Vorschau der Active Directory-Authentifizierungsunterstützung in Azure Files

Veröffentlicht am 24 Februar, 2020

Program Manager, Azure Storage
Aktualisiert: 15. Juni 2020 Die Azure AD DS-Authentifizierung für Azure Files ist seit dem 11. Juni 2020 allgemein verfügbar. Weitere Informationen finden Sie in diesem Beitrag

Wir freuen uns, die Vorschau der Active Directory-Authentifizierung (Azure AD) für Azure Files ankündigen zu können. Sie können jetzt Ihre Dateien in Azure Files mit AD-Anmeldeinformationen in derselben Zugriffssteuerungsoberfläche wie in Ihrem lokalen Dienst einbinden. Sie haben die Möglichkeit, eine Active Directory Domain Services-Instanz (AD DS) zu verwenden, die entweder lokal oder in Azure gehostet wird, um den Benutzerzugriff auf Azure Files für die Tarife „Premium“ und „Standard“ zu authentifizieren. Das Verwalten von Dateiberechtigungen ist ebenfalls sehr einfach. Solange Ihre AD-Identitäten mit Azure AD synchronisiert sind, können Sie die Berechtigungen auf Freigabeebene weiterhin über die übliche rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) verwalten. Für die Berechtigungen auf Verzeichnis- und Dateiebene können Sie mithilfe des Windows-Datei-Explorers ganz einfach Windows-ACLs (NTFS-DACLs) konfigurieren. Gehen Sie dabei genauso wie bei jeder anderen regulären Dateifreigabe vor. Die meisten von Ihnen haben möglicherweise bereits ihre AD-Verzeichnisse im Rahmen einer Office 365- oder Azure-Einführung mit Azure AD synchronisiert und sind bereit, diese neue Funktion nun einzusetzen.

Wenn Sie in Erwägung ziehen, Dateiserver in die Cloud zu migrieren, entscheiden Sie sich möglicherweise dafür, die bereits vorhandene AD-Infrastruktur beizubehalten und zuerst die Daten zu verschieben. Durch diese Vorschauversion kann Azure Files jetzt problemlos für die Arbeit mit vorhandenen AD-Instanzen verwendet werden, ohne dass Änderung in der Clientumgebung vorgenommen werden müssen. Sie können sich bei einem in die AD-Domäne eingebundenen Computer anmelden und über einen Single-Sign-On-Prozess auf die Azure-Dateifreigabe zugreifen. Darüber hinaus können Sie alle vorhandenen NTFS-DACLs übernehmen, die für die Verzeichnisse und Dateien im Laufe der Jahre konfiguriert wurden, und diese weiter erzwingen. Migrieren Sie einfach Ihre Dateien mit ACLs mithilfe gängiger Tools wie Robocopy, oder orchestrieren Sie mithilfe der Azure-Dateisynchronisierung das Tiering über lokale Windows-Dateiserver. Wir haben zudem ein Video veröffentlicht, in dem im Detail erläutert wird, wie Sie einen lokalen Server durch Azure Files (einschließlich AD-Authentifizierung) ersetzen können.

Die AD-Authentifizierung optimiert den Einsatz von Azure Files als Speicherlösung für VDI-Benutzerprofile (Virtual Desktop Infrastructure). Möglicherweise haben Sie die VDI-Umgebung mit Windows Virtual Desktop als Erweiterung Ihres lokalen Arbeitsbereichs bereits eingerichtet, verwenden aber weiterhin AD zur Verwaltung der Hostingumgebung. Wenn Sie Azure Files als Speicher für Benutzerprofile verwenden und sich ein Benutzer bei der virtuellen Sitzung anmeldet, wird nur das Profil des authentifizierten Benutzers aus Azure Files geladen. Sie müssen keinen separaten Domänendienst einrichten, um die Steuerung des Speicherzugriffs für Ihre VDI-Umgebung zu verwalten. Azure Files ist eine serverlose Dateispeicherlösung zum Hosten von Benutzerprofildaten, die besser als andere Dienste skaliert werden kann und kostengünstiger ist. Weitere Informationen zur Verwendung von Azure Files für Szenarios, in denen Windows Virtual Desktop verwendet wird, finden Sie in diesem Artikel.

Neuerungen

Im Folgenden werden die wichtigsten Funktionen zusammengefasst, die mit der Vorschauversion eingeführt wurden:

  • Aktivieren der AD/AD DS-Authentifizierung, um Zugriff auf SMB zu erhalten: Sie können Azure Files über mit AD-Domänen verknüpfte Computer entweder lokal oder in Azure mithilfe von AD-Anmeldeinformationen einbinden. Azure Files unterstützt die Verwendung von AD als Verzeichnisdienst für die identitätsbasierte Zugriffssteuerung – sowohl im Standard- als auch im Premium-Tarif. Sie können die AD-Authentifizierung für selbstverwaltete oder über die Azure-Dateisynchronisierung verwaltete Dateifreigaben aktivieren.
  • Erzwingen von Berechtigungen auf Freigabe-, Verzeichnis- oder Dateiebene: Die bestehende Zugriffssteuerung wird weiterhin für Dateifreigaben erzwungen, für die die AD-Authentifizierung aktiviert ist. Sie können die RBAC für die Verwaltung von Berechtigungen auf Freigabeebene verwenden und NTFS-DACLs auf Verzeichnis- und Dateiebene beibehalten oder mithilfe des Windows-Datei-Explorers und des Tools icacls konfigurieren.
  • Unterstützen der Dateimigration vom lokalen Standort mithilfe der ACL-Persistenz über die Azure-Dateisynchronisierung: Die Azure-Dateisynchronisierung unterstützt jetzt die Persistenz von ACLs in Azure Files im nativen NTFS-DACL-Format. Sie können die Azure-Dateisynchronisierung verwenden, die eine nahtlose Migration von lokalen Windows-Dateiservern zu Azure Files bietet. Vorhandene Dateien und Verzeichnisse, die über die Azure-Dateisynchronisierung in Azure Files ausgelagert wurden, verfügen über ACLs, deren natives Format beibehalten wurde.

Machen Sie die ersten Schritte, und teilen Sie uns Ihre Erfahrungen mit.

Sie können eine Dateifreigabe in den von der Vorschauversion unterstützten Regionen erstellen und die Authentifizierung über Ihre AD-Umgebung aktivieren, die lokal oder in Azure ausgeführt wird. Hier finden Sie die Links zu ausführlichen Dokumentationsanleitungen zu den Features und deren Aktivierung.

Wie immer können Sie Ihr Feedback und Ihre Erfahrungen per E-Mail an azurefiles@microsoft.com senden. Hinterlassen Sie Ihre Ideen und Vorschläge zu Azure Storage in unserem Feedbackforum.