微软在拉斯维加斯的黑帽大会上宣布,他们正在将Azure的安全性提高一倍。今天,微软宣布了新的安全功能,这将增强访问控制体验;微软在拉斯维加斯的黑帽大会上宣布,他们正在将Azure的安全性提高一倍。
今天,微软宣布了新的安全功能,这将增强访问控制体验;包括为服务器消息块(SMB)访问引入Azure Active Directory域服务(Azure AD DS)身份验证支持。
现在,加入域的Windows虚拟机可以使用带有强制NTFS访问控制列表的AD DS凭据,通过SMB安装和访问Azure文件共享。
此外,您可以使用基于角色的访问控制(RBAC)在共享级别限制对某些文件和文件夹的访问。权限分配功能类似于NTFS,因此“提升和转移”应用程序的过程更容易。
Azure文件的Azure AD DS身份验证允许用户指定共享、文件和文件夹的详细权限。它消除了常见用例的障碍,例如业务线应用程序的单编写器和多读取器场景。因为文件权限分配和执行的体验与NTFS相匹配,所以将应用程序升级和转移到Azure就像将其移动到新的SMB文件服务器一样简单。这也使得Azure Files成为基于云服务的理想共享存储解决方案。例如,Windows虚拟桌面建议使用Azure文件托管不同的用户配置文件,并使用Azure AD DS身份验证进行访问控制。
此外,Azure Files还支持实施NTFS自由访问控制列表(DACL ),该列表可在复制和数据恢复期间进行维护。
因为Azure文件严格实现了NTFS自主访问控制列表(DACL),所以你可以使用熟悉的工具(比如Robocopy)将数据移动到Azure文件共享,从而保持所有重要的安全控制。Azure文件访问控制列表也在用于备份和灾难恢复方案的Azure文件共享快照中捕获。这确保了利用文件快照的服务(如Azure Backup)在数据恢复期间保留文件访问控制列表。
此外,您现在可以通过文件资源管理器重新分配权限。
接下来,突出显示通过文件资源管理器的修改权限。该功能首次在Ignite 2018上展出;当时,查看和更改权限需要一个名为“icacls”的Windows命令行工具。但是发现这个工具不容易被发现,也不容易和用户的行为保持一致。因此,您现在可以使用文件资源管理器来提供该功能,以便您可以轻松地为Azure文件分配权限。
微软推出了三种新的内置的基于角色的访问控制,以简化共享级别的访问管理-存储文件数据SMB共享和提升贡献者、贡献者和读者。
为了简化共享级别的访问管理,我们引入了三种新的内置的基于角色的访问控制——存储文件数据SMB共享和提升贡献者、贡献者和读者。您可以使用内置角色在共享级别授予SMB对Azure文件的访问权限,而不是创建自定义角色。
Azure Files团队旨在将身份验证支持作为访问控制体验的一部分,扩展到本地或云上的Windows Server Active Directory。
支持Azure Active Directory域服务的身份验证对应用程序升级和传输方案最有用,但Azure文件可以帮助移动所有本地文件共享,无论它们是为应用程序还是最终用户提供存储。我们的团队正在努力将身份验证支持扩展到本地或云中托管的Windows Server Active Directory。
标签:
免责声明:本文由用户上传,如有侵权请联系删除!