Zuweisen von Berechtigungen auf Freigabeebene

Nachdem Sie eine Active Directory-Quelle (AD) für Ihr Speicherkonto aktiviert haben, müssen Sie Berechtigungen auf Freigabeebene konfigurieren, um Zugriff auf Ihre Dateifreigabe zu erhalten. Es gibt zwei Möglichkeiten, Berechtigungen auf Freigabeebene zu gewähren. Sie können sie bestimmten Azure AD-Benutzer*innen/-Gruppen zuweisen, und Sie können sie allen authentifizierten Identitäten als Standardberechtigung auf Freigabeebene zuweisen.

Wichtig

Die vollständige administrative Kontrolle über eine Dateifreigabe, einschließlich der Möglichkeit, den Besitz einer Rolle zu übernehmen, erfordert die Verwendung des Speicherkontenschlüssels. Die vollständige administrative Kontrolle wird bei der identitätsbasierten Authentifizierung nicht unterstützt.

Gilt für:

Dateifreigabetyp SMB NFS
Standard-Dateifreigaben (GPv2), LRS/ZRS Ja Nein
Standard-Dateifreigaben (GPv2), GRS/GZRS Ja Nein
Premium-Dateifreigaben (FileStorage), LRS/ZRS Ja Nein

Welche Konfiguration sollten Sie verwenden?

Berechtigungen auf Freigabeebene für Azure-Dateifreigaben werden für Azure AD-Benutzer, -Gruppen oder Dienstprinzipale konfiguriert. Berechtigungen auf Verzeichnis- und Dateiebene werden hingegen mithilfe von Windows-Zugriffssteuerungslisten (Access Control Lists, ACLs) erzwungen. Sie müssen der Azure AD-Identität, die für denselben Benutzer, dieselbe Gruppe oder denselben Dienstprinzipal in Ihrer AD DS-Instanz steht, Berechtigungen auf Freigabeebene zuweisen, um die AD DS-Authentifizierung für Ihre Azure-Dateifreigabe zu unterstützen. Die Authentifizierung und Autorisierung mit Identitäten, die nur in Azure AD vorhanden sind (z. B. verwaltete Identitäten in Azure), werden nicht unterstützt.

Die meisten Benutzer*innen sollten bestimmten Azure AD-Benutzer*innen oder -Gruppen Berechtigungen auf Freigabeebene zuweisen und dann Windows-ACLs für eine präzise Zugriffssteuerung auf Verzeichnis- und Dateiebene verwenden. Dies ist die strengste und sicherste Konfiguration.

Es gibt drei Szenarien, in denen wir stattdessen die Verwendung einer Standardberechtigung auf Freigabeebene empfehlen, um Zugriff vom Typ „Mitwirkender“, „Mitwirkender mit erhöhten Rechten“ oder „Leser“ auf alle authentifizierten Identitäten zuzulassen:

  • Wenn Sie Ihre lokalen AD DS nicht mit Azure AD synchronisieren können, können Sie eine Standardberechtigung auf Freigabeebene verwenden. Wenn Sie eine Standardberechtigung auf Freigabeebene zuweisen, können Sie die Synchronisierungsanforderung umgehen, da Sie die Berechtigung nicht Identitäten in Azure AD zuweisen müssen. Dann können Sie mit Windows-ACLs präzise Berechtigungen für Ihre Dateien und Verzeichnisse erzwingen.
    • Identitäten, die an ein AD gebunden sind, aber nicht mit Azure AD synchronisiert werden, können auch die Standardberechtigung auf Freigabeebene nutzen. Dies kann eigenständige verwaltete Dienstkonten (standalone Managed Service Accounts, sMSA), gruppenverwaltete Dienstkonten (group Managed Service Accounts, gMSA) und Computerkonten umfassen.
  • Die lokalen AD DS, die Sie verwenden, werden mit einem anderen Azure AD synchronisiert als dem Azure AD, in dem die Dateifreigabe bereitgestellt wird.
    • Dies ist typisch, wenn Sie Umgebungen mit mehreren Mandanten verwalten. Wenn Sie eine Standardberechtigung auf Freigabeebene verwenden, können Sie die Anforderung einer Azure AD-Hybrididentität umgehen. Sie können immer noch mit Windows-ACLs präzise Berechtigungen für Ihre Dateien und Verzeichnisse erzwingen.
  • Sie bevorzugen, die Authentifizierung nur mit Windows-ACLs auf Datei- und Verzeichnisebene zu erzwingen.

Hinweis

Da Computerkonten in Azure AD über keine Identität verfügen, können Sie die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) von Azure nicht konfigurieren. Computerkonten können jedoch mithilfe einer Standardberechtigung auf Freigabeebene auf eine Dateifreigabe zugreifen.

Berechtigungen auf Freigabeebene

In der folgenden Tabelle sind die Berechtigungen auf Freigabeebene und den entsprechenden integrierten Azure RBAC-Rollen aufgeführt:

Unterstützte integrierte Rollen BESCHREIBUNG
Speicherdateidaten-SMB-Freigabeleser Ermöglicht den Lesezugriff auf Dateien und Verzeichnisse in Azure-Dateifreigaben. Diese Rolle entspricht einer Dateifreigabe-ACL für das Lesen auf Windows-Dateiservern. Weitere Informationen
Speicherdateidaten-SMB-Freigabemitwirkender Ermöglicht den Lese-, Schreib- und Löschzugriff auf Dateien und Verzeichnisse in Azure-Dateifreigaben. Weitere Informationen
Speicherdateidaten-SMB-Freigabemitwirkender mit erhöhten Rechten Ermöglicht das Lesen, Schreiben, Löschen und Bearbeiten von ACLs für Dateien und Verzeichnisse in Azure-Dateifreigaben. Diese Rolle entspricht einer Dateifreigabe-ACL für das Ändern auf Windows-Dateiservern. Weitere Informationen

Berechtigungen auf Freigabeebene für bestimmte Azure AD-Benutzer oder -Gruppen

Wenn Sie beabsichtigen, einen bestimmten Azure AD-Benutzer oder eine bestimmte Gruppe für den Zugriff auf Azure-Dateifreigaberessourcen zu verwenden, muss diese Identität eine Hybrididentität sein, die sowohl in lokalen AD DS als auch in Azure AD vorhanden ist. Beispiel: Sie verfügen über den Benutzer user1@onprem.contoso.com in AD, und er wird über die Azure AD Connect-Synchronisierung oder über die Azure AD Connect-Cloudsynchronisierung als user1@contoso.com mit Azure AD synchronisiert. Damit dieser Benutzer auf Azure Files zugreifen kann, müssen user1@contoso.com die Berechtigungen auf Freigabeebene zugewiesen werden. Das gleiche Konzept gilt für Gruppen und Dienstprinzipale.

Wichtig

Weisen Sie Berechtigungen zu, indem Sie Aktionen und Datenaktionen explizit deklarieren, anstatt ein Platzhalterzeichen (*) zu verwenden. Wenn eine benutzerdefinierte Rollendefinition für eine Datenaktion ein Platzhalterzeichen enthält, erhalten sämtliche dieser Rolle zugewiesenen Identitäten Zugriff auf alle möglichen Datenaktionen. Dies bedeutet, dass allen solchen Identitäten auch alle neuen Datenaktionen bewilligt werden, die der Plattform hinzugefügt wurden. Der zusätzliche Zugriff und die durch neue Aktionen oder Datenaktionen gewährten Berechtigungen sind möglicherweise ein unerwünschtes Verhalten für Kunden, die Platzhalter verwenden.

Damit Berechtigungen auf Freigabeebene funktionieren, ist Folgendes erforderlich:

  • Synchronisieren Sie Benutzer und Gruppen aus Ihrer lokalen AD-Instanz mit Azure AD. Hierzu können Sie entweder die lokale Azure AD Connect-Synchronisierung oder die Azure AD Connect-Cloudsynchronisierung verwenden – ein einfacher Agent, der über das Azure Active Directory Admin Center installiert werden kann.
  • Fügen Sie synchronisierte AD-Gruppen der RBAC-Rolle hinzu, damit sie auf Ihr Speicherkonto zugreifen können.

Tipp

Optional: Kunden, die SMB-Serverberechtigungen auf Freigabeebene zu RBAC-Berechtigungen migrieren möchten, können das PowerShell-Cmdlet Move-OnPremSharePermissionsToAzureFileShare verwenden, um Berechtigungen auf Verzeichnis- und Dateiebene von einer lokalen Umgebung zu Azure zu migrieren. Dieses Cmdlet bewertet die Gruppen einer bestimmten lokalen Dateifreigabe, schreibt dann die entsprechenden Benutzer und Gruppen mithilfe der drei RBAC-Rollen in die Azure-Dateifreigabe. Sie geben die Informationen für die lokale Freigabe und die Azure-Dateifreigabe beim Aufrufen des Cmdlets an.

Sie können das Azure-Portal, Azure PowerShell oder die Azure-Befehlszeilenschnittstelle verwenden, um die integrierten Rollen der Azure AD-Identität eines Benutzers zuzuweisen und damit Berechtigungen auf Freigabeebene zu erteilen.

Wichtig

Nach Abschluss des Vorgangs dauert es bis zu drei Stunden, bis die Berechtigungen auf Freigabeebene wirksam werden. Warten Sie, bis die Berechtigungen synchronisiert wurden, bevor Sie mit Ihren Anmeldeinformationen eine Verbindung mit Ihrer Dateifreigabe herstellen.

Um einer Azure AD-Identität eine Azure-Rolle zuzuweisen, führen Sie im Azure-Portal die folgenden Schritte aus:

  1. Navigieren Sie im Azure-Portal zu Ihrer Dateifreigabe, oder erstellen Sie eine Dateifreigabe.
  2. Wählen Sie Access Control (IAM) aus.
  3. Auswählen von Rollenzuweisung hinzufügen
  4. Wählen Sie auf dem Blatt Rollenzuweisung hinzufügen in der Liste Rolle die entsprechende integrierte Rolle aus.
    1. Leser für Speicherdateidaten-SMB-Freigabe
    2. Mitwirkender für Speicherdateidaten-SMB-Freigabe
    3. Mitwirkender mit erhöhten Rechten für Speicherdateidaten-SMB-Freigabe
  5. Behalten Sie für Zugriff zuweisen zu die Standardeinstellung bei: Azure AD-Benutzer, -Gruppe oder -Dienstprinzipal. Wählen Sie die Azure AD-Zielidentität anhand des Namens oder der E-Mail-Adresse aus. Bei der ausgewählten Azure AD-Identität muss es sich um eine hybride Identität handeln. Es kann sich um keine nur in der Cloud verfügbare Identität handeln. Das bedeutet, dieselbe Identität ist auch in AD DS vorhanden.
  6. Wählen Sie abschließend Speichern aus, um den Vorgang der Rollenzuweisung abzuschließen.

Berechtigungen auf Freigabeebene für alle authentifizierten Identitäten

Sie können Ihrem Speicherkonto eine Standardberechtigung auf Freigabeebene hinzufügen, anstatt Berechtigungen auf Freigabeebene für Azure AD-Benutzer oder -Gruppen zu konfigurieren. Eine Standardberechtigung auf Freigabeebene, die Ihrem Speicherkonto zugewiesen ist, gilt für alle Dateifreigaben, die im Speicherkonto enthalten sind.

Wenn Sie eine Standardberechtigung auf Freigabeebene festlegen, verfügen alle authentifizierten Benutzer und Gruppen über die gleiche Berechtigung. Authentifizierte Benutzer oder Gruppen werden identifiziert, da die Identität für die lokalen AD DS authentifiziert werden kann, denen das Speicherkonto zugeordnet ist. Die Standardberechtigung auf Freigabeebene wird bei der Initialisierung auf Keine festgelegt. Das bedeutet, dass kein Zugriff auf Dateien und Verzeichnisse in der Azure-Dateifreigabe zulässig ist.

Führen Sie die folgenden Schritte aus, um über das Azure-Portal Standardberechtigungen auf Freigabeebene für Ihr Speicherkonto zu konfigurieren.

  1. Navigieren Sie im Azure-Portal zu dem Speicherkonto, das Ihre Dateifreigaben enthält, und wählen Sie Datenspeicher und Dateifreigaben aus.

  2. Sie müssen eine AD-Quelle für Ihr Speicherkonto aktivieren, bevor Sie Standardberechtigungen auf Freigabeebene zuweisen. Wenn Sie dies bereits getan haben, wählen Sie Active Directory aus, und fahren Sie mit dem nächsten Schritt fort. Wählen Sie andernfalls Active Directory: Nicht konfiguriert und unter der gewünschten AD-Quelle die Option Einrichten aus, und aktivieren Sie die AD-Quelle.

  3. Nachdem Sie eine AD-Quelle aktiviert haben, fahren Sie mit Schritt 2: Festlegen von Berechtigungen auf Freigabeebene der Konfiguration fort. Wählen Sie Berechtigungen für alle authentifizierten Benutzer und Gruppen aktivieren aus.

    Screenshot der Festlegung einer Standardberechtigung auf Freigabeebene über das Azure-Portal

  4. Wählen Sie in der Dropdownliste die entsprechende Rolle aus, die als Standardfreigabeberechtigung aktiviert werden soll.

  5. Wählen Sie Speichern aus.

Was geschieht, wenn Sie beide Konfigurationen verwenden?

Sie könnten auch allen authentifizierten Azure AD-Benutzern und bestimmten Azure AD-Benutzern/-Gruppen Berechtigungen zuweisen. Bei dieser Konfiguration verfügt ein bestimmter Benutzer oder eine bestimmte Gruppe über die höhere Berechtigung der Standardberechtigung auf Freigabeebene und der RBAC-Zuweisung. Das heißt: Angenommen, Sie haben einem Benutzer die Rolle Speicherdateidaten-SMB-Leser für die Zieldateifreigabe zugewiesen. Außerdem haben Sie allen authentifizierten Benutzern die Standardberechtigung auf Freigabeebene Mitwirkender mit erhöhten Rechten für Speicherdateidaten-SMB-Freigabe gewährt. Mit dieser Konfiguration hat dieser bestimmte Benutzer auf der Ebene Mitwirkender mit erhöhten Rechten für Speicherdateidaten-SMB-Freigabe Zugriff auf die Dateifreigabe. Berechtigungen auf höherer Ebene haben immer Vorrang.

Nächste Schritte

Nachdem Sie die Berechtigungen auf Freigabeebene zugewiesen haben, können Sie Berechtigungen auf Verzeichnis- und Dateiebene konfigurieren. Denken Sie daran, dass es bis zu drei Stunden dauern kann, bis Berechtigungen auf Freigabeebene wirksam werden.