Azure 通过增强的访问控制体验来提高安全性

微软宣布他们是 加倍 最近在拉斯维加斯举行的 Black Hat 会议上讨论了 Azure 安全性。

今天，微软宣布了新的安全功能，将增强访问控制体验； 包括为服务器消息块 (SMB) 访问引入 Azure Active Directory 域服务 (Azure AD DS) 身份验证支持。

现在，加入域的 Windows 虚拟机可以使用带有强制 NTFS 访问控制列表的 AD DS 凭据，通过 SMB 装载和访问您的 Azure 文件共享。

此外，您可以使用基于角色的访问控制 (RBAC) 限制对某些文件和文件夹的共享级别访问。 权限分配功能类似于 NTFS 的功能，因此“提升和转移”应用程序的过程更容易。

Azure 文件的 Azure AD DS 身份验证允许用户指定对共享、文件和文件夹的精细权限。 它为您的业务线应用程序解锁了常见用例，例如单编写器和多读取器场景。 由于文件权限分配和实施体验与 NTFS 相匹配，因此将应用程序提升和转移到 Azure 就像将其转移到新的 SMB 文件服务器一样简单。 这也使 Azure 文件成为基于云的服务的理想共享存储解决方案。 例如， Windows虚拟桌面 建议使用 Azure 文件托管不同的用户配置文件并利用 Azure AD DS 身份验证进行访问控制。

此外，对使用 Azure 文件强制执行 NTFS 自由访问控制列表 (DACL) 的支持允许在复制和数据恢复过程中维护 DACL。

由于 Azure 文件严格执行 NTFS 自由访问控制列表 (DACL)，因此您可以使用熟悉的工具，例如 ROBOCOPY 将数据移动到保留所有重要安全控制的 Azure 文件共享中。 Azure 文件访问控制列表也在用于备份和灾难恢复方案的 Azure 文件共享快照中捕获。 这可确保文件访问控制列表在使用 Azure Backup 等利用文件快照的服务进行数据恢复时得到保留。

此外，您现在可以通过文件资源管理器重新分配权限。

继续前进，通过文件资源管理器进行的权限修改已突出显示。 该功能在 Ignite 2018 上首次展示； 当时，查看和更改权限需要一个名为“icacls”的 Windows 命令行工具。 但是，该工具被发现不容易被发现或与用户行为一致。 因此，文件资源管理器现在提供了该功能，可以轻松地为 Azure 文件分配权限。

Microsoft 引入了三个新的内置基于角色的访问控制，使共享级别访问管理更容易——存储文件数据 SMB 共享提升的贡献者、贡献者和读者。

为了简化共享级别的访问管理，我们引入了三个新的内置基于角色的访问控制——存储文件数据 SMB 共享提升的贡献者、贡献者和读者。 您可以使用内置角色授予 SMB 访问 Azure 文件的共享级别权限，而不是创建自定义角色。

Azure 文件团队旨在将身份验证支持作为访问控制体验的一部分扩展到 Windows Server Active Directory、托管在本地或云中。

支持 Azure Active Directory 域服务的身份验证对于应用程序提升和转移方案最有用，但 Azure 文件可以帮助移动所有本地文件共享，无论它们是为应用程序还是最终用户提供存储。 我们的团队正在努力将身份验证支持扩展到托管在本地或云中的 Windows Server Active Directory。

您可以从此选择加入有关 Azure 文件 Active Directory 身份验证的更新 链接.