Azure 通過增強的訪問控制體驗來提高安全性

微軟宣布他們是 雙倍下注 最近在拉斯維加斯舉行的 Black Hat 會議上討論了 Azure 安全性。

今天，微軟宣布了新的安全功能，將增強訪問控制體驗； 包括為服務器消息塊 (SMB) 訪問引入 Azure Active Directory 域服務 (Azure AD DS) 身份驗證支持。

現在，加入域的 Windows 虛擬機可以使用帶有強制 NTFS 訪問控制列表的 AD DS 憑據，通過 SMB 裝載和訪問您的 Azure 文件共享。

此外，您可以使用基於角色的訪問控制 (RBAC) 限制對某些文件和文件夾的共享級別訪問。 權限分配功能類似於 NTFS 的功能，因此“提升和轉移”應用程序的過程更容易。

Azure 文件的 Azure AD DS 身份驗證允許用戶指定對共享、文件和文件夾的精細權限。 它為您的業務線應用程序解鎖了常見用例，例如單編寫器和多讀取器場景。 由於文件權限分配和實施體驗與 NTFS 相匹配，因此將應用程序提升和轉移到 Azure 就像將其轉移到新的 SMB 文件服務器一樣簡單。 這也使 Azure 文件成為基於雲的服務的理想共享存儲解決方案。 例如， Windows虛擬桌面 建議使用 Azure 文件託管不同的用戶配置文件並利用 Azure AD DS 身份驗證進行訪問控制。

此外，對使用 Azure 文件強制執行 NTFS 自由訪問控制列表 (DACL) 的支持允許在復制和數據恢復過程中維護 DACL。

由於 Azure 文件嚴格執行 NTFS 自由訪問控制列表 (DACL)，因此您可以使用熟悉的工具，例如 ROBOCOPY 將數據移動到保留所有重要安全控制的 Azure 文件共享中。 Azure 文件訪問控制列表也在用於備份和災難恢復方案的 Azure 文件共享快照中捕獲。 這可確保文件訪問控制列表在使用 Azure Backup 等利用文件快照的服務進行數據恢復時得到保留。

此外，您現在可以通過文件資源管理器重新分配權限。

繼續前進，通過文件資源管理器進行的權限修改已突出顯示。 該功能在 Ignite 2018 上首次展示； 當時，查看和更改權限需要一個名為“icacls”的 Windows 命令行工具。 但是，該工具被發現不容易被發現或與用戶行為一致。 因此，文件資源管理器現在提供了該功能，可以輕鬆地為 Azure 文件分配權限。

Microsoft 引入了三個新的內置基於角色的訪問控制，使共享級別訪問管理更容易——存儲文件數據 SMB 共享提升的貢獻者、貢獻者和讀者。

為了簡化共享級別的訪問管理，我們引入了三個新的內置基於角色的訪問控制——存儲文件數據 SMB 共享提升的貢獻者、貢獻者和讀者。 您可以使用內置角色授予 SMB 訪問 Azure 文件的共享級別權限，而不是創建自定義角色。

Azure 文件團隊旨在將身份驗證支持作為訪問控制體驗的一部分擴展到 Windows Server Active Directory、託管在本地或云中。

支持 Azure Active Directory 域服務的身份驗證對於應用程序提升和轉移方案最有用，但 Azure 文件可以幫助移動所有本地文件共享，無論它們是為應用程序還是最終用戶提供存儲。 我們的團隊正在努力將身份驗證支持擴展到託管在本地或云中的 Windows Server Active Directory。

您可以從此選擇加入有關 Azure 文件 Active Directory 身份驗證的更新 鏈接.