تعيين أذونات على مستوى المشاركة لمشاركات ملفات Azure

بمجرد تمكين مصدر Active Directory (AD) لحساب التخزين الخاص بك، يجب تكوين أذونات على مستوى المشاركة للوصول إلى مشاركة الملف. هناك طريقتان يمكنك من خلالهما تعيين أذونات على مستوى المشاركة. يمكنك تعيينها لمستخدمي/مجموعات معينة من Microsoft Entra، ويمكنك تعيينها إلى جميع الهويات المصادق عليها كإذن افتراضي على مستوى المشاركة.

هام

يتطلب التحكم الإداري الكامل لمشاركة الملف، بما في ذلك القدرة على الحصول على ملكية ملف، استخدام مفتاح حساب التخزين. التحكم الإداري الكامل غير مدعوم بالمصادقة المستندة إلى الهوية.

ينطبق على

نوع مشاركة الملف	SMB	NFS
مشاركات الملفات القياسية (GPv2)، حسابات التخزين المكررة محليًا (LRS) وحسابات التخزين المكررة في المنطقة (ZRS)
مشاركات الملفات القياسية (GPv2)، حساب تخزين مكرر جغرافي (GRS) أو حساب تخزين مكرر للمنطقة الجغرافية (GZRS)
مشاركات الملفات المدفوعة (FileStorage)، حسابات التخزين المكررة محليًا (LRS) وحسابات التخزين المكررة في المنطقة (ZRS)

اختيار كيفية تعيين أذونات على مستوى المشاركة

يتم تكوين أذونات مستوى المشاركة على مشاركات ملفات Azure لمستخدمي Microsoft Entra أو المجموعات أو أساسيات الخدمة، بينما يتم فرض أذونات مستوى الدليل والملفات باستخدام قوائم التحكم في الوصول إلى Windows (ACLs). يجب تعيين أذونات على مستوى المشاركة إلى هوية Microsoft Entra التي تمثل المستخدم أو المجموعة أو كيان الخدمة الذي يجب أن يكون لديه حق الوصول. المصادقة والتخويل مقابل الهويات الموجودة فقط في معرف Microsoft Entra، مثل الهويات المدارة Azure (MSIs)، غير مدعومة.

يجب على معظم المستخدمين تعيين أذونات على مستوى المشاركة لمستخدمي Microsoft Entra محددين أو مجموعات معينة، ثم استخدام قوائم التحكم في الوصول ل Windows للتحكم في الوصول متعدد المستويات على مستوى الدليل والملف. يعد هذا هو التكوين الأكثر صرامة وأماناً.

هناك ثلاثة سيناريوهات حيث نوصي بدلا من ذلك باستخدام إذن افتراضي على مستوى المشاركة للسماح للقارئ أو المساهم أو المساهم المرتفع أو المساهم المتميز أو القارئ المتميز بالوصول إلى جميع الهويات المصادق عليها:

• إذا لم تتمكن من مزامنة AD DS المحلي مع معرف Microsoft Entra، يمكنك استخدام إذن افتراضي على مستوى المشاركة. يسمح لك تعيين إذن افتراضي على مستوى المشاركة بالتغلب على متطلبات المزامنة لأنك لا تحتاج إلى تحديد الإذن للهويات في معرف Microsoft Entra. ثم يمكنك استخدام قوائم التحكم بالوصول في Windows لفرض الإذن الدقيق على ملفاتك والأدلة المتوفرة لديك.
  • يمكن للهويات المرتبطة ب AD ولكن لا تتم مزامنتها مع معرف Microsoft Entra أيضا الاستفادة من إذن مستوى المشاركة الافتراضي. قد يتضمن ذلك حسابات الخدمة المدارة المستقلة (sMSA) وحسابات الخدمة المدارة للمجموعة (gMSA) وحسابات الكمبيوتر.
• تتم مزامنة AD DS المحلي الذي تستخدمه مع معرف Microsoft Entra مختلف عن معرف Microsoft Entra الذي يتم نشر مشاركة الملف فيه.
  • هذا أمر نموذجي عند إدارة بيئات متعددة المستأجرين. يتيح لك استخدام إذن افتراضي على مستوى المشاركة تجاوز متطلبات هوية Microsoft Entra ID المختلطة. لا يزال بإمكانك استخدام قوائم التحكم في الوصول في نظام Windows على ملفاتك والأدلة المتوفرة لديك لفرض الأذونات الدقيقة.
• تفضل فرض المصادقة فقط باستخدام قوائم التحكم في الوصول في Windows على مستوى الملف والدليل.

