Come possiamo aiutarvi oggi?
Opzioni di archiviazione file di Azure
Panoramica
MyWorkDrive Server 7 o versione successiva supporta la connessione alle condivisioni file di Azure e all'archiviazione BLOB di Azure tramite l'API Rest con l'autenticazione Azure AD (Entra ID). Archiviazione di Azure viene in genere distribuito insieme a una macchina virtuale MyWorkDrive distribuita in Azure.
Con Archiviazione di Azure, per le condivisioni file standard viene addebitato solo lo spazio di archiviazione utilizzato, anziché il limite allocato. I prezzi per le condivisioni di file premium si basano sui GiB forniti e includono tutti i costi di transazione. È possibile configurare l'archiviazione di Azure in base alle dimensioni di archiviazione, agli IOPS e ai requisiti di velocità effettiva.
Contenuti
- Panoramica
- Griglia di confronto
- Condivisioni file di Azure/API Rest: ID Entra/Identità gestita (consigliato)
- Condivisioni file di Azure/API Rest: ID Entra
- Condivisioni file di Azure/API Rest: stringa di connessione
- API di archiviazione BLOB/Rest di Azure: ID Entra con Datalake
- API di archiviazione BLOB di Azure/Rest: stringa di connessione
- API di archiviazione BLOB di Azure/Rest: URL SAS
- Condivisioni file di Azure/SMB
- Autenticazione di Active Directory
- Condivisioni file di Azure Passaggi di configurazione di Active Directory MyWorkDrive
- Prerequisiti
- Crea un account di archiviazione
- Crea condivisione file
- Unisci l'account di archiviazione di Azure ad Active Directory
- Abilita l'integrazione di File di Azure con Active Directory
- Assegna autorizzazioni di condivisione
- Assegna autorizzazioni NTFS
- Installa il server MyWorkDrive
- Facoltativamente abilitare MyWorkDrive Azure AD Single Sign-On
- Condivisioni file di Azure Passaggi di configurazione di Active Directory MyWorkDrive
- Autenticazione di Active Directory
Griglia di confronto
Di seguito è disponibile una griglia di confronto delle opzioni di archiviazione di Azure supportate. Per garantire la massima sicurezza, funzionalità e prestazioni, è consigliabile distribuire una macchina virtuale di Azure con identità gestita con autorizzazioni concesse alle condivisioni file di Azure.
L'archiviazione di condivisioni file di Azure a cui si accede nel contesto dell'identità gestita della macchina virtuale del server MyWorkDrive in Azure offre il massimo livello di sicurezza (nessuna informazione di autenticazione viene archiviata nella configurazione del server MyWorkDrive quando viene utilizzata l'identità gestita) e funzionalità inclusa la condivisione di file esterni. Questa opzione richiede che il server MyWorkDrive si trovi in Azure con identità gestita dal sistema abilitata. Inoltre deve essere concessa l’identità gestita della macchina virtuale Azure”Diritti di Collaboratore Privilegiato dei Dati dei File di Archiviazione.
Inizia da creazione di un account di archiviazione di Azure e di una condivisione file di Azure in Azure, quindi concedi la macchina virtuale basata su Azure MyWorkDrive “Diritti di Collaboratore Privilegiato dei Dati dei File di Archiviazione.
Una volta impostati questi prerequisiti, è sufficiente aggiungere l'account di archiviazione di Azure e la condivisione file al pannello di amministrazione del server MyWorkDrive in Integrazioni – Condivisioni file di Azure:
Infine, una volta aggiunta l'archiviazione di Azure alle integrazioni, aggiungere una condivisione utilizzando tale archiviazione e concedere agli utenti Entra ID le autorizzazioni per accedervi (se si preferisce concedere a tutti gli utenti Entra ID o a Tutti Azure AD/Ospiti Entra la condivisione, è possibile utilizzare i nostri gruppi predefiniti "Tutti gli ospiti di Azure AD" o "Tutti i membri di Azure AD" invece di assegnare singoli utenti o gruppi personalizzati).
L'archiviazione di condivisioni file di Azure a cui si accede nel contesto dell'ID Entra dell'utente Azure offre un modo semplice per accedere alle condivisioni file di Azure senza richiedere che il server MyWorkDrive si trovi in Azure come macchina virtuale. Con questa opzione, la condivisione file esterna non è disponibile poiché il server MyWorkDrive non memorizza le credenziali dell'utente né dispone di accesso con identità gestita. Con questa opzione è necessario concedere agli utenti/gruppi Entra ID “Diritti di Collaboratore Privilegiato dei Dati dei File di Archiviazione.
