Zuweisen von Berechtigungen auf Freigabeebene

Nachdem Sie eine Active Directory-Quelle (AD) für Ihr Speicherkonto aktiviert haben, müssen Sie Berechtigungen auf Freigabeebene konfigurieren, um Zugriff auf Ihre Dateifreigabe zu erhalten. Es gibt zwei Möglichkeiten, Berechtigungen auf Freigabeebene zu gewähren. Sie können sie bestimmten Microsoft Entra-Benutzer*innen/-Gruppen zuweisen, und Sie können sie allen authentifizierten Identitäten als Standardberechtigung auf Freigabeebene zuweisen.

Wichtig

Die vollständige administrative Kontrolle über eine Dateifreigabe, einschließlich der Möglichkeit, den Besitz einer Rolle zu übernehmen, erfordert die Verwendung des Speicherkontenschlüssels. Die vollständige administrative Kontrolle wird bei der identitätsbasierten Authentifizierung nicht unterstützt.

Gilt für:

Dateifreigabetyp SMB NFS
Standard-Dateifreigaben (GPv2), LRS/ZRS Yes No
Standard-Dateifreigaben (GPv2), GRS/GZRS Yes No
Premium-Dateifreigaben (FileStorage), LRS/ZRS Yes No

Welche Konfiguration sollten Sie verwenden?

Berechtigungen auf Freigabeebene für Azure-Dateifreigaben werden für Microsoft Entra-Benutzer*innen, -Gruppen oder Dienstprinzipale konfiguriert. Berechtigungen auf Verzeichnis- und Dateiebene werden hingegen mithilfe von Windows-Zugriffssteuerungslisten (Access Control Lists, ACLs) erzwungen. Sie müssen der Microsoft Entra-Identität, die für denselben/dieselbe Benutzer*in, dieselbe Gruppe oder denselben Dienstprinzipal in Ihrer AD DS-Instanz steht, Berechtigungen auf Freigabeebene zuweisen, um die AD DS-Authentifizierung für Ihre Azure-Dateifreigabe zu unterstützen. Die Authentifizierung und Autorisierung mit Identitäten, die nur in Microsoft Entra ID vorhanden sind (z. B. verwaltete Identitäten in Azure), werden nicht unterstützt.

Die meisten Benutzer*innen sollten bestimmten Microsoft Entra-Benutzer*innen oder -Gruppen Berechtigungen auf Freigabeebene zuweisen und dann Windows-ACLs für eine präzise Zugriffssteuerung auf Verzeichnis- und Dateiebene verwenden. Dies ist die strengste und sicherste Konfiguration.

Es gibt drei Szenarien, in denen wir stattdessen die Verwendung einer Standardberechtigung auf Freigabeebene empfehlen, um Zugriff vom Typ „Mitwirkender“, „Mitwirkender mit erhöhten Rechten“ oder „Leser“ auf alle authentifizierten Identitäten zuzulassen:

  • Wenn Sie Ihre lokalen AD DS nicht mit Microsoft Entra ID synchronisieren können, können Sie eine Standardberechtigung auf Freigabeebene verwenden. Wenn Sie eine Standardberechtigung auf Freigabeebene zuweisen, können Sie die Synchronisierungsanforderung umgehen, da Sie die Berechtigung nicht Identitäten in Microsoft Entra ID zuweisen müssen. Dann können Sie mit Windows-ACLs präzise Berechtigungen für Ihre Dateien und Verzeichnisse erzwingen.
    • Identitäten, die an ein AD gebunden sind, aber nicht mit Microsoft Entra ID synchronisiert werden, können auch die Standardberechtigung auf Freigabeebene nutzen. Dies kann eigenständige verwaltete Dienstkonten (standalone Managed Service Accounts, sMSA), gruppenverwaltete Dienstkonten (group Managed Service Accounts, gMSA) und Computerkonten umfassen.
  • Die von Ihnen verwendete lokale AD DS-Instanz wird mit einer anderen Microsoft Entra ID-Instanz synchronisiert als jener, in der Dateifreigabe bereitgestellt wird.
    • Dies ist typisch, wenn Sie Umgebungen mit mehreren Mandanten verwalten. Wenn Sie eine Standardberechtigung auf Freigabeebene verwenden, können Sie die Anforderung einer Microsoft Entra ID-Hybrididentität umgehen. Sie können immer noch mit Windows-ACLs präzise Berechtigungen für Ihre Dateien und Verzeichnisse erzwingen.
  • Sie bevorzugen, die Authentifizierung nur mit Windows-ACLs auf Datei- und Verzeichnisebene zu erzwingen.

Hinweis

Da Computerkonten in Microsoft Entra ID über keine Identität verfügen, können Sie die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) von Azure nicht konfigurieren. Computerkonten können jedoch mithilfe einer Standardberechtigung auf Freigabeebene auf eine Dateifreigabe zugreifen.

