Tech Hub

@ Solution Architecture Works

Mettre en œuvre une infrastructure de serveur de fichiers hybride

Configurer Azure Files

Temps estimé :7 minutes 206 vues

Avant que les utilisateurs de Contoso puissent accéder à Azure Files, ils doivent d’abord s’authentifier, car l’accès anonyme n’est pas pris en charge.
En tant qu’ingénieur système principal, vous devez connaître les méthodes d’authentification prises en charge par Azure Files, décrites dans le tableau suivant :

Méthode d’authentificationDescription
Authentification basée sur l’identité via SMBPréférée pour accéder à Azure Files, elle offre une expérience SSO (Single Sign-On) fluide, similaire à celle des partages de fichiers locaux. Elle prend en charge l’authentification Kerberos utilisant des identités provenant de Microsoft Entra ID (anciennement Azure AD) ou AD DS.
Clé d’accèsOption plus ancienne et moins flexible. Un compte de stockage Azure possède deux clés d’accès pouvant être utilisées pour effectuer des requêtes, y compris vers Azure Files. Les clés d’accès sont statiques et offrent un contrôle total sur Azure Files. Elles doivent être sécurisées et non partagées avec les utilisateurs, car elles contournent toutes les restrictions de contrôle d’accès. Il est recommandé de ne pas partager les clés et d’utiliser l’authentification basée sur l’identité autant que possible.
Jeton SAS (Shared Access Signature)SAS est un URI généré dynamiquement basé sur la clé d’accès au stockage. Il offre des droits d’accès restreints à un compte de stockage Azure. Les restrictions incluent les autorisations, les dates de début et d’expiration, les adresses IP autorisées et les protocoles autorisés. Avec Azure Files, un jeton SAS est utilisé uniquement pour l’accès via l’API REST depuis du code.

Utiliser l’authentification basée sur l’identité

Vous pouvez activer l’authentification basée sur l’identité sur les comptes de stockage Azure.
La première étape consiste à configurer la source Active Directory (AD) pour le compte de stockage.
Pour Windows, vous pouvez choisir parmi les trois sources AD suivantes :

  • AD DS local
  • Microsoft Entra Domain Services (anciennement Azure Active Directory Domain Services)
  • Microsoft Entra Kerberos (uniquement pour les identités hybrides)

Pour utiliser AD DS ou Microsoft Entra Kerberos, vous devez vous assurer que AD DS local est synchronisé avec Microsoft Entra ID via Microsoft Entra Connect ou Microsoft Entra Connect cloud sync.

Une fois l’authentification basée sur l’identité activée pour un compte de stockage, les utilisateurs peuvent accéder aux fichiers sur le partage de fichiers Azure avec leurs identifiants de connexion.
Lorsqu’un utilisateur tente d’accéder aux données dans Azure Files, la requête est envoyée à AD DS ou Microsoft Entra ID selon la source AD sélectionnée.
Si l’authentification réussit, la source AD retourne un jeton Kerberos.
L’utilisateur envoie ensuite une requête contenant ce jeton, et le partage de fichiers Azure utilise ce jeton pour autoriser la requête.

Configurer les autorisations du partage de fichiers Azure

Si vous avez activé l’authentification basée sur l’identité, vous pouvez utiliser le contrôle d’accès basé sur les rôles Azure (RBAC) pour gérer les droits d’accès aux partages de fichiers Azure.
Le tableau suivant présente les rôles intégrés pour Azure Files :

Rôle RBAC AzureDescription
Storage File Data SMB Share ContributorAccès en lecture, écriture et suppression aux partages de fichiers Azure via SMB.
Storage File Data SMB Share Elevated ContributorAccès en lecture, écriture, suppression et modification des autorisations NTFS via SMB. Ce rôle offre un contrôle total sur le partage de fichiers Azure.
Storage File Data SMB Share ReaderAccès en lecture seule au partage de fichiers Azure via SMB.
Storage File Data Privileged ReaderAccès en lecture complète à toutes les données des partages pour tous les comptes de stockage configurés, indépendamment des autorisations NTFS définies au niveau des fichiers/dossiers.
Storage File Data Privileged ContributorAccès en lecture, écriture, modification des ACL et suppression sur toutes les données des partages pour tous les comptes de stockage configurés, indépendamment des autorisations NTFS définies au niveau des fichiers/dossiers.

