تعيين أذونات على مستوى المشاركة لملفات Azure

مقالة
05/09/2024

بمجرد تمكين مصدر Active Directory (AD) لحساب التخزين الخاص بك، يجب تكوين أذونات على مستوى المشاركة للوصول إلى مشاركة الملف. هناك طريقتان يمكنك من خلالهما تعيين أذونات على مستوى المشاركة. يمكنك تعيينها لمستخدمي/مجموعات معينة من Microsoft Entra، ويمكنك تعيينها إلى جميع الهويات المصادق عليها كإذن افتراضي على مستوى المشاركة.

هام

يتطلب التحكم الإداري الكامل لمشاركة الملف، بما في ذلك القدرة على الحصول على ملكية ملف، استخدام مفتاح حساب التخزين. التحكم الإداري الكامل غير مدعوم بالمصادقة المستندة إلى الهوية.

ينطبق على

نوع مشاركة الملف	SMB	NFS
مشاركات الملفات القياسية (GPv2)، حسابات التخزين المكررة محليًا (LRS) وحسابات التخزين المكررة في المنطقة (ZRS)
مشاركات الملفات القياسية (GPv2)، حساب تخزين مكرر جغرافي (GRS) أو حساب تخزين مكرر للمنطقة الجغرافية (GZRS)
مشاركات الملفات المدفوعة (FileStorage)، حسابات التخزين المكررة محليًا (LRS) وحسابات التخزين المكررة في المنطقة (ZRS)

يتم تكوين أذونات مستوى المشاركة على مشاركات ملفات Azure لمستخدمي Microsoft Entra أو المجموعات أو أساسيات الخدمة، بينما يتم فرض أذونات مستوى الدليل والملفات باستخدام قوائم التحكم في الوصول إلى Windows (ACLs). يجب تعيين أذونات على مستوى المشاركة إلى هوية Microsoft Entra التي تمثل نفس المستخدم أو المجموعة أو كيان الخدمة في AD DS الخاص بك من أجل دعم مصادقة AD DS لمشاركة ملف Azure. المصادقة والتخويل مقابل الهويات الموجودة فقط في معرف Microsoft Entra، مثل الهويات المدارة Azure (MSIs)، غير مدعومة.

يجب على معظم المستخدمين تعيين أذونات على مستوى المشاركة لمستخدمي Microsoft Entra محددين أو مجموعات معينة، ثم استخدام قوائم التحكم في الوصول ل Windows للتحكم في الوصول متعدد المستويات على مستوى الدليل والملف. يعد هذا هو التكوين الأكثر صرامة وأماناً.

هناك ثلاثة سيناريوهات حيث نوصي بدلا من ذلك باستخدام إذن افتراضي على مستوى المشاركة للسماح للمساهم أو المساهم المرتفع أو القارئ بالوصول إلى جميع الهويات المصادق عليها:

إذا لم تتمكن من مزامنة AD DS المحلي مع معرف Microsoft Entra، يمكنك استخدام إذن افتراضي على مستوى المشاركة. يسمح لك تعيين إذن افتراضي على مستوى المشاركة بالتغلب على متطلبات المزامنة لأنك لا تحتاج إلى تحديد الإذن للهويات في معرف Microsoft Entra. ثم يمكنك استخدام قوائم التحكم بالوصول في Windows لفرض الإذن الدقيق على ملفاتك والأدلة المتوفرة لديك.
- يمكن للهويات المرتبطة ب AD ولكن لا تتم مزامنتها مع معرف Microsoft Entra أيضا الاستفادة من إذن مستوى المشاركة الافتراضي. قد يتضمن ذلك حسابات الخدمة المدارة المستقلة (sMSA) وحسابات الخدمة المدارة للمجموعة (gMSA) وحسابات الكمبيوتر.
تتم مزامنة AD DS المحلي الذي تستخدمه مع معرف Microsoft Entra مختلف عن معرف Microsoft Entra الذي يتم نشر مشاركة الملف فيه.
- هذا أمر نموذجي عند إدارة بيئات متعددة المستأجرين. يتيح لك استخدام إذن افتراضي على مستوى المشاركة تجاوز متطلبات هوية Microsoft Entra ID المختلطة. لا يزال بإمكانك استخدام قوائم التحكم في الوصول في نظام Windows على ملفاتك والأدلة المتوفرة لديك لفرض الأذونات الدقيقة.
تفضل فرض المصادقة فقط باستخدام قوائم التحكم في الوصول في Windows على مستوى الملف والدليل.

