Entra Domain Services 或 Microsoft Entra Kerberos (僅限混合式身分識別)。 只有一個 AD 來源可用來在儲存體帳戶上進行檔案存取驗證,這會套用至帳戶中的所有檔案共用。 您必須先設定網域環境,才能在儲存體帳戶上啟用身分識別型驗證。
AD DS
針對內部部署的 AD DS 驗證,您必須設定 AD 網域控制站,並將您的電腦或 VM 加入網域。 您可以在 Azure VM 或內部部署上裝載網域控制站。 無論使用何種方式,已加入網域的用戶端必須具有該網域控制站不受限制的網路連線能力,因此必須位於您網域服務的公司網路或虛擬網路 (VNET) 內。
下圖說明透過 SMB,對 Azure 檔案共用進行的內部部署 AD DS 驗證。 內部部署 AD DS 必須使用 Microsoft Entra Connect 同步或 Microsoft Entra Connect 雲端同步,同步至 Microsoft Entra ID。只有內部部署 AD DS 和 Microsoft Entra ID 中的混合式使用者身分識別,才能進行驗證並取得 Azure 檔案共用存取。 這是因為共用層級權限是針對 Microsoft Entra ID 中所示的身分識別而設定,而 AD DS 內的身分識別係強制執行目錄/檔案層級權限。 請確定您已針對相同的混合式使用者正確設定權限。
若要了解如何啟用 AD DS 驗證,請先參閱概觀 - 為 Azure 檔案共用啟用透過 SMB 的內部部署 Active Directory Domain Services 驗證,再參閱為 Azure 檔案共用啟用 AD DS 驗證。
Microsoft Entra 網域服務
針對 Microsoft Entra Domain Services 驗證,您應該啟用 Microsoft Entra Domain Services,並將您計劃用來存取檔案資料的 VM 加入網域。 您已加入網域的 VM 必須位於與 Microsoft Entra Domain Services 相同的虛擬網路 (VNET) 中。
下圖代表透過 SMB,對 Azure 檔案共用進行 Microsoft Entra Domain Services 驗證的工作流程。 其模式類似於內部部署 AD DS 驗證,但有兩個主要差異:
您不需要在 Microsoft Entra Domain Services 中建立身分識別來代表儲存體帳戶。 這會由背景中的啟用流程執行。
存在於 Microsoft Entra ID 中的所有使用者都可進行驗證和授權。 使用者可以是僅雲端或混合式。 從 Microsoft Entra ID 到 Microsoft Entra Domain Services 的同步處理是由平台管理,無須任何使用者設定。 然而,用戶端必須加入 Microsoft Entra Domain Services 託管網域, 不可僅加入或註冊 Microsoft Entra。 Microsoft Entra Domain Services 不支援非 Azure 用戶端 (例如使用者的筆記型電腦、工作站、其他雲端中的 VM 等) 加入 Microsoft Entra Domain Services 託管網域。 然而,只要提供明確認證 (如 DOMAINNAME\username) 或使用完整網域名稱 (username@FQDN),即可從未加入網域的用戶端掛接檔案共用。
若要了解如何啟用 Microsoft Entra Domain Services 驗證,請參閱啟用 Azure 檔案儲存體的 Microsoft Entra Domain Services 驗證。
適用於混合式身分識別的 Microsoft Entra Kerberos
啟用和設定 Microsoft Entra ID 以驗證混合式使用者身分識別,可讓 Microsoft Entra 使用者使用 Kerberos 驗證來存取 Azure 檔案共用。 此設定使用 Microsoft Entra ID 發出必要的 Kerberos 票證,存取採用業界標準 SMB 通訊協定的檔案共用。 這表示您的終端使用者可以透過網際網路存取 Azure 檔案共用,而不需要從已加入 Microsoft Entra 混合式和已加入 Microsoft Entra 的 VM,對網域控制站進行網路連線。 不過,為使用者和群組設定目錄和檔案層級權限,需要能夠不受限制網路連線至內部部署網域控制站。
