本文說明如何使用內部部署或 Azure 中的身分識別型驗證,透過 SMB 啟用 Azure 檔案共用的身分識別型存取。 就像 Windows 檔案伺服器一樣,您可以在共用、目錄或檔案層級授予使用者權限。 在您的記憶體帳戶上啟用以身分識別為基礎的驗證,不需要額外的服務費用。
網路文件系統 (NFS) 共用目前不支援以身分識別為基礎的驗證。 不過,它可透過SMB提供給Windows和 Linux用戶端使用。
基於安全性考慮,建議使用身分識別型驗證來存取檔案共用,而不要使用記憶體帳戶密鑰。
重要
永遠不要共用您的記憶體帳戶金鑰。 請改用身分識別型驗證。
適用對象
| 管理模型 | 計費模型 | 媒體層級 | 冗餘 | 中小企業 (SMB) | NFS |
|---|---|---|---|---|---|
| Microsoft.Storage | 已佈建的 v2 | HDD (標準) | 本地 (LRS) |  |
 |
| Microsoft.Storage | 已佈建的 v2 | HDD (標準) | 區域 (ZRS) | |
|
| Microsoft.Storage | 已佈建的 v2 | HDD (標準) | 異地 (GRS) | |
|
| Microsoft.Storage | 已佈建的 v2 | HDD (標準) | GeoZone (GZRS) | |
|
| Microsoft.Storage | 已佈建的 v1 | SSD (進階版) | 本地 (LRS) | |
|
| Microsoft.Storage | 已佈建的 v1 | SSD (進階版) | 區域 (ZRS) | |
|
| Microsoft.Storage | 隨用隨付 | HDD (標準) | 本地 (LRS) | |
|
| Microsoft.Storage | 隨用隨付 | HDD (標準) | 區域 (ZRS) | |
|
| Microsoft.Storage | 隨用隨付 | HDD (標準) | 異地 (GRS) | |
|
| Microsoft.Storage | 隨用隨付 | HDD (標準) | GeoZone (GZRS) | |
|
運作方式
Azure 檔案共用會使用 Kerberos 通訊協定向身分識別來源進行驗證。 當與用戶端上執行的使用者或應用程式相關聯的身分識別嘗試存取 Azure 檔案共用中的數據時,會將要求傳送至身分識別來源以驗證身分識別。 如果驗證成功,識別來源會傳回 Kerberos 票證。 客戶端接著會傳送包含 Kerberos 票證的要求,Azure 檔案儲存體 使用該票證來授權要求。 Azure 檔案儲存體 服務只會接收 Kerberos 票證,而不是使用者的存取認證。
常見使用案例
使用 SMB Azure 檔案共用的身分識別型驗證在各種案例中很有用:
取代內部部署文件伺服器
取代分散的內部部署檔伺服器,是每個組織在IT現代化旅程中面臨的挑戰。 使用身分識別型驗證搭配 Azure 檔案儲存體 提供順暢的移轉體驗,讓用戶能夠繼續使用相同的認證來存取其數據。
將應用程式隨即轉移至 Azure
當您將應用程式遷移至雲端時,可能會想要保留相同的驗證模型以進行檔案共用存取。 身分識別型驗證不需要變更目錄服務、加快雲端採用。
備份和災害復原 (DR)
如果您要在內部部署環境中保留主要檔案儲存體,Azure 檔案儲存體是備份和災害復原的理想解決方案,可改善商務持續性。 您可以使用 Azure 檔案共享來備份檔案伺服器,同時保留 Windows 任意存取控制清單 (DACL)。 在災害復原案例中,您可以設定驗證選項,在容錯移轉時支援適當的存取控制強制執行。
選擇記憶體帳戶的身分識別來源
在記憶體帳戶上啟用身分識別型驗證之前,您必須知道您要使用的身分識別來源。 您可能已經有一個,因為大部分的公司和組織都已設定某種類型的網域環境。 請洽詢您的 Active Directory(AD)或 IT 系統管理員以確定。 如果您還沒有身分識別來源,您必須先設定一個身分識別來源,才能啟用身分識別型驗證。
支援的驗證案例
您可以使用三個身分識別來源的其中一個,透過SMB啟用身分識別型驗證:內部部署 Active Directory 網域服務(AD DS),Microsoft Entra Domain Services,或Microsoft Entra Kerberos(僅限混合式身分識別)。 您只能針對每個記憶體帳戶使用一個身分識別來源進行檔案存取驗證,並套用至帳戶中的所有檔案共用。
內部部署 AD DS:內部部署 AD DS 用戶端和虛擬機 (VM) 可以使用 內部部署的 Active Directory 認證來存取 Azure 檔案共用。 內部部署 AD DS 環境必須使用內部部署 Microsoft Entra Connect 應用程式或 Microsoft Entra Connect 雲端同步 (可從 Microsoft Entra Admin Center 安裝的輕量型代理程式),將其同步至 Microsoft Entra ID。 若要使用此驗證方法,您的客戶端必須已加入網域,或已對 AD DS 進行未受限制的網路連線。 請參閱必要條件的完整清單。
