Megosztási szintű engedélyek hozzárendelése Azure-fájlmegosztásokhoz
Ha engedélyezte az Active Directory- (AD-) forrást a tárfiókban, a fájlmegosztás eléréséhez konfigurálnia kell a megosztásszintű engedélyeket. A megosztási szintű engedélyek kétféleképpen rendelhetők hozzá. Hozzárendelheti őket adott Microsoft Entra-felhasználókhoz/csoportokhoz, és az összes hitelesített identitáshoz hozzárendelheti őket alapértelmezett megosztási szintű engedélyként.
Fontos
A fájlmegosztások teljes körű felügyeleti vezérlése, beleértve a fájlok tulajdonjogának átvételét is, a tárfiókkulcs használatát igényli. Az identitásalapú hitelesítés nem támogatja a teljes felügyeleti ellenőrzést.
A következőre érvényes:
Fájlmegosztás típusa | SMB | NFS |
---|---|---|
Standard szintű fájlmegosztások (GPv2), LRS/ZRS | ![]() |
![]() |
Standard szintű fájlmegosztások (GPv2), GRS/GZRS | ![]() |
![]() |
Prémium fájlmegosztások (FileStorage), LRS/ZRS | ![]() |
![]() |
Megosztási szintű engedélyek hozzárendelésének kiválasztása
Az Azure-fájlmegosztások megosztási szintű engedélyei a Microsoft Entra-felhasználók, csoportok vagy szolgáltatásnevek számára vannak konfigurálva, míg a címtár- és fájlszintű engedélyek a Windows hozzáférés-vezérlési listák (ACL-ek) használatával lesznek kényszerítve. Az AD DS-hitelesítés azure-fájlmegosztáshoz való támogatásához megosztási szintű engedélyeket kell hozzárendelnie az AD DS-ben ugyanazt a felhasználót, csoportot vagy szolgáltatásnevet képviselő Microsoft Entra-identitáshoz. Az olyan identitások hitelesítése és engedélyezése, amelyek csak a Microsoft Entra-azonosítóban léteznek, például az Azure Managed Identityes (MSI-k) nem támogatottak.
A felhasználók többségének megosