Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: ✔️ SMB-Dateifreigaben
In diesem Artikel wird erläutert, wie Sie die identitätsbasierte Authentifizierung entweder lokal oder in Azure verwenden können, um den identitätsbasierten Zugriff auf Azure Files über das SMB-Protokoll (Server Message Block) zu aktivieren. Ähnlich wie bei Windows-Dateiservern können Sie Berechtigungen für eine Identität auf Freigabe-, Verzeichnis- oder Dateiebene erteilen. Es gibt keine zusätzlichen Servicegebühren, um die identitätsbasierte Authentifizierung für Ihr Speicherkonto zu aktivieren.
Azure Files unterstützt die identitätsbasierte Authentifizierung über SMB für Windows-, Linux- und macOS-Clients. Azure Files unterstützt derzeit keine identitätsbasierte Authentifizierung für NFS-Dateifreigaben.
Wichtig
Verwenden Sie aus Sicherheitsgründen die identitätsbasierte Authentifizierung, um auf Dateifreigaben anstelle des Speicherkontoschlüssels zuzugreifen. Teilen Sie niemals Ihre Speicherkontoschlüssel.
Funktionsweise
Azure Files verwendet das Kerberos-Protokoll zur Authentifizierung mit einer Identitätsquelle. Wenn eine identität, die einem Benutzer oder einer Anwendung zugeordnet ist, der auf einem Client ausgeführt wird, versucht, auf Daten in Azure Files zuzugreifen, wird die Anforderung an die Identitätsquelle gesendet, um die Identität zu authentifizieren. Wenn die Authentifizierung erfolgreich ist, gibt die Identitätsquelle ein Kerberos-Ticket zurück. Der Client sendet dann eine Anforderung, die das Kerberos-Ticket enthält, und Azure Files dieses Ticket verwendet, um die Anforderung zu autorisieren. Der Azure Files-Dienst empfängt nur das Kerberos-Ticket, nicht die Zugriffsanmeldeinformationen des Benutzers.
Gängige Anwendungsfälle
Die identitätsbasierte Authentifizierung bei SMB Azure-Dateifreigaben kann in vielfältigen Szenarien nützlich sein.
Ersatz für lokale Dateiserver
Das Ersetzen von verteilten lokalen Dateiservern stellt eine Herausforderung für jede Organisation während der IT-Modernisierung dar. Die Verwendung der identitätsbasierten Authentifizierung mit Azure Files bietet eine nahtlose Migrationserfahrung, sodass Endbenutzer weiterhin auf ihre Daten mit denselben Anmeldeinformationen zugreifen können.
Anheben und Verschieben von Anwendungen in Azure
Wenn Sie Anwendungen in die Cloud heben und verschieben, möchten Sie wahrscheinlich dasselbe Authentifizierungsmodell für den Dateifreigabezugriff beibehalten. Bei Verwendung der identitätsbasierten Authentifizierung muss Ihr Verzeichnisdienst nicht geändert werden, wodurch die Cloudeinführung beschleunigt wird.
Sicherung und Notfallwiederherstellung
Wenn Sie den primären Dateispeicher lokal speichern, ist Azure Files eine ideale Lösung für Sicherung und DR, um die Geschäftskontinuität zu verbessern. Sie können Azure-Dateifreigaben nutzen, um Ihre Dateiserver zu sichern und gleichzeitig besitzerverwaltete Zugriffssteuerungslisten (DACLs) von Windows beizubehalten. Für Notfallwiederherstellungsszenarien können Sie eine Authentifizierungsoption konfigurieren, um bei einem Failover die ordnungsgemäße Durchsetzung der Zugriffssteuerung zu unterstützen.
Auswählen einer Identitätsquelle für Ihr Speicherkonto
Bevor Sie die identitätsbasierte Authentifizierung für Ihr Speicherkonto aktivieren, entscheiden Sie, welche Identitätsquelle verwendet werden soll. Die meisten Unternehmen und Organisationen haben eine Art von Domänenumgebung konfiguriert, sodass Sie wahrscheinlich bereits eine haben. Wenden Sie sich an Ihren Active Directory (AD) oder IT-Administrator, um sicher zu sein. Wenn Sie noch nicht über eine Identitätsquelle verfügen, müssen Sie eine konfigurieren, bevor Sie die identitätsbasierte Authentifizierung aktivieren können.