Si nécessaire, vous pouvez également créer et utiliser des rôles RBAC personnalisés.
Cependant, les rôles RBAC accordent l’accès uniquement au partage.
Pour accéder aux fichiers, l’utilisateur doit aussi avoir des autorisations au niveau des dossiers et fichiers.

Les partages de fichiers Azure appliquent les autorisations de fichiers Windows standard au niveau des dossiers et fichiers.
Vous pouvez monter le partage et configurer les autorisations via SMB, comme avec les partages de fichiers locaux.

Important

Le contrôle administratif complet d’un partage de fichiers Azure, y compris la prise de possession d’un fichier, nécessite l’utilisation de la clé du compte de stockage.

Chiffrement des données

Toutes les données stockées dans un compte de stockage Azure (y compris celles sur les partages de fichiers Azure) sont toujours chiffrées au repos à l’aide du Storage Service Encryption (SSE).
Les données sont chiffrées lors de l’écriture dans les centres de données Azure et déchiffrées automatiquement lors de l’accès.

Par défaut, le chiffrement utilise des clés gérées par Microsoft, mais vous pouvez choisir d’utiliser votre propre clé de chiffrement.

Tous les comptes de stockage Azure ont également le chiffrement en transit activé par défaut, ce qui garantit que toutes les données sont chiffrées lors du transfert entre le centre de données Azure et votre appareil.

L’accès non chiffré via SMB 2.1, SMB 3.0 sans chiffrement ou HTTP n’est pas autorisé par défaut, et les clients ne peuvent pas se connecter aux partages de fichiers Azure sans chiffrement.
Cela peut être configuré pour un compte de stockage Azure et s’applique à tous les services du compte de stockage.

Créer des partages de fichiers Azure

Azure Files est déployé dans le cadre d’un compte de stockage Azure.
Les paramètres spécifiés lors de la création du compte de stockage (comme la localisation, la réplication et la méthode de connectivité) s’appliquent également à Azure Files.

Certains paramètres du compte de stockage, comme les performances et le type de compte, peuvent limiter les options disponibles pour Azure Files.
Par exemple, si vous souhaitez utiliser des partages de fichiers premium (qui utilisent des SSD), vous devez sélectionner performances premium et le type de compte FileStorage lors de la création du compte.

Une fois le compte de stockage Azure créé, vous pouvez créer un partage de fichiers Azure via :

  • Le portail Azure
  • Azure PowerShell
  • Azure CLI
  • API REST

Vous pouvez également créer un compte de stockage Azure via Windows Admin Center lors du déploiement d’Azure File Sync.

Pour créer un partage de fichiers SMB standard Azure, suivez la procédure suivante :

(Si vous créez un partage de fichiers premium, vous devez également spécifier la capacité provisionnée.)

  1. Connectez-vous au portail Azure et sélectionnez le compte de stockage approprié
  2. Dans le menu de service, sous Stockage de données, sélectionnez Partages de fichiers
  3. Dans le volet de détails, dans la barre d’outils, sélectionnez + Partage de fichiers
  4. Dans le volet Nouveau partage de fichiers, saisissez le nom souhaité et sélectionnez un niveau d’accès
  5. Sélectionnez Vérifier + créer, puis cliquez sur Créer

Unité suivante : Configurer la connectivité à Azure Files

Configurer Azure Files - PreviousDécrire les services de fichiers AzureNext - Configurer Azure FilesConfigurer la connectivité à Azure Files

Recently Viewed articles

Share this Doc

Configurer Azure Files

Or copy link

CONTENTS

Powered By Saworks

About SAWORKS

Categories

Archives

Restons Contact

© 2025 SAWORKS