Asignación de permisos de nivel de recurso compartido

Una vez habilitado un origen de Active Directory (AD) para la cuenta de almacenamiento, debe configurar los permisos de nivel de recurso compartido para poder acceder a los recursos compartidos de archivos. Hay dos maneras de asignar permisos de nivel de recurso compartido. Puede asignarlos a usuarios o grupos específicos de Azure AD y puede asignarlos a todas las identidades autenticadas como permiso de nivel de recurso compartido predeterminado.

Importante

El control administrativo total de un recurso compartido de archivos, incluida la capacidad de tomar posición de un archivo, requiere usar la clave de la cuenta de almacenamiento. El control administrativo total no se admite con la autenticación basada en identidades.

Se aplica a

Tipo de recurso compartido de archivos	SMB	NFS
Recursos compartidos de archivos Estándar (GPv2), LRS/ZRS
Recursos compartidos de archivos Estándar (GPv2), GRS/GZRS
Recursos compartidos de archivos Premium (FileStorage), LRS/ZRS

Qué configuración debe usar

Los permisos de nivel de recurso compartido en los recursos compartidos de archivos de Azure están configurados para usuarios, grupos o entidades de servicio de Azure Active Directory (Azure AD), mientras que los permisos de nivel de directorio y archivo se aplican mediante listas de control de acceso (ACL) de Windows. Debe asignar los permisos de nivel de recurso compartido a la identidad de Azure AD que representa el mismo usuario, grupo o entidad de servicio en AD DS para admitir la autenticación de AD DS en el recurso compartido de archivos de Azure. La autenticación y autorización con identidades que solo existen en Azure AD, como las identidades administradas de Azure (MSI), no se admiten.

La mayoría de los usuarios deben asignar permisos de nivel de recurso compartido a usuarios o grupos específicos de Azure AD y, después, usar listas de control de acceso de Windows para el control de acceso pormenorizado en el nivel de directorio y de archivo. Esta es la configuración más estricta y segura.

En su lugar, hay tres escenarios en los que se recomienda usar un permiso de nivel de recurso compartido predeterminado para permitir el acceso de colaborador, colaborador con privilegios elevados o lector a todas las identidades autenticadas:

• Si no puede sincronizar el entorno local de AD DS con Azure AD, puede usar un permiso de nivel de recurso compartido predeterminado. Con la asignación de este permiso puede evitar el requisito de sincronización, ya que no es necesario especificar el permiso para las identidades en Azure AD. Después puede usar listas de control de acceso de Windows para la aplicación de permisos pormenorizados en los archivos y directorios.
  • Las identidades asociadas a una instancia de AD pero no sincronizadas con Azure AD también pueden aprovechar el permiso de nivel predeterminado de recurso compartido. Esto puede incluir cuentas de servicio administradas independientes (sMSA), cuentas de servicio administradas de grupo (gMSA) y cuentas de equipo.
• El entorno local de AD DS que está usando se sincroniza con una instancia de Azure AD diferente de la instancia en la que se implementa el recurso compartido.
  • Esto es habitual cuando se administran entornos multiinquilino. El uso de un permiso de nivel de recurso compartido predeterminado le permite omitir el requisito de una identidad híbrida de Azure AD. Podrá seguir usando las listas de control de acceso de Windows en los archivos y directorios para la aplicación de permisos pormenorizados.
• Prefiere aplicar la autenticación solo mediante listas de control de acceso de Windows en el nivel de archivo y de directorio.

Nota

Dado que las cuentas de equipo no tienen una identidad en Azure AD, no se puede configurar el control de acceso basado en rol (RBAC) de Azure para estas. Sin embargo, las cuentas de equipo pueden acceder a un recurso compartido de archivos mediante un permiso de nivel de recurso compartido predeterminado.

Asignación de permisos de nivel de recurso compartido

En la tabla siguiente se enumeran los permisos de nivel de recurso compartido y cómo se corresponden con los roles de RBAC de Azure integrados:

Roles integrados admitidos	Descripción
Lector de recursos compartidos de SMB de datos de archivos de Storage	Permite el acceso de lectura a los archivos y directorios de los recursos compartidos de Azure. Este rol es análogo a una ACL de recurso compartido de lectura en los servidores de archivos de Windows. Más información.
Colaborador de recursos compartidos de SMB de datos de archivos de Storage	Permite el acceso de lectura, escritura y eliminación a los archivos y directorios de los recursos compartidos de Azure. Más información.
Colaborador elevado de recursos compartidos de SMB de datos de archivos de Storage	Permite el acceso de lectura, escritura, eliminación y modificación de ACL en los archivos y directorios de los recursos compartidos de Azure. Este rol es análogo a una ACL de recurso compartido de cambio en los servidores de archivos de Windows. Más información.

