Bereitstellung von lokalem und SMB-Speicher mit EntraID-Authentifizierung

Wenn Sie unsere neue Implementierung der Entra-ID-Authentifizierung nutzen, müssen der lokale Speicher und der SMB-Speicher etwas anders konfiguriert werden, da nicht mehr auf NTFS-Berechtigungen verwiesen wird.

Sicherheitsüberlegungen

Wenn Sie unsere Entra-ID-Authentifizierung nutzen, verwenden die NTFS-Berechtigungen der lokalen oder SMB-Freigaben ein benanntes Benutzerkonto oder „Dienstkonto“ und nicht die NTFS-Berechtigungen des angemeldeten Benutzers. Der Klarheit halber gilt dies nur für unsere Entra ID-Authentifizierungsmethode und nicht für unsere Active Directory-Authentifizierungsmethode. Benutzer-/Gruppenberechtigungen werden in MyWorkDrive verwaltet. Aufgrund dieser Änderung müssen für die gewünschten Ordner bestimmte Berechtigungen auf dem lokalen/SMB-Server konfiguriert werden, damit MyWorkDrive darauf zugreifen kann.

Lokale Freigabe

Für eine lokale Freigabe auf dem MyWorkDrive-Server selbst besteht die Standardkonfiguration darin, das lokale Systemkonto zu nutzen. Das lokale System erhält die volle Kontrolle über den Ordner. Stattdessen ist es möglich, für diese Freigabe einen eigenen Benutzernamen und ein eigenes Passwort anzugeben. Darüber hinaus gibt es ein IIS-Dienstkonto – WanPath.Storage.API – das die Berechtigung „Vollzugriff“ für den angegebenen Ordner erhält. Das IIS-Dienstkonto übernimmt den Speichervorgang und führt eine Fehlerprüfung durch, um sicherzustellen, dass die Verbindung gültig ist.

Eine lokale Freigabe wird normalerweise zum Testen verwendet oder wenn Freigaben direkt auf dem MyWorkDrive-Server selbst gespeichert werden.

SMB-Freigabe

Für eine SMB-Freigabe wird bei der Erstkonfiguration ein benannter Benutzer mit NFTS-Rechten für die Freigabe (auch „Dienstkonto“ genannt) in MyWorkDrive konfiguriert. Das Dienstkonto sollte sowohl über die Sicherheitsberechtigung „Vollzugriff“ als auch über die Freigabeberechtigung „Vollzugriff“ verfügen. Detaillierte Benutzer- und Gruppenberechtigungen werden in MyWorkDrive für Benutzerzugriff/-berechtigungen für die Freigabe-Root- und Client-Zugriffskontrolle konfiguriert.

SMB-Freigaben werden normalerweise verwendet, wenn auf einem lokalen Dateiserver auf dem MyWorkDrive-Server Daten gespeichert sind, die Sie MyWorkDrive-Benutzern zur Verfügung stellen möchten, die sich nur mit ihren Entra-ID-Anmeldeinformationen anmelden, und kein lokales Active Directory verfügbar ist.

Lokale Freigabe konfigurieren

Es gibt zwei Möglichkeiten, eine lokale Freigabe zu konfigurieren. Einmal während der Installation und noch einmal nach der Installation.

Während der Installation

Während der Installation werden Sie gefragt, ob Sie eine lokale Freigabe für Demozwecke konfigurieren möchten. Wenn Sie das Kontrollkästchen aktiviert lassen, wird ein Ordner unter C:\Demo erstellt und so konfiguriert, dass sowohl dem lokalen System als auch WanPath.Storage.API die entsprechenden Berechtigungen erteilt werden. Dieser Ordner wird dann für alle Benutzer freigegeben, die die in MyWorkDrive integrierte Gruppe „Alle Azure AD-Mitglieder“ verwenden, wodurch alle Benutzer mit Konten in Entra ID über MyWorkDrive auf diese Freigabe zugreifen können.

Nach der Installation:

• Navigieren Sie zur Registerkarte „Integrationen“, scrollen Sie nach unten zu „Speicheranbieter“ und wählen Sie „Einstellungen hinzufügen“ oder „Einstellungen ändern“ unter „Lokal/SMB“.

• Wählen Sie Anbieter hinzufügen

 

• Wählen Sie einen Namen für Ihre lokale Freigabe, geben Sie den Pfad für die lokale Freigabe ein und entscheiden Sie sich dafür, entweder die Berechtigung „Lokales System“ zu verwenden oder Dienstkontoinformationen einzugeben und wählen Sie „Speichern“.

In unseren Beispielen werden Sie eine Warnmeldung bemerken, dass die Verbindung ungültig ist. Die Setup-Seite in Integrationen testet Ihre Verbindung und bestätigt, ob sie gültig ist oder nicht. Wenn Sie während der Einrichtung kein grünes Häkchen und keine Bestätigung bemerken, überprüfen Sie Ihre Einstellungen noch einmal.

Konfigurieren einer SMB-Freigabe

Bei der Entra-ID-Authentifizierung ist für SMB-Freigaben ein Dienstkonto erforderlich. Das Dienstkonto sollte sowohl über die Sicherheitsberechtigung „Vollzugriff“ als auch über die Freigabeberechtigung „Vollzugriff“ verfügen. Detaillierte Benutzer- und Gruppenberechtigungen werden in MyWorkDrive für Benutzerzugriff/-berechtigungen konfiguriert. SMB-Freigaben werden hinzugefügt, nachdem MyWorkDrive installiert/konfiguriert wurde. Während des Installationsvorgangs erfolgt keine Setup-Eingabeaufforderung.

Nach der Installation:

• Navigieren Sie zur Registerkarte „Integrationen“, scrollen Sie nach unten zu „Speicheranbieter“ und wählen Sie „Einstellungen hinzufügen“ oder „Einstellungen ändern“ unter „Lokal/SMB“.

 

• Wählen Sie Anbieter hinzufügen

• Ändern Sie die Funkoption auf „SMB“, geben Sie einen Namen für die SMB-Freigabeverbindung ein, geben Sie den Freigabepfad ein, geben Sie ein Dienstkonto mit Vollzugriffsberechtigungen für die Freigabe ein und wählen Sie „Speichern“.

In unserem Beispiel sehen Sie eine Warnmeldung, dass die Verbindung ungültig ist. Die Setup-Seite in Integrationen testet Ihre Verbindung und bestätigt, ob sie gültig ist oder nicht. Wenn Sie während der Einrichtung kein grünes Häkchen und keine Bestätigung bemerken, überprüfen Sie Ihre Einstellungen noch einmal.