Microsoft hat die allgemeine Verfügbarkeit (GA) von Entra-Only-Identitäten für Azure Files SMB bekanntgegeben. Organisationen können SMB-Dateifreigaben (Server Message Block, das klassische Windows-Dateifreigabeprotokoll) ab sofort ausschließlich über cloud-native Identitäten aus Microsoft Entra ID absichern – ein on-premises Active Directory ist dafür nicht mehr erforderlich. Für viele meiner Kursteilnehmer in den Azure-Kursen ist das eine lang erwartete Vereinfachung.
Bisher war die identitätsbasierte Authentifizierung für Azure Files SMB an eine hybride Konstellation geknüpft: Entweder musste ein on-premises Active Directory Domain Services (AD DS) per Azure AD Connect synchronisiert werden, oder es musste Microsoft Entra Domain Services (ein verwalteter Domänendienst in Azure) bereitgestellt sein. Beide Varianten bringen Betriebsaufwand mit sich.
Was ist neu?
Mit den jetzt allgemein verfügbaren Entra-Only-Identitäten entfällt diese Voraussetzung vollständig. Der Zugriff auf SMB-Dateifreigaben in Azure Files lässt sich direkt über reine Cloud-Identitäten aus Microsoft Entra ID steuern – also über Benutzerkonten und Gruppen, die ausschließlich in der Cloud existieren, ohne je ein lokales AD berührt zu haben.
Konkret bedeutet das: Berechtigungen auf Share-Ebene (RBAC, Role-Based Access Control) sowie auf Verzeichnis- und Dateiebene (Windows-ACLs) lassen sich nun vollständig cloud-nativ vergeben und verwalten. Unternehmen, die bereits vollständig auf Microsoft Entra ID setzen – etwa Cloud-only-Tenants oder neu gegründete Organisationen ohne Legacy-Infrastruktur – können Azure Files SMB jetzt ohne jeglichen Hybrid-Overhead nutzen.
Was bedeutet das für Azure-Admins?
In meinen Azure-Kursen stoßen wir oft auf genau diese Fragestellung: Wie sichere ich Dateifreigaben ab, wenn ich kein lokales Active Directory betreibe oder betreiben möchte? Bislang war die ehrliche Antwort: mit Kompromissen. Das ändert sich jetzt.
Folgende Punkte sind aus Administratorensicht relevant:
| Aspekt | Bisher (hybrid) | Jetzt (Entra-Only) |
|---|---|---|
| Identitätsquelle | AD DS oder Entra Domain Services erforderlich | Reine Entra-ID-Cloud-Identitäten genügen |
| Infrastrukturaufwand | Domain Controller oder verwaltete Domäne nötig | Kein zusätzlicher Dienst erforderlich |
| Berechtigungsmodell | RBAC + ACLs (hybrid) | RBAC + ACLs (cloud-nativ) |
| Geeignet für | Hybride Umgebungen | Cloud-only-Tenants, neue Deployments |
Merksatz: Wer heute ein neues Azure-Files-Deployment plant und kein on-premises Active Directory betreibt, sollte Entra-Only-Identitäten als Standard-Konfiguration in Betracht ziehen – nicht als Ausnahme.
Praxistipp: Prüfen Sie im Azure Portal unter Storage Account → Konfiguration → Identity-based access for file shares, ob Ihr bestehendes Storage Account bereits auf Entra-Only umgestellt werden kann. Bei Cloud-only-Tenants ist das ab sofort ohne Migration möglich. Für hybride Umgebungen mit bestehendem AD DS bleibt die bisherige Konfiguration weiterhin unterstützt – ein Zwang zur Umstellung besteht nicht.
Noch mal in Kürze: Entra-Only für Azure Files SMB ist GA, ohne Hybrid-Voraussetzung nutzbar und für Cloud-native-Szenarien die sauberere Lösung. Alle Details finden Sie in der Originalankündigung bei Azure Blog.