Permisos de nivel de recurso compartido para usuarios o grupos específicos de Azure AD

Si tiene previsto usar un usuario o grupo específico de Azure AD para acceder a recursos compartidos de archivos de Azure, esa identidad debe ser una identidad híbrida que exista tanto en el entorno local de AD DS como en el de Azure AD. Por ejemplo, supongamos que tiene un usuario en su instancia de AD, user1@onprem.contoso.com, que se ha sincronizado con Azure AD como user1@contoso.com con la sincronización de Azure AD Connect o Azure AD Connect Cloud Sync. Para que este usuario acceda a Azure Files, debe asignar los permisos de nivel de recurso compartido a user1@contoso.com. El mismo concepto se aplica a los grupos y entidades de servicio.

Importante

Asigne permisos al declarar explícitamente acciones y acciones de datos en lugar de usar un carácter comodín (*). Si la definición de rol personalizada de una acción de datos contiene un carácter comodín, se concede acceso a todas las identidades asignadas a ese rol para todas las posibles acciones de datos. Esto significa que a todas esas identidades también se les concederá cualquier nueva acción de datos agregada a la plataforma. El acceso adicional y los permisos concedidos mediante nuevas acciones o acciones de datos pueden ser comportamientos no deseados para los clientes que usan un carácter comodín.

Para que los permisos de nivel de recurso compartido funcionen, debe:

• Sincronice los usuarios y los grupos de su instancia local de AD a Azure AD mediante la aplicación de sincronización de Azure AD Connect local o Azure AD Connect Cloud Sync, un agente ligero que se puede instalar desde el Centro de Administración de Azure Active Directory.
• Agregar grupos sincronizados de AD al rol RBAC para que puedan acceder a la cuenta de almacenamiento.

Sugerencia

Opcional: Los clientes que quieran migrar permisos de nivel de recurso compartido del servidor SMB a otros permisos de RBAC pueden usar el cmdlet Move-OnPremSharePermissionsToAzureFileShare de PowerShell para migrar permisos de nivel de directorio y archivo desde el entorno local hasta Azure. Este cmdlet evalúa los grupos de un recurso compartido de archivos local determinado y, a continuación, escribe los usuarios y grupos adecuados en el recurso compartido de archivos de Azure mediante los tres roles RBAC. Al invocar el cmdlet, se proporciona la información para el recurso compartido local y el recurso compartido de archivos de Azure.

Puede usar Azure Portal, Azure PowerShell o la CLI de Azure para asignar los roles integrados a la identidad de Azure AD de un usuario a fin de conceder permisos de nivel de recurso compartido.

Importante

Los permisos en el nivel de recurso compartido tardarán hasta tres horas en surtir efecto una vez completado. Espere a que se sincronicen los permisos antes de conectarse al recurso compartido de archivos con sus credenciales.

Portal

Para asignar un rol de Azure a una identidad de Azure AD mediante Azure Portal, siga estos pasos:

1. En Azure Portal, vaya al recurso compartido de archivos o cree uno.
2. Seleccione Access Control (IAM) .
3. Seleccione Agregar una asignación de roles.
4. En la hoja Agregar asignación de roles, seleccione el rol integrado apropiado en la lista Rol.
   1. Lector de recursos compartidos de SMB de datos de archivos de almacenamiento
   2. Colaborador de recursos compartidos de SMB de datos de archivos de almacenamiento
   3. Colaborador con privilegios elevados de recursos compartidos de SMB de datos de archivos de almacenamiento
5. Mantenga la opción Asignar acceso a en la configuración predeterminada: Usuario, grupo o entidad de servicio de Azure AD. Seleccione la identidad de Azure AD de destino por nombre o dirección de correo electrónico. La identidad de Azure AD seleccionada debe ser una identidad híbrida y no puede ser una identidad solo en la nube. Esto significa que la misma identidad también se representa en AD DS.
6. Seleccione Guardar para completar la operación de asignación de roles.

Azure PowerShell

El siguiente ejemplo de PowerShell muestra cómo asignar un rol de Azure a una identidad de Azure AD, según el nombre de inicio de sesión. Para más información sobre la asignación de roles de Azure mediante PowerShell, consulte Incorporación o eliminación de asignaciones de roles de Azure con Azure PowerShell.

Antes de ejecutar el siguiente script de ejemplo, reemplace los valores de marcador de posición, incluidos los corchetes, por los suyos.

#Get the name of the custom role
$FileShareContributorRole = Get-AzRoleDefinition "<role-name>" #Use one of the built-in roles: Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor, Storage File Data SMB Share Elevated Contributor
#Constrain the scope to the target file share
$scope = "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/fileServices/default/fileshares/<share-name>"
#Assign the custom role to the target identity with the specified scope.
New-AzRoleAssignment -SignInName <user-principal-name> -RoleDefinitionName $FileShareContributorRole.Name -Scope $scope

CLI de Azure

El siguiente comando de la CLI 2.0 asigna un rol de Azure a una identidad de Azure AD, según el nombre de inicio de sesión. Para más información sobre la asignación de roles de Azure mediante la CLI de Azure, consulte Incorporación o eliminación de asignaciones de roles mediante la CLI de Azure.

Antes de ejecutar el siguiente script de ejemplo, no olvide reemplazar los valores de marcador de posición, incluidos los corchetes, por los suyos propios.

#Assign the built-in role to the target identity: Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor, Storage File Data SMB Share Elevated Contributor
az role assignment create --role "<role-name>" --assignee <user-principal-name> --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/fileServices/default/fileshares/<share-name>"

Permisos de nivel de recurso compartido para todas las identidades autenticadas

Puede agregar un permiso de nivel de recurso compartido predeterminado en la cuenta de almacenamiento, en lugar de configurar permisos de nivel de recurso compartido para usuarios o grupos de Azure AD. Un permiso de nivel de recurso compartido predeterminado asignado a la cuenta de almacenamiento se aplica a todos los recursos compartidos contenidos en la cuenta de almacenamiento.

Al establecer un permiso de nivel de recurso compartido predeterminado, todos los usuarios y grupos autenticados tendrán el mismo permiso. Los usuarios o grupos autenticados se identifican, ya que la identidad se puede autenticar en el entorno local de AD DS al que está asociado la cuenta de almacenamiento. El permiso de nivel de recurso compartido predeterminado se establece en Ninguno durante la inicialización, lo que implica que no se permite el acceso a los archivos o directorios en el recurso compartido de archivos de Azure.

Portal

Para configurar los permisos de nivel de recurso compartido predeterminados en la cuenta de almacenamiento mediante Azure Portal, siga estos pasos.

1. En Azure Portal, vaya a la cuenta de almacenamiento que contiene los recursos compartidos de archivos y seleccione Almacenamiento de datos y Recursos compartidos de archivos.

2. Debe habilitar un origen de AD en la cuenta de almacenamiento antes de asignar permisos predeterminados de nivel de recurso compartido. Si ya lo ha hecho, seleccione Active Directory y continúe con el paso siguiente. De lo contrario, seleccione Active Directory: No configurado, seleccione Configurar en el origen de AD que quiera y habilite el origen de AD.

3. Después de habilitar un origen de AD, el Paso 2: Establecer permisos de nivel de recurso compartido estará disponible para la configuración. Seleccione Habilitar permisos para todos los usuarios y grupos autenticados.

   

4. Seleccione el rol adecuado que se va a habilitar como permiso de recurso compartido predeterminado en la lista desplegable.

5. Seleccione Guardar.

Azure PowerShell

Puede usar el siguiente script para configurar los permisos predeterminados de nivel de recurso compartido en la cuenta de almacenamiento. Solo puede habilitar el permiso de nivel de recurso compartido predeterminado en las cuentas de almacenamiento asociadas a un servicio de directorio para la autenticación de Azure Files.

Antes de ejecutar el siguiente script, asegúrese de que el módulo Az.Storage corresponde a la versión 3.7.0 o posterior. Se recomienda actualizar a la última versión.

$defaultPermission = "None|StorageFileDataSmbShareContributor|StorageFileDataSmbShareReader|StorageFileDataSmbShareElevatedContributor" # Set the default permission of your choice

$account = Set-AzStorageAccount -ResourceGroupName "<resource-group-name-here>" -AccountName "<storage-account-name-here>" -DefaultSharePermission $defaultPermission

$account.AzureFilesIdentityBasedAuth

CLI de Azure

Puede usar el siguiente script para configurar los permisos predeterminados de nivel de recurso compartido en la cuenta de almacenamiento. Solo puede habilitar el permiso de nivel de recurso compartido predeterminado en las cuentas de almacenamiento asociadas a un servicio de directorio para la autenticación de Azure Files.

Antes de ejecutar el siguiente script, asegúrese de que la CLI de Azure corresponde a la versión 2.24.1 o posterior.

# Declare variables
storageAccountName="YourStorageAccountName"
resourceGroupName="YourResourceGroupName"
defaultPermission="None|StorageFileDataSmbShareContributor|StorageFileDataSmbShareReader|StorageFileDataSmbShareElevatedContributor" # Set the default permission of your choice

az storage account update --name $storageAccountName --resource-group $resourceGroupName --default-share-permission $defaultPermission

Qué ocurre si usa ambas configuraciones

También puede asignar permisos a todos los usuarios autenticados de Azure AD, y a usuarios y grupos específicos de Azure AD. Con esta configuración, un usuario o grupo específico tendrá el permiso de mayor nivel que combina el permiso de nivel de recurso compartido y la asignación RBAC predeterminados. Es decir, supongamos que ha concedido a un usuario el rol Lector de SMB de datos de archivos de almacenamiento en el recurso compartido de archivos de destino. También ha concedido el permiso de nivel de recurso compartido predeterminado Colaborador con privilegios elevados de recursos compartidos de SMB de datos de archivos de almacenamiento a todos los usuarios autenticados. Con esta configuración, ese usuario concreto tendrá un nivel de acceso Colaborador con privilegios elevados de recursos compartidos de SMB de datos de archivos de almacenamiento al recurso compartido. Los permisos de nivel superior siempre tienen prioridad.

Pasos siguientes

Ahora que ha asignado los permisos de nivel de recurso compartido, puede configurar los permisos de nivel de archivo y de directorio. Recuerde que los permisos de nivel de recurso compartido pueden tardar hasta tres horas en surtir efecto.