Accès à distance aux fichiers Azure avec MyWorkDrive

Présentation des fichiers Azure

Les partages de fichiers Microsoft Azure sont des partages de fichiers accessibles aux PME hébergés par Azure. En utilisant Azure Files, les entreprises sont dégagées de la responsabilité de maintenir les partages de fichiers basés sur le serveur de fichiers Windows. Azure Files propose des partages de fichiers entièrement gérés dans le cloud qui sont accessibles via le protocole SMB standard de l'industrie.

Pour mapper des lecteurs à distance sur des partages de fichiers Azure, il faut se connecter aux ports 445 via le protocole SMB, qui peuvent être bloqués par les fournisseurs d'accès Internet et accessibles uniquement à partir du même réseau local ou via VPN. Les entreprises devront maintenir des tunnels VPN d'Azure vers chaque emplacement ainsi que des passerelles VPN pour que les utilisateurs puissent accéder aux fichiers en déplacement.

Utilisez MyWorkDrive pour vous connecter facilement à vos partages de fichiers Azure sans VPN depuis n'importe quel appareil.

• Connectez-vous via un gestionnaire de fichiers Web avec vos informations d'identification AD depuis n'importe quel appareil (les PC n'ont pas besoin d'être joints au domaine).
• Connectez-vous à l'aide des applications iPhone ou Android.
• Utilisez le client de lecteur mappé MyWorkDrive qui fonctionne sur HTTPS (aucun VPN nécessaire).

Utilisez Azure Files avec MyWorkDrive pour bénéficier de l'élasticité et de la facilité de gestion du stockage cloud.

• Stockage cloud durable et hautement disponible entièrement géré par Microsoft.
• Payez au fur et à mesure du stockage. Ne payez que ce que vous utilisez. Jusqu'à 100 To par partage.
• Connectez plusieurs partages à MyWorkDrive.
• Les fichiers sont chiffrés en transit et au repos.
• Gestion des instantanés depuis Azure Backup.
• Synchronisation de fichiers Azure
  • Synchronisation bidirectionnelle entre les partages de fichiers sur site et Azure.
  • Mise en cache locale et hiérarchisation cloud. Performances du stockage sur site avec l'échelle et l'élasticité du cloud.
  • Synchronisation multisite pour disposer d'un cache dans chaque succursale avec stockage cloud centralisé.

La combinaison de MyWorkDrive et d'Azure Files est parfaite !

Option 1 : Connecter directement les fichiers Azure avec MyWorkDrive

Les partages de fichiers Azure prennent en charge l'authentification à l'aide d'Active Directory ou d'Azure File Sync. John Savill donne un aperçu détaillé de Authentification des fichiers Azure ici. Dans cet article, nous présentons notre option de déploiement de partages de fichiers Azure MyWorkDrive préférée, qui consiste à connecter directement les partages de fichiers Azure avec MyWorkDrive hébergé dans Azure, à l'aide de l'authentification Active Directory.

Authentification Active Directory

Intégration d'Azure Files Active Directory à l'aide de votre propre Domaine Active Directory géré par vous, ou en utilisant Services de domaine Azure AD est entièrement pris en charge dans Azure. En savoir plus sur les avantages de Intégration Azure Files Active Directory et suivez ceci guidage étape par étape pour commencer à intégrer les partages de fichiers Azure aux services de domaine Azure AD. Pour intégrer l'authentification des partages de fichiers Azure à Active Directory sur site Suivez ces étapes.

Avec cette méthode, les utilisateurs peuvent se connecter aux partages de fichiers Azure à l'aide de leur nom d'utilisateur/mots de passe AD DS existants stockés dans Active Directory ou synchronisés d'Azure AD vers les services de domaine Azure AD hébergés par Azure. Les utilisateurs peuvent également utiliser leurs informations d'identification Azure AD lorsqu'ils sont synchronisés à partir d'AD DS et couplés avec Intégration Azure AD SAML/Single Sign-on de MyWorkDrive.

Pour Active Directory sur site, les clients peuvent exécuter et gérer leurs propres serveurs Active Directory dans Azure en tant que machine virtuelle, ou connecter un réseau Azure sur site à l'aide d'un tunnel VPN ou d'Azure ExpressRoute. Pour une authentification plus rapide, nous vous recommandons de placer un contrôleur de domaine dans Azure sur le même réseau que le serveur MyWorkDrive ou d'utiliser Azure AD Domain Services.

MyWorkDrive a mis à jour notre Azure MyWorkDrive Image sur le marché pour lui permettre de rejoindre facilement un domaine Windows Active Directory existant. Cela accélère encore le processus de déploiement.

Partages de fichiers Azure Étapes de configuration d'Active Directory MyWorkDrive

Vidéo de configuration des partages de fichiers MyWorkDrive Azure.

Conditions préalables

• Active Directory doit être synchronisé avec Azure AD (pour définir les autorisations de partage).
• Connectivité réseau d'Azure à un DC AD (soit un DC s'exécutant dans Azure, soit une connexion ExpresseRoute/VPN à un DC sur site) ou en utilisant Azure AD Domain Services.
• Serveur 2019 hébergé par Azure avec outils RSAT, joint à Active Directory (utilisez ce serveur pour gérer les partages de fichiers Azure et les ajouter à vos autorisations de domaine/ensemble).
• Mise en réseau accélérée activé sur Azure Virtual Machine (non disponible avec toutes les tailles de machine, nécessite généralement une série D avec 2 vCPU ou plus)
• Groupes de placement de proximité déployés pour s'assurer que les ressources de calcul sont physiquement regroupées pour des performances optimales.
• Compte de stockage Azure File Premium avec Multicanal SMB activé dans la même région, groupe de ressources et Azure Active Directory synchronisés à partir d'Active Directory.
• Le nom du compte de stockage Azure ne doit pas dépasser 15 caractères (exigence relative au nom d'ordinateur Active Directory).

Créer un compte de stockage

Créez un compte de stockage dans un groupe de ressources dans le même compte Azure qui héberge votre Azure AD. Sélectionnez les options de redondance et de performances requises.

Créer un partage de fichiers

Ajoutez un partage de fichiers au nom de partage et au quota de votre compte de stockage.

Joindre le compte de stockage Azure à Active Directory

Avant de commencer, mappez un lecteur à l'aide de la clé de compte de stockage : net use : "net use desire-drive-letter : \\storage-account-name.file.core.windows.net\share-name storage-account-key/user :Azure\storage-account-name" de votre serveur Windows 2019 dans Azure pour vous assurer que vous disposez d'une connectivité SMB File Share.

Activer l'intégration Azure Files Active Directory

Pour Active Directory sur site, Activer l'authentification Azure Files Active Directory en suivant les étapes décrites ici. Remarque : Les scripts s'exécutent mieux avec PowerShell fourni avec Server 2019 car ils nécessitent l'installation de composants spécifiques dans le cadre du processus. Le compte Stockage Azure sera ajouté en tant que compte d'ordinateur.

Pour Azure AD Domain Services, suivez ces étapes pour Activer l'authentification Azure Files avec les services de domaine Active Directory. Dans ce cas, le compte de stockage Azure sera ajouté à Active Directory en tant que compte d'utilisateur.

Si vous utilisez les services de domaine Azure AD, assurez-vous que les comptes d'utilisateurs créés dans Active Directory sont définis de manière à ce que le mot de passe n'expire pas. Si le mot de passe expire, les utilisateurs n'auront plus accès aux partages Azure Files via leurs informations d'identification AD et recevront des erreurs lors de la connexion à MyWorkDrive (voir l'élément 1 dans la section Impossible de monter Azure Files avec les informations d'identification AD de Dépannage de Microsoft Azure Files Connection). Tu devras réinitialiser le mot de passe et resynchroniser les clés Kerberos.

Attribuer des autorisations de partage

Même si nous attribuerons et utiliserons des autorisations Active Directory NTFS, les partages de fichiers Azure exigent actuellement que les autorisations soient également définies au niveau du partage à l'aide de comptes d'utilisateurs ou de groupes synchronisés avec Azure AD. Attribuer des autorisations de partage d'identité – Par exemple : « Storage File Data SMB Share Elevated Contributor » permet la lecture, l'écriture, la suppression et la modification.

Il existe trois rôles intégrés Azure pour accorder des autorisations au niveau du partage aux utilisateurs :

• Lecteur de partage SMB de données de fichiers de stockage autorise l'accès en lecture dans les partages de fichiers Azure Storage sur SMB.
• Contributeur de partage de données de fichier de stockage SMB autorise l'accès en lecture, en écriture et en suppression dans les partages de fichiers Azure Storage sur SMB.
• Stockage Fichier Données Partage SMB Elevated Contributor autorise la lecture, l'écriture, la suppression et la modification des ACL Windows dans les partages de fichiers Azure Storage sur SMB.

L'une de ces autorisations de partage Azure AD supplémentaires doit être définie en plus des autorisations Active Directory NTFS quelles que soient les autres autorisations de partage Azure AD déjà en place (par exemple, le propriétaire). Veuillez noter que les groupes Active Directory synchronisés à partir du domaine local peuvent être utilisés (Azure AD Connect exclut les groupes de sécurité intégrés de la synchronisation d'annuaire).

Attribuer des autorisations NTFS

En utilisant le même lecteur mappé précédemment avec votre clé de compte de stockage, Ajouter des autorisations NTFS pour les utilisateurs ou les groupes Active Directory au lecteur mappé au niveau du partage ou du répertoire souhaité. Testez les nouvelles autorisations NTFS de partage en mappant un lecteur à l'adresse du point de terminaison privé, par exemple \\azure-file-share.file.core.windows.net\share.

Installer le serveur MyWorkDrive

En utilisant un nouveau serveur ou le serveur 2019 déjà joint à Active Directory dans Azure, configurer le serveur MyWorkDrive comme vous le feriez avec n'importe quel serveur MyWorkDrive. Lors de l'ajout de votre premier partage, utilisez votre nouveau chemin unc de partage de fichiers Azure comme chemin de partage de fichiers : par exemple, \\azure-file-share.file.core.windows.net\share.

Activez éventuellement MyWorkDrive Azure AD Single Sign-On

Si les utilisateurs sont synchronisés d'Active Directory (AD DS) vers Azure AD, les utilisateurs peuvent se connecter à l'aide de l'authentification unique avec leurs informations d'identification Azure AD à l'aide de notre Intégration MyWorkDrive Azure AD SAML/authentification unique après permettre la délégation de l'objet ordinateur de partage de fichiers Azure dans Active Directory (lorsque des partages de fichiers Azure sont ajoutés à Active Directory, un objet compte d'ordinateur correspondant est créé).

Option 2 : Connecter Azure File Sync avec MyWorkDrive On-Premise

Avec Azure Files Sync, plusieurs emplacements peuvent être synchronisés sur site vers Azure Files et des emplacements distants. L'utilisation d'Azure File Sync est une autre alternative pour connecter votre Active Directory, puisque les ACL NTFS sont synchronisées, en plus des fichiers et des dossiers. En outre, Azure File Sync prend en charge la préservation, l'héritage et l'application des ACL NTFS du système de fichiers Microsoft sur tous les dossiers et fichiers d'un partage de fichiers.

Pour connecter MyWorkDrive aux partages de fichiers Azure, pointez-les simplement vers le serveur local hébergeant la copie de synchronisation de vos partages de fichiers Azure. Du point de vue de MyWorkDrive, rien n'a changé - les autorisations NTFS et les verrous de fichiers sont respectés.

Vidéo de configuration d'Azure File Sync.

Azure File Sync étend les services de fichiers du stockage sur site au Cloud Storage sur les partages de fichiers Azure et sur les serveurs Windows dans plusieurs emplacements. Les ingénieurs de Microsoft ont interrogé des clients et ont confirmé que les partages de fichiers Windows sont toujours utilisés pour une multitude de raisons. Les points faibles clients identifiés incluent la vitesse d'accès, le contrôle des données et les grandes capacités de stockage. Azure File Sync répond à ces préoccupations.

Fonctionnalités clés de la synchronisation de fichiers Azure

• Synchronisation bidirectionnelle – de Windows Server à Azure Cloud Storage avec des capacités de réécriture
• Synchronisation multisite – Synchronisez un partage sur plusieurs serveurs Windows via des partages de fichiers Azure vers Cloud Storage avec la possibilité de mettre en cache et de modifier des données en temps réel sur chaque site.
• Sauvegarde des partages de fichiers Azure vers Sauvegarde Azure
• Hiérarchisation des données – définissez les capacités de stockage de données maximales pour chaque serveur Windows et ne répliquez que les données les plus récentes sur chaque serveur avec le solde stocké dans les partages de fichiers Azure dans le cloud.

À l'aide de MyWorkDrive, les partages de fichiers Windows sont accessibles depuis n'importe quel emplacement dans le monde via HTTPS (port 443) à partir de n'importe quel navigateur Web, du client de lecteur mappé MyWorkDrive ou de clients mobiles.