Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a: ✔️ compartilhamentos de arquivos do Azure SMB
Este artigo explica como você pode usar a autenticação baseada em identidade, local ou no Azure, para habilitar o acesso baseado em identidade aos compartilhamentos de arquivos do Azure pelo protocolo SMB (bloco de mensagens do servidor). Assim como os servidores de arquivos do Windows, você pode conceder permissões a uma identidade no nível de compartilhamento, diretório ou arquivo. Não há nenhum custo adicional de serviço para habilitar a autenticação baseada em identidade em sua conta de armazenamento.
A autenticação baseada em identidade tem suporte em SMB para clientes Windows, Linux e MacOS. No entanto, no momento, não há suporte para compartilhamentos NFS (Sistema de Arquivos de Rede).
Importante
Por motivos de segurança, é recomendável usar a autenticação baseada em identidade para acessar compartilhamentos de arquivos usando a chave da conta de armazenamento. Nunca compartilhe suas chaves de conta de armazenamento.
Como ele funciona
Os compartilhamentos de arquivo do Azure usam o protocolo Kerberos para autenticar com a origem da identidade. Quando uma identidade associada a um usuário ou aplicativo em execução em um cliente tenta acessar dados nos compartilhamentos de arquivo do Azure, a solicitação é enviada à origem da identidade para autenticação. Se a autenticação for bem-sucedida, a fonte de identidade retornará um tíquete Kerberos. Em seguida, o cliente envia uma solicitação que inclui o tíquete Kerberos e os Arquivos do Azure usam esse tíquete para autorizar a solicitação. O serviço Arquivos do Azure recebe apenas o tíquete Kerberos, não as credenciais de acesso do usuário.
Casos de uso comuns
A autenticação baseada em identidade com compartilhamentos de arquivos do Azure via SMB pode ser útil em uma variedade de cenários:
Substituir servidores de arquivos no local
Substituir servidores de arquivos locais dispersos é um desafio que todas as organizações enfrentam durante a jornada de modernização de TI. O uso da autenticação baseada em identidade com os Arquivos do Azure fornece uma experiência de migração perfeita, permitindo que os usuários finais continuem acessando os respectivos dados com as mesmas credenciais.
Fazer lift-and-shift de aplicativos para o Azure
Ao fazer lift-and-shift de aplicativos para a nuvem, você provavelmente quer manter o mesmo modelo de autenticação para acesso ao compartilhamento de arquivo. A autenticação baseada em identidade elimina a necessidade de alterar seu serviço de diretório, agilizando a adoção da nuvem.
Backup e DR (recuperação de desastre)
Se você estiver mantendo o armazenamento de arquivos primário localmente, os Arquivos do Azure serão uma solução ideal para backup e DR para aprimorar a continuidade dos negócios. Você pode usar os compartilhamentos de arquivos do Azure para fazer backup de servidores de arquivos, preservando as DACLs (listas de controle de acesso discricionário) do Windows. Para cenários de DR, você pode configurar uma opção de autenticação para dar suporte à imposição de controle de acesso adequada no failover.
Escolha uma origem de identidade para sua conta de armazenamento
Antes de habilitar a autenticação baseada em identidade em sua conta de armazenamento, você precisa saber qual fonte de identidade você usará. É provável que você já tenha uma, já que a maioria das empresas e organizações tem algum tipo de ambiente de domínio configurado. Consulte o AD (Active Directory) ou o administrador de TI para ter certeza. Se você ainda não tiver uma fonte de identidade, precisará configurar uma antes de habilitar a autenticação baseada em identidade.
Cenários de autenticação com suporte
Você pode habilitar a autenticação baseada em identidade no SMB usando uma das três fontes de identidade: AD DS (Active Directory Domain Services) local, Microsoft Entra Domain Services ou Microsoft Entra Kerberos. Você só pode usar uma fonte de identidade para autenticação de acesso a arquivos por conta de armazenamento e ela se aplica a todos os compartilhamentos de arquivos na conta.
AD DS local: A conta de armazenamento é unida ao AD DS local e as identidades do AD DS podem acessar com segurança os compartilhamentos de arquivos do SMB Azure de um cliente ingressado no domínio ou de um cliente que tenha conectividade ininterrupta com o controlador de domínio. O ambiente do AD DS local deve ser sincronizado com o Microsoft Entra ID usando o aplicativo Microsoft Entra Connect local ou a Sincronização de nuvem do Microsoft Entra Connect, um agente leve que pode ser instalado no centro de administração do Microsoft Entra. Consulte a lista completa de pré-requisitos.
Microsoft Entra Kerberos: Você pode usar a ID do Microsoft Entra para autenticar identidades híbridas ou somente na nuvem (versão prévia), permitindo que os usuários finais acessem compartilhamentos de arquivos do Azure. Se você quiser autenticar identidades híbridas, precisará de uma implantação existente do AD DS, que então será sincronizada com seu locatário do Microsoft Entra. Consulte os pré-requisitos.
Microsoft Entra Domain Services: VMs baseadas em nuvem ingressadas no Microsoft Entra Domain Services podem acessar compartilhamentos de arquivos do Azure com as credenciais do Microsoft Entra. Nesta solução, o Microsoft Entra ID executa um domínio tradicional do Windows Server AD, que é filho do locatário do Microsoft Entra do cliente. Consulte os pré-requisitos.
Use as diretrizes a seguir para determinar qual fonte de identidade você deve escolher.
Se sua organização já tiver um AD local e não estiver pronta para mover identidades para a nuvem e se seus clientes, VMs e aplicativos estiverem ingressados no domínio ou tiverem conectividade de rede sem impedimentos para esses controladores de domínio, escolha AD DS.
Se alguns ou todos os clientes não tiverem conectividade de rede sem impedimento com o AD DS ou se você estiver armazenando perfis FSLogix em compartilhamentos de arquivos do Azure para VMs ingressadas no Microsoft Entra, escolha Microsoft Entra Kerberos.
Se você tiver um AD local existente, mas estiver planejando mover aplicativos para a nuvem e quiser que suas identidades existam localmente e na nuvem (híbrida), escolha Microsoft Entra Kerberos.
Se você quiser autenticar identidades somente na nuvem sem usar controladores de domínio, escolha Microsoft Entra Kerberos. Esse recurso está atualmente em versão prévia.
Se você já usar o Microsoft Entra Domain Services, escolha o Microsoft Entra Domain Services como sua fonte de identidade.
Habilitar uma fonte de identidade
Depois de escolher uma fonte de identidade, você precisa habilitá-la na sua conta de armazenamento.
AD DS
Para autenticação do AD DS, você pode hospedar seus controladores de domínio do AD em VMs do Azure ou localmente. De qualquer forma, seus clientes devem ter conectividade de rede desimpedida ao controlador de domínio, portanto, eles devem estar dentro da rede corporativa ou da rede virtual (VNET) do serviço de domínio da empresa. Recomendamos a junção de domínio de seus computadores cliente ou VMs para que os usuários não precisem fornecer credenciais explícitas sempre que acessarem o compartilhamento.
O diagrama a seguir ilustra a autenticação do AD DS local para compartilhamentos de arquivos do Azure via SMB. O AD DS local precisa ser sincronizado com o Microsoft Entra ID usando a Sincronização do Microsoft Entra Connect ou a sincronização na nuvem do Microsoft Entra Connect. Somente as identidades de usuário híbridas existentes no AD DS local e no Microsoft Entra ID, podem ser autenticadas e autorizadas para acesso ao compartilhamento de Arquivos do Azure. Isso ocorre porque a permissão no nível do compartilhamento é configurada em relação à identidade representada no Microsoft Entra ID e a permissão no nível de diretório/arquivo é imposta com isso no AD DS. Configure as permissões corretamente no mesmo usuário híbrido.
Para habilitar a autenticação do AD DS, leia Visão geral – Autenticação do Active Directory Domain Services local via SMB para o compartilhamentos de arquivos do Azure e, em seguida, veja Habilitar a autenticação do AD DS para compartilhamentos de arquivos do Azure.
Microsoft Entra Kerberos
Habilitar e configurar a ID do Microsoft Entra para autenticar identidades híbridas ou somente na nuvem (versão prévia) permite que os usuários do Microsoft Entra acessem compartilhamentos de arquivos do Azure usando a autenticação Kerberos. Essa configuração usa o Microsoft Entra ID para emitir os tíquetes Kerberos para acessar o compartilhamento de arquivo com o protocolo SMB padrão do setor. Isso significa que os usuários finais podem acessar compartilhamentos de arquivos do Azure sem exigir conectividade de rede com controladores de domínio.
Importante
Se você quiser usar o Microsoft Entra Kerberos para autenticar identidades híbridas, uma implantação tradicional do AD DS será necessária. Ele deve ser sincronizado ao Microsoft Entra ID usando o Microsoft Entra Connect Sync ou a sincronização em nuvem do Microsoft Entra Connect. Os clientes devem estar aderidos ao Microsoft Entra ou aderidos ao Microsoft Entra híbrido.
O diagrama a seguir representa o fluxo de trabalho da autenticação Kerberos do Microsoft Entra para identidades híbridas (ou seja, não somente na nuvem) sobre SMB.
Para habilitar a autenticação do Microsoft Entra Kerberos, consulte Habilitar a autenticação do Microsoft Entra Kerberos nos Arquivos do Azure.
Você também poderá usar esse recurso para armazenar perfis do FSLogix em compartilhamentos de arquivos do Azure para as VMs ingressadas no Microsoft Entra. Para obter mais informações, veja Criar um contêiner de perfil com os Arquivos do Azure e o Microsoft Entra ID.
Serviços de Domínio do Microsoft Entra
Para autenticação do Microsoft Entra Domain Services, você deve habilitar o Microsoft Entra Domain Services e ingressar no domínio as máquinas virtuais que acessarão os compartilhamentos de arquivos do Azure usando autenticação Kerberos. Essas máquinas virtuais devem ter conectividade de rede com o domínio gerenciado do Microsoft Entra Domain Services.
O fluxo de autenticação é semelhante à autenticação do AD DS local, com as seguintes diferenças:
- A identidade da conta de armazenamento é criada automaticamente durante a habilitação.
- Todos os usuários da ID do Microsoft Entra podem ser autenticados e autorizados. Os usuários podem estar somente na nuvem ou serem híbridos. A sincronização do usuário da ID do Microsoft Entra para o Microsoft Entra Domain Services é gerenciada pela plataforma.
Requisitos de acesso para o Microsoft Entra Domain Services
Para que os clientes se autentiquem usando o Microsoft Entra Domain Services, os requisitos a seguir devem ser atendidos.
- A autenticação Kerberos exige que o cliente seja associado ao domínio gerenciado do Microsoft Entra Domain Services.
- Clientes que não são do Azure não podem ser associados ao domínio gerenciado do Microsoft Entra Domain Services.
- Os clientes que não são ingressados no domínio ainda poderão acessar compartilhamentos de arquivos do Azure usando credenciais explícitas somente se o cliente tiver conectividade de rede não limitada com os controladores de domínio do Microsoft Entra Domain Services, por exemplo, por meio de VPN ou outras conexões com suporte.
Para habilitar a autenticação do Microsoft Entra Domain Services, veja Habilitar a autenticação do Microsoft Entra Domain Services nos Arquivos do Azure.