強化されたアクセス制御エクスペリエンスでセキュリティを向上させるAzure

ホーム » ニュース

読書時間アイコン 3分。 読んだ

カレンダーアイコン 上で公開

by アティヤ・デイビッツ 

上の公表

この記事を共有する

読者は MSpoweruser のサポートを支援します。私たちのリンクを通じて購入すると、手数料が発生する場合があります。 ツールチップアイコン

MSPoweruser の編集チームの維持にどのように貢献できるかについては、開示ページをお読みください。 続きを読む

マイクロソフトは彼らが ダブルダウン ラスベガスで開催された最近のBlackHatカンファレンスでのAzureセキュリティについて。

本日、マイクロソフトは、アクセス制御エクスペリエンスを強化する新しいセキュリティ機能を発表しました。 サーバーメッセージブロック(SMB)アクセス用のAzure Active Directoryドメインサービス(Azure AD DS)認証サポートの導入を含みます。

これで、ドメインに参加しているWindows仮想マシンは、強制されたNTFSアクセス制御リストでADDSクレデンシャルを使用して、SMB経由でAzureファイル共有をマウントしてアクセスできます。

さらに、役割ベースのアクセス制御(RBAC)を使用して、特定のファイルおよびフォルダーへの共有レベルのアクセスを制限できます。 アクセス許可の割り当て機能はNTFSの機能と似ているため、アプリケーションを「持ち上げてシフト」するプロセスは簡単です。

AzureFilesのAzureADDS認証により、ユーザーは共有、ファイル、およびフォルダーに対するきめ細かいアクセス許可を指定できます。 基幹業務アプリケーションのシングルライターおよびマルチリーダーシナリオなどの一般的なユースケースのブロックを解除します。 ファイルパーミッションの割り当てと適用のエクスペリエンスはNTFSのエクスペリエンスと一致するため、アプリケーションをAzureに持ち上げて移行するのは、新しいSMBファイルサーバーに移動するのと同じくらい簡単です。 これにより、AzureFilesはクラウドベースのサービスにとって理想的な共有ストレージソリューションにもなります。 例えば、 Windows仮想デスクトップ Azureファイルを使用してさまざまなユーザープロファイルをホストし、アクセス制御にAzure ADDS認証を利用することをお勧めします。

さらに、Azure Filesを使用したNTFS随意アクセス制御リスト(DACL)の適用のサポートにより、コピーおよびデータ回復プロセス全体でDACLを維持できます。

Azure FilesはNTFS任意アクセス制御リスト(DACL)を厳密に適用するため、次のような使い慣れたツールを使用できます。 Robocopyを データをAzureファイル共有に移動して、重要なセキュリティ制御をすべて維持します。 Azureファイルのアクセス制御リストは、バックアップおよび障害復旧シナリオのAzureファイル共有スナップショットにもキャプチャされます。 これにより、ファイルスナップショットを活用するAzure Backupなどのサービスを使用したデータリカバリで、ファイルアクセス制御リストが確実に保持されます。

さらに、ファイルエクスプローラーを使用してアクセス許可を再割り当てできるようになりました。

次に、ファイルエクスプローラーによるアクセス許可の変更が強調表示されています。 この機能は、Ignite2018で最初に紹介されました。 当時、権限の表示と変更には、「icacls」という名前のWindowsコマンドラインツールが必要でした。 ただし、このツールは簡単に見つけられないか、ユーザーの行動と一致していないことがわかりました。 そのため、この機能はファイルエクスプローラーで提供されるようになり、Azureファイルへのアクセス許可の割り当てが簡単になります。

マイクロソフトは、共有レベルのアクセス管理を容易にするために、XNUMXつの新しい組み込みの役割ベースのアクセス制御を導入しました-ストレージファイルデータSMB共有昇格コントリビューター、コントリビューター、およびリーダー。

共有レベルのアクセス管理を簡素化するために、XNUMXつの新しい組み込みの役割ベースのアクセス制御(ストレージファイルデータSMB共有昇格コントリビューター、コントリビューター、およびリーダー)を導入しました。 カスタムロールを作成する代わりに、組み込みのロールを使用して、AzureファイルへのSMBアクセスに共有レベルのアクセス許可を付与できます。

Azure Filesチームは、アクセス制御エクスペリエンスの一部として、オンプレミスまたはクラウドでホストされているWindows Server ActiveDirectoryに認証サポートを拡張することを目的としています。

Azure Active Directoryドメインサービスによる認証のサポートは、アプリケーションのリフトとシフトのシナリオで最も役立ちますが、Azure Filesは、アプリケーションまたはエンドユーザーのどちらにストレージを提供しているかに関係なく、すべてのオンプレミスファイル共有の移動に役立ちます。 私たちのチームは、オンプレミスまたはクラウドでホストされているWindows Server ActiveDirectoryへの認証サポートの拡張に取り組んでいます。

これから、Azure Files ActiveDirectory認証に関する更新をオプトインできます。 .

トピックの詳細: 紺碧, , マイクロソフト, セキュリティ

アティヤ・デイビッツ

アティヤ・デイビッツ シールド

報道記者

コメントを残す

あなたのメールアドレスは公開されません。 必須フィールドは、マークされています *