Unterstützte Authentifizierungsszenarien
Sie können die identitätsbasierte Authentifizierung über SMB mithilfe einer von drei Identitätsquellen aktivieren: On-premises-Active Directory Domain Services (AD DS), Microsoft Entra Domain Services oder Microsoft Entra Kerberos. Sie können nur eine Identitätsquelle für die Dateizugriffsauthentifizierung pro Speicherkonto verwenden und gilt für alle Dateifreigaben im Konto.
Lokale AD DS: Das Speicherkonto wird mit dem lokalen AD DS verknüpft. Identitäten von AD DS können sicher auf SMB-Azure Dateifreigaben von einem in die Domäne eingebundenen Client oder einem Client mit unterbrechungsfreier Verbindung zum Domänencontroller zugreifen. Die lokale AD DS-Umgebung muss mit Microsoft Entra ID synchronisiert werden, entweder mithilfe der lokalen Microsoft Entra Connect-Anwendung oder mit Microsoft Entra Connect Cloud Sync, einem einfachen Agenten, der im Microsoft Entra Admin Center installiert werden kann. Weitere Informationen finden Sie in der vollständigen Liste der Voraussetzungen.
Microsoft Entra Kerberos: Sie können Microsoft Entra ID verwenden, um hybrid oder cloudgeschützte Identitäten (Vorschau) zu authentifizieren, sodass Endbenutzer auf Azure Dateifreigaben zugreifen können. Wenn Sie Hybrididentitäten authentifizieren möchten, benötigen Sie eine vorhandene AD DS-Bereitstellung, die Sie dann mit Ihrem Microsoft Entra Mandanten synchronisieren. Siehe die Voraussetzungen.
Microsoft Entra Domain Services: cloudbasierte VMs, die mit Microsoft Entra Domänendiensten verbunden sind, können auf Azure Dateifreigaben mit Microsoft Entra Anmeldeinformationen zugreifen. In dieser Lösung führt Microsoft Entra ID eine herkömmliche Windows Server AD-Domäne aus, die ein untergeordnetes Element des Microsoft Entra-Mandanten des Kunden ist. Siehe die Voraussetzungen.
Gehen Sie folgendermaßen vor, um zu bestimmen, welche Identitätsquelle ausgewählt werden sollte.
Wenn Ihre Organisation bereits über eine on-premises Active Directory verfügt und nicht bereit ist, Identitäten in die Cloud zu verschieben, und wenn Ihre Clients, VMs und Anwendungen mit einer Domäne verbunden sind oder eine nicht unterstützte Netzwerkkonnektivität mit diesen Domänencontrollern haben, wählen Sie AD DS aus.
Wenn einige oder alle Clients keine uneingeschränkte Netzwerkkonnektivität zu Ihrem AD DS haben oder wenn Sie FSLogix-Profile auf Azure-Dateifreigaben für Microsoft Entra-verbundene VMs speichern, wählen Sie Microsoft Entra Kerberos aus.
Wenn Sie über eine vorhandene on-premises Active Directory verfügen, aber planen, Anwendungen in die Cloud zu verschieben, und Sie möchten, dass Ihre Identitäten sowohl lokal als auch in der Cloud (Hybrid) vorhanden sind, wählen Sie Microsoft Entra Kerberos aus.
Wenn Sie reine Cloudidentitäten authentifizieren möchten, ohne Domänencontroller zu verwenden, wählen Sie Microsoft Entra Kerberos aus. Diese Funktion steht derzeit als Vorschau zur Verfügung.
Wenn Sie bereits Microsoft Entra Domänendienste verwenden, wählen Sie Microsoft Entra Domänendienste als Identitätsquelle aus.
Aktivieren der Identitätsquelle
Nachdem Sie eine Identitätsquelle ausgewählt haben, aktivieren Sie sie auf Ihrem Speicherkonto.
AD DS
Bei der AD DS-Authentifizierung können Sie Ihre AD-Domänencontroller auf Azure VMs oder lokal hosten. Auf jeden Fall müssen Ihre Clients über eine unbehinderte Netzwerkkonnektivität mit dem Domänencontroller verfügen, daher müssen sie sich innerhalb des Unternehmensnetzwerks oder des virtuellen Netzwerks (VNET) Ihres Domänendiensts befinden. Es wird empfohlen, Ihre Clientcomputer oder VMs mit einer Domäne zu verknüpfen, damit Benutzende nicht bei jedem Zugriff auf die Freigabe explizite Anmeldeinformationen angeben müssen.
