Teilen über


Zuweisen von Berechtigungen auf Freigabeebene für Azure-Dateifreigaben

Nachdem Sie eine Active Directory-Quelle (AD) für Ihr Speicherkonto aktiviert haben, müssen Sie Berechtigungen auf Freigabeebene konfigurieren, um Zugriff auf Ihre Dateifreigabe zu erhalten. Es gibt zwei Möglichkeiten, Berechtigungen auf Freigabeebene zu gewähren. Sie können sie bestimmten Microsoft Entra-Benutzer*innen/-Gruppen zuweisen, und Sie können sie allen authentifizierten Identitäten als Standardberechtigung auf Freigabeebene zuweisen.

Wichtig

Die vollständige administrative Kontrolle über eine Dateifreigabe, einschließlich der Möglichkeit, den Besitz einer Rolle zu übernehmen, erfordert die Verwendung des Speicherkontenschlüssels. Die vollständige administrative Kontrolle wird bei der identitätsbasierten Authentifizierung nicht unterstützt.

Gilt für:

Dateifreigabetyp SMB NFS
Standard-Dateifreigaben (GPv2), LRS/ZRS Ja Nein
Standard-Dateifreigaben (GPv2), GRS/GZRS Ja Nein
Premium-Dateifreigaben (FileStorage), LRS/ZRS Ja No

Wählen, wie Berechtigungen auf Freigabeebene zugewiesen werden

Berechtigungen auf Freigabeebene für Azure-Dateifreigaben werden für Microsoft Entra-Benutzer*innen, -Gruppen oder Dienstprinzipale konfiguriert. Berechtigungen auf Verzeichnis- und Dateiebene werden hingegen mithilfe von Windows-Zugriffssteuerungslisten (Access Control Lists, ACLs) erzwungen. Sie müssen der Microsoft Entra-Identität, die den Benutzer, die Gruppe oder den Dienstprinzipal darstellt, der Zugriff haben soll, Berechtigungen auf Freigabeebene zuweisen. Die Authentifizierung und Autorisierung mit Identitäten, die nur in Microsoft Entra ID vorhanden sind (z. B. verwaltete Identitäten in Azure), werden nicht unterstützt.

Die meisten Benutzer*innen sollten bestimmten Microsoft Entra-Benutzer*innen oder -Gruppen Berechtigungen auf Freigabeebene zuweisen und dann Windows-ACLs für eine präzise Zugriffssteuerung auf Verzeichnis- und Dateiebene verwenden. Dies ist die strengste und sicherste Konfiguration.

Es gibt drei Szenarien, in denen wir stattdessen die Verwendung einer Standardberechtigung auf Freigabeebene empfehlen, um Zugriff vom Typ „Leser“, „Mitwirkender“, „Mitwirkender mit erhöhten Rechten“, „privilegierter Mitwirkender“ oder „privilegierter Leser“ auf alle authentifizierten Identitäten zuzulassen:

  • Wenn Sie Ihre lokalen AD DS nicht mit Microsoft Entra ID synchronisieren können, können Sie eine Standardberechtigung auf Freigabeebene verwenden. Wenn Sie eine Standardberechtigung auf Freigabeebene zuweisen, können Sie die Synchronisierungsanforderung umgehen, da Sie die Berechtigung nicht Identitäten in Microsoft Entra ID zuweisen müssen. Dann können Sie mit Windows-ACLs präzise Berechtigungen für Ihre Dateien und Verzeichnisse erzwingen.
    • Identitäten, die an ein AD gebunden sind, aber nicht mit Microsoft Entra ID synchronisiert werden, können auch die Standardberechtigung auf Freigabeebene nutzen. Dies kann eigenständige verwaltete Dienstkonten (standalone Managed Service Accounts, sMSA), gruppenverwaltete Dienstkonten (group Managed Service Accounts, gMSA) und Computerkonten umfassen.
  • Die von Ihnen verwendete lokale AD DS-Instanz wird mit einer anderen Microsoft Entra ID-Instanz synchronisiert als jener, in der Dateifreigabe bereitgestellt wird.
    • Dies ist typisch, wenn Sie Umgebungen mit mehreren Mandanten verwalten. Wenn Sie eine Standardberechtigung auf Freigabeebene verwenden, können Sie die Anforderung einer Microsoft Entra ID-Hybrididentität umgehen. Sie können immer noch mit Windows-ACLs präzise Berechtigungen für Ihre Dateien und Verzeichnisse erzwingen.
  • Sie bevorzugen, die Authentifizierung nur mit Windows-ACLs auf Datei- und Verzeichnisebene zu erzwingen.

