適用於 SMB 存取的 Azure 檔案儲存體以身分識別為基礎的驗證選項概觀

本文說明 Azure 檔案共用如何使用內部部署或 Azure 中的網域服務,以支援透過 SMB 存取 Azure 檔案共用的身分識別型存取。 針對 Azure 檔案共用啟用以身分識別為基礎的存取,可讓您將現有檔案伺服器取代為 Azure 檔案共用,而不取代現有目錄服務,以讓使用者保持對共用進行順暢存取。

適用於

檔案共用類型 SMB NFS
標準檔案共用 (GPv2)、LRS/ZRS 是 否
標準檔案共用 (GPv2)、GRS/GZRS 是 否
進階檔案共用 (FileStorage)、LRS/ZRS 是 否

詞彙

瞭解與 Azure 檔案共用身分識別型驗證相關的一些重要詞彙會很有説明:

  • Kerberos 驗證

    Kerberos 是用來驗證使用者或主機身分識別的驗證通訊協定。 如需有關 Kerberos 的詳細資訊,請參閱 Kerberos 驗證概觀

  • 伺服器訊息區 (SMB) 通訊協定

    SMB 是業界標準網路檔案共用通訊協定。 SMB 也稱為 Common Internet File System (CIFS) 。 如需有關 SMB 的詳細資訊,請參閱 Microsoft SMB 通訊協定和 CIFS 通訊協定概觀

  • Azure Active Directory (Azure AD)

    Azure AD 是 Microsoft 的多租使用者雲端式目錄和身分識別管理服務。 Azure AD 將核心目錄服務、應用程式存取管理及身分識別保護結合到單個解決方案。

  • Azure Active Directory Domain Services (Azure AD DS)

    Azure AD DS 提供受控網域服務,例如:加入網域、群組原則、LDAP 及 Kerberos/NTLM 驗證。 這些服務均與 Active Directory Domain Services 完全相容。 如需詳細資訊,請參閱 Azure Active Directory Domain Services

  • 內部部署的 Active Directory Domain Services (AD DS)

    內部部署的 Active Directory Domain Services (AD DS) 與 Azure 檔案儲存體整合,可提供儲存目錄資料的方法,同時可讓網路使用者和管理員使用。 安全性會透過對目錄中物件的登入驗證與存取控制來與 AD DS 整合。 透過單一網路登入,管理員可以管理整個網路中的目錄資料和組織,而授權的網路使用者可以存取網路上任何位置的資源。 內部部署環境中的企業通常會採用 AD DS,而 AD DS 認證則用於存取控制。 如需詳細資訊,請參閱 Active Directory Domain Services 概觀

  • Azure 角色型存取控制 (Azure RBAC)

    Azure RBAC 可提供細部的 Azure 存取管理能力。 使用 Azure RBAC,您可以對使用者授與執行其工作所需的最少權限,以管理對資源的存取。 如需詳細資訊,請參閱 什麼是 Azure 角色型存取控制?

  • 混合式身分識別

    混合式使用者身分識別是 AD DS 中的身分識別,使用內部部署Azure AD Connect 同步應用程式或Azure AD Connect 雲端同步,這是可從 Azure Active Directory 管理員 中心安裝的輕量型代理程式。

支援的驗證案例

Azure 檔案儲存體透過下列三種方法支援透過 SMB 的 Windows 檔案共用身分識別型驗證。 每個儲存體帳戶只能使用一個方法。

  • 內部部署 AD DS 驗證:已加入內部部署 AD DS 或已加入 Azure AD DS 的 Windows 電腦可以透過 SMB,使用同步至 Azure AD 的內部部署 Active Directory 認證來存取 Azure 檔案共用。 您的用戶端必須能夠看到您的 AD DS。 如果您已在已將裝置加入網域加入 AD 的 Azure 中設定內部部署或 VM 上,您應該使用 AD DS 進行 Azure 檔案共用驗證。
  • Azure AD DS 驗證: 已加入雲端的 Azure AD DS VM 可以使用 Azure AD 認證來存取 Azure 檔案共用。 在此解決方案中,Azure AD 會代表客戶執行傳統的Windows Server AD網域,這是客戶 Azure AD 租使用者的子系。
  • 適用于混合式身分識別的 Azure AD Kerberos: 使用 Azure AD 來驗證 混合式使用者身分識別 ,可讓 Azure AD 使用者使用 Kerberos 驗證來存取 Azure 檔案共用。 這表示您的終端使用者可以透過網際網路存取 Azure 檔案共用,而不需從已使用混合式 Azure AD 而聯結的 VM 和已加入 Azure AD 的 VM 看到網域控制站。 目前不支援僅限雲端的身分識別。