Berechtigungen auf Freigabeebene

In der folgenden Tabelle sind die Berechtigungen auf Freigabeebene und den entsprechenden integrierten Azure RBAC-Rollen aufgeführt:

Unterstützte integrierte Rollen BESCHREIBUNG
Speicherdateidaten-SMB-Freigabeleser Ermöglicht den Lesezugriff auf Dateien und Verzeichnisse in Azure-Dateifreigaben. Diese Rolle entspricht einer Dateifreigabe-ACL für das Lesen auf Windows-Dateiservern. Weitere Informationen
Speicherdateidaten-SMB-Freigabemitwirkender Ermöglicht den Lese-, Schreib- und Löschzugriff auf Dateien und Verzeichnisse in Azure-Dateifreigaben. Weitere Informationen
Speicherdateidaten-SMB-Freigabemitwirkender mit erhöhten Rechten Ermöglicht das Lesen, Schreiben, Löschen und Bearbeiten von ACLs für Dateien und Verzeichnisse in Azure-Dateifreigaben. Diese Rolle entspricht einer Dateifreigabe-ACL für das Ändern auf Windows-Dateiservern. Weitere Informationen

Berechtigungen auf Freigabeebene für bestimmte Microsoft Entra-Benutzer*innen oder -Gruppen

Wenn Sie beabsichtigen, eine*n bestimmte*n Microsoft Entra-Benutzer*in oder eine bestimmte Gruppe für den Zugriff auf Azure-Dateifreigaberessourcen zu verwenden, muss diese Identität eine Hybrididentität sein, die sowohl in lokalen AD DS als auch in Microsoft Entra ID vorhanden ist. Angenommen, Sie haben den Benutzernamen user1@onprem.contoso.com in Ihrer AD-Instanz, der über die Microsoft Entra Connect-Synchronisierung oder die Microsoft Entra Connect-Cloudsynchronisierung mit Microsoft Entra ID als user1@contoso.com synchronisiert wird. Damit diese*r Benutzer*in auf Azure Files zugreifen kann, müssen Sie user1@contoso.com Berechtigungen auf Freigabeebene zuweisen. Das gleiche Konzept gilt für Gruppen und Dienstprinzipale.

Wichtig

Weisen Sie Berechtigungen zu, indem Sie Aktionen und Datenaktionen explizit deklarieren, anstatt ein Platzhalterzeichen (*) zu verwenden. Wenn eine benutzerdefinierte Rollendefinition für eine Datenaktion ein Platzhalterzeichen enthält, erhalten sämtliche dieser Rolle zugewiesenen Identitäten Zugriff auf alle möglichen Datenaktionen. Dies bedeutet, dass allen solchen Identitäten auch alle neuen Datenaktionen bewilligt werden, die der Plattform hinzugefügt wurden. Der zusätzliche Zugriff und die durch neue Aktionen oder Datenaktionen gewährten Berechtigungen sind möglicherweise ein unerwünschtes Verhalten für Kunden, die Platzhalter verwenden.

Damit Berechtigungen auf Freigabeebene funktionieren, ist Folgendes erforderlich:

Tipp

Optional: Kunden, die SMB-Serverberechtigungen auf Freigabeebene zu RBAC-Berechtigungen migrieren möchten, können das PowerShell-Cmdlet Move-OnPremSharePermissionsToAzureFileShare verwenden, um Berechtigungen auf Verzeichnis- und Dateiebene von einer lokalen Umgebung zu Azure zu migrieren. Dieses Cmdlet bewertet die Gruppen einer bestimmten lokalen Dateifreigabe, schreibt dann die entsprechenden Benutzer und Gruppen mithilfe der drei RBAC-Rollen in die Azure-Dateifreigabe. Sie geben die Informationen für die lokale Freigabe und die Azure-Dateifreigabe beim Aufrufen des Cmdlets an.

Sie können das Azure-Portal, Azure PowerShell oder die Azure-Befehlszeilenschnittstelle verwenden, um die integrierten Rollen der Microsoft Entra-Identität von Benutzer*innen zuzuweisen und damit Berechtigungen auf Freigabeebene zu erteilen.

Wichtig

Nach Abschluss des Vorgangs dauert es bis zu drei Stunden, bis die Berechtigungen auf Freigabeebene wirksam werden. Warten Sie, bis die Berechtigungen synchronisiert wurden, bevor Sie mit Ihren Anmeldeinformationen eine Verbindung mit Ihrer Dateifreigabe herstellen.

Um einer Microsoft Entra-Identität eine Azure-Rolle zuzuweisen, führen Sie im Azure-Portal die folgenden Schritte aus:

  1. Navigieren Sie im Azure-Portal zu Ihrer Dateifreigabe, oder erstellen Sie eine Dateifreigabe.
  2. Wählen Sie Access Control (IAM) aus.
  3. Auswählen von Rollenzuweisung hinzufügen
  4. Wählen Sie auf dem Blatt Rollenzuweisung hinzufügen in der Liste Rolle die entsprechende integrierte Rolle aus.
    1. Leser für Speicherdateidaten-SMB-Freigabe
    2. Mitwirkender für Speicherdateidaten-SMB-Freigabe
    3. Mitwirkender mit erhöhten Rechten für Speicherdateidaten-SMB-Freigabe
  5. Behalten Sie unter Zugriff zuweisen den Standardwert bei: Microsoft Entra-Benutzer*in, -Gruppe oder -Dienstprinzipal. Wählen Sie die Microsoft Entra-Zielidentität anhand des Namens oder der E-Mail-Adresse aus. Bei der ausgewählten Microsoft Entra-Identität muss es sich um eine hybride Identität handeln. Es kann sich um keine nur in der Cloud verfügbare Identität handeln. Das bedeutet, dieselbe Identität ist auch in AD DS vorhanden.
  6. Wählen Sie abschließend Speichern aus, um den Vorgang der Rollenzuweisung abzuschließen.

Berechtigungen auf Freigabeebene für alle authentifizierten Identitäten

Sie können Ihrem Speicherkonto eine Standardberechtigung auf Freigabeebene hinzufügen, anstatt Berechtigungen auf Freigabeebene für Microsoft Entra-Benutzer*innen oder -Gruppen zu konfigurieren. Eine Standardberechtigung auf Freigabeebene, die Ihrem Speicherkonto zugewiesen ist, gilt für alle Dateifreigaben, die im Speicherkonto enthalten sind.

Wenn Sie eine Standardberechtigung auf Freigabeebene festlegen, verfügen alle authentifizierten Benutzer und Gruppen über die gleiche Berechtigung. Authentifizierte Benutzer oder Gruppen werden identifiziert, da die Identität für die lokalen AD DS authentifiziert werden kann, denen das Speicherkonto zugeordnet ist. Die Standardberechtigung auf Freigabeebene wird bei der Initialisierung auf Keine festgelegt. Das bedeutet, dass kein Zugriff auf Dateien und Verzeichnisse in der Azure-Dateifreigabe zulässig ist.

Führen Sie die folgenden Schritte aus, um über das Azure-Portal Standardberechtigungen auf Freigabeebene für Ihr Speicherkonto zu konfigurieren.

  1. Navigieren Sie im Azure-Portal zu dem Speicherkonto, das Ihre Dateifreigaben enthält, und wählen Sie Datenspeicher und Dateifreigaben aus.

  2. Sie müssen eine AD-Quelle für Ihr Speicherkonto aktivieren, bevor Sie Standardberechtigungen auf Freigabeebene zuweisen. Wenn Sie dies bereits getan haben, wählen Sie Active Directory aus, und fahren Sie mit dem nächsten Schritt fort. Wählen Sie andernfalls Active Directory: Nicht konfiguriert und unter der gewünschten AD-Quelle die Option Einrichten aus, und aktivieren Sie die AD-Quelle.

  3. Nachdem Sie eine AD-Quelle aktiviert haben, fahren Sie mit Schritt 2: Festlegen von Berechtigungen auf Freigabeebene der Konfiguration fort. Wählen Sie Berechtigungen für alle authentifizierten Benutzer und Gruppen aktivieren aus.

    Screenshot showing how to set a default share-level permission using the Azure portal.

  4. Wählen Sie in der Dropdownliste die entsprechende Rolle aus, die als Standardfreigabeberechtigung aktiviert werden soll.

  5. Wählen Sie Speichern aus.

Was geschieht, wenn Sie beide Konfigurationen verwenden?

Sie könnten auch allen authentifizierten Microsoft Entra-Benutzer*innen und bestimmten Microsoft Entra-Benutzer*innen/-Gruppen Berechtigungen zuweisen. Bei dieser Konfiguration verfügt ein bestimmter Benutzer oder eine bestimmte Gruppe über die höhere Berechtigung der Standardberechtigung auf Freigabeebene und der RBAC-Zuweisung. Das heißt: Angenommen, Sie haben einem Benutzer die Rolle Speicherdateidaten-SMB-Leser für die Zieldateifreigabe zugewiesen. Außerdem haben Sie allen authentifizierten Benutzern die Standardberechtigung auf Freigabeebene Mitwirkender mit erhöhten Rechten für Speicherdateidaten-SMB-Freigabe gewährt. Mit dieser Konfiguration hat dieser bestimmte Benutzer auf der Ebene Mitwirkender mit erhöhten Rechten für Speicherdateidaten-SMB-Freigabe Zugriff auf die Dateifreigabe. Berechtigungen auf höherer Ebene haben immer Vorrang.

Nächste Schritte

Nachdem Sie die Berechtigungen auf Freigabeebene zugewiesen haben, können Sie Berechtigungen auf Verzeichnis- und Dateiebene konfigurieren. Denken Sie daran, dass es bis zu drei Stunden dauern kann, bis Berechtigungen auf Freigabeebene wirksam werden.