إشعار

نظرا لعدم وجود هوية لحسابات الكمبيوتر في Microsoft Entra ID، لا يمكنك تكوين التحكم في الوصول المستند إلى دور Azure (RBAC) لها. ومع ذلك، يمكن لحسابات الكمبيوتر الوصول إلى مشاركة ملف باستخدام إذن افتراضي على مستوى المشاركة.

يسرد الجدول التالي أذونات مستوى المشاركة وكيفية محاذاتها مع أدوار Azure RBAC المضمنة:

الأدوار المضمنة المدعومة	‏‏الوصف
Storage File Data SMB Share Reader	يسمح بالوصول للقراءة إلى الملفات والأدلة في مشاركات ملفات Azure. يشبه هذا الدور قائمة التحكم في الوصول لمشاركة الملفات للقراءة على خوادم ملفات Windows. اعرف المزيد.
مساهم مشاركة SMB لبيانات ملف التخزين	يسمح بالوصول للقراءة والكتابة والحذف على الملفات والدلائل في مشاركات ملفات Azure. اعرف المزيد.
مساهم غير مقيد لمشاركة بيانات ملف التخزين SMB	يسمح بقراءة قوائم التحكم في الوصول وكتابتها وحذفها وتعديلها على الملفات والأدلة في مشاركات ملفات Azure. يشبه هذا الدور قائمة التحكم في الوصول لبيانات التحكم في الوصول لمشاركة الملفات على خوادم الملفات التي تعمل بنظام Windows. اعرف المزيد.

إذا كنت تنوي استخدام مستخدم أو مجموعة معينة من Microsoft Entra للوصول إلى موارد مشاركة ملف Azure، يجب أن تكون هذه الهوية هوية مختلطة موجودة في كل من AD DS المحلي ومعرف Microsoft Entra. على سبيل المثال، لنفترض أن لديك مستخدما في AD الخاص بك وهو وقد user1@onprem.contoso.com قمت بالمزامنة مع معرف Microsoft Entra باستخدام user1@contoso.com Microsoft Entra الاتصال Sync أو Microsoft Entra الاتصال المزامنة السحابية. لكي يصل هذا المستخدم إلى Azure Files، يجب تعيين أذونات مستوى المشاركة إلى user1@contoso.com. ينطبق نفس المفهوم على المجموعات وكيانات الخدمة.

هام

قم بتعيين الأذونات من خلال الإعلان صراحة عن الإجراءات وإجراءات البيانات بدلاً من استخدام حرف بدل (*). إذا احتوى تعريف دور مخصص لإجراء بيانات على حرف بدل، فسيتم منح كل الهويات المعينة لهذا الدور حق الوصول لجميع إجراءات البيانات الممكنة. هذا يعني أنه سيتم أيضاً منح جميع هذه الهويات أي إجراء بيانات جديد يُضاف إلى النظام الأساسي. قد يكون الوصول الإضافي والأذونات الممنوحة من خلال إجراءات أو إجراءات بيانات جديدة سلوكاً غير مرغوب فيه للعملاء الذين يستخدمون أحرف البدل.

لكي تعمل الأذونات على مستوى المشاركة، يجب عليك:

قم بمزامنة المستخدمين والمجموعات من AD المحلي إلى معرف Microsoft Entra باستخدام تطبيق Microsoft Entra الاتصال Sync المحلي أو مزامنة سحابة Microsoft Entra الاتصال، وهو عامل خفيف الوزن يمكن تثبيته من مركز مسؤول Microsoft Entra.
أضف مجموعات مزامنة AD إلى دور RBAC حتى يتمكنوا من الوصول إلى حساب التخزين الخاص بك.

تلميح

اختياري: يمكن للعملاء الذين يرغبون في ترحيل أذونات مستوى مشاركة خادم SMB إلى أذونات التحكم في الوصول استنادا إلى الدور استخدام Move-OnPremSharePermissionsToAzureFileShare PowerShell cmdlet لترحيل أذونات مستوى الدليل والملفات من الموقع المحلي إلى Azure. يقيم cmdlet هذا مجموعات مشاركة ملف محلي معينة، ثم يكتب المستخدمين والمجموعات المناسبة إلى مشاركة ملف Azure باستخدام أدوار RBAC الثلاثة. يمكنك توفير المعلومات للمشاركة المحلية ومشاركة ملف Azure عند استدعاء cmdlet.

