Préversion de la prise en charge de l’authentification Active Directory sur Azure Files

Publié le 24 février, 2020

Program Manager, Azure Storage
Mise à jour du 15 juin 2020 : L’authentification Azure Files AD DS a été publiée en disponibilité générale le 11 juin 2020. Pour plus d’informations, consultez ce billet de blog

Nous sommes ravis d’annoncer la préversion de l’authentification Azure Files Active Directory (AD). Vous pouvez maintenant monter votre instance Azure Files à l’aide d’informations d’identification AD avec exactement la même expérience de contrôle d’accès qu’en local. Vous pouvez tirer parti d’un service de domaine Active Directory (AD DS) hébergé localement ou sur Azure pour l’authentification de l’accès des utilisateurs à Azure Files pour les niveaux Premium et Standard. La gestion des autorisations de fichiers est également simple. Tant que vos identités Active Directory sont synchronisées avec Azure AD, vous pouvez continuer à gérer l’autorisation au niveau du partage via le contrôle d’accès en fonction du rôle (RBAC) standard. Pour les autorisations au niveau des répertoires et des fichiers, configurez tout simplement des listes de contrôle d’accès Windows (listes de contrôle d’accès discrétionnaires NTFS) à l’aide de l’Explorateur de fichiers Windows comme tout partage de fichiers normal. Comme la plupart des utilisateurs, vous avez peut-être déjà synchronisé l’instance Active Directory locale avec Azure AD dans le cadre de l’adoption d’Office 365 ou d’Azure et êtes prêts à tirer parti de cette nouvelle fonctionnalité dès aujourd’hui.

Lorsqu’une migration des serveurs de fichiers vers le cloud est envisagée, les utilisateurs décident généralement de conserver l’infrastructure Active Directory existante et de déplacer les données en premier. Avec cette préversion, nous avons fait en sorte qu’Azure Files fonctionne de façon fluide avec des instances Active Directory existantes sans aucune modification dans l’environnement client. Vous pouvez vous connecter à une machine Active Directory jointe à un domaine et accéder au partage de fichiers Azure avec une expérience d’authentification unique. Par ailleurs, vous pouvez conserver toutes les listes de contrôle d’accès discrétionnaires NTFS existantes qui ont été configurées dans des répertoires et des fichiers au fil des ans et continuer à les appliquer comme avant. Migrez simplement vos fichiers avec des listes de contrôle d’accès en utilisant des outils courants tels que la copie de fichiers robuste (robocopy) ou orchestrez la hiérarchisation des serveurs de fichiers Windows locaux vers Azure Files avec Azure File Sync. Nous avons également publié une vidéo qui vous guide tout au long de l’installation de bout en bout lors du remplacement d’un serveur local par Azure Files, incluant notamment l’authentification Active Directory.

Avec l’authentification AD, Azure Files a tous les atouts pour servir de solution de stockage pour les profils utilisateur VDI (Virtual Desktop Infrastructure). La plupart du temps, vous avez configuré l’environnement VDI avec Windows Virtual Desktop en tant qu’extension de votre espace de travail local, tout en continuant à utiliser Active Directory pour gérer l’environnement d’hébergement. En utilisant Azure Files comme stockage de profil utilisateur, lorsqu’un utilisateur se connecte à la session virtuelle, seul le profil de l’utilisateur authentifié est chargé à partir d’Azure Files. Vous n’avez pas besoin de configurer un service de domaine distinct pour gérer l’expérience de contrôle d’accès au stockage pour votre environnement VDI. Azure Files vous offre la solution de stockage de fichiers la plus scalable, économique et serverless pour l’hébergement des données de profil utilisateur. Pour en savoir plus sur l’utilisation d’Azure Files dans le cadre de scénarios Windows Virtual Desktop, consultez cet article.

Nouveautés

Voici un résumé des principales fonctionnalités introduites dans la préversion :

  • Activez l’authentification Active Directory (AD/AD DS) pour l’accès SMB (Server Message Block). Vous pouvez monter Azure Files à partir de machines Active Directory jointes à un domaine localement ou sur Azure à l’aide d’informations d’identification Active Directory. Azure Files prend en charge l’utilisation d’Active Directory en tant que service de répertoire pour l’expérience de contrôle d’accès en fonction de l’identité pour les niveaux Premium et Standard. Vous pouvez activer l’authentification Active Directory sur des partages de fichiers gérés par Azure File Sync ou autogérés.
  • Appliquez l’autorisation au niveau du partage ou du répertoire/fichier. L’expérience de contrôle d’accès existante continue à être appliquée pour les partages de fichiers activés pour l’authentification Active Directory. Vous pouvez tirer parti du contrôle d’accès en fonction du rôle (RBAC) pour la gestion des autorisations au niveau du partage, puis conserver ou configurer des listes de contrôle d’accès discrétionnaires NTFS au niveau du répertoire ou du fichier à l’aide de l’Explorateur de fichiers Windows et des outils icacls.
  • Prenez en charge la migration de fichiers depuis un emplacement local avec la persistance des listes de contrôle d’accès sur Azure File Sync. Azure File Sync prend à présent en charge la persistance des listes de contrôle d’accès sur Azure Files au format DACL NTFS natif. Vous pouvez choisir d’utiliser Azure File Sync pour une migration fluide des serveurs de fichiers Windows locaux vers Azure Files. Les répertoires et fichiers existants hiérarchisés dans Azure Files via Azure File Sync ont des listes de contrôle d’accès persistantes au format natif.

Lancez-vous et partagez vos expériences

Vous pouvez créer un partage de fichiers dans les régions prises en charge lors de la préversion et activer l’authentification avec votre environnement Active Directory exécuté en local ou sur Azure. Voici des liens vers des conseils détaillés sur les fonctionnalités et des instructions pas à pas.

Comme toujours, vous pouvez partager vos commentaires et votre expérience par e-mail à l’adresse azurefiles@microsoft.com. Postez vos idées et suggestions concernant Stockage Azure sur le forum de commentaires.