أدوار Azure RBAC لملفات Azure

هناك خمسة أدوار مضمنة للتحكم في الوصول استنادا إلى الدور (RBAC) في Azure لملفات Azure، بعضها يسمح بمنح أذونات على مستوى المشاركة للمستخدمين والمجموعات. إذا كنت تستخدم Azure Storage Explorer، فستحتاج أيضا إلى دور القارئ والوصول إلى البيانات من أجل قراءة/الوصول إلى مشاركة ملف Azure.

إشعار

نظرا لعدم وجود هوية لحسابات الكمبيوتر في Microsoft Entra ID، فلا يمكنك تكوين Azure RBAC لها. ومع ذلك، يمكن لحسابات الكمبيوتر الوصول إلى مشاركة ملف باستخدام إذن افتراضي على مستوى المشاركة.

دور Azure RBAC المضمن	الوصف
Storage File Data SMB Share Reader	يسمح بالوصول للقراءة إلى الملفات والأدلة في مشاركات ملفات Azure. يشبه هذا الدور قائمة التحكم في الوصول لمشاركة الملفات للقراءة على خوادم ملفات Windows.
مساهم مشاركة SMB لبيانات ملف التخزين	يسمح بالوصول للقراءة والكتابة والحذف على الملفات والدلائل في مشاركات ملفات Azure.
مساهم غير مقيد لمشاركة بيانات ملف التخزين SMB	يسمح بقراءة قوائم التحكم في الوصول وكتابتها وحذفها وتعديلها على الملفات والأدلة في مشاركات ملفات Azure. يشبه هذا الدور قائمة التحكم في الوصول لبيانات التحكم في الوصول لمشاركة الملفات على خوادم الملفات التي تعمل بنظام Windows.
مساهم متميز لبيانات ملف التخزين	يسمح بقراءة قوائم التحكم بالوصول وكتابتها وحذفها وتعديلها في مشاركات ملفات Azure عن طريق تجاوز قوائم التحكم في الوصول الموجودة.
قارئ بيانات ملف التخزين المتميز	يسمح بالوصول للقراءة في مشاركات ملفات Azure عن طريق تجاوز قوائم التحكم بالوصول الموجودة.

أذونات على مستوى المشاركة لمستخدمي أو مجموعات معينة من Microsoft Entra

إذا كنت تنوي استخدام مستخدم أو مجموعة معينة من Microsoft Entra للوصول إلى موارد مشاركة ملف Azure، يجب أن تكون هذه الهوية هوية مختلطة موجودة في كل من AD DS المحلي ومعرف Microsoft Entra. على سبيل المثال، لنفترض أن لديك مستخدما في AD الخاص بك وهو وقد user1@onprem.contoso.com قمت بالمزامنة مع معرف Microsoft Entra باستخدام user1@contoso.com Microsoft Entra Connect Sync أو مزامنة سحابة Microsoft Entra Connect. لكي يصل هذا المستخدم إلى Azure Files، يجب تعيين أذونات مستوى المشاركة إلى user1@contoso.com. ينطبق نفس المفهوم على المجموعات وكيانات الخدمة.

هام

قم بتعيين الأذونات من خلال الإعلان صراحة عن الإجراءات وإجراءات البيانات بدلاً من استخدام حرف بدل (*). إذا احتوى تعريف دور مخصص لإجراء بيانات على حرف بدل، فسيتم منح كل الهويات المعينة لهذا الدور حق الوصول لجميع إجراءات البيانات الممكنة. هذا يعني أنه سيتم أيضاً منح جميع هذه الهويات أي إجراء بيانات جديد يُضاف إلى النظام الأساسي. قد يكون الوصول الإضافي والأذونات الممنوحة من خلال إجراءات أو إجراءات بيانات جديدة سلوكاً غير مرغوب فيه للعملاء الذين يستخدمون أحرف البدل.

لكي تعمل الأذونات على مستوى المشاركة، يجب عليك:

• إذا كان مصدر AD هو AD DS أو Microsoft Entra Kerberos، فيجب عليك مزامنة المستخدمين والمجموعات من AD المحلي إلى Microsoft Entra ID باستخدام إما تطبيق Microsoft Entra Connect Sync المحلي أو مزامنة سحابة Microsoft Entra Connect، وهو عامل خفيف الوزن يمكن تثبيته من مركز إدارة Microsoft Entra.
• أضف مجموعات مزامنة AD إلى دور RBAC حتى يتمكنوا من الوصول إلى حساب التخزين الخاص بك.

تلميح

اختياري: يمكن للعملاء الذين يرغبون في ترحيل أذونات مستوى مشاركة خادم SMB إلى أذونات التحكم في الوصول استنادا إلى الدور استخدام Move-OnPremSharePermissionsToAzureFileShare PowerShell cmdlet لترحيل أذونات مستوى الدليل والملفات من الموقع المحلي إلى Azure. يقيم cmdlet هذا مجموعات مشاركة ملف محلي معينة، ثم يكتب المستخدمين والمجموعات المناسبة إلى مشاركة ملف Azure باستخدام أدوار RBAC الثلاثة. يمكنك توفير المعلومات للمشاركة المحلية ومشاركة ملف Azure عند استدعاء cmdlet.

يمكنك استخدام مدخل Microsoft Azure أو Azure PowerShell أو Azure CLI لتعيين الأدوار المضمنة إلى هوية Microsoft Entra للمستخدم لمنح أذونات على مستوى المشاركة.

هام

ستستغرق الأذونات على مستوى المشاركة ما يصل إلى ثلاث ساعات لتصبح سارية المفعول بمجرد اكتمالها. تأكد من انتظار مزامنة الأذونات قبل الاتصال بمشاركة الملف باستخدام بيانات الاعتماد الخاصة بك.

بوابة

لتعيين دور Azure إلى هوية Microsoft Entra، باستخدام مدخل Microsoft Azure، اتبع الخطوات التالية:

1. في مدخل Microsoft Azure، انتقل إلى مشاركة الملف، أو أنشئ مشاركة ملف SMB.
2. حدد التحكم بالوصول (IAM).
3. حدد إضافة تعيين دور
4. في جزء إضافة تعيين دور، حدد الدور المضمن المناسب من قائمة الدور.
5. اترك تعيين الوصول إلى في الإعداد الافتراضي: مستخدم Microsoft Entra أو مجموعة أو كيان الخدمة. حدد هوية Microsoft Entra المستهدفة حسب الاسم أو عنوان البريد الإلكتروني. يجب أن تكون هوية Microsoft Entra المحددة هوية مختلطة ولا يمكن أن تكون هوية سحابية فقط. هذا يعني أن نفس الهوية يتم تمثيلها أيضًا في AD DS.
6. حدد حفظ لإكمال عملية تعيين الدور.

Azure PowerShell

يوضح نموذج PowerShell التالي كيفية تعيين دور Azure إلى هوية Microsoft Entra، استنادا إلى اسم تسجيل الدخول. لمزيد من المعلومات حول تعيين أدوار Azure باستخدام PowerShell، راجع إضافة تعيينات دور Azure أو إزالتها باستخدام الوحدة Azure PowerShell.

قبل تشغيل نموذج البرنامج النصي التالي، استبدل قيم العناصر النائبة، بما في ذلك الأقواس، بقيمك.

#Get the name of the custom role
$FileShareContributorRole = Get-AzRoleDefinition "<role-name>" #Use one of the built-in roles: Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor, Storage File Data SMB Share Elevated Contributor
#Constrain the scope to the target file share
$scope = "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/fileServices/default/fileshares/<share-name>"
#Assign the custom role to the target identity with the specified scope.
New-AzRoleAssignment -SignInName <user-principal-name> -RoleDefinitionName $FileShareContributorRole.Name -Scope $scope

Azure CLI

يعين أمر CLI التالي دور Azure إلى هوية Microsoft Entra، استنادا إلى اسم تسجيل الدخول. لمزيد من المعلومات حول تعيين أدوار Azure باستخدام Azure CLI، راجع إضافة تعيينات دور Azure أو إزالتها باستخدام Azure CLI.

قبل تشغيل نموذج البرنامج النصي التالي، تذكر استبدال قيم العناصر النائبة، بما في ذلك الأقواس، بقيمك الخاصة.

#Assign the built-in role to the target identity: Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor, Storage File Data SMB Share Elevated Contributor, Storage File Data Privileged Contributor, Storage File Data Privileged Reader
az role assignment create --role "<role-name>" --assignee <user-principal-name> --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/fileServices/default/fileshares/<share-name>"

أذونات على مستوى المشاركة لجميع الهويات المصادق عليها

يمكنك إضافة إذن افتراضي على مستوى المشاركة على حساب التخزين الخاص بك، بدلا من تكوين أذونات على مستوى المشاركة لمستخدمي Microsoft Entra أو المجموعات. ينطبق الإذن الافتراضي على مستوى المشاركة المعين لحساب التخزين على جميع مشاركات الملفات المضمنة في حساب التخزين.

عند تعيين إذن افتراضي على مستوى المشاركة، سيكون لجميع المستخدمين والمجموعات التي تمت مصادقتها نفس الإذن. يتم تحديد المستخدمين أو المجموعات التي تمت مصادقتها، حيث يمكن مصادقة الهوية مقابل AD DS المحلي الذي يرتبط به حساب التخزين. يتم تعيين الإذن الافتراضي على مستوى المشاركة إلى بلا عند التهيئة، مما يعني أنه لا يسمح بالوصول إلى الملفات أو الدلائل في مشاركة ملف Azure.

بوابة

لتكوين أذونات مستوى المشاركة الافتراضية على حساب التخزين الخاص بك باستخدام مدخل Microsoft Azure، اتبع الخطوات التالية.

1. في مدخل Microsoft Azure، انتقل إلى حساب التخزين الذي يحتوي على مشاركة (مشاركات) الملف وحدد Data storage > File shares.

2. يجب تمكين مصدر AD على حساب التخزين الخاص بك قبل تعيين أذونات على مستوى المشاركة الافتراضية. إذا كنت قد قمت بذلك بالفعل، فحدد Active Directory وانتقل إلى الخطوة التالية. بخلاف ذلك، حدد Active Directory: Not configured، وحدد Set up ضمن مصدر AD المطلوب، وقم بتمكين مصدر AD.

3. بعد تمكين مصدر AD، الخطوة 2: ستكون أذونات تعيين مستوى المشاركة متاحة للتكوين. حدد تمكين الأذونات لجميع المستخدمين والمجموعات المصادق عليها.

   

4. حدد الدور المناسب لتمكينه كإذن مشاركة افتراضي من القائمة المنسدلة.

5. حدد حفظ.

Azure PowerShell

يمكنك استخدام البرنامج النصي التالي لتكوين أذونات افتراضية على مستوى المشاركة على حساب التخزين. يمكنك تمكين إذن مستوى المشاركة الافتراضي فقط على حسابات التخزين المقترنة بخدمة دليل لمصادقة ملفات Azure.

قبل تشغيل البرنامج النصي التالي، تأكد من أن الوحدة «Az.Storage» هي الإصدار 3.7.0 أو أحدث. نقترح التحديث إلى أحدث إصدار.

$defaultPermission = "None|StorageFileDataSmbShareContributor|StorageFileDataSmbShareReader|StorageFileDataSmbShareElevatedContributor" # Set the default permission of your choice

$account = Set-AzStorageAccount -ResourceGroupName "<resource-group-name-here>" -AccountName "<storage-account-name-here>" -DefaultSharePermission $defaultPermission

$account.AzureFilesIdentityBasedAuth

Azure CLI

يمكنك استخدام البرنامج النصي التالي لتكوين أذونات افتراضية على مستوى المشاركة على حساب التخزين. يمكنك تمكين إذن مستوى المشاركة الافتراضي فقط على حسابات التخزين المقترنة بخدمة دليل لمصادقة ملفات Azure.

قبل تشغيل البرنامج النصي التالي، تأكد من أن Azure CLI هو الإصدار 2.24.1 أو أحدث.

# Declare variables
storageAccountName="YourStorageAccountName"
resourceGroupName="YourResourceGroupName"
defaultPermission="None|StorageFileDataSmbShareContributor|StorageFileDataSmbShareReader|StorageFileDataSmbShareElevatedContributor" # Set the default permission of your choice

az storage account update --name $storageAccountName --resource-group $resourceGroupName --default-share-permission $defaultPermission

ماذا يحدث إذا كنت تستخدم كلا التكوينين

يمكنك أيضا تعيين أذونات لجميع مستخدمي Microsoft Entra المصادق عليهم ومستخدمين/مجموعات محددة من Microsoft Entra. باستخدام هذا التكوين، سيكون لدى مستخدم أو مجموعة معينة أيهما هو إذن المستوى الأعلى من إذن مستوى المشاركة الافتراضي وتعيين التحكم في الوصول استناداً إلى الدور. بمعنى آخر، لنفترض أنك منحت مستخدماً دور قارئ SMB لبيانات ملف التخزين في مشاركة الملف الهدف. كما قمت أيضاً بمنح الإذن الافتراضي على مستوى المشاركة لدور المساهم غير المقيد لمشاركة SMB لبيانات ملفات التخزين إلى جميع المستخدمين المصادق عليهم. باستخدام هذا التكوين، سيتمتع هذا المستخدم المعين الموجود في دور المساهم غير المقيد لمشاركة SMB لبيانات ملفات التخزين بمستوى الوصول إلى مشاركة الملف. دائماً ما تكون للأذونات ذات المستوى الأعلى الأسبقية.

الخطوة التالية

الآن بعد أن قمت بتعيين أذونات على مستوى المشاركة، يمكنك تكوين أذونات مستوى الدليل والملف. تذكر أن الأذونات على مستوى المشاركة قد تستغرق ما يصل إلى ثلاث ساعات حتى يسري مفعولها.