يمكنك استخدام مدخل Microsoft Azure أو Azure PowerShell أو Azure CLI لتعيين الأدوار المضمنة إلى هوية Microsoft Entra للمستخدم لمنح أذونات على مستوى المشاركة.

هام

ستستغرق الأذونات على مستوى المشاركة ما يصل إلى ثلاث ساعات لتصبح سارية المفعول بمجرد اكتمالها. يرجى الانتظار حتى تتم مزامنة الأذونات قبل الاتصال بمشاركة الملف باستخدام بيانات الاعتماد لديك.

لتعيين دور Azure إلى هوية Microsoft Entra، باستخدام مدخل Microsoft Azure، اتبع الخطوات التالية:

في مدخل Azure، انتقل إلى مشاركة الملف، أو إنشاء مشاركة ملف.
حدد التحكم بالوصول (IAM).
حدد إضافة تعيين دور
في جزء إضافة تعيين دور، حدد الدور المضمن المناسب من قائمة الدور.
1. قارئ مشاركة SMB لبيانات ملفات التخزين
2. Storage File Data SMB Share Contributor
3. Storage File Data SMB Share Elevated Contributor
اترك تعيين الوصول إلى في الإعداد الافتراضي: مستخدم Microsoft Entra أو مجموعة أو كيان الخدمة. حدد هوية Microsoft Entra المستهدفة حسب الاسم أو عنوان البريد الإلكتروني. يجب أن تكون هوية Microsoft Entra المحددة هوية مختلطة ولا يمكن أن تكون هوية سحابية فقط. هذا يعني أن نفس الهوية يتم تمثيلها أيضًا في AD DS.
حدد حفظ لإكمال عملية تعيين الدور.

يوضح نموذج PowerShell التالي كيفية تعيين دور Azure إلى هوية Microsoft Entra، استنادا إلى اسم تسجيل الدخول. لمزيد من المعلومات حول تعيين أدوار Azure باستخدام PowerShell، راجع إضافة تعيينات دور Azure أو إزالتها باستخدام الوحدة Azure PowerShell.

قبل تشغيل نموذج البرنامج النصي التالي، استبدل قيم العناصر النائبة، بما في ذلك الأقواس، بقيمك.

#Get the name of the custom role
$FileShareContributorRole = Get-AzRoleDefinition "<role-name>" #Use one of the built-in roles: Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor, Storage File Data SMB Share Elevated Contributor
#Constrain the scope to the target file share
$scope = "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/fileServices/default/fileshares/<share-name>"
#Assign the custom role to the target identity with the specified scope.
New-AzRoleAssignment -SignInName <user-principal-name> -RoleDefinitionName $FileShareContributorRole.Name -Scope $scope

يعين الأمر CLI 2.0 التالي دور Azure لهوية Microsoft Entra، استنادا إلى اسم تسجيل الدخول. لمزيد من المعلومات حول تعيين أدوار Azure باستخدام Azure CLI، راجع إضافة تعيينات دور Azure أو إزالتها باستخدام Azure CLI.

قبل تشغيل نموذج البرنامج النصي التالي، تذكر استبدال قيم العناصر النائبة، بما في ذلك الأقواس، بقيمك الخاصة.

#Assign the built-in role to the target identity: Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor, Storage File Data SMB Share Elevated Contributor
az role assignment create --role "<role-name>" --assignee <user-principal-name> --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/fileServices/default/fileshares/<share-name>"

يمكنك إضافة إذن افتراضي على مستوى المشاركة على حساب التخزين الخاص بك، بدلا من تكوين أذونات على مستوى المشاركة لمستخدمي Microsoft Entra أو المجموعات. ينطبق الإذن الافتراضي على مستوى المشاركة المعين لحساب التخزين على جميع مشاركات الملفات المضمنة في حساب التخزين.

عند تعيين إذن افتراضي على مستوى المشاركة، سيكون لجميع المستخدمين والمجموعات التي تمت مصادقتها نفس الإذن. يتم تحديد المستخدمين أو المجموعات التي تمت مصادقتها، حيث يمكن مصادقة الهوية مقابل AD DS المحلي الذي يرتبط به حساب التخزين. يتم تعيين الإذن الافتراضي على مستوى المشاركة إلى بلا عند التهيئة، مما يعني أنه لا يسمح بالوصول إلى الملفات أو الدلائل في مشاركة ملف Azure.

لتكوين أذونات مستوى المشاركة الافتراضية على حساب التخزين الخاص بك باستخدام مدخل Microsoft Azure، اتبع الخطوات التالية.