Azure RBAC-Rollen für Azure Files

Es gibt fünf integrierte Azure-Rollen für die rollenbasierte Azure-Zugriffssteuerung (RBAC) für Azure Files, von denen einige das Gewähren von Berechtigungen auf Freigabeebene für Benutzer und Gruppen ermöglichen. Bei Verwendung des Azure Storage-Explorers benötigen Sie auch die Rolle Leser und Datenzugriff, um die Azure-Dateifreigabe lesen bzw. darauf zugreifen zu können.

Hinweis

Da Computerkonten in Microsoft Entra ID über keine Identität verfügen, können Sie Azure RBAC für diese nicht konfigurieren. Computerkonten können jedoch mithilfe einer Standardberechtigung auf Freigabeebene auf eine Dateifreigabe zugreifen.

Integrierte Azure RBAC-Rolle Beschreibung
Speicherdateidaten-SMB-Freigabeleser Ermöglicht den Lesezugriff auf Dateien und Verzeichnisse in Azure-Dateifreigaben. Diese Rolle entspricht einer Dateifreigabe-ACL für das Lesen auf Windows-Dateiservern.
Speicherdateidaten-SMB-Freigabemitwirkender Ermöglicht den Lese-, Schreib- und Löschzugriff auf Dateien und Verzeichnisse in Azure-Dateifreigaben.
Speicherdateidaten-SMB-Freigabemitwirkender mit erhöhten Rechten Ermöglicht das Lesen, Schreiben, Löschen und Bearbeiten von ACLs für Dateien und Verzeichnisse in Azure-Dateifreigaben. Diese Rolle entspricht einer Dateifreigabe-ACL für das Ändern auf Windows-Dateiservern.
Privilegierter Mitwirkender für Speicherdateidaten Ermöglicht das Lesen, Schreiben, Löschen und Ändern von ACLs in Azure-Dateifreigaben durch Überschreiben vorhandener ACLs.
Privilegierter Leser von Speicherdateidaten Ermöglicht Lesezugriff in Azure-Dateifreigaben durch Überschreiben vorhandener ACLs.

Berechtigungen auf Freigabeebene für bestimmte Microsoft Entra-Benutzer*innen oder -Gruppen

Wenn Sie beabsichtigen, eine*n bestimmte*n Microsoft Entra-Benutzer*in oder eine bestimmte Gruppe für den Zugriff auf Azure-Dateifreigaberessourcen zu verwenden, muss diese Identität eine Hybrididentität sein, die sowohl in lokalen AD DS als auch in Microsoft Entra ID vorhanden ist. Angenommen, Sie haben den Benutzernamen user1@onprem.contoso.com in Ihrer AD-Instanz, der über die Microsoft Entra Connect-Synchronisierung oder die Microsoft Entra Connect-Cloudsynchronisierung mit Microsoft Entra ID als user1@contoso.com synchronisiert wird. Damit diese*r Benutzer*in auf Azure Files zugreifen kann, müssen Sie user1@contoso.com Berechtigungen auf Freigabeebene zuweisen. Das gleiche Konzept gilt für Gruppen und Dienstprinzipale.

