Condividi tramite


Panoramica dell'autenticazione basata su identità di File di Azure per l'accesso SMB

Questo articolo illustra come utilizzare l'autenticazione basata su identità, in locale o in Azure, per abilitare l'accesso basato su identità alle condivisioni file di Azure tramite SMB. Proprio come per i file server Windows, è possibile concedere autorizzazioni a un'identità a livello di condivisione, directory o file. Non sono previsti costi aggiuntivi per abilitare l'autenticazione basata su identità nel proprio account di archiviazione.

L'autenticazione basata su identità non è attualmente supportata per le condivisioni NFS (Network File System). Tuttavia, è disponibile tramite SMB per i client Linux e Windows.

Per motivi di sicurezza, è consigliabile usare l'autenticazione basata su identità per accedere alle condivisioni file anziché usare la chiave dell'account di archiviazione.

Importante

Non condividere mai le chiavi dell'account di archiviazione. Usare invece l'autenticazione basata su identità.

Si applica a

Modello di gestione Modello di fatturazione Livello supporti Ridondanza Piccole e Medie Imprese (PMI) NFS
Microsoft.Storage Con provisioning v2 HDD (standard) Locale Sì No
Microsoft.Storage Con provisioning v2 HDD (standard) Della zona Sì No
Microsoft.Storage Con provisioning v2 HDD (standard) Geografica Sì No
Microsoft.Storage Con provisioning v2 HDD (standard) GeoZone (GZRS) Sì No
Microsoft.Storage Con provisioning v1 SSD (Premium) Locale Sì No
Microsoft.Storage Con provisioning v1 SSD (Premium) Della zona Sì No
Microsoft.Storage Pagamento in base al consumo HDD (standard) Locale Sì No
Microsoft.Storage Pagamento in base al consumo HDD (standard) Della zona Sì No
Microsoft.Storage Pagamento in base al consumo HDD (standard) Geografica Sì No
Microsoft.Storage Pagamento in base al consumo HDD (standard) GeoZone (GZRS) Sì No

Funzionamento

Le condivisioni file di Azure usano il protocollo Kerberos per l'autenticazione con un'origine di identità. Quando un'identità associata a un utente o a un'applicazione in esecuzione in un client tenta di accedere ai dati nelle condivisioni file di Azure, la richiesta viene inviata all'origine dell'identità per autenticarla. Se l'autenticazione ha esito positivo, l'origine identità restituisce un ticket Kerberos. Il client invia quindi una richiesta che include il ticket Kerberos, e File di Azure usa tale ticket per autorizzare la richiesta. Il servizio File di Azure riceve solo il ticket Kerberos, non le credenziali di accesso dell'utente.

Casi d'uso comuni

L'autenticazione basata su identità con condivisioni file SMB di Azure può essere utile in diversi scenari:

Sostituire i file server locali

La sostituzione dei file server locali sparsi è una sfida che ogni organizzazione deve affrontare durante il percorso di modernizzazione IT. L'uso dell'autenticazione basata su identità con File di Azure offre un'esperienza di migrazione senza problemi, consentendo agli utenti finali di continuare ad accedere ai propri dati con le stesse credenziali.

Migrazione in modalità lift and shift delle applicazioni in Azure

Quando si esegue la migrazione in modalità lift and shift delle applicazioni nel cloud, è probabile che si voglia mantenere lo stesso modello di autenticazione per l'accesso alle condivisioni file. L'autenticazione basata su identità elimina la necessità di modificare il servizio di directory, accelerando l'adozione del cloud.

Backup e ripristino di emergenza (DR)

Se si mantiene l'archiviazione file primaria in locale, File di Azure rappresenta una soluzione ideale per backup e ripristino di emergenza (DR), migliorando la continuità aziendale. È possibile usare condivisioni file di Azure per eseguire il backup dei server file mantenendo gli elenchi di controllo di accesso discrezionali (DACL) di Windows. Per gli scenari di ripristino di emergenza è possibile configurare un'opzione di autenticazione per supportare l'applicazione corretta del controllo di accesso in caso di failover.

