身分識別與存取控制

  • 9 分鐘

在本單元中,您將了解如何驗證使用者並提供 Azure 檔案共用的存取權。 Azure 檔案儲存體支援身分識別型驗證,以便客戶存取 SMB 上的檔案共用。 此外,SMB 使用者也可以使用儲存體帳戶金鑰進行驗證。 NFS 檔案共用依賴網路層級驗證,因此只能透過受限制的網路存取。 使用 NFS 檔案共用一律會需要某種層級的網路設定。 透過 REST API 的檔案共用存取會針對特定資料管理作業,使用共用存取簽章和儲存體帳戶金鑰。

  • 以身分識別為基礎的驗證:客戶可以透過 Kerberos 驗證通訊協定使用以身分識別為基礎的存取。 Active Directory 服務會儲存使用者帳戶資訊,例如使用者名稱、密碼、連絡人資訊等。 Azure 檔案儲存體與常見目錄服務整合,以驗證使用者帳戶詳細資料,並啟用成功的驗證。 針對 SMB,身分識別型驗證是最安全且建議的選項。

  • 儲存體帳戶金鑰:具有儲存體帳戶金鑰的使用者可以使用超級使用者權限來存取 SMB 和 REST 上的 Azure 檔案共用。 最好只讓超級使用者管理員使用儲存體帳戶金鑰,因為這些金鑰會略過所有存取限制。 對於企業客戶所使用的檔案共用,儲存體帳戶金鑰不是可供全組織存取的可調整或安全機制,因此不建議使用。 建議的安全性最佳做法是避免共用儲存體帳戶金鑰,並使用身分識別型驗證。

  • 共用存取簽章:透過 REST 存取的客戶可以使用共用存取簽章 (SAS) 來向Azure 檔案儲存體進行驗證。 在獨立軟體廠商開發 REST API 應用程式,並使用 Azure 檔案儲存體作為儲存體解決方案的情況下,會使用共用存取簽章。 當內部合作夥伴需要透過 REST 的存取來進行資料管理作業時,也會使用共用存取簽章。 共用存取簽章是能授與 Azure 儲存體資源有限存取權的 URI。 您可以使用共用存取簽章向用戶端提供特定儲存體帳戶資源的存取權,而不必向其提供儲存體帳戶金鑰的存取權。

以身分識別為基礎的驗證

Azure 檔案儲存體支援使用 Kerberos 通訊協定的 SMB 檔案共用身分識別型驗證。 當與在用戶端上執行的使用者或應用程式相關聯的身分識別嘗試存取 Azure 檔案共用中的資料時,會將要求傳送至網域服務來驗證身分識別。 如果驗證成功,則會傳回 Kerberos 權杖。 用戶端會傳送包含 Kerberos 權杖的要求,而 Azure 檔案共用會使用該權杖來授權要求。 Azure 檔案共用只會接收 Kerberos 權杖,而不會接收存取認證。

Azure 檔案儲存體支援 SMB 檔案共用的下列驗證方法:

  • 內部部署 Active Directory Domain Services (AD DS):為 Azure 檔案共用啟用 AD DS 驗證,可讓使用者使用其內部部署 AD DS 認證進行驗證。 必須使用 Microsoft Entra Connect 同步,將內部部署 AD DS 同步處理到 Microsoft Entra ID。只有同時存在於內部部署 AD DS 和 Microsoft Entra ID 中的混合式使用者,才能進行 Azure 檔案共用存取的驗證和授權。 客戶必須設定其網域控制站,並將其機器或虛擬機器 (VM) 加入網域。 網域控制站可以裝載於內部部署環境或 VM 上,但用戶端必須能夠看見網域控制站,不論是在內部部署網路或相同的虛擬網路上。

  • Microsoft Entra Domain Services:針對 Microsoft Entra Domain Services 驗證,客戶應該啟用 Domain Services,然後加入他們想要存取檔案資料的 VM。 已加入網域的 VM 必須位於與 Domain Services 相同的虛擬網路中。 不過,客戶不需要在 Domain Services 中建立身分識別來代表儲存體帳戶。 啟用程序會在背景建立身分識別。 此外,存在於 Microsoft Entra ID 中的所有使用者都可進行驗證和授權。 使用者可以是僅雲端或混合式。 平台會管理從 Microsoft Entra ID 到 Domain Services 的同步處理,而不需要進行任何使用者設定。

  • 適用於混合式使用者身分識別的 Microsoft Entra Kerberos:Azure 檔案支援混合式使用者身分識別的 Microsoft Entra Kerberos (舊稱為 Azure AD Kerberos) 驗證,這些身分識別是已同步至雲端的內部部署 AD 身分識別。 此組態會使用 Microsoft Entra ID 來發出 Kerberos 票證,以便存取 SMB 上的檔案共用。 這表示終端使用者可以透過網際網路存取 Azure 檔案共用,而不需要從已加入 Microsoft Entra 混合式和加入 Microsoft Entra 的 VM 看到網域控制站。 此外,透過這項功能,Azure 虛擬桌面客戶可以建立 Azure 檔案共用,以儲存混合式使用者身分識別可以存取的使用者設定檔容器。

  • 適用於 Linux 用戶端的 AD 驗證:Linux 用戶端的驗證可透過 AD DS 或 Microsoft Entra Domain Services 來支援。

身分識別型驗證的常見使用案例

以下是使用身分識別型驗證的一些常見案例:

  • 從內部部署檔案伺服器移轉至 Azure 檔案儲存體:取代內部部署檔案伺服器是許多客戶的常見 IT 轉換使用案例。 使用內部部署 AD DS 來啟用順暢移轉至 Azure 檔案,不僅可提供良好的使用者體驗,也可讓使用者藉由將其機器加入網域,使用其目前的認證來存取檔案共用和資料。

  • 將企業應用程式移至雲端:當客戶將其內部部署原生應用程式移至雲端時,使用 Azure 檔案儲存體的身分識別型驗證不需要變更驗證機制以支援雲端應用程式。

  • 備份和災害復原:Azure 檔案儲存體可作為內部部署檔案伺服器的備份儲存體系統。 設定適當的驗證有助於在災害復原案例期間強制執行存取控制。