限制

  • 驗證方法都不支援使用 Azure RBAC 將共用層級許可權指派給電腦帳戶 (電腦帳戶) ,因為無法將電腦帳戶同步至 Azure AD。 如果您想要允許電腦帳戶使用身分識別型驗證來存取 Azure 檔案 共用,請使用預設共用層級許可權 ,或改用服務登入帳戶。
  • 針對已加入 Azure AD 的裝置或 Azure AD 註冊的裝置,不支援內部部署 AD DS 驗證或 Azure AD DS 驗證。
  • 網路檔案系統 (NFS) 共用不支援任何以身分識別為基礎的驗證。

一般使用案例

使用 Azure 檔案儲存體 的身分識別型驗證在各種案例中很有用:

取代內部部署檔案伺服器

淘汰並取代散佈的內部部署檔案伺服器,是每家企業在 IT 現代化旅程中遇到的常見問題。 使用內部部署 AD DS 驗證的 Azure 檔案共用,在您可將資料移轉至 Azure 檔案儲存體時,是最適合的選擇。 完整的移轉將可讓您利用高可用性和可擴縮性的優點,同時還能將對用戶端的變更降至最低。 它提供順暢的移轉體驗給終端使用者,因此他們可以使用現有的已加入網域的電腦,繼續使用相同的認證來存取其資料。

將應用程式隨即轉移至 Azure

當您將應用程式隨即轉移至雲端時,您想要為資料保留相同的驗證模型。 當我們將以身分識別為基礎的存取控制體驗擴充至 Azure 檔案共用時,不需將應用程式變更為新式驗證方法,並加速雲端採用。 Azure 檔案共用提供選項,可讓您整合 Azure AD DS 或內部部署的 AD DS 以進行驗證。 如果您的方案是 100% 的雲端原生,並將管理雲端基礎結構的工作降到最低,Azure AD DS 可能更適合作為完全受控的網域服務。 如果您需要與 AD DS 功能的完整相容性,建議您考慮將 AD DS 環境擴充至雲端,方法是在 VM 上自我裝載網域控制站。 不論是哪一種方式,我們都會提供彈性來選擇最適合您業務需求的網域服務。

備份和災害復原 (DR)

如果您要在內部部署保留主要檔案儲存體,Azure 檔案共用可作為備份或 DR 的理想儲存體,以改善商務持續性。 您可以使用 Azure 檔案共用,從現有的檔案伺服器備份您的資料,同時保留 Windows DACL。 在 DR 案例中,您可以設定驗證選項,在容錯移轉時支援適當的存取控制強制執行。

以身分識別為基礎的驗證優點

相較於使用共用金鑰驗證,針對 Azure 檔案儲存體進行之以身分識別為基礎的驗證可提供數個優點:

  • 使用內部部署的 AD DS 和 Azure AD DS 來將以身分識別為基礎的傳統檔案共用存取體驗擴充至雲端
    如果您計劃將應用程式隨即轉移至雲端,進而使用 Azure 檔案共用來取代傳統的檔案伺服器,然後您可能想要讓應用程式使用內部部署的 Azure AD 或 Azure AD DS 認證進行驗證,以存取檔案資料。 Azure 檔案儲存體支援使用內部部署 AD DS 或 Azure AD DS 認證,透過 SMB 從內部部署 AD DS 或已加入 Azure AD DS 網域的 VM 存取 Azure 檔案共用。

  • 在 Azure 檔案共用上強制執行細微存取控制
    您可以在共用、目錄或檔案層級,將權限授與特定的身分識別。 例如,假設您有多個小組使用同一個 Azure 檔案共用來共同作業某個專案。 您可以授與所有小組對非敏感性目錄的存取權,同時限制只存取包含敏感性財務資料的目錄。