Scegliere un'origine di identità per l'account di archiviazione

Prima di abilitare l'autenticazione basata su identità nell'account di archiviazione, è necessario conoscere l'origine delle identità che si intende usare. È probabile che ne sia già disponibile una, perché la maggior parte delle aziende e delle organizzazioni dispone di un qualche tipo di ambiente di dominio configurato. Consultare Active Directory (AD) o l'amministratore IT per avere conferma. Se non si dispone già di un'origine delle identità, sarà necessario configurarne una prima di poter abilitare l'autenticazione basata su identità.

Scenari di autenticazione supportati

È possibile abilitare l'autenticazione basata su identità tramite SMB usando una delle tre origini identità: Active Directory Domain Services (AD DS) locale, Microsoft Entra Domain Services o Microsoft Entra Kerberos (solo identità ibride). È possibile usare una sola origine identità per l'autenticazione di accesso ai file per ogni account di archiviazione, e questa si applica a tutte le condivisioni file nell'account.

  • Active Directory Domain Services locale: i client e le macchine virtuali (VM) di Active Directory Domain Services locali possono accedere alle condivisioni file di Azure con credenziali di Active Directory locali. L'ambiente di Active Directory Domain Services locale deve essere sincronizzato con Microsoft Entra ID usando l'applicazione Microsoft Entra Connect locale o la sincronizzazione cloud di Microsoft Entra Connect, un agente leggero che può essere installato dall'interfaccia di amministrazione di Microsoft Entra. Per usare questo metodo di autenticazione, il client deve essere aggiunto a un dominio o disporre di connettività di rete senza restrizioni all'Active Directory Domain Services. Vedere l'elenco completo dei prerequisiti.

  • Microsoft Entra Kerberos per identità ibride: è possibile usare Microsoft Entra ID per autenticare le identità utente ibride, consentendo agli utenti finali di accedere alle condivisioni file di Azure senza richiedere la connettività di rete ai controller di dominio. Questa opzione richiede una distribuzione di Active Directory Domain Services esistente, che viene sincronizzata con il tenant di Microsoft Entra in modo che Microsoft Entra ID possa autenticare le identità ibride. Le identità solo cloud non sono attualmente supportate con questo metodo. Vedere l'elenco completo dei prerequisiti.

  • Microsoft Entra Domain Services: le macchine virtuali basate sul cloud aggiunte a Microsoft Entra Domain Services possono accedere alle condivisioni file di Azure con le credenziali di Microsoft Entra. In questa soluzione, Microsoft Entra ID gestisce un dominio Windows Server AD tradizionale che è un dominio figlio del tenant Microsoft Entra del cliente. Microsoft Entra Domain Services è attualmente l'unica opzione disponibile per l'autenticazione delle identità solo cloud. Vedere l'elenco completo dei prerequisiti.

Usare le seguenti linee guida per determinare l'origine identità da scegliere.

  • Se l'organizzazione dispone già di una Active Directory locale e non è pronta a spostare le identità nel cloud e se i client, le macchine virtuali e le applicazioni sono aggiunti a un dominio o hanno una connettività di rete libera verso i controller di dominio, scegliere Active Directory Domain Services.

  • Se alcuni o tutti i client non hanno connettività di rete libera al proprio Active Directory Domain Services o se si archiviano profili FSLogix su condivisioni file di Azure per macchine virtuali aggiunte a Microsoft Entra, selezionare Microsoft Entra Kerberos.

  • Se si dispone di un Active Directory locale esistente ma si prevede di spostare le applicazioni nel cloud e si vuole che le identità siano presenti sia in locale che nel cloud, scegliere Microsoft Entra Kerberos.

  • Se non si dispone di un'origine di identità esistente, se è necessario autenticare le identità solo cloud o se si usa già Microsoft Entra Domain Services, scegliere Microsoft Entra Domain Services. Se non è già stato distribuito un servizio di dominio in Azure, nella fatturazione di Azure verrà addebitato un nuovo costo per questo servizio.

