Azure AD mit Azure Files & Kerberos - auf dem Weg zum Cloud-Only-Fileserver
Was hat Azure AD mit dem Support von Kerberos und Azure Files bereits erreicht? Und wohin führt die Reise? Azure Solutions Expert und MVP Yannic Graber ordnet die letzten Releases auf dem Weg zum Cloud-Only-Fileserver ein.
Die Kerberos-Unterstützung für Azure AD war bereits 2021 als Preview verfügbar. Seither ist viel passiert und der dreiköpfige Höllenhund treibt immer noch sein Unwesen in der Cloud.
Denn im August 2022 kündigte Microsoft schliesslich die allgemeine Verfügbarkeit der Azure Files Integration mit Azure Active Directory (Azure AD) Kerberos für hybride Identitäten an. Mit dieser Version können Identitäten in Azure AD Azure Dateifreigaben mounten und darauf zugreifen, ohne dass eine Sichtverbindung zu einem Active Directory-Domänencontroller erforderlich ist.
Eine kurze Geschichte von Azure Files und Kerberos
Zum besseren Verständnis möchte ich zunächst einen kurzen Überblick über die Historie von Azure Files und Kerberos geben. Die Auflistung dient der Übersicht. Für weiterführende Informationen folgen Sie den bereitgestellten Links.
Was ist Azure File Sync?
Azure Files ist nicht neu. Azure File Sync kann bereits seit einiger Zeit zur Synchronisierung eines oder mehrerer lokaler Dateiserver verwendet werden. Das Cloud-Tiering von Azure File Sync bietet Unternehmen die Möglichkeit, teuren und unnötigen Speicherplatz vor Ort einzusparen und in die Azure-Cloud zu verlagern, ohne Daten zu opfern.
Diese Konfiguration ist besonders effizient in Szenarien mit mehreren Standorten, in denen Azure Files als zentraler Hub fungiert und nur die benötigten Daten an die einzelnen Standorte geschrieben werden.
Erfahren Sie mehr über Azure Files Sync
Azure Files identitätsbasierte Authentifizierung
Microsoft eröffnet mit der identitätsbasierten Authentifizierung neue Möglichkeiten für Azure Files. In diesem Szenario übernimmt das angebundene Active Directory die Authentifizierung für den gewünschten File Share.
Bestehende Benutzer im Active Directory, die mit Azure AD synchronisiert werden, können so mit entsprechender Berechtigung auf den File Share zugreifen. Das für den Zugriff verwendete Gerät muss dazu der klassischen Domäne hinzugefügt werden und sich gegenüber dieser authentifizieren.
Sowohl On-Premises AD DS als auch Azure AD DS werden unterstützt.
Lernen Sie mehr über Azure Files Identity Based Authentication
Azure AD Kerberos Support
Der wohl am häufigsten genannte Unterschied zwischen Azure Active Directory (AAD) und einem herkömmlichen Active Directory ist, dass Azure AD kein Kerberos unterstützt.
Microsoft hat jedoch für Ende 2021 eine Vorschau auf die AAD-Kerberos-Unterstützung angekündigt, die nun für General Availability (GA) verfügbar ist. AAD hat im Laufe der Zeit immer mehr Kerberos-Funktionalität hinzugewonnen. Beispielsweise kann der Zugriff auf lokale Ressourcen jetzt mit Single Sign-On (SSO) über Azure Active Directory sowie über herkömmliches Active Directory gewährt werden. Daher kann AAD partielle Kerberos-Ticket-Granting-Tickets (TGT) ausstellen.
Wie das funktioniert, erfahren Sie unter diesem Link
Sehr empfehlenswert ist auch der Tech Community Artikel: Deep dive: How Azure AD Kerberos works
Ankündigung: Azure Files und Kerberos Support
Die Geschichte von Azure Files und Azure AD Cloud geht rasant weiter. Denn Microsoft hat am 30. August 2022 bereits den nächsten Hit angekündigt: Identitätsbasierte Authentifizierung für Azure Files durch die Unterstützung von Azure AD Kerberos.
Durch die Kombination dieser Funktion mit der Azure AD Kerberos-Unterstützung können sich in Azure AD identifizierte Nutzer nun auch ohne Sichtverbindung zum klassischen Domänencontroller mit Azure File Shares verbinden.
Um diese Funktion nutzen zu können, muss das Gerät über Hybrid (AAD-Join / Hybrid-Join) direkt mit Azure AD verbunden sein. Die Anforderung der klassischen Domänenverbindung entfällt damit vollständig und ist optional.
Die Benutzerkonten müssen jedoch weiterhin zwischen dem klassischen Active Directory und dem Azure Active Directory synchronisiert werden.
Das folgende Video zeigt, wie Azure AD Kerberos für Azure Files aktiviert werden kann. Es sind nur wenige Schritte notwendig.
Der Weg zum künftigen Cloud-Only-Fileserver
Meiner Meinung nach sind die jüngsten Ankündigungen zur Unterstützung von Azure Files und Kerberos grossartige Neuigkeiten und ein großer Schritt nach vorne. Aber Microsoft ist noch nicht auf dem Ziel eines reinen Cloud-Fileservers angekommen. Insbesondere die folgenden zwei Einschränkungen bleiben bestehen:
1 SMB Port Blocking
Um auf Dateifreigaben zugreifen zu können, muss die Konnektivität über den SMB-Port (445) gewährleistet sein. Viele ISPs blockieren diesen Port standardmässig. Der Zugriff über das Internet ist daher in der heutigen mobilen Welt grundsätzlich nur über ein VPN möglich. Es werden also weiterhin Standort-zu-Standort- und/oder Punkt-zu-Punkt-VPN-Abhängigkeiten bestehen, um eine Verbindung zu Azure Files herzustellen.
Es ist davon auszugehen, dass diese Hürde mit Windows 11 früher oder später beseitigt wird. Ein Workaround kann bereits jetzt mit SMB über QUIC und zusätzlicher Infrastruktur implementiert werden.
2 Cloud Synchronisierte Benutzer
Derzeit können nur synchronisierte Benutzer auf Dateifreigaben zugreifen. Benutzer, die nur in der Cloud vorhanden sind (nicht synchronisiert), haben keinen Zugriff. Ein Grund dafür ist, dass Azure AD noch kein vollständiges Kerberos Ticket Granting Ticket (TGT) ausstellen kann, sondern nur ein Teilticket. Eine bestehende Active Directory-Umgebung ist also weiterhin Voraussetzung und verhindert den echten Cloud-Only-Fileserver.
Fazit
Microsoft ist bestrebt sicherzustellen, dass diese Anforderung in Zukunft nicht mehr besteht und ein echter Cloud-Only Dateiserver möglich ist. Aufgrund der Komplexität ist der Zeitplan von Microsoft jedoch unbekannt.
Sollte diese letzte Hürde genommen werden, wird dies aus meiner Sicht ein Gamechanger für viele Unternehmen, insbesondere für die kleinen und mittleren Unternehmen (KMU) am Markt sein!
Auch die jüngste Ankündigung von Microsoft zum Azure Virtual Desktop zeigt, dass Microsoft das Thema derzeit kontinuierlich vorantreibt und eine Neuerung die nächste jagt. Ich bin daher überzeugt, dass wir nur noch wenige Monate von einem echten Cloud-Only Fileserver entfernt sind.
Unterstützung für Azure Files und Kerberos – die Reise geht weiter. Bleiben Sie dran.
Dieser Beitrag wurde zuerst in Yannic Grabers persönlichem Blog veröffentlicht: Cloud Business & Technologie
Werden Sie Azure Administrator AssociateIn unseren praxisorientierten und expertengeführten Live-Trainings werden Sie ideal auf das AZ-104 Examen und die Jobrolle als Azure Administrator vorbereitet. Wählen Sie aus unserem flexiblen Microsoft Learning Programm Ihr individuelles Trainingsformat: Bootcamp: Microsoft Administrator Associate 4 Tage Intensiv-Training im Hotel. Die Zertifizierungsprüfung wird am Ende des Bootcamps abgelegt. Mehr Intensive Training: Microsoft Administrator Alle 4 Trainingstage am Stück mit integriertem Learning Support. Mehr Flexible Training: Microsoft Administrator Jeweils max. 2 Halbtags-Sessions pro Woche über max. 4 Wochen mit integriertem Learning Support. Mehr |
In unseren praxisorientierten und expertengeführten Live-Trainings werden Sie ideal auf das AZ-104 Examen und die Jobrolle als Azure Administrator vorbereitet. Wählen Sie aus unserem flexiblen Microsoft Learning Programm Ihr individuelles Trainingsformat:
Bootcamp: Microsoft Administrator Associate
4 Tage Intensiv-Training im Hotel. Die Zertifizierungsprüfung wird am Ende des Bootcamps abgelegt. Mehr
Intensive Training: Microsoft Administrator
Alle 4 Trainingstage am Stück mit integriertem Learning Support. Mehr
Flexible Training: Microsoft Administrator
Jeweils max. 2 Halbtags-Sessions pro Woche über max. 4 Wochen mit integriertem Learning Support. Mehr