Microsoft適用於混合式身分識別的 Entra Kerberos: 您可以使用 Microsoft Entra ID 來驗證 混合式使用者身分識別,讓使用者不需要對域控制器進行網路連線,即可存取 Azure 檔案共用。 此選項需要現有的 AD DS 部署,然後同步至您的 Microsoft Entra 租用戶,讓 Microsoft Entra ID 可以驗證混合式身分識別。 目前不支援使用此方法的僅限雲端身分識別。 請參閱必要條件的完整清單。
Microsoft Entra Domain Services: 已加入 Microsoft Entra Domain Services 的雲端式 VM 可以使用 Microsoft Entra 認證來存取 Azure 檔案共用。 在此解決方案中,Microsoft Entra ID 會執行傳統的 Windows Server AD 網域,該網域是客戶 Microsoft Entra 租用戶的子項目。 Microsoft Entra Domain Services 目前是唯一用來驗證僅限雲端身分識別的選項。 請參閱必要條件的完整清單。
使用下列指導方針來判斷您應該選擇哪一個身分識別來源。
如果您的組織已經有內部部署 AD,且尚未準備好將身分識別移至雲端,而且如果您的用戶端、VM 和應用程式已加入網域,或未限制這些域控制器的網路連線,請選擇 AD DS。
如果部分或所有客戶端沒有對 AD DS 的未受限制網路連線,或如果您要將 FSLogix 配置檔儲存在已加入 Microsoft Entra 之 VM 的 Azure 檔案共用上,請選擇 [Microsoft Entra Kerberos]。
如果您有現有的內部部署AD,但打算將應用程式移至雲端,而且您想要讓身分識別同時存在於內部部署和雲端中,請選擇 Microsoft Entra Kerberos。
如果您沒有現有的身分識別來源,如果您需要驗證僅限雲端的身分識別,或如果您已經使用 Microsoft Entra Domain Services,請選擇 [Microsoft Entra Domain Services]。 如果您尚未在 Azure 中部署網域服務,您會注意到此服務的 Azure 帳單上有新的費用。
啟用身分識別來源
選擇身分識別來源之後,您必須在記憶體帳戶上啟用它。
AD DS
針對 AD DS 驗證,您可以在 Azure VM 或內部部署上裝載 AD 域控制器。 無論哪種方式,您的用戶端都必須對域控制器進行不受限制的網路連線,因此它們必須位於您網域服務的公司網路或虛擬網路 (VNET) 內。 我們建議將用戶端電腦或 VM 加入網域,讓使用者不需要在每次存取共用時提供明確的認證。
下圖說明透過 SMB,對 Azure 檔案共用進行的內部部署 AD DS 驗證。 內部部署 AD DS 必須使用 Microsoft Entra Connect 同步或 Microsoft Entra Connect 雲端同步,同步至 Microsoft Entra ID。只有內部部署 AD DS 和 Microsoft Entra ID 中的混合式使用者身分識別,才能進行驗證並取得 Azure 檔案共用存取。 這是因為共用層級的權限是根據 Microsoft Entra ID 中的身分識別所設定,而目錄或檔案層級的權限則是根據 AD DS 中的身分識別強制執行。 請確定您已針對相同的混合式使用者正確設定權限。
若要啟用 AD DS 驗證,請先閱讀概觀 - 內部部署的 Active Directory 透過 SMB 進行 Azure 檔案共用的網域服務驗證,然後參閱啟用 Azure 檔案共用的 AD DS 驗證。
適用於混合式身分識別的 Microsoft Entra Kerberos
啟用和設定 Microsoft Entra ID 以驗證混合式使用者身分識別,可讓 Microsoft Entra 使用者使用 Kerberos 驗證來存取 Azure 檔案共用。 此設定使用 Microsoft Entra ID 發出 Kerberos 票證,存取採用業界標準 SMB 通訊協定的檔案共用。 這表示終端使用者可以存取 Azure 檔案共用,而不需要從已加入 Microsoft Entra 混合式和已加入 Microsoft Entra 的 VM,對網域控制站進行網路連線。 不過,為使用者和群組設定目錄和檔案層級權限,需要能夠不受限制網路連線至內部部署網域控制站。
重要