  • 備份 Windows ACL (也稱為 NTFS 權限) 和您的資料
    您可以使用 Azure 檔案共用來備份現有的內部部署檔案共用。 透過 SMB 將檔案共用備份到 Azure 檔案共用時,Azure 檔案儲存體會保留您的 ACL 和資料。

運作方式

Azure 檔案共用會使用 Kerberos 通訊協定向 AD 來源進行驗證。 當與用戶端上執行的使用者或應用程式相關聯的身分識別嘗試存取 Azure 檔案共用中的資料時,要求會傳送至 AD 來源以驗證身分識別。 如果驗證成功,則會傳回 Kerberos 權杖。 用戶端會傳送包含 Kerberos 權杖的要求,而 Azure 檔案共用會使用該權杖來授權要求。 Azure 檔案共用只會接收 Kerberos 權杖,而不是使用者的存取認證。

您可以使用三個 AD 來源之一,在新的和現有的儲存體帳戶上啟用身分識別型驗證:AD DS、Azure AD DS 或 Azure AD Kerberos 以進行混合式身分識別。 儲存體帳戶上只能使用一個 AD 來源進行檔案存取驗證,這適用于帳戶中的所有檔案共用。 您必須先設定網域環境,才能在您的儲存體帳戶上啟用身分識別型驗證。

AD DS

若要進行內部部署 AD DS 驗證,您必須設定 AD 網域控制站,並加入電腦或 VM。 您可以在 Azure VM 或內部部署上裝載網域控制站。 不論是哪一種方式,您加入網域的用戶端都必須能夠看見網域控制站,因此它們必須位於公司網路或虛擬網路內, (VNET) 網域服務。

下圖說明透過 SMB,對 Azure 檔案共用進行的內部部署 AD DS 驗證。 內部部署 AD DS 必須使用 Azure AD Connect 同步處理或 Azure AD Connect 雲端同步處理同步至 Azure AD。只有存在於內部部署 AD DS 和 Azure AD 中的 混合式使用者身 分識別,才能進行 Azure 檔案共用存取的驗證和授權。 這是因為共用層級許可權是針對 Azure AD 中代表的身分識別進行設定,而目錄/檔案層級許可權則是在 AD DS 中強制執行該許可權。 請確定您已針對相同的混合式使用者正確設定權限。

此圖描述透過 SMB 對 Azure 檔案共用進行的內部部署 AD DS 驗證。

若要瞭解如何啟用 AD DS 驗證,請先閱讀概觀 - 內部部署的 Active Directory透過 SMB 進行 Azure 檔案共用的網域服務驗證,然後參閱針對 Azure 檔案共用啟用 內部部署的 Active Directory Domain Services 驗證

Azure AD DS

針對 Azure AD DS 驗證,您應該啟用 Azure AD DS,並加入您打算從中存取檔案資料的 VM。 您已加入網域的 VM 必須位於與 Azure AD DS 相同的虛擬網路 (VNET) 中。

下圖代表透過 SMB,對 Azure 檔案共用進行 Azure AD DS 驗證的工作流程。 其遵循與內部部署 AD DS 驗證類似的模式,但有兩個主要差異:

  1. 您不需要在 Azure AD DS 中建立身分識別來代表儲存體帳戶。 這會由背景中的啟用流程執行。

  2. Azure AD 中存在的所有使用者都可以進行驗證和授權。 使用者可以是僅限雲端或混合式。 從 Azure AD 同步到 Azure AD DS 會由平台管理,而不需任何使用者設定。 不過,用戶端必須加入 Azure AD DS 裝載的網域。 它無法加入或註冊 Azure AD。 Azure AD DS 不支援非雲端 VM (,也就是使用者膝上型電腦、工作站、其他雲端中的 VM 等,) 已加入 Azure AD DS 託管網域。

