Acesso Remoto a Arquivos do Azure com MyWorkDrive

Visão geral dos arquivos do Azure

Os compartilhamentos de arquivos do Microsoft Azure são compartilhamentos de arquivos acessíveis por SMB hospedados pelo Azure. Ao utilizar os Arquivos do Azure, as empresas ficam isentas da responsabilidade de manter os compartilhamentos de arquivos baseados no servidor de arquivos do Windows. Os Arquivos do Azure oferecem compartilhamentos de arquivos totalmente gerenciados na nuvem que podem ser acessados por meio do protocolo SMB padrão do setor.

Para mapear unidades remotamente para compartilhamentos de arquivos do Azure, é necessário conectar-se às portas 445 por meio do protocolo SMB, que pode ser bloqueado por provedores de Internet e acessível apenas na mesma rede local ou via VPN. As empresas precisarão manter túneis VPN do Azure para cada local, bem como gateways VPN para que os usuários acessem arquivos em trânsito.

Use o MyWorkDrive para se conectar facilmente aos seus compartilhamentos de arquivos do Azure sem VPN de qualquer dispositivo.

• Conecte-se através de um Gerenciador de Arquivos Baseado na Web com suas credenciais do AD de qualquer dispositivo (os PCs não precisam ingressar no domínio).
• Conecte-se usando aplicativos para iPhone ou Android.
• Use o cliente de unidade mapeada MyWorkDrive que funciona em HTTPS (sem necessidade de VPN).

Use os Arquivos do Azure com o MyWorkDrive para obter a elasticidade e a facilidade de gerenciamento do armazenamento em nuvem.

• Armazenamento em nuvem durável e altamente disponível totalmente gerenciado pela Microsoft.
• Pague conforme você usa o armazenamento. Pague apenas pelo que usar. Até 100 TB por compartilhamento.
• Conecte vários compartilhamentos ao MyWorkDrive.
• Os arquivos são criptografados em trânsito e em repouso.
• Gerenciamento de instantâneos do Backup do Azure.
• Sincronização de Arquivos do Azure
  • Sincronização bidirecional entre compartilhamentos de arquivos locais e do Azure.
  • Cache local e camadas de nuvem. Desempenho de armazenamento no local com escala e elasticidade da nuvem.
  • Sincronização de vários sites para ter um cache em cada filial com armazenamento em nuvem centralizado.

A combinação de MyWorkDrive e Azure Files é uma ótima combinação!

Opção 1: conectar diretamente os arquivos do Azure com o MyWorkDrive

Os compartilhamentos de arquivos do Azure dão suporte à autenticação usando o Active Directory ou o Azure File Sync. John Savill fornece uma visão detalhada Autenticação de Arquivos do Azure aqui. Neste artigo, apresentamos nossa opção preferida de implantação de compartilhamentos de arquivos do MyWorkDrive do Azure, que é conectar diretamente os compartilhamentos de arquivos do Azure com o MyWorkDrive hospedado no Azure, usando a autenticação do Active Directory.

Autenticação do Active Directory

Integração do Azure Files Active Directory usando sua própria Domínios do Active Directory gerenciados por você, ou usando Serviços de domínio do Azure AD tem suporte total no Azure. Leia mais sobre os benefícios do Integração do Active Directory de Arquivos do Azure e siga isso orientação passo a passo para começar a integrar os compartilhamentos de arquivos do Azure com o Azure AD Domain Services. Para integrar a autenticação de compartilhamentos de arquivos do Azure com o Active Directory local Siga esses passos.

Com esse método, os usuários podem fazer login nos compartilhamentos de arquivos do Azure usando seus nomes de usuário/senhas existentes do AD DS armazenados no Active Directory ou sincronizados do Azure AD para os serviços de domínio do Azure AD hospedados pelo Azure. Os usuários também podem usar suas credenciais do Azure AD quando sincronizadas do AD DS e combinadas com Integração SAML/Single Sign-on do Azure AD do MyWorkDrive.

Para o Active Directory local, os clientes podem executar e gerenciar seus próprios servidores do Active Directory no Azure como uma máquina virtual ou conectar uma rede do Azure no local usando um túnel VPN ou Azure ExpressRoute. Para uma autenticação mais rápida, recomendamos colocar um controlador de domínio no Azure na mesma rede que o servidor MyWorkDrive ou usar o Azure AD Domain Services.

MyWorkDrive atualizou nosso Imagem do Azure MyWorkDrive no mercado para permitir que ele ingresse facilmente em um domínio Windows Active Directory existente. Isso acelera ainda mais o processo de implantação.

Compartilhamentos de arquivos do Azure Etapas de configuração do Active Directory MyWorkDrive

Vídeo de configuração de compartilhamentos de arquivos do MyWorkDrive Azure.

Pré-requisitos

• O Active Directory deve ser sincronizado com o Azure AD (para definir permissões de compartilhamento).
• Conectividade de rede do Azure para um AD DC (um DC em execução no Azure ou ExpresseRoute/VPN conexão com um DC no local) ou utilizando Azure AD Domain Services.
• Servidor 2019 hospedado no Azure com ferramentas RSAT, ingressado no Active Directory (use este servidor para gerenciar compartilhamentos de arquivos do Azure e adicioná-los ao seu domínio/conjunto de permissões).
• Rede acelerada ativado na máquina virtual do Azure (não disponível com todos os tamanhos de máquina, normalmente requer uma série D com 2 ou mais vCPUs)
• Grupos de posicionamento de proximidade implantado para garantir que os recursos de computação estejam fisicamente localizados juntos para um desempenho ideal.
• Multicanal para pequenas e médias empresas ativado em AzureFiles, se o seu nível de desempenho o suportar.
• O nome da conta de armazenamento do Azure não deve exceder 15 caracteres (requisito de nome de computador do Active Directory).

Criar conta de armazenamento

Crie uma conta de armazenamento em um grupo de recursos na mesma conta do Azure que hospeda seu Azure AD. Selecione as opções de redundância e desempenho necessárias.

Criar compartilhamento de arquivos

Adicione um compartilhamento de arquivo ao nome e à cota do compartilhamento de configuração da sua conta de armazenamento.

Ingressar na conta de armazenamento do Azure no Active Directory

Antes de começar, mapeie uma unidade usando a chave da conta de armazenamento: net use : “net use desejado-drive-letter: \\storage-account-name.file.core.windows.net\share-name storage-account-key/user :Azure\storage-account-name” do seu servidor Windows 2019 no Azure para garantir que você tenha conectividade de compartilhamento de arquivos SMB.

Habilitar a integração do Active Directory de arquivos do Azure

Para o diretório ativo local, Habilite a autenticação do Active Directory de arquivos do Azure usando as etapas descritas aqui. Observação: os scripts são executados melhor usando o PowerShell fornecido com o Server 2019, pois exigem a instalação de componentes específicos como parte do processo. A conta de armazenamento do Azure será adicionada como uma conta de computador.

Para os Serviços de Domínio do Azure AD, siga estas etapas para Habilitar a autenticação de arquivos do Azure com os serviços de domínio do Active Directory. Nesse caso, a conta de armazenamento do Azure será adicionada ao Active Directory como uma conta de usuário.

Se você estiver usando os serviços de domínio do Azure AD, verifique se as contas de usuário criadas no Active Directory estão definidas para que a senha não expire. Se a senha expirar, os usuários não terão mais acesso aos compartilhamentos de arquivos do Azure por meio de suas credenciais do AD e receberão erros ao fazer login no MyWorkDrive (consulte o item 1 na seção Não é possível montar arquivos do Azure com credenciais do AD de Solução de problemas de conexão de arquivos do Azure da Microsoft). Você vai precisar redefina a senha e sincronize novamente as chaves Kerberos.

Atribuir permissões de compartilhamento

Embora estejamos atribuindo e usando permissões NTFS do Active Directory, os compartilhamentos de arquivos do Azure atualmente exigem que as permissões também sejam definidas no nível de compartilhamento usando contas de usuário ou grupos sincronizados com o Azure AD. Atribuir permissões de compartilhamento de identidade – Por exemplo: “Storage File Data SMB Share Elevado Contributor” permite ler, gravar, excluir e modificar.

Há três funções internas do Azure para conceder permissões de nível de compartilhamento aos usuários:

• Leitor de Compartilhamento SMB de Dados de Arquivo de Armazenamento permite acesso de leitura em compartilhamentos de arquivos do Armazenamento do Azure por SMB.
• Colaborador de compartilhamento de SMB de dados de arquivo de armazenamento permite o acesso de leitura, gravação e exclusão em compartilhamentos de arquivos do Armazenamento do Azure por SMB.
• Colaborador Elevado de Compartilhamento SMB de Dados de Arquivo de Armazenamento permite ler, gravar, excluir e modificar ACLs do Windows em compartilhamentos de arquivos do Armazenamento do Azure em SMB.

Uma dessas permissões extras do Azure AD Share precisa ser definida além das permissões NTFS do Active Directory independentemente de quaisquer outras permissões de compartilhamento do Azure AD já existentes (por exemplo, proprietário). Observe que os grupos do Active Directory sincronizados do domínio local podem ser usados (o Azure AD Connect exclui os grupos de segurança internos da sincronização de diretório).

A Microsoft habilitou uma maneira de atribuir permissões para todos os usuários em vez de atribuir um usuário por usuário. Os detalhes estão disponíveis neste Documentação Microsoft atualizada

Atribuir permissões NTFS

Usando a mesma unidade mapeada anteriormente com sua chave de conta de armazenamento, Adicione permissões NTFS para usuários ou grupos do Active Directory à unidade mapeada no compartilhamento ou nos níveis de diretório desejados. Teste as novas permissões NTFS de compartilhamento mapeando uma unidade para o endereço de ponto de extremidade privado – por exemplo, \\azure-file-share.file.core.windows.net\share.

Instalar o servidor MyWorkDrive

Usando um novo servidor ou o Servidor 2019 já associado ao Active Directory no Azure, configurar o servidor MyWorkDrive assim como você faria com qualquer servidor MyWorkDrive. Ao adicionar seu primeiro compartilhamento, use seu novo caminho unc de compartilhamento de arquivo do Azure como seu caminho de compartilhamento de arquivo: por exemplo, \\azure-file-share.file.core.windows.net\share.

Opcionalmente, habilite o logon único do Azure AD do MyWorkDrive

Se os usuários forem sincronizados do Active Directory (AD DS) para o Azure AD, os usuários poderão fazer login usando logon único com suas credenciais do Azure AD usando nosso Integração do MyWorkDrive Azure AD SAML/Single Sign-on depois de permitindo delegação do objeto de computador de compartilhamento de arquivos do Azure no Active Directory (quando os compartilhamentos de arquivos do Azure são adicionados ao Active Directory, um objeto de conta de computador correspondente é criado).

Opção 2: conectar a sincronização de arquivos do Azure com o MyWorkDrive On-Premise

Com Sincronização de arquivos do Azure vários locais podem ser sincronizados no local com arquivos do Azure e locais remotos. Utilizar o Azure File Sync é outra alternativa para conectar seu Active Directory, já que as ACLs NTFS são sincronizadas, além de arquivos e pastas. Além disso, o Azure File Sync suporta a preservação, herança e aplicação de ACLs NTFS do sistema de ficheiros da Microsoft em todas as pastas e ficheiros numa partilha de ficheiros.

Para conectar o MyWorkDrive aos compartilhamentos de arquivos do Azure, basta apontá-los para o servidor local que hospeda a cópia de sincronização de seus compartilhamentos de arquivos do Azure. Do ponto de vista do MyWorkDrive, nada mudou – as permissões NTFS e os bloqueios de arquivos são respeitados.

Vídeo de configuração da sincronização de arquivos do Azure.

A Sincronização de Arquivos do Azure estende os serviços de arquivo do local para o Cloud Storage em compartilhamentos de arquivos do Azure e em servidores Windows em vários locais. Os engenheiros da Microsoft entrevistaram clientes e confirmaram que os compartilhamentos de arquivos do Windows ainda estão em uso por vários motivos. Os pontos problemáticos do cliente identificados incluem velocidade de acesso, controle de dados e grandes capacidades de armazenamento. A Sincronização de Arquivos do Azure aborda essas preocupações.

Recursos-chave de sincronização de arquivos do Azure

• Sincronização bidirecional – do Windows Server ao Azure Cloud Storage com recursos de write-back
• Sincronização de vários sites – Sincronize um compartilhamento entre vários Windows Servers por meio de compartilhamentos de arquivos do Azure com o Cloud Storage com a capacidade de armazenar em cache e editar dados em tempo real em cada site.
• Cópia de segurança de compartilhamentos de arquivos do Azure para o Backup do Azure
• Camada de dados – defina as capacidades máximas de armazenamento de dados para cada Windows Server e replique apenas os dados mais recentes para cada servidor com o saldo armazenado em compartilhamentos de arquivos do Azure na nuvem.

Usando o MyWorkDrive, os compartilhamentos de arquivos do Windows podem ser acessados de qualquer local do mundo por HTTPS (porta 443) de qualquer navegador da Web, cliente de unidade mapeada do MyWorkDrive ou clientes móveis.