Unternehmen

Azure Files verstehen: Eine starke Lösung – jetzt auch für reine Cloud-Kunden verfügbar

Microsoft Azure Files verstehen - Beitragsbild
Microsoft Azure Files verstehen

Microsoft hat Entra Kerberos für cloud-only Identitäten als Public Preview veröffentlicht. Damit lässt sich Azure Files künftig nutzen, ohne dass Domain Controller erforderlich sind.


Was sind Azure Files?

Traditionell betreiben viele Unternehmen ihre File-Server on-Premises, um Ordner im Netzwerk bereitzustellen – Mitarbeitende speichern dort Dokumente und andere Dateien. Azure Files bietet die gleiche Funktionalität, jedoch vollständig cloudbasiert und über das Internet erreichbar.

Azure Files ist in mehreren Stufen in Bezug auf Leistung und Kosten verfügbar, sodass Unternehmen die für sie passende Option wählen können. Der Dienst ist in allen Azure-Regionen nutzbar und bietet – sofern verfügbar – Zonenredundanz. Funktionen wie Soft-Delete, Snapshots sowie eine Integration in Azure Backup für langfristige, ausgelagerte Sicherungen.


Azure Files und Authentifizierung – das sollten Sie wissen

Zunächst ist es wichtig zu verstehen, wie die User-Authentifizierung beim Zugriff auf den Share erfolgt. Bei Windows File Servern wird hier das Server Message Block (SMB)-Protokoll verwendet.  Die Authentifizierung findet hierbei über das Kerberos Protokoll statt. Kerberos stammt aus der klassischen Windows-Active-Directory-Welt und setzt einen Domain Controller voraus. Es wurde für On-Premise Umgebungen geschaffen, die in einem vertrauenswürdigen, von der Außenwelt durch Firewalls abgesicherten Netzwerk operieren. Für moderne Zero-Trust-Umgebungen in der Cloud ist diese Architektur jedoch nur bedingt geeignet – hier kommt Microsoft Entra ID ins Spiel.

Da Azure Files aus Kompatibilitätsgründen ebenfalls SMB nutzt, ist Kerberos weiterhin erforderlich – ergänzt durch Entra ID für die Absicherung in der Cloud. Bisher bedeutete das: Azure Files benötigt hybride Identitäten, also Benutzer aus einem Windows AD, die per Entra Connect mit Entra ID synchronisiert werden.


1. Entra Domain Services
  • Microsoft-verwaltete Domain Controller in Azure
  • Benutzer aus Entra ID werden synchronisiert
2. Domain Controller + Entra Connect
  • Selbstverwalteter Windows-AD-Domain-Controller mit Entra Connect Implementierung
  • Synchronisation des Windows AD mit Entra ID

    In beiden Fällen benötigen Geräte eine netzwerkmäßige Sichtverbindung zu dem Domain Controller. Für den mobilen Einsatz ohne VPN ist diese Option daher nicht geeignet.
3. Entra Kerberos für hybride Identitäten
  • Verwendet Entra ID als „Mittelsmann“ für Kerberos
  • Direkten Sichtverbindung nicht mehr erforderlich
  • Domain Controller on-premise oder in Azure weiter erforderlich

    Für Kunden mit bestehendem AD und Entra Connect ist Azure Files daher eine einfache Wahl. Für cloud-only Umgebungen dagegen war der Aufbau von Domain Controllern plus Synchronisation bisher ein erheblicher Aufwand – möglich, aber komplex.

Arbeitet Microsoft an einer besseren Lösung?

Ja – und jetzt ist sie da.

Microsoft hat Entra Kerberos für cloud-only Identitäten als Public Preview veröffentlicht. Entra ID übernimmt nun den kompletten Kerberos-Prozess – ohne Windows AD.

Das bedeutet:

  • Keine Domain Controller mehr nötig
  • Azure Files wird erstmals auch für reine Cloud-Kunden vollständig nutzbar
  • Granulare Zugriffsberechtigungen zu Azure Files lassen sich direkt im Azure Portal konfigurieren
  • Keine Notwendigkeit mehr den Share auf eine virtuelle Maschine zu „mounten“

Wichtig: Die Funktion ist aktuell im Preview-Status und daher (noch) nicht für produktive Workloads empfohlen. Für Test- und Lab-Umgebungen sollten Sie sie jedoch unbedingt ausprobieren.

Bis zur General Availability wird empfohlen aus den drei Optionen die Entra Kerberos Variante zu nutzen.


Azure Virtual Desktop (AVD)

AVD wird häufig mit gepoolten Hosts betrieben. Benutzer erhalten dabei eine zufällige Sitzung auf einem beliebigen Host. Da Profile nicht lokal verbleiben können, wird ein zentrales Profilmanagement benötigt.

Der Microsoft-Standard dafür ist FSLogix, das Benutzerprofile auf einer zentralen File-Share ablegt – häufig Azure Files.

Da Azure Files jedoch bislang hybride Identitäten erfordert, mussten Kunden immer Domain Controller bereitstellen.
Mit Entra Kerberos für cloud-only Identitäten entfällt diese Abhängigkeit.

AVD mit gepoolten Hosts wird erstmals vollständig domaincontrollerfrei möglich.
Für viele Cloud-only-Kunden ist das ein echter Gamechanger.


Gibt es Alternativen zu Azure Files?

Viele Unternehmen betreiben heute File-Server oder NAS-Systeme und möchten diese ablösen – idealerweise durch eine Cloud-Lösung, die weiterhin als Laufwerksbuchstabe eingebunden werden kann. Azure Files bietet sich dafür an, dennoch sollten auch andere Microsoft-Dienste geprüft werden.

Gerade Kunden mit Microsoft 365 nutzen bereits:

  • SharePoint Online
  • OneDrive for Business

Beide sind native Cloudspeicherlösungen mit Vorteilen wie u.a.:

  • Automatische Speicherung
  • Versionierungen
  • Suche
  • Granulare Freigabsteuerung
  • Gleichzeitiges Bearbeiten von Dokumenten

Daher empfehlen wir häufig eine Migration zu SharePoint/OneDrive statt einer 1:1-Ablösung des File-Servers.

Die SharePoint-Kapazität ist jedoch begrenzt – zusätzliche Kapazität kann teuer werden. Eine Bereinigung als Frühjahresputz-Aktion ist sicherlich hier die einfachste Lösung, wenn die Datenmengen zu groß werden. Microsoft Purview kann hier helfen, die wichtigen von den unwichtigen Daten zu unterscheiden. Viele Kunden scheuen jedoch vor solch rigorosen Maßnahmen.

Für große Datenmengen bieten sich daher folgende Kombinationen an:

  • Aktive Dateien => SharePoint/OneDrive
  • Archivdaten => Azure Files (günstiger und SMB-kompatibel)

Fazit

Für Kunden mit Domain Controllern und Entra Connect ist Azure Files schon heute eine starke Cloud-File-Share-Lösung.

Für Cloud-only-Kunden liefert Microsoft jetzt – im Public Preview – ein entscheidendes Update durch Entra Kerberos für cloud-only Identitäten, das Azure Files und AVD erheblich einfacher nutzbar macht.


Zurück zur Microsoft News Übersicht

Kontakt zum Microsoft-Team

Bei Fragen zu Azure Files, hybriden Identitäten, Azure Virtual Desktop, SharePoint oder OneDrive steht Ihnen unser Professional Services Team gerne zur Verfügung.

microsoft@infinigate.de
+49 89 89048-580

Kontakt aufnehmen