Abilitare un'origine di identità

Dopo aver scelto un'origine di identità, è necessario abilitarla nell'account di archiviazione.

Servizi di dominio Active Directory

Per l'autenticazione di Active Directory Domain Services, è possibile ospitare i controller di dominio di Active Directory nelle macchine virtuali di Azure o in locale. In entrambi i casi, i client devono avere connettività di rete senza impedimenti al controller di dominio, quindi devono trovarsi all'interno della rete aziendale o della rete virtuale (VNET) del servizio di dominio. È consigliabile aggiungere al dominio i computer client o le macchine virtuali in modo che gli utenti non devono fornire credenziali esplicite ogni volta che accedono alla condivisione.

Il diagramma seguente illustra l'autenticazione tramite Active Directory Domain Services locale alle condivisioni file di Azure tramite SMB. L'istanza locale di Active Directory Domain Services deve essere sincronizzata con Microsoft Entra ID tramite Microsoft Entra Connect Sync o Microsoft Entra Connect Sync. Solo le identità utente ibride presenti sia in Active Directory Domain Services locale che in Microsoft Entra ID possono essere autenticate e autorizzate per l'accesso alle condivisioni file di Azure. Ciò è dovuto al fatto che l'autorizzazione a livello di condivisione è configurata sull'identità rappresentata in Microsoft Entra ID, mentre l'autorizzazione a livello di directory/file viene applicata con quella presente in Active Directory Domain Services. Assicurarsi di configurare correttamente le autorizzazioni per lo stesso utente ibrido.

Diagramma che illustra l'autenticazione da Active Directory Domain Services locale alle condivisioni file di Azure tramite SMB.

Per abilitare l'autenticazione di Active Directory Domain Services, leggere prima di tutto Panoramica - Autenticazione di Active Directory Domain Services locale tramite SMB per condivisioni file di Azure e quindi vedere Abilitare l'autenticazione di Active Directory Domain Services per le condivisioni file di Azure.

Microsoft Entra Kerberos per le identità ibride

Abilitazione e configurazione di Microsoft Entra ID per l'autenticazione di identità ibride degli utenti consente agli utenti di Microsoft Entra di accedere alle condivisioni file di Azure usando l'autenticazione Kerberos. Questa configurazione usa Microsoft Entra ID per emettere i ticket Kerberos necessari ad accedere alla condivisione file con il protocollo standard di settore SMB. Ciò significa che gli utenti finali possono accedere alle condivisioni file di Azure senza richiedere la connettività di rete ai controller di dominio da macchine virtuali aggiunte a Microsoft Entra ibride e Microsoft Entra. Tuttavia, la configurazione delle autorizzazioni a livello di directory e file per utenti e gruppi richiede la connettività di rete non implementata al controller di dominio locale.

Importante

Microsoft Entra Kerberos supporta esclusivamente l'autenticazione per identità ibride; non è compatibile con identità solo cloud. È necessaria una distribuzione tradizionale di Active Directory Domain Services, che deve essere sincronizzata con Microsoft Entra ID tramite Microsoft Entra Connect Sync o Microsoft Entra Connect Cloud Sync. I client devono essere aggiunti a Microsoft Entra o a Microsoft Entra ibrido. Microsoft Entra Kerberos non è supportato sui client aggiunti a Microsoft Entra Domain Services o solo ad Active Directory.

Diagramma di configurazione per l'autenticazione Microsoft Entra Kerberos per identità ibride tramite SMB.

Per abilitare l'autenticazione Kerberos di Microsoft Entra per le identità ibride, vedere Abilitare l'autenticazione Kerberos di Microsoft Entra per le identità ibride in File di Azure.

È anche possibile usare questa funzionalità per archiviare i profili FSLogix su condivisioni file di Azure per le macchine virtuali aggiunte a Microsoft Entra. Per altre informazioni, vedere Creare un contenitore di profili con File di Azure e Microsoft Entra ID.