圖表

若要瞭解如何啟用 Azure AD DS 驗證,請參閱在Azure 檔案儲存體上啟用 Azure Active Directory 網域服務驗證

適用于混合式身分識別的 Azure AD Kerberos

啟用和設定 Azure AD 以驗證混合式使用者身分識別,讓 Azure AD 使用者可以使用 Kerberos 驗證來存取 Azure 檔案共用。 此設定使用 Azure AD 發出必要的 Kerberos 票證,存取採用業界標準 SMB 通訊協定的檔案共用。 這表示您的終端使用者可以透過網際網路存取 Azure 檔案共用,而不需從已使用混合式 Azure AD 而聯結的 VM 和已加入 Azure AD 的 VM 看到網域控制站。 不過,設定使用者或群組的目錄和檔案層級許可權需要內部部署網域控制站的視線。 您也可以使用這項功能,將 FSLogix 設定檔儲存在已加入 Azure AD 的 VM 的 Azure 檔案共用上。 如需詳細資訊,請參閱使用 Azure 檔案儲存體 和 Azure Active Directory 建立設定檔容器

重要

Azure AD Kerberos 驗證僅支援混合式使用者身分識別;它不支援僅限雲端的身分識別。 需要傳統的 AD DS 部署,而且必須使用 Azure AD Connect 同步處理或 Azure AD Connect 雲端同步處理將其同步至 Azure AD。

若要瞭解如何啟用混合式身分識別的 Azure AD Kerberos 驗證,請參閱在Azure 檔案儲存體上啟用混合式身分識別的 Azure Active Directory Kerberos 驗證

存取控制

Azure 檔案儲存體對共用層級和目錄/檔案層級的使用者存取強制執行授權。 您可以在透過 Azure RBAC 管理的 Azure AD 使用者或群組上執行共用層級許可權指派。 使用 Azure RBAC 時,您用於檔案存取的認證應該可供使用或同步處理至 Azure AD。 您可以將儲存體 檔案資料 SMB 共用讀取器 等 Azure 內建角色指派給 Azure AD 中的使用者或群組,以授與 Azure 檔案共用的存取權。

在目錄/檔案層級,Azure 檔案儲存體支援保留、繼承和強制執行Windows ACL,就像任何 Windows 檔案伺服器一樣。 您可以選擇在現有檔案共用與 Azure 檔案共用之間透過 SMB 複製資料時保留 Windows ACL。 無論您是否打算強制授權,都可使用 Azure 檔案共用來備份 ACL 和您的資料。

設定 Azure 檔案共用層級權限

在儲存體帳戶上啟用 AD 來源之後,您可以執行下列其中一項動作:

  • 使用預設共用層級許可權
  • 指派內建的 Azure RBAC 角色,或
  • 設定 Azure AD 身分識別的自訂角色,並將存取權限指派給儲存體帳戶中的檔案共用。

指派的共用層級許可權可讓授與的身分識別只取得共用的存取權,而不只是根目錄。 您仍然需要個別設定目錄和檔案層級許可權。

針對 Azure 檔案儲存體設定目錄或檔案層級權限

Azure 檔案共用會在目錄和檔案層級強制執行標準 Windows ACL,包括根目錄。 目錄或檔案層級權限的設定可透過 SMB 和 REST 來支援。 從 VM 掛接目標檔案共用,並使用 Windows 檔案總管、Windows icaclsSet-ACL 命令來設定權限。

為超級使用者權限使用儲存體帳戶金鑰

具有儲存體帳戶金鑰的使用者可以使用超級使用者權限來存取 Azure 檔案共用。 超級使用者權限會略過所有存取控制限制。

重要

我們建議的安全性最佳做法是避免共用您的儲存體帳戶金鑰,並盡可能利用以身分識別為基礎的驗證。

將資料匯入 Azure 檔案共用時保留目錄和檔案 ACL

Azure 檔案儲存體支援在將資料複製到 Azure 檔案共用時保留目錄或檔案層級 ACL。 您可以使用 Azure 檔案同步或一般檔案移動工具組,將目錄或檔案上的 ACL 複製到 Azure 檔案共用。 例如,您可以使用 robocopy 搭配 /copy:s 旗標,將資料和 ACL 一起複製到 Azure 檔案共用。 ACL 預設會保留,因此您不需要在儲存體帳戶上啟用身分識別型驗證來保留 ACL。

定價

在儲存體帳戶上啟用透過 SMB 的身分識別型驗證,不需要額外的服務費用。 如需有關定價的詳細資訊,請參閱 Azure 檔案儲存體定價Azure AD Domain Services 定價

下一步

如需 Azure 檔案儲存體及透過 SMB 進行以身分識別為基礎之驗證的詳細資訊,請參閱下列資源: