Une sécurité optimale avec une expérience de contrôle d’accès améliorée dans Azure Files

Publié le 7 août, 2019

Program Manager, Azure Storage

Nous facilitons la migration « lift-and-shift » des applications vers le cloud pour les clients tout en conservant le même modèle de sécurité que celui utilisé localement avec la disponibilité générale de l’authentification Azure Active Directory Domain Services (Azure AD DS) pour Azure Files. En intégrant Azure AD DS, vous pouvez monter votre partage de fichiers Azure via SMB en utilisant des informations d’identification Azure Active Directory (Azure AD) provenant de machines virtuelles Windows associées au domaine Azure AD DS et incluant des listes de contrôle d’accès NTFS.

RefreshedDiagram-v2

L’authentification Azure AD DS pour Azure Files permet aux utilisateurs de spécifier des autorisations granulaires sur les partages, les fichiers et les dossiers. Elle débloque les cas d’usage courants tels que les scénarios d'écriture unique et de lecture multiple pour vos applications métiers. Dans la mesure où l’expérience de mise en œuvre et d’affectation des autorisations de fichiers correspond à celle de NTFS, il est aussi simple de transférer votre application dans Azure que de la déplacer vers un nouveau serveur de fichiers SMB. Cela fait d’Azure Files une solution de stockage partagé idéale pour les services basés sur le cloud. Par exemple, Windows Virtual Desktop recommande d’utiliser Azure Files pour héberger différents profils d’utilisateurs et tirer parti de l’authentification Azure AD DS pour le contrôle d’accès.

Étant donné qu’Azure Files applique de façon stricte des listes de contrôle d’accès discrétionnaires (DACL) NTFS, vous pouvez utiliser des outils bien connus tels que Robocopy pour déplacer les données vers un partage de fichiers Azure en conservant tous vos contrôles de sécurité importants. Les listes de contrôle d’accès Azure Files sont également capturées dans des instantanés de partage de fichiers Azure dans le cadre de scénarios de sauvegarde et récupération d’urgence. Cela garantit que les listes de contrôle d’accès aux fichiers sont préservées lors de la récupération des données à l’aide de services tels que Sauvegarde Azure, qui exploite les instantanés de fichiers.

Suivez les instructions pas à pas pour commencer sans tarder. Pour mieux comprendre les avantages et les fonctionnalités, vous pouvez consulter notre aperçu de l’authentification Azure AD DS pour Azure Files.

Nouveautés de la disponibilité générale

En fonction de vos commentaires, plusieurs nouvelles fonctionnalités peuvent être partagées depuis la préversion :

Intégration transparente avec l’Explorateur de fichiers Windows lors des affectations d’autorisations : Lorsque nous avons présenté cette fonctionnalité lors du Microsoft Ignite 2018, nous avons montré le changement et l’affichage d’autorisations avec un outil de ligne de commande Windows appelé icacls. Il y avait clairement des défis parce qu’icacls n’est pas facile à détecter et n’est pas non plus cohérent avec le comportement courant des utilisateurs. Depuis la disponibilité générale, vous pouvez afficher ou modifier les autorisations d’un fichier ou d’un dossier avec l’Explorateur de fichiers Windows, comme pour n’importe quel partage de fichiers standard.

Intégration à l’Explorateur de fichiers Windows lors de l’affectation d’autorisations

Nouveaux contrôles d’accès intégrés basés sur les rôles pour simplifier la gestion des accès au niveau des partages : Pour simplifier la gestion des accès au niveau des partages, nous avons introduit trois nouveaux contrôles d’accès intégrés basés sur les rôles : Contributeur élevé de partage SMB de données de fichier de stockage, Collaborateur et Lecteur. Au lieu de créer des rôles personnalisés, vous pouvez utiliser les rôles intégrés pour l’octroi d’autorisations de niveau de partage pour l’accès SMB à Azure Files.

Quels sont les fonctionnalités à venir en matière d’expérience du contrôle d’accès Azure Files ?

La prise en charge de l’authentification avec Azure Active Directory Domain Services est particulièrement utile dans le cadre de scénarios de migration de type « lift and shift », mais Azure Files peut vous aider à déplacer tous les partages de fichiers en local, qu’ils fournissent du stockage pour une application ou pour les utilisateurs finaux. Notre équipe travaille à étendre la prise en charge de l’authentification à Windows Server Active Directory (Windows Server AD) hébergé en local ou dans le cloud. Si vous avez besoin d'une solution Azure Files avec authentification Windows Server AD dès aujourd'hui, vous pouvez envisager d'installer Azure File Sync sur vos serveur de fichiers Windows où l'intégration Windows Server AD est totalement prise en charge.

Si vous êtes intéressé par les mises à jour futures relatives à l’Authentification Active Directory Azure Files, inscrivez-vous dès aujourd’hui. Pour des commentaires généraux sur Azure Files, contactez-nous par e-mail à AzureFiles@microsoft.com.