Servizi di dominio Microsoft Entra

Per l'autenticazione con Microsoft Entra Domain Services, è necessario abilitare Microsoft Entra Domain Services e aggiungere ai domini le macchine virtuali da cui si prevede di accedere ai dati dei file. La macchina virtuale aggiunta al dominio deve risiedere nella stessa rete virtuale del dominio ospitato in Microsoft Entra Domain Services.

Il diagramma seguente illustra il flusso di lavoro per l'autenticazione tramite Microsoft Entra Domain Services alle condivisioni file di Azure su SMB. Segue un modello simile all'autenticazione di Active Directory Domain Services locale, ma con due differenze principali:

  • Non è necessario creare un'identità in Microsoft Entra Domain Services per rappresentare l'account di archiviazione. Questa operazione viene eseguita in background dal processo di abilitazione.

  • Tutti gli utenti presenti in Microsoft Entra ID possono essere autenticati e autorizzati. Gli utenti possono essere solo cloud o ibridi. La sincronizzazione da Microsoft Entra ID a Microsoft Entra Domain Services è gestita dalla piattaforma senza richiedere alcuna configurazione da parte dell'utente. Tuttavia, il client deve essere aggiunto al dominio gestito da Microsoft Entra Domain Services. Non può essere registrato o aggiunto a Microsoft Entra. Microsoft Entra Domain Services non supporta i client non Azure (ad esempio portatili utente, workstation, macchine virtuali in altri cloud e così via) aggiunti al dominio ospitato da Microsoft Entra Domain Services. Tuttavia, è possibile montare una condivisione file da un client non aggiunto al dominio specificando credenziali esplicite come NOMEDOMINIO\nomeutente o usando il nome di dominio completo (nomeutente@FQDN).

Diagramma di configurazione per l'autenticazione con Microsoft Entra Domain Services per File di Azure tramite SMB.

Per abilitare l'autenticazione con Microsoft Entra Domain Services, vedere Abilitare l'autenticazione con Microsoft Entra Domain Services in File di Azure.

Glossario

È utile comprendere alcuni termini chiave relativi all'autenticazione basata su identità per le condivisioni file di Azure:

  • Autenticazione Kerberos

    Kerberos è un protocollo di autenticazione usato per verificare l'identità di un utente o di un host. Per altre informazioni su Kerberos, vedere Panoramica dell'autenticazione Kerberos.

  • Protocollo Server Message Block (SMB)

    SMB è un protocollo standard di settore per la condivisione dei file in rete. Per altre informazioni su SMB, vedere Protocollo SMB di Microsoft e panoramica del protocollo CIFS.

  • Microsoft Entra ID

    Microsoft Entra ID (in precedenza Azure AD) è il servizio di gestione delle identità e delle directory multi-tenant basato sul cloud di Microsoft. Microsoft Entra ID integra servizi di directory fondamentali, gestione degli accessi alle applicazioni e protezione delle identità in un'unica soluzione.

  • Servizi di dominio Microsoft Entra

    Microsoft Entra Domain Services offre servizi di dominio gestiti come l'aggiunta a un dominio, criteri di gruppo, LDAP e autenticazione Kerberos/NTLM. Questi servizi sono completamente compatibili con Active Directory Domain Services. Per altre informazioni, vedere Microsoft Entra Domain Services.

  • Active Directory Domain Services (AD DS) locale

    Active Directory Domain Services viene comunemente adottato dalle aziende in ambienti locali o su macchine virtuali ospitate nel cloud, e le credenziali di Active Directory Domain Services vengono usate per il controllo di accesso. Per altre informazioni, vedere Panoramica dei Servizi di dominio Active Directory.

  • Identità ibride

    Le identità utente ibride sono identità in Active Directory Domain Services sincronizzate con Microsoft Entra ID tramite l'applicazione locale Microsoft Entra Connect Sync o Microsoft Entra Connect Cloud Sync, un agente leggero che può essere installato dall'interfaccia di amministrazione di Microsoft Entra.

Passaggio successivo