في مدخل Microsoft Azure، انتقل إلى حساب التخزين الذي يحتوي على مشاركة (مشاركات) الملف وحدد Data storage > File shares.
يجب تمكين مصدر AD على حساب التخزين الخاص بك قبل تعيين أذونات على مستوى المشاركة الافتراضية. إذا كنت قد قمت بذلك بالفعل، فحدد Active Directory وانتقل إلى الخطوة التالية. بخلاف ذلك، حدد Active Directory: Not configured، وحدد Set up ضمن مصدر AD المطلوب، وقم بتمكين مصدر AD.
بعد تمكين مصدر AD، الخطوة 2: ستكون أذونات تعيين مستوى المشاركة متاحة للتكوين. حدد تمكين الأذونات لجميع المستخدمين والمجموعات المصادق عليها.
حدد الدور المناسب لتمكينه كإذن مشاركة افتراضي من القائمة المنسدلة.
حدد حفظ.

يمكنك استخدام البرنامج النصي التالي لتكوين أذونات افتراضية على مستوى المشاركة على حساب التخزين. يمكنك تمكين إذن مستوى المشاركة الافتراضي فقط على حسابات التخزين المقترنة بخدمة دليل لمصادقة ملفات Azure.

قبل تشغيل البرنامج النصي التالي، تأكد من أن الوحدة «Az.Storage» هي الإصدار 3.7.0 أو أحدث. نقترح التحديث إلى أحدث إصدار.

$defaultPermission = "None|StorageFileDataSmbShareContributor|StorageFileDataSmbShareReader|StorageFileDataSmbShareElevatedContributor" # Set the default permission of your choice

$account = Set-AzStorageAccount -ResourceGroupName "<resource-group-name-here>" -AccountName "<storage-account-name-here>" -DefaultSharePermission $defaultPermission

$account.AzureFilesIdentityBasedAuth

قبل تشغيل البرنامج النصي التالي، تأكد من أن Azure CLI هو الإصدار 2.24.1 أو أحدث.

# Declare variables
storageAccountName="YourStorageAccountName"
resourceGroupName="YourResourceGroupName"
defaultPermission="None|StorageFileDataSmbShareContributor|StorageFileDataSmbShareReader|StorageFileDataSmbShareElevatedContributor" # Set the default permission of your choice

az storage account update --name $storageAccountName --resource-group $resourceGroupName --default-share-permission $defaultPermission

ماذا يحدث إذا كنت تستخدم كلا التكوينين

يمكنك أيضا تعيين أذونات لجميع مستخدمي Microsoft Entra المصادق عليهم ومستخدمين/مجموعات محددة من Microsoft Entra. باستخدام هذا التكوين، سيكون لدى مستخدم أو مجموعة معينة أيهما هو إذن المستوى الأعلى من إذن مستوى المشاركة الافتراضي وتعيين التحكم في الوصول استناداً إلى الدور. بمعنى آخر، لنفترض أنك منحت مستخدماً دور قارئ SMB لبيانات ملف التخزين في مشاركة الملف الهدف. كما قمت أيضاً بمنح الإذن الافتراضي على مستوى المشاركة لدور المساهم غير المقيد لمشاركة SMB لبيانات ملفات التخزين إلى جميع المستخدمين المصادق عليهم. باستخدام هذا التكوين، سيتمتع هذا المستخدم المعين الموجود في دور المساهم غير المقيد لمشاركة SMB لبيانات ملفات التخزين بمستوى الوصول إلى مشاركة الملف. دائماً ما تكون للأذونات ذات المستوى الأعلى الأسبقية.

الخطوة التالية

الآن بعد أن قمت بتعيين أذونات على مستوى المشاركة، يمكنك تكوين أذونات مستوى الدليل والملف. تذكر أن الأذونات على مستوى المشاركة قد تستغرق ما يصل إلى ثلاث ساعات حتى يسري مفعولها.

Share via

ينطبق على

ماذا يحدث إذا كنت تستخدم كلا التكوينين

الخطوة التالية

الموارد الإضافية

Share via

تعيين أذونات على مستوى المشاركة لمشاركات ملفات Azure

ينطبق على

اختيار كيفية تعيين أذونات على مستوى المشاركة

أذونات على مستوى المشاركة وأدوار Azure RBAC

أذونات على مستوى المشاركة لمستخدمي أو مجموعات معينة من Microsoft Entra

أذونات على مستوى المشاركة لجميع الهويات المصادق عليها

ماذا يحدث إذا كنت تستخدم كلا التكوينين

الخطوة التالية

الموارد الإضافية