Höhere Sicherheit durch verbesserte Zugriffssteuerung in Azure Files

Veröffentlicht am 7 August, 2019

Program Manager, Azure Storage

Mit der allgemeinen Verfügbarkeit der Azure Active Directory Domain Services-Authentifizierung (Azure AD DS) für Azure Files vereinfacht sich für unsere Kunden ein „Lift & Shift“ von Anwendungen in die Cloud. Gleichzeitig bleibt das vertraute Sicherheitsmodell, das sie bereits lokal verwenden, weiterhin verfügbar. Durch die Integration von Azure AD DS können Sie Ihre Azure-Dateifreigabe über SMB einbinden und dazu Azure Active Directory-Anmeldeinformationen (Azure AD) von virtuellen Windows-Computern (VMs), die in Azure AD DS-Domänen eingebunden sind, nutzen und dabei Ihre NTFS-Zugriffssteuerungslisten (ACLs) erzwingen.

RefreshedDiagram-v2

Über die Azure AD DS-Authentifizierung für Azure Files können Benutzer sehr präzise Berechtigungen für Freigaben, Dateien und Ordner angeben. Dieser Ansatz ermöglicht viele bisher nicht verfügbare Anwendungsfälle wie Szenarien mit einem Schreiber und mehreren Lesern für Ihre Branchenanwendungen. Da die Umgebung zum Zuweisen und Erzwingen von Dateiberechtigungen der von NTFS entspricht, umfasst das Lift & Shift Ihrer Anwendungen zu Azure einfach nur das Verschieben auf einen anderen SMB-Dateiserver. Azure Files wird damit zur perfekten Speicherlösung für cloudbasierte Dienste. So empfiehlt Windows Virtual Desktop z. B. die Verwendung von Azure Files für das Hosten unterschiedlicher Benutzerprofile und die Verwendung der Azure AD DS-Authentifizierung für die Zugriffssteuerung.

Da Azure Files strikt die Verwendung von NTFS-DACLs (Discretionary Access Control Lists) erzwingt, können Sie vertraute Tools wie Robocopy verwenden, um Daten unter Beibehaltung aller wichtigen Sicherheitssteuerungen in eine Azure-Dateifreigabe zu verschieben. Die Zugriffssteuerungslisten für Azure Files werden auch in Momentaufnahmen von Azure-Dateifreigaben erfasst und stehen damit für Szenarien zur Sicherung und Notfallwiederherstellung zur Verfügung. Damit können Sie sicherstellen, dass die Zugriffssteuerungslisten für Dateien auch bei einer Datenwiederherstellung mithilfe von Diensten wie Azure Backup, die Dateimomentaufnahmen nutzen, erhalten bleiben.

Anhand dieser Schrittanleitung können Sie noch heute einsteigen. Wenn Sie mehr über die Vorteile und Möglichkeiten erfahren möchten, sehen Sie sich die Übersicht über die Azure AD DS-Authentifizierung für Azure Files an.

Neuigkeiten mit der allgemeinen Verfügbarkeit

Wir haben basierend auf Ihrem Feedback seit der Vorschauversion eine ganze Reihe neuer Funktionen eingeführt:

Nahtlose Integration mit Windows-Datei-Explorer bei Berechtigungszuweisungen: Bei der Demonstration dieser Funktion auf der Microsoft Ignite 2018 haben wir das Ändern und Anzeigen von Berechtigungen mit dem Windows-Befehlszeilentool icacls vorgeführt. Es gilt sicherlich noch einige Herausforderungen zu meistern, da icacls nicht so einfach zu erlernen ist und auch vom gewohnten Benutzerverhalten abweicht. Mit Einführung der allgemeinen Verfügbarkeit können Sie die Berechtigungen einer Datei oder eines Ordners wie bei normalen Dateifreigaben im Windows-Datei-Explorer anzeigen und ändern.

Integration mit Windows-Datei-Explorer bei der Berechtigungszuweisung

Neue integrierte Funktionen zur rollenbasierten Zugriffssteuerung für eine einfachere Zugriffsverwaltung auf Freigabeebene: Wir haben drei neue integrierte Optionen für die rollenbasierte Zugriffssteuerung – Storage File Data SMB Share Elevated Contributor (Speicherdateidaten-SMB-Freigabemitwirkender mit erhöhten Rechten), Mitwirkender und Leser– eingeführt, um die Verwaltung des Zugriffs auf Ebene der Freigabe zu vereinfachen. Anstatt benutzerdefinierte Rollen zu erstellen, können Sie mithilfe der integrierten Rollen Berechtigungen für den SMB-Zugriff auf Freigabeebene für Azure Files gewähren.

Wie geht es weiter mit der Zugriffssteuerung in Azure Files?

Die Unterstützung der Authentifizierung mit Azure Active Directory Domain Services bietet sich besonders für Lift & Shift-Szenarien an, Azure Files kann aber dabei helfen, sämtliche lokale Dateifreigaben zu verschieben – unabhängig davon, ob sie Speicher für eine Anwendung oder für Endbenutzer bereitstellen. Unser Team arbeitet an der Erweiterung der Authentifizierungsunterstützung für Windows Server Active Directory (Windows Server AD), die lokal oder in der Cloud gehostet werden kann. Wenn Sie heute eine Azure Files-Lösung mit Windows Server AD-Authentifizierung benötigen, können Sie die Azure-Dateisynchronisierung auf Ihren Windows-Dateiservern installieren. Dort wird die Integration von Windows Server AD vollständig unterstützt.

Wenn Sie bei zukünftigen Updates bei der Active Directory-Authentifizierung für Azure Files auf dem Laufenden bleiben möchten, registrieren Sie sich gleich heute. Allgemeines Feedback zu Azure Files können Sie uns per E-Mail unter AzureFiles@microsoft.com zukommen lassen.