Das folgende Diagramm zeigt die lokale AD DS-Authentifizierung für Azure-Dateifreigaben über SMB. Der lokale AD DS muss mit Microsoft Entra ID mithilfe von Microsoft Entra Connect Sync oder Microsoft Entra Connect Cloud Sync synchronisiert werden. Nur Hybridbenutzeridentitäten, die sowohl in lokalen AD DS als auch in Microsoft Entra ID vorhanden sind, können für den Zugriff auf die Azure-Dateifreigabe authentifiziert und autorisiert werden. Das liegt daran, dass die Berechtigung auf Freigabeebene mit der in Microsoft Entra ID dargestellten Identität konfiguriert ist, die Berechtigung auf Verzeichnis-/Dateiebene jedoch mit der Identität in AD DS erzwungen wird. Stellen Sie sicher, dass Sie die Berechtigungen mit demselben Hybridbenutzer ordnungsgemäß konfigurieren.
Um die AD DS-Authentifizierung zu aktivieren, lesen Sie zuerst Overview – lokale Active Directory Domain Services Authentifizierung über SMB für Azure Dateifreigaben und lesen Sie dann Enable AD DS-Authentifizierung für Azure Dateifreigaben.
Microsoft Entra Kerberos
Durch das Aktivieren und Konfigurieren von Entra ID zur Authentifizierung hybrider oder nur in der Cloud erstellter Identitäten (Vorschau) können Entra-Benutzer mithilfe der Kerberos-Authentifizierung auf Azure-Dateifreigaben zugreifen. Diese Konfiguration verwendet eNTRA AD, um die Kerberos-Tickets für den Zugriff auf die Dateifreigabe mit dem branchenüblichen SMB-Protokoll auszugeben. Dies bedeutet, dass Endbenutzer auf Dateifreigaben von Azure zugreifen können, ohne eine Netzwerkkonnektivität mit Domänencontrollern zu benötigen.
Wichtig
Um Entra Kerberos zum Authentifizieren von Hybrididentitäten zu verwenden, benötigen Sie eine herkömmliche AD DS-Bereitstellung. Sie müssen es mit Entra ID synchronisieren, indem Sie Microsoft Entra Connect Sync oder Microsoft Entra Connect Cloud Sync verwenden. Clients müssen Entra verbunden oder Microsoft Entra Hybrid verbunden sein.
Das folgende Diagramm stellt den Workflow für die Entra Kerberos-Authentifizierung für Hybrididentitäten (d. h. nicht nur cloudgeschützt) über SMB dar.
Weitere Informationen finden Sie unter Enable Microsoft Entra Kerberos-Authentifizierung auf Azure Files.
Sie können dieses Feature auch verwenden, um FSLogix-Profile in Azure-Dateifreigaben für in Entra eingebundene VMs zu speichern. Weitere Informationen finden Sie unter Store FSLogix Profilcontainer auf Azure Files mithilfe von Microsoft Entra ID.
Microsoft Entra Domänendienste
Für die Microsoft Entra Domain Services-Authentifizierung müssen Sie die Microsoft Entra Domain Services aktivieren und die virtuellen Maschinen, die auf Azure-Dateifreigaben zugreifen sollen, mit der Kerberos-Authentifizierung verbinden. Diese virtuellen Computer müssen über netzwerkkonnektivität mit der verwalteten Domäne Microsoft Entra Domänendienste verfügen.
Der Authentifizierungsfluss ähnelt der lokalen AD DS-Authentifizierung mit den folgenden Unterschieden:
- Der Prozess erstellt während der Aktivierung automatisch die Speicherkontoidentität.
- Alle Entra-ID-Benutzer können sich authentifizieren und autorisiert werden. Bei den Benutzern kann es sich um reine Cloudbenutzer oder um hybride Benutzer handeln. Die Plattform verwaltet die Benutzersynchronisierung von Entra-ID zu Domänendiensten.
Zugriffsanforderungen für Microsoft Entra Domänendienste
Clients müssen die folgenden Anforderungen erfüllen, um sich mithilfe der Domänendiensteauthentifizierung zu authentifizieren.
- Für die Kerberos-Authentifizierung muss der Client einer verwalteten Domäne von Domänendiensten zugeordnet werden.
- Nicht-Azure-Clients können nicht in die verwaltete Domäne "Domain Services" aufgenommen werden.
- Clients, die in keine Domäne eingebunden sind, können weiterhin auf Azure-Dateifreigaben zugreifen, indem sie explizite Anmeldeinformationen verwenden – vorausgesetzt, der Client verfügt über eine ungehinderte Netzwerkverbindung zu den Domain Services-Domänencontrollern, beispielsweise über VPN oder andere unterstützte Verbindungen.
Weitere Informationen finden Sie unter Enable Microsoft Entra Domain Services authentication on Azure Files.