Microsoft Entra Kerberos 驗證僅支援混合式使用者身分識別,不支援僅限雲端的身分識別。 必須部署傳統 AD DS,且必須使用 Microsoft Entra Connect Sync 同步或 Microsoft Entra Connect 雲端同步,同步至 Microsoft Entra ID。用戶端必須已加入 Microsoft Entra 或已加入 Microsoft Entra 混合式 (部分內容可能是機器或 AI 翻譯)。 Microsoft Entra Kerberos 不支援已加入 Microsoft Entra Domain Services 或僅加入 AD 的用戶端。
若要啟用混合式身分識別的 Microsoft Entra Kerberos 驗證,請參閱在 Azure 檔案儲存體 上啟用混合式身分識別的 Microsoft Entra Kerberos 驗證。
您也可使用這項功能,針對已加入 Microsoft Entra 的 VM,將 FSLogix 設定檔儲存在 Azure 檔案共用內。 如需詳細資訊,請參閱使用 Azure 檔案儲存體和 Microsoft Entra ID 建立設定檔容器。
Microsoft Entra Domain Services
若要進行 Microsoft Entra Domain Services 驗證,您必須啟用 Microsoft Entra Domain Services,並將計劃用來存取檔案資料的 VM 加入網域。 已加入網域的 VM 必須位於與 Microsoft Entra Domain Services 裝載網域相同的 VNET 中。
下圖代表透過 SMB,對 Azure 檔案共用進行 Microsoft Entra Domain Services 驗證的工作流程。 其模式類似於內部部署 AD DS 驗證,但有兩個主要差異:
您不需要在 Microsoft Entra Domain Services 中建立身分識別,即可代表記憶體帳戶。 這會由背景中的啟用流程執行。
存在於 Microsoft Entra ID 中的所有使用者都可進行驗證和授權。 用戶類型可以是僅限雲端或混合式。 從 Microsoft Entra ID 到 Microsoft Entra Domain Services 的同步處理是由平台管理,無須任何使用者設定。 然而,用戶端必須加入 Microsoft Entra Domain Services 託管網域, 不可僅加入或註冊 Microsoft Entra。 Microsoft Entra Domain Services 不支援非 Azure 用戶端 (例如使用者的筆記型電腦、工作站、其他雲端中的 VM 等) 加入 Microsoft Entra Domain Services 託管網域。 然而,只要提供明確認證 (如 DOMAINNAME\username) 或使用完整網域名稱 (username@FQDN),即可從未加入網域的用戶端掛接檔案共用。
若要啟用 Microsoft Entra Domain Services 驗證,請參閱在 Azure 檔案儲存體 上啟用 Microsoft Entra Domain Services 驗證。
字彙
最好先了解 Azure 檔案共用適用的身分識別型驗證一些相關重要詞彙:
Kerberos 驗證
Kerberos 是用來驗證使用者或主機身分的驗證通訊協定。 如需有關 Kerberos 的詳細資訊,請參閱 Kerberos 驗證概觀。
伺服器訊息區 (SMB) 通訊協定
SMB 是業界標準網路檔案共用通訊協定。 如需有關 SMB 的詳細資訊,請參閱 Microsoft SMB 通訊協定和 CIFS 通訊協定概觀。
Microsoft Entra ID
Microsoft Entra ID(先前稱為 Azure AD)是Microsoft的多租使用者雲端式目錄和身分識別管理服務。 Microsoft Entra ID 將核心目錄服務、應用程式存取管理及身分識別保護結合到單個解決方案。
Microsoft Entra Domain Services
Microsoft Entra Domain Services 提供受控網域服務,例如:加入網域、群組原則、LDAP 以及 Kerberos/NTLM 驗證。 這些服務均與 Active Directory Domain Services 完全相容。 如需詳細資訊,請參閱 Microsoft Entra Domain Services。
內部部署的 Active Directory Domain Services (AD DS)
在內部部署環境或雲端託管 VM 中,企業通常會採用 AD DS,並使用 AD DS 認證作為存取控制。 如需詳細資訊,請參閱 Active Directory Domain Services 概觀。
混合式身分識別
混合式使用者身分識別為 AD DS 內的身分識別,可同步至 Microsoft Entra ID,方法是使用內部部署 Microsoft Entra Connect Sync 應用程式或 Microsoft Entra Connect 雲端同步 (可從 Microsoft Entra 系統管理中心安裝的輕量型代理程式)。