Synergie d’Azure AD, Azure Files et Kerberos : vers un serveur de fichiers uniquement dans le cloud ?

Qu’est-ce que la synergie d’Azure AD, Kerberos et Azure Files a-t-elle déjà permis d’atteindre ? Et vers quoi se dirige-t-elle à l’avenir ? Pour notre expert en solutions Azure et MVP Microsoft, les dernières versions ouvrent la voie à un serveur de fichiers uniquement sur le cloud.

Auteur / Autrice Yannic Graber
Date 16.05.2023
Temps de lecture 9 Minutes

En 2021, Kerberos sortait sur Azure AD sous forme de premier aperçu. Depuis, beaucoup de choses se sont passées et le chien des abysses à trois têtes est encore aux aguets dans le cloud.

En effet, en août 2022, Microsoft annonçait enfin la disponibilité générale d’Azure Active Directory (Azure AD) Kerberos pour les identités hybrides. Avec cette dernière version, les identités peuvent mettre en place des partages de fichiers Azure dans Azure AD et y accéder sans qu’une liaison directe à un contrôleur de domaine Active Directory soit nécessaire.

Petit historique d’Azure Files et Kerberos

Pour mieux comprendre cette nouveauté, je voudrais tout d’abord donner un aperçu du développement d’Azure Files et de Kerberos. Les informations sont données ici à titre indicatif. Pour de plus amples informations, veuillez consulter les liens mis à disposition.

Azure File Sync : qu’est-ce que c’est ?

Azure Files n’est pas nouveau. Azure File Sync est déjà utilisé depuis quelque temps maintenant pour synchroniser un ou plusieurs serveurs de fichiers locaux. La répartition cloud d’Azure File Sync offre aux entreprises la possibilité d’économiser de l’espace de stockage local coûteux et inutile et de délocaliser dans le cloud Azure sans avoir à sacrifier de données.

Cette configuration s’avère particulièrement efficace pour des scénarios incluant plusieurs sites où Azure Files fait office de hub central et où seules les données nécessaires sont écrites sur le site correspondant.

Découvrez-en plus sur Azure File Sync

L’authentification Azure Files basée sur l’identité

Avec l’authentification basée sur l’identité, Microsoft ouvre la voie à de nouvelles possibilités pour Azure Files. Dans ce scénario, c’est l’Active Directory connecté qui assume l’authentification pour le partage de fichiers.

Les utilisateurs présents dans Active Directory, et qui sont synchronisés avec Azure AD, peuvent accéder au partage de fichiers s’ils ont l’autorisation nécessaire. L’appareil utilisé pour l’accès doit être ajouté au domaine classique et s’authentifier auprès de ce dernier.

Aussi bien AD DS sur site qu’Azure AD DS sont supportés.

Découvrez-en plus sur l’authentification basée sur l’identité d’Azure Files

Azure AD Kerberos Support

La différence la plus souvent mentionnée entre Azure Active Directory (AAD) et Active Directory classique est qu’Azure AD ne prend pas en charge Kerberos.

Fin 2021, Microsoft avait cependant sorti un avant-goût de la prise en charge de Kerberos sur AAD, qui est maintenant d’ailleurs généralement disponible. AAD a au fil du temps assimilé de plus en plus de fonctionnalités de Kerberos. Par exemple, l’accès aux ressources locales peut maintenant être autorisé grâce à une authentification unique (Sigle Sign-On, SSO) par Azure Active Directory ainsi que par Active Directory classique. Ainsi, AAD peut délivrer des TGT (Ticket-Granting Tickets, billets de Ticket-Granting) Kerberos partiels.

Découvrez-en plus sur son fonctionnement

Je recommande également la lecture de cet article : Deep dive: How Azure AD Kerberos works

Annonce : Azure Files et Kerberos

L’histoire d’Azure Files et d’Azure AD Cloud se poursuit à un rythme effréné. En effet, le 30 août 2022 déjà, Microsoft annonçait la prochaine grande étape : l’authentification basée sur l’identité pour Azure Files grâce au support d’Azure AD Kerberos.

Grâce à la combinaison de cette fonctionnalité avec Azure AD Kerberos, un utilisateur identifié dans Azure AD peut maintenant se connecter directement à Azure Files sans connexion directe au contrôleur de domaine classique.

Afin de profiter de cette fonctionnalité, l’appareil de connexion doit être directement connecté à Azure AD en hybride (jonction AAD / jonction hybride). Ainsi l’exigence de connexion au contrôleur de domaine classique tombe tout en restant optionnelle.

Les comptes utilisateur doivent cependant toujours être synchronisés entre Active Directory classique et Azure Active Directory.

Dans cette vidéo, je vous montre comment activer Azure AD Kerberos pour Azure Files. Seules quelques étapes sont nécessaires.

Ouvrir la voie aux serveurs de fichiers uniquement sur le cloud ?

De mon point de vue, l’annonce de synergie d’Azure Files avec Kerberos est une grande nouvelle et un grand pas en avant. Cependant, Microsoft n’en est pas encore à proposer un serveur de fichiers purement cloud. Ce sont en particulier les deux aspects suivants qui posent encore problème :

1. Le blocage du port SMB

Pour pouvoir accéder au partage de fichiers, la connectivité du port SMB (445) doit être assurée. De nombreux ISP bloquent ce port par défaut. L’accès par internet est ainsi dans le monde mobile d’aujourd’hui seulement possible par VPN. Il faudra donc encore compter sur des dépendances aux VPN site à site et/ou points à points pour créer une connexion avec Azure Files.

Mais il faut partir du principe que tout cela sera réglé tôt ou tard avec Windows 11. D’ailleurs, une stratégie de contournement peut d’ores et déjà être mise en œuvre avec SMB via QUIC et une infrastructure supplémentaire.

2. L’utilisateur synchronisé dans le cloud

Actuellement, seuls les utilisateurs synchronisés peuvent accéder au partage de fichiers. Les utilisateurs qui ne sont que dans le cloud (donc non synchronisés) n’ont pas d’accès. Une raison pour cela est à chercher du côté d’Azure AD qui ne peut pas encore délivrer de billets Ticket-Granting (TGT) Kerberos complets, mais seulement des billets partiels. Un environnement Active Directory reste donc encore un prérequis et empêche le serveur de fichiers uniquement sur le cloud (cloud only).

Conclusion

Microsoft travaille à éliminer ces obstacles et assurer qu’un vrai serveur de fichiers uniquement sur le cloud soit à l’avenir possible. Mais en raison de la complexité de la tâche, le calendrier de Microsoft reste inconnu.

Si la dernière entrave que j’ai mentionnée devait être surmontée, cela représenterait un réel changement de donne pour de nombreuses entreprises, en particulier pour les petites et moyennes entreprises (PME) !

La dernière annonce concernant Azure Virtual Desktop montre que Microsoft ne chôme pas dans ce domaine et que les innovations s’enchaînent. C’est pourquoi je suis convaincu que nous ne sommes qu’à quelques mois d’un vrai serveur de fichiers cloud only.

En ce qui concerne le développement de Kerberos et d’Azure Files : le voyage continue. Restez connecté.

 

Cet article a été publié en allemand sur le blog personnel de Yannic Grabers : Cloud Business & Technologie

Devenez Azure Administrator Associate

Grâce à notre formation pratique et animée par des experts, débutez votre apprentissage pour décrocher la certification AZ-104 et devenir Azure Administrator. Apprenez à gérer les abonnements Azure, à sécuriser les identités, à gérer l’infrastructure et à configurer la mise en réseau virtuelle.

Grâce à notre formation pratique et animée par des experts, débutez votre apprentissage pour décrocher la certification AZ-104 et devenir Azure Administrator. Apprenez à gérer les abonnements Azure, à sécuriser les identités, à gérer l’infrastructure et à configurer la mise en réseau virtuelle.


Auteur / Autrice

Yannic Graber

Yannic Graber est le fondateur de Joker IT AG et expert en solutions Azure. Dans ce cadre, il aide les entreprises dans le développement de solutions Azure et Microsoft 365, quel que soit le degré d’intégration de ces technologies au sein de l’entreprise.