重要
Microsoft Entra Kerberos 驗證僅支援混合式使用者身分識別,不支援僅限雲端的身分識別。 必須部署傳統 AD DS,且必須使用 Microsoft Entra Connect Sync 同步或 Microsoft Entra Connect 雲端同步,同步至 Microsoft Entra ID。用戶端必須是已加入 Microsoft Entra 或已加入 Microsoft Entra 混合式。 Microsoft Entra Kerberos 不支援已加入 Microsoft Entra Domain Services 或僅已加入 AD 的用戶端。
若要了解如何啟用混合式身分識別適用的 Microsoft Entra Kerberos 驗證,請參閱 啟用 Azure 檔案儲存體的混合式身分識別 Microsoft Entra Kerberos 驗證。
您也可使用這項功能,針對已加入 Microsoft Entra 的 VM,將 FSLogix 設定檔儲存在 Azure 檔案共用內。 如需詳細資訊,請參閱使用 Azure 檔案儲存體和 Microsoft Entra ID 建立設定檔容器。
存取控制
Azure 檔案儲存體會對使用者存取共用層級和目錄/檔案層級強制授權。 透過 Azure RBAC 進行管理,可針對 Microsoft Entra 使用者或群組執行共用層級權限指派。 使用 Azure RBAC,您針對檔案存取使用的認證應可用於 Microsoft Entra ID 或同步至其中。 您可以將 Azure 內建角色 (例如,儲存體檔案資料 SMB 共用讀者) 指派給 Microsoft Entra ID 中的使用者或群組,以授與對 Azure 檔案共用的權限。
在目錄/檔案層級,Azure 檔案儲存體支援保留、繼承和強制執行 Windows ACL,就像任何 Windows 檔案伺服器一樣。 在現有檔案共用與您的 Azure 檔案共用之間,透過 SMB 複製資料時,您可以選擇保留 Windows ACL。 無論您是否打算強制授權,都可使用 Azure 檔案共用來備份 ACL 和您的資料。
設定 Azure 檔案共用層級權限
在儲存體帳戶上啟用 AD 來源後,您必須執行下列其中一項操作來存取檔案共用:
- 設定適用於所有已驗證使用者和群組的預設共用層級權限
- 將內建的 Azure RBAC 角色指派給使用者和群組,或
- 設定 Microsoft Entra 身分識別的自訂角色,並將存取權限指派給儲存體帳戶中的檔案共用。
指派的共用層級權限讓授與的身分識別只取得共用的存取權,甚至沒有根目錄的存取權。 您仍須個別設定目錄和檔案層級權限。
針對 Azure 檔案儲存體設定目錄或檔案層級權限
Azure 檔案共用會在目錄和檔案層級 (包括根目錄) 強制執行標準 Windows ACL。 目錄或檔案層級權限的設定可透過 SMB 和 REST 來支援。 從 VM 掛接目標檔案共用,並使用 Windows 檔案總管、Windows icacls 或 Set-ACL 命令來設定權限。
為超級使用者權限使用儲存體帳戶金鑰
具有儲存體帳戶金鑰的使用者可以使用超級使用者權限來存取 Azure 檔案共用。 超級使用者權限會略過所有存取控制限制。
重要
我們建議的安全性最佳做法是避免共用您的儲存體帳戶金鑰,並盡可能利用以身分識別為基礎的驗證。
將資料匯入 Azure 檔案共用時保留目錄和檔案 ACL
Azure 檔案儲存體支援在將資料複製到 Azure 檔案共用時保留目錄或檔案層級 ACL。 您可以使用 Azure 檔案同步或一般檔案移動工具組,將目錄或檔案上的 ACL 複製到 Azure 檔案共用。 例如,您可以使用 robocopy 搭配 /copy:s
旗標,將資料和 ACL 一起複製到 Azure 檔案共用。 預設會保留 ACL,因此您無須在儲存體帳戶上啟用身分識別型驗證,即可保留 ACL。
定價
在儲存體帳戶上啟用透過 SMB 的身分識別型驗證,無須支付額外服務費用。 如需有關定價的詳細資訊,請參閱 Azure 檔案儲存體定價和 Microsoft Entra Domain Services 定價。
下一步
如需 Azure 檔案儲存體及透過 SMB 進行以身分識別為基礎之驗證的詳細資訊,請參閱下列資源: