Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Aplica-se a: ✔️ Compartilhamentos de arquivos do Azure SMB
Este artigo explica como pode usar autenticação baseada em identidade, seja on-premises ou no Azure, para permitir o acesso baseado em identidade a partilhas de ficheiros Azure através do protocolo Server Message Block (SMB). Assim como os servidores de arquivos do Windows, você pode conceder permissões a uma identidade no nível de compartilhamento, diretório ou arquivo. Não há cobrança de serviço adicional para habilitar a autenticação baseada em identidade em sua conta de armazenamento.
A autenticação baseada em identidade é suportada através de SMB para clientes Windows, Linux e MacOS. No entanto, atualmente não tem suporte para partilhas NFS (Sistema de Ficheiros de Rede).
Importante
Por motivos de segurança, recomenda-se o uso da autenticação baseada em identidade para acessar compartilhamentos de arquivos em vez do uso da chave da conta de armazenamento. Nunca partilhe as chaves da sua conta de armazenamento.
Como funciona
Os compartilhamentos de arquivos do Azure usam o protocolo Kerberos para autenticar com uma fonte de identidade. Quando uma identidade associada a um usuário ou aplicativo em execução em um cliente tenta acessar dados em compartilhamentos de arquivos do Azure, a solicitação é enviada à fonte de identidade para autenticar a identidade. Se a autenticação for bem-sucedida, a fonte de identidade retorna um ticket Kerberos. Em seguida, o cliente envia uma solicitação que inclui o tíquete Kerberos, e o Azure Files usa esse tíquete para autorizar a solicitação. O serviço de Ficheiros Azure recebe apenas o tíquete Kerberos, não as credenciais de acesso do usuário.
Casos comuns de utilização
A autenticação baseada em identidade com compartilhamentos de arquivos SMB do Azure pode ser útil em vários cenários:
Substituir servidores de arquivos locais
A substituição de servidores de arquivos locais dispersos é um desafio que toda organização enfrenta durante sua jornada de modernização de TI. Usar a autenticação baseada em identidade com os Arquivos do Azure fornece uma experiência de migração perfeita, permitindo que os usuários finais continuem a acessar seus dados com as mesmas credenciais.
Elevar e deslocar aplicativos para o Azure
Quando você eleva e desloca aplicativos para a nuvem, provavelmente desejará manter o mesmo modelo de autenticação para acesso ao compartilhamento de arquivos. A autenticação baseada em identidade elimina a necessidade de alterar o serviço de diretório, acelerando a adoção da nuvem.
Backup e recuperação de desastres (DR)
Se você estiver mantendo seu armazenamento de arquivos principal no local, o Azure Files é uma solução ideal para backup e DR para melhorar a continuidade dos negócios. Você pode usar compartilhamentos de arquivos do Azure para fazer backup de seus servidores de arquivos, preservando as DACLs (listas de controle de acesso discricionário) do Windows. Para cenários de DR, pode-se configurar uma opção de autenticação para apoiar a aplicação adequada do controlo de acesso no failover.
Escolha uma fonte de identidade para sua conta de armazenamento
Antes de habilitar a autenticação baseada em identidade em sua conta de armazenamento, você precisa saber qual fonte de identidade vai usar. É provável que você já tenha um, pois a maioria das empresas e organizações tem algum tipo de ambiente de domínio configurado. Consulte o administrador do Ative Directory (AD) ou de TI para ter certeza. Se você ainda não tiver uma fonte de identidade, precisará configurá-la antes de habilitar a autenticação baseada em identidade.
Cenários de autenticação suportados
Pode ativar a autenticação baseada em identidade através de SMB usando uma de três fontes de identidade: On-premises Active Directory Domain Services (AD DS),Microsoft Entra Domain Services ou Microsoft Entra Kerberos. Você só pode usar uma fonte de identidade para autenticação de acesso a arquivos por conta de armazenamento, e isso se aplica a todos os compartilhamentos de arquivos na conta.
AD DS nas instalações: A conta de armazenamento está ligada ao AD DS local, e as identidades do AD DS podem aceder de forma segura a partilhas de ficheiros SMB Azure a partir de um cliente ligado ao domínio ou de um cliente com conectividade ininterrupta ao controlador de domínio. O ambiente AD DS local deve ser sincronizado com o Microsoft Entra ID usando o aplicativo Microsoft Entra Connect local ou Microsoft Entra Connect cloud sync, um agente leve que pode ser instalado a partir do Centro de Administração Microsoft Entra. Veja a lista completa de pré-requisitos.
Microsoft Entra Kerberos: Pode usar o Microsoft Entra ID para autenticar identidades híbridas ou apenas na cloud (pré-visualização), permitindo que os utilizadores finais acedam a partilhas de ficheiros do Azure. Se quiser autenticar identidades híbridas, vai precisar de uma implementação AD DS existente, que depois é sincronizada com o seu tenant Microsoft Entra. Consulte os pré-requisitos.
Serviços de Domínio Microsoft Entra: VMs baseadas em nuvem que ingressaram nos Serviços de Domínio Microsoft Entra podem acessar compartilhamentos de arquivos do Azure com credenciais do Microsoft Entra. Nesta solução, o Microsoft Entra ID executa um domínio tradicional do Windows Server AD que é um subdomínio do inquilino Microsoft Entra do cliente. Consulte os pré-requisitos.
Use as diretrizes a seguir para determinar qual fonte de identidade você deve escolher.
Se a sua organização já tiver um AD local e não estiver pronta para mover identidades para a nuvem, e se os seus clientes, VMs e aplicações estiverem associados a um domínio ou tiverem conectividade de rede desimpedida com esses controladores de domínio, escolha AD DS.
Se alguns ou todos os clientes não tiverem conectividade de rede desimpedida com seu AD DS, ou se você estiver armazenando perfis FSLogix em compartilhamentos de arquivos do Azure para VMs ingressadas do Microsoft Entra, escolha Microsoft Entra Kerberos.
Se já tem um AD local mas planeia mover aplicações para a cloud e quer que as suas identidades existam tanto on-premises como na cloud (híbrido), escolha o Microsoft Entra Kerberos.
Se quiser autenticar identidades apenas na cloud sem usar controladores de domínio, escolha o Microsoft Entra Kerberos. Esta funcionalidade está atualmente em pré-visualização.
Se já utiliza os Serviços de Domínio Microsoft Entra, escolha os Serviços de Domínio Microsoft Entra como fonte de identidade.
Habilitar uma fonte de identidade
Depois de escolher uma fonte de identidade, você deve habilitá-la em sua conta de armazenamento.
AD DS
Para autenticação do AD DS, você pode hospedar seus controladores de domínio do AD em VMs do Azure ou localmente. De qualquer forma, seus clientes devem ter conectividade de rede desimpedida com o controlador de domínio, portanto, eles devem estar dentro da rede corporativa ou rede virtual (VNET) do seu serviço de domínio. Recomendamos ingressar no domínio de suas máquinas cliente ou VMs para que os usuários não precisem fornecer credenciais explícitas cada vez que acessarem o compartilhamento.
O diagrama a seguir mostra a autenticação do AD DS local para compartilhamentos de arquivos do Azure no SMB. O AD DS local deve ser sincronizado com a ID do Microsoft Entra usando o Microsoft Entra Connect Sync ou a sincronização na nuvem do Microsoft Entra Connect. Somente identidades de usuário híbridas que existem no AD DS local e na ID do Microsoft Entra podem ser autenticadas e autorizadas para acesso ao compartilhamento de arquivos do Azure. Isso ocorre porque a permissão de nível de compartilhamento é configurada contra a identidade representada no Microsoft Entra ID, enquanto a permissão de nível de diretório/arquivo é aplicada com aquela no AD DS. Certifique-se de configurar as permissões corretamente em relação ao mesmo usuário híbrido.
Para habilitar a autenticação do AD DS, primeiro leia Visão geral - autenticação dos Serviços de Domínio Ative Directory local sobre SMB para compartilhamentos de arquivos do Azure e, em seguida, consulte Habilitar a autenticação do AD DS para compartilhamentos de arquivos do Azure.
Microsoft Entra Kerberos
Ativar e configurar o Microsoft Entra ID para autenticar identidades híbridas ou apenas na cloud (pré-visualização) permite aos utilizadores do Microsoft Entra aceder a partilhas de ficheiros Azure usando autenticação Kerberos. Esta configuração utiliza o Microsoft Entra ID para emitir os tickets Kerberos, permitindo o acesso ao compartilhamento de arquivos com o protocolo SMB padrão da indústria. Isto significa que os utilizadores finais podem aceder a partilhas de ficheiros Azure sem necessidade de conectividade de rede aos controladores de domínio.
Importante
Se quiser usar o Microsoft Entra Kerberos para autenticar identidades híbridas, é necessária uma implementação tradicional do AD DS. Deve ser sincronizado com o Microsoft Entra ID usando Microsoft Entra Connect Sync ou Microsoft Entra Connect cloud sync. Os clientes devem ser aderidos à Microsoft Entra ou híbridos à Microsoft Entra.
O diagrama seguinte representa o fluxo de trabalho para a autenticação Microsoft Entra Kerberos para identidades híbridas (ou seja, não apenas cloud) sobre PME.
Para ativar a autenticação Microsoft Entra Kerberos, veja Ativar a autenticação Microsoft Entra Kerberos nos Ficheiros Azure.
Você também pode usar esse recurso para armazenar perfis FSLogix em compartilhamentos de arquivos do Azure para VMs associadas ao Microsoft Entra. Para obter mais informações, consulte Criar um contêiner de perfil com Arquivos do Azure e ID do Microsoft Entra.
Serviços de Domínio Microsoft Entra
Para a autenticação dos Serviços de Domínio Microsoft Entra, deve ativar os Serviços de Domínio Microsoft Entra e associar ao domínio as máquinas virtuais que irão aceder a partilhas de ficheiros do Azure usando autenticação Kerberos. Estas máquinas virtuais devem ter conectividade de rede ao domínio gerido Microsoft Entra Domain Services.
O fluxo de autenticação é semelhante à autenticação AD DS nas instalações, com as seguintes diferenças:
- A identidade da conta de armazenamento é criada automaticamente durante a ativação.
- Todos os utilizadores do Microsoft Entra ID podem ser autenticados e autorizados. Os utilizadores podem ser apenas de nuvem ou híbridos. A sincronização do utilizador do Microsoft Entra ID para o Microsoft Entra Domain Services é gerida pela plataforma.
Requisitos de acesso para os Serviços de Domínio Microsoft Entra
Para que os clientes possam autenticar-se usando os Microsoft Entra Domain Services, os seguintes requisitos devem ser cumpridos.
- A autenticação Kerberos requer que o cliente esteja ligado a um domínio gerido pelo Microsoft Entra Domain Services.
- Clientes fora do Azure não podem ser ligados ao domínio gerido por Microsoft Entra Domain Services.
- Clientes que não estão ligados ao domínio ainda podem aceder a partilhas de ficheiros Azure usando credenciais explícitas apenas se o cliente tiver conectividade de rede livre aos controladores de domínio Microsoft Entra Domain Services, por exemplo através de VPN ou outras ligações suportadas.
Para habilitar a autenticação dos Serviços de Domínio Microsoft Entra, consulte Habilitar a autenticação dos Serviços de Domínio Microsoft Entra nos Arquivos do Azure.