Inizia da creazione di un account di archiviazione di Azure e di una condivisione file di Azure in Azure, quindi concedi l'ID Entra a utenti e gruppi "Diritti di Collaboratore Privilegiato dei Dati dei File di Archiviazione a livello di condivisione file di Azure.
Una volta impostati questi prerequisiti, è sufficiente aggiungere l'account di archiviazione di Azure e la condivisione file al pannello di amministrazione del server MyWorkDrive in Integrazioni – Condivisioni file di Azure:
Infine, una volta aggiunta l'archiviazione di Azure alle integrazioni, aggiungere una condivisione utilizzando tale archiviazione e concedere agli utenti Entra ID le autorizzazioni per accedervi (se si preferisce concedere a tutti gli utenti Entra ID o a Tutti Azure AD/Ospiti Entra la condivisione, è possibile utilizzare i nostri gruppi predefiniti "Tutti gli ospiti di Azure AD" o "Tutti i membri di Azure AD" invece di assegnare singoli utenti o gruppi personalizzati.
L'archiviazione di condivisioni file di Azure a cui si accede tramite la stringa di connessione di archiviazione fornisce un modo più semplice per aggiungere connettività a un server MyWorkDrive all'API Condivisioni file di Azure tramite Rest. Quando si usa la stringa di connessione di archiviazione di Azure, non è necessario che il server MyWorkDrive si trovi in Azure (tuttavia le prestazioni verranno influenzate in base alla connettività di rete tra Azure e il server MyWorkDrive). Inoltre, una copia crittografata della stringa di connessione dell'account di archiviazione di Azure viene archiviata nel server MyWorkDrive a differenza dell'opzione di identità gestita in cui non viene archiviato nulla nel server MyWorkDrive.
Inizia da creazione di un account di archiviazione di Azure e di una condivisione file di Azure in Azure.
Una volta creato l'account di archiviazione e condivisione file di Azure, è sufficiente aggiungere l'account di archiviazione di Azure e la condivisione file al pannello di amministrazione del server MyWorkDrive in Integrazioni – Condivisioni file di Azure:
Infine, una volta aggiunta l'archiviazione di Azure alle integrazioni, aggiungere una condivisione utilizzando tale archiviazione e concedere agli utenti o ai gruppi Entra ID le autorizzazioni per accedervi (se si preferisce concedere a tutti gli utenti Entra ID o a Tutti gli Azure AD/Ospiti Entra le autorizzazioni per la condivisione, è possibile utilizzare i nostri gruppi predefiniti "Tutti gli ospiti di Azure AD" o "Tutti i membri di Azure AD" invece di assegnare singoli utenti o gruppi personalizzati).
API di archiviazione BLOB/Rest di Azure: ID Entra con Datalake
L'archiviazione BLOB di Azure/l'API Rest con Datalake ha l'ulteriore vantaggio di supportare autorizzazioni a livello di file e cartella oltre agli utenti/gruppi ID Entra configurati sul server MyWorkDrive. Le autorizzazioni devono essere impostate utilizzando Azure Storage Explorer e lo spazio dei nomi gerarchico deve essere abilitato. Inoltre deve essere concessa l’identità gestita della macchina virtuale Azure”diritti di Collaboratore di dati BLOB di archiviazione”. per accedere correttamente a file e cartelle se si desidera la condivisione pubblica di file.
File e cartelle nell'archivio BLOB di Azure vengono visualizzati in base all'utente/gruppo ID Entra configurato nella condivisione server MyWorkDrive e sono accessibili nel contesto dell'utente ID Entra. Questa opzione fornisce un ulteriore livello di sicurezza poiché richiede che l'utente Entra ID disponga dell'autorizzazione per l'archiviazione BLOB oltre all'accesso al server MyWorkDrive.
Inizia da creazione di un account di archiviazione di Azure e di un archivio BLOB di Azure con Datalake, Gen2 e spazio dei nomi gerarchico abilitato, quindi concedi la macchina virtuale basata su Azure MyWorkDrive “diritti di Collaboratore di dati BLOB di archiviazione”. per accedere correttamente a file e cartelle se si desidera la condivisione pubblica di file. Finalmente, concedere autorizzazioni a singoli utenti/gruppi ID Entra per l'archiviazione BLOB di Azure utilizzando Azure Storage Explorer.
Una volta impostati questi prerequisiti, è sufficiente aggiungere l'account di archiviazione di Azure e il BLOB al pannello di amministrazione del server MyWorkDrive in Integrazioni – Archiviazione BLOB di Azure:
Infine, una volta aggiunta l'archiviazione di Azure alle integrazioni, aggiungere una condivisione utilizzando tale archiviazione e concedere agli utenti Entra ID le autorizzazioni per accedervi (se si preferisce concedere a tutti gli utenti Entra ID o a Tutti Azure AD/Ospiti Entra la condivisione, è possibile utilizzare i nostri gruppi predefiniti "Tutti gli ospiti di Azure AD" o "Tutti i membri di Azure AD" invece di assegnare singoli utenti o gruppi personalizzati.
API di archiviazione BLOB di Azure/Rest: stringa di connessione
L'archiviazione BLOB di Azure a cui si accede tramite la stringa di connessione di archiviazione fornisce un modo più semplice per aggiungere connettività a un server MyWorkDrive all'API di archiviazione BLOB di Azure tramite Rest a livello di account di archiviazione. Quando si usa la stringa di connessione di archiviazione di Azure, non è necessario che il server MyWorkDrive si trovi in Azure (tuttavia le prestazioni verranno influenzate in base alla connettività di rete tra Azure e il server MyWorkDrive). Inoltre, una copia crittografata della stringa di connessione dell'account di archiviazione di Azure viene archiviata nel server MyWorkDrive a differenza dell'opzione di identità gestita in cui non viene archiviato nulla nel server MyWorkDrive.
Inizia da creazione di un account di archiviazione di Azure e di un contenitore BLOB di Azure in Azure.
Una volta creati l'account di archiviazione e il contenitore BLOB di Azure, è sufficiente aggiungere l'account e il contenitore di archiviazione di Azure al pannello di amministrazione del server MyWorkDrive in Integrazioni – Archiviazione BLOB di Azure con la stringa di connessione dell'account di archiviazione:
Infine, una volta aggiunta l'archiviazione di Azure alle integrazioni, aggiungere una condivisione utilizzando tale archiviazione e concedere agli utenti o ai gruppi Entra ID le autorizzazioni per accedervi (se si preferisce concedere a tutti gli utenti Entra ID o a Tutti gli Azure AD/Ospiti Entra le autorizzazioni per la condivisione, è possibile utilizzare i nostri gruppi predefiniti "Tutti gli ospiti di Azure AD" o "Tutti i membri di Azure AD" invece di assegnare singoli utenti o gruppi personalizzati).
API di archiviazione BLOB di Azure/Rest: URL SAS
L'archiviazione BLOB di Azure a cui si accede tramite l'URL SAL di archiviazione fornisce la connettività a un server MyWorkDrive all'API di archiviazione BLOB di Azure tramite Rest con il vantaggio di supportare la connettività a livello di contenitore. Quando si usa la stringa di connessione di archiviazione di Azure, non è necessario che il server MyWorkDrive si trovi in Azure (tuttavia le prestazioni verranno influenzate in base alla connettività di rete tra Azure e il server MyWorkDrive). Inoltre, una copia crittografata della stringa di connessione URL SAS viene archiviata sul server MyWorkDrive a differenza dell'opzione di identità gestita in cui non viene archiviato nulla sul server MyWorkDrive.
Inizia da creazione di un account di archiviazione di Azure e di un contenitore BLOB di Azure in Azure, creare anche una stringa di connessione SAS a livello di account di archiviazione.
Una volta creato il contenitore BLOB di Azure e l'account di archiviazione, è sufficiente aggiungere l'account di archiviazione di Azure e la stringa di connessione SAS a livello di account di archiviazione al pannello di amministrazione del server MyWorkDrive in Integrazioni – Archiviazione BLOB di Azure con il nome dell'account di archiviazione e l'URL SAL:
Infine, una volta aggiunta l'archiviazione di Azure alle integrazioni, aggiungere una condivisione utilizzando tale archiviazione e concedere agli utenti o ai gruppi Entra ID le autorizzazioni per accedervi (se si preferisce concedere a tutti gli utenti Entra ID o a Tutti gli Azure AD/Ospiti Entra le autorizzazioni per la condivisione, è possibile utilizzare i nostri gruppi predefiniti "Tutti gli ospiti di Azure AD" o "Tutti i membri di Azure AD" invece di assegnare singoli utenti o gruppi personalizzati).
Come opzione è disponibile anche la condivisione di file MyWorkDrive tramite protocollo SMB. Viene in genere utilizzato quando il server MyWorkDrive viene distribuito con Active Directory. La distribuzione tramite Condivisioni file di Azure/SMB influisce sulle prestazioni e sulla reattività e richiede l'archiviazione Premium di Condivisioni file di Azure. L'abilitazione di questa opzione richiede inoltre il completamento di una serie di passaggi complessi in Azure e il mantenimento di un'infrastruttura di dominio Active Directory tradizionale. La nostra API Condivisioni file/Rest di Azure potrebbe essere più adatta per l'archiviazione Condivisione file di Azure se utilizzata con il server MyWorkDrive nella maggior parte dei casi.
Le condivisioni file di Azure supportano l'autenticazione tramite Active Directory o tramite Sincronizzazione file di Azure. John Savill fornisce una panoramica dettagliata di Autenticazione dei file di Azure tramite Active Directory qui. In questo articolo presentiamo i passaggi per connettere le condivisioni file di Azure con MyWorkDrive ospitato in Azure, utilizzando l'autenticazione di Active Directory.
Autenticazione di Active Directory
Integrazione di File di Azure con Active Directory utilizzando la tua Il dominio Active Directory è gestito da te, o utilizzando Servizi di dominio di Azure AD è completamente supportato in Azure. Ulteriori informazioni sui vantaggi di Integrazione di File di Azure con Active Directory e segui questo guida passo dopo passo per iniziare a integrare le condivisioni file di Azure con Azure AD Domain Services. Per integrare l'autenticazione delle condivisioni file di Azure con Active Directory locale Segui questi passi.
Con questo metodo, gli utenti possono accedere alle condivisioni file di Azure utilizzando il nome utente e le password di AD DS esistenti archiviati in Active Directory o sincronizzati da Azure AD ai servizi di dominio Azure AD ospitati da Azure. Gli utenti possono anche usare le proprie credenziali di Azure AD quando vengono sincronizzati da Servizi di dominio Active Directory e associati a Integrazione SAML/Single Sign-on di Azure AD di MyWorkDrive.
Per Active Directory locale, i clienti possono eseguire e gestire i propri server Active Directory in Azure come macchina virtuale o connettere una rete di Azure in locale utilizzando un tunnel VPN o Azure ExpressRoute. Per un'autenticazione più rapida, ti consigliamo di posizionare un controller di dominio in Azure sulla stessa rete del server MyWorkDrive o di utilizzare i servizi di dominio Azure AD.
MyWorkDrive ha aggiornato il nostro Immagine di Azure MyWorkDrive nel marketplace per consentirgli di unirsi facilmente a un dominio Windows Active Directory esistente. Ciò accelera ulteriormente il processo di distribuzione.
Video sulla configurazione delle condivisioni file di MyWorkDrive Azure.
Prerequisiti
- Active Directory deve essere sincronizzato con Azure AD (per impostare le autorizzazioni di condivisione).
- Connettività di rete da Azure a un controller di dominio AD (un controller di dominio in esecuzione in Azure o una connessione ExpresseRoute/VPN a un controller di dominio locale) o utilizzando i servizi di dominio Azure AD.
- Server 2019 ospitato in Azure con strumenti RSAT, unito ad Active Directory (usa questo server per gestire le condivisioni file di Azure e aggiungerle al tuo dominio/impostare le autorizzazioni).
- Rete accelerata abilitato sulla macchina virtuale di Azure (non disponibile con tutte le dimensioni della macchina, in genere richiede una serie D con 2 o più vCPU)
- Gruppi di posizionamento di prossimità distribuito per garantire che le risorse di elaborazione siano fisicamente posizionate insieme per prestazioni ottimali.
- Multicanale per PMI abilitato su AzureFiles, se il livello di prestazioni lo supporta.
- Il nome dell'account di archiviazione di Azure non deve superare i 15 caratteri (requisito del nome del computer Active Directory).
Crea un account di archiviazione
Crea un account di archiviazione in un gruppo di risorse nello stesso account Azure che ospita Azure AD. Selezionare le opzioni di ridondanza e prestazioni richieste.
Aggiungere una condivisione file all'account di archiviazione impostando il nome della condivisione e la quota.
Unisci l'account di archiviazione di Azure ad Active Directory
Prima di iniziare, mappa un'unità utilizzando la chiave dell'account di archiviazione: net use: "net use lettera-unità-desiderata: \\storage-account-name.file.core.windows.net\share-name storage-account-key/user :Azure\storage-account-name" dal tuo server Windows 2019 in Azure per assicurarti di avere la connettività di condivisione file SMB.
Abilita l'integrazione di File di Azure con Active Directory
Per Active Directory locale, Abilitare l'autenticazione Active Directory di File di Azure utilizzando la procedura descritta qui. Nota: gli script vengono eseguiti in modo ottimale utilizzando PowerShell fornito con Server 2019 poiché richiedono l'installazione di componenti specifici come parte del processo. L'account di archiviazione di Azure verrà aggiunto come account computer.
Per i servizi di dominio Azure AD, attenersi alla seguente procedura Abilita l'autenticazione dei file di Azure con Servizi di dominio Active Directory. In questo caso l'account di archiviazione di Azure verrà aggiunto ad Active Directory come account utente.
Se utilizzi i servizi di dominio Azure AD, assicurati che gli account utente creati in Active Directory siano impostati in modo che la password non scada. Se la password scade, gli utenti non avranno più accesso alle condivisioni File di Azure tramite le proprie credenziali AD e riceveranno errori all'accesso a MyWorkDrive (vedere l'elemento 1 nella sezione Impossibile montare File di Azure con credenziali AD di Risoluzione dei problemi di connessione di File di Azure di Microsoft). Avrai bisogno di reimpostare la password e sincronizzare nuovamente le chiavi Kerberos.
Anche se assegneremo e utilizzeremo le autorizzazioni NTFS di Active Directory, le condivisioni file di Azure attualmente richiedono che le autorizzazioni siano impostate anche a livello di condivisione utilizzando account utente o gruppi sincronizzati con Azure AD. Assegnare autorizzazioni di condivisione identità – Ad esempio: “Storage File Data SMB Share Elevated Contributor” consente di leggere, scrivere, eliminare e modificare.
Sono disponibili tre ruoli predefiniti di Azure per la concessione di autorizzazioni a livello di condivisione agli utenti:
- Lettore di condivisione SMB di dati di file di archiviazione consente l'accesso in lettura nelle condivisioni file di archiviazione di Azure su SMB.
- Collaboratore condivisione SMB dati file di archiviazione consente l'accesso in lettura, scrittura ed eliminazione nelle condivisioni file di archiviazione di Azure su SMB.
- Archiviazione file dati Condivisione SMB Contributore elevato consente di leggere, scrivere, eliminare e modificare gli ACL di Windows nelle condivisioni file di archiviazione di Azure su SMB.
È necessario impostare una di queste autorizzazioni aggiuntive di condivisione Azure AD oltre alle autorizzazioni NTFS di Active Directory indipendentemente da qualsiasi altra autorizzazione di condivisione di Azure AD già in essere (ad esempio il proprietario). Tieni presente che è possibile utilizzare i gruppi di Active Directory sincronizzati dal dominio locale (Azure AD Connect esclude i gruppi di sicurezza integrati dalla sincronizzazione della directory).
Microsoft ha abilitato un modo per assegnare le autorizzazioni a tutti gli utenti invece di assegnarle utente per utente. I dettagli sono disponibili in questo documentazione Microsoft aggiornata
Assegna autorizzazioni NTFS
Utilizzando la stessa unità mappata in precedenza con la chiave dell'account di archiviazione, Aggiungi autorizzazioni NTFS per utenti o gruppi di Active Directory all'unità mappata ai livelli di condivisione o di directory desiderati. Testare le nuove autorizzazioni NTFS di condivisione mappando un'unità all'indirizzo dell'endpoint privato, ad esempio \\azure-file-share.file.core.windows.net\share.
Installa il server MyWorkDrive
Utilizzando un nuovo server o il Server 2019 già unito ad Active Directory in Azure, configurare il server MyWorkDrive proprio come faresti con qualsiasi server MyWorkDrive. Quando si aggiunge la prima condivisione, usare il nuovo percorso unc della condivisione file di Azure come percorso di condivisione file: ad esempio \\azure-file-share.file.core.windows.net\share.
Facoltativamente abilitare MyWorkDrive Azure AD Single Sign-On
Se gli utenti vengono sincronizzati da Active Directory (AD DS) ad Azure AD, gli utenti possono accedere utilizzando il Single Sign-On con le proprie credenziali di Azure AD utilizzando il nostro Integrazione SAML/Single Sign-on di MyWorkDrive Azure AD Dopo consentire la delega dell'oggetto computer condivisione file di Azure in Active Directory (quando le condivisioni file di Azure vengono aggiunte ad Active Directory viene creato un oggetto account computer corrispondente).
*MyWorkDrive non è affiliato, associato, autorizzato, approvato o in alcun modo ufficialmente connesso a Microsoft Azure. Tutti i nomi di prodotti e società sono marchi™ o marchi registrati® dei rispettivi proprietari. Il loro utilizzo non implica alcuna affiliazione o approvazione da parte loro.