Wichtig

Weisen Sie Berechtigungen zu, indem Sie Aktionen und Datenaktionen explizit deklarieren, anstatt ein Platzhalterzeichen (*) zu verwenden. Wenn eine benutzerdefinierte Rollendefinition für eine Datenaktion ein Platzhalterzeichen enthält, erhalten alle Identitäten, die dieser Rolle zugewiesen sind, Zugriff auf alle möglichen Datenaktionen. Dies bedeutet, dass alle diese Identitäten auch für jede neue Datenaktion, die der Plattform hinzugefügt wird, zugelassen werden. Der zusätzliche Zugriff und die durch neue Aktionen oder Datenaktionen gewährten Berechtigungen sind möglicherweise ein unerwünschtes Verhalten für Kunden, die Platzhalter verwenden.

Damit Berechtigungen auf Freigabeebene funktionieren, ist Folgendes erforderlich:

  • Wenn Ihre AD-Quelle AD DS oder Microsoft Entra Kerberos ist, müssen Sie die Benutzer und Gruppen in Ihrer lokalen AD-Instanz mit Microsoft Entra ID synchronisieren. Verwenden Sie dazu entweder die lokale Microsoft Entra Connect Sync-Anwendung oder die Microsoft Entra Connect-Cloudsynchronisierung, einen einfachen Agent, der über das Microsoft Entra Admin Center installiert werden kann.
  • Fügen Sie synchronisierte AD-Gruppen der RBAC-Rolle hinzu, damit sie auf Ihr Speicherkonto zugreifen können.

Tipp

Optional: Kunden, die SMB-Serverberechtigungen auf Freigabeebene zu RBAC-Berechtigungen migrieren möchten, können das PowerShell-Cmdlet Move-OnPremSharePermissionsToAzureFileShare verwenden, um Berechtigungen auf Verzeichnis- und Dateiebene von einer lokalen Umgebung zu Azure zu migrieren. Dieses Cmdlet bewertet die Gruppen einer bestimmten lokalen Dateifreigabe, schreibt dann die entsprechenden Benutzer und Gruppen mithilfe der drei RBAC-Rollen in die Azure-Dateifreigabe. Sie geben die Informationen für die lokale Freigabe und die Azure-Dateifreigabe beim Aufrufen des Cmdlets an.

Sie können das Azure-Portal, Azure PowerShell oder die Azure-Befehlszeilenschnittstelle verwenden, um die integrierten Rollen der Microsoft Entra-Identität von Benutzer*innen zuzuweisen und damit Berechtigungen auf Freigabeebene zu erteilen.

Wichtig

Es kann bis zu drei Stunden dauern, bis die Berechtigungen auf Freigabeebene wirksam werden. Warten Sie unbedingt, bis die Berechtigungen synchronisiert wurden, bevor Sie mit Ihren Anmeldeinformationen eine Verbindung mit Ihrer Dateifreigabe herstellen.

Um einer Microsoft Entra-Identität eine Azure-Rolle zuzuweisen, führen Sie im Azure-Portal die folgenden Schritte aus:

  1. Wechseln Sie im Azure-Portal zu Ihrer Dateifreigabe, oder erstellen Sie eine SMB-Dateifreigabe.
  2. Wählen Sie Zugriffssteuerung (IAM).
  3. Auswählen von Rollenzuweisung hinzufügen
  4. Wählen Sie auf dem Blatt Rollenzuweisung hinzufügen in der Liste Rolle die entsprechende integrierte Rolle aus.
  5. Behalten Sie den Standardwert von Zugriff zuweisen zu bei: Microsoft Entra-Benutzer*in, -Gruppe oder -Dienstprinzipal. Wählen Sie die Microsoft Entra-Zielidentität anhand des Namens oder der E-Mail-Adresse aus. Bei der ausgewählten Microsoft Entra-Identität muss es sich um eine hybride Identität handeln. Es kann sich um keine nur in der Cloud verfügbare Identität handeln. Das bedeutet, dieselbe Identität ist auch in AD DS vorhanden.
  6. Wählen Sie abschließend Speichern aus, um den Vorgang der Rollenzuweisung abzuschließen.

Berechtigungen auf Freigabeebene für alle authentifizierten Identitäten

Sie können Ihrem Speicherkonto eine Standardberechtigung auf Freigabeebene hinzufügen, anstatt Berechtigungen auf Freigabeebene für Microsoft Entra-Benutzer*innen oder -Gruppen zu konfigurieren. Eine Standardberechtigung auf Freigabeebene, die Ihrem Speicherkonto zugewiesen ist, gilt für alle Dateifreigaben, die im Speicherkonto enthalten sind.

Wenn Sie eine Standardberechtigung auf Freigabeebene festlegen, verfügen alle authentifizierten Benutzer und Gruppen über die gleiche Berechtigung. Authentifizierte Benutzer oder Gruppen werden identifiziert, da die Identität für die lokalen AD DS authentifiziert werden kann, denen das Speicherkonto zugeordnet ist. Die Standardberechtigung auf Freigabeebene wird bei der Initialisierung auf Keine festgelegt. Das bedeutet, dass kein Zugriff auf Dateien und Verzeichnisse in der Azure-Dateifreigabe zulässig ist.

Führen Sie die folgenden Schritte aus, um über das Azure-Portal Standardberechtigungen auf Freigabeebene für Ihr Speicherkonto zu konfigurieren.

  1. Navigieren Sie im Azure-Portal zu dem Speicherkonto, das Ihre Dateifreigaben enthält, und wählen Sie Datenspeicher und Dateifreigaben aus.

  2. Sie müssen eine AD-Quelle für Ihr Speicherkonto aktivieren, bevor Sie Standardberechtigungen auf Freigabeebene zuweisen. Wenn Sie dies bereits getan haben, wählen Sie Active Directory aus, und fahren Sie mit dem nächsten Schritt fort. Wählen Sie andernfalls Active Directory: Nicht konfiguriert und unter der gewünschten AD-Quelle die Option Einrichten aus, und aktivieren Sie die AD-Quelle.

  3. Nachdem Sie eine AD-Quelle aktiviert haben, fahren Sie mit Schritt 2: Festlegen von Berechtigungen auf Freigabeebene der Konfiguration fort. Wählen Sie Berechtigungen für alle authentifizierten Benutzer und Gruppen aktivieren aus.

    Screenshot der Festlegung einer Standardberechtigung auf Freigabeebene über das Azure-Portal

  4. Wählen Sie in der Dropdownliste die entsprechende Rolle aus, die als Standardfreigabeberechtigung aktiviert werden soll.

  5. Wählen Sie Speichern aus.

Was geschieht, wenn Sie beide Konfigurationen verwenden?

Sie könnten auch allen authentifizierten Microsoft Entra-Benutzer*innen und bestimmten Microsoft Entra-Benutzer*innen/-Gruppen Berechtigungen zuweisen. Bei dieser Konfiguration verfügt ein bestimmter Benutzer oder eine bestimmte Gruppe über die höhere Berechtigung der Standardberechtigung auf Freigabeebene und der RBAC-Zuweisung. Das heißt: Angenommen, Sie haben einem Benutzer die Rolle Speicherdateidaten-SMB-Leser für die Zieldateifreigabe zugewiesen. Außerdem haben Sie allen authentifizierten Benutzern die Standardberechtigung auf Freigabeebene Mitwirkender mit erhöhten Rechten für Speicherdateidaten-SMB-Freigabe gewährt. Mit dieser Konfiguration hat dieser bestimmte Benutzer auf der Ebene Mitwirkender mit erhöhten Rechten für Speicherdateidaten-SMB-Freigabe Zugriff auf die Dateifreigabe. Berechtigungen auf höherer Ebene haben immer Vorrang.

Nächster Schritt

Nachdem Sie die Berechtigungen auf Freigabeebene zugewiesen haben, können Sie Berechtigungen auf Verzeichnis- und Dateiebene konfigurieren. Denken Sie daran, dass es bis zu drei Stunden dauern kann, bis Berechtigungen auf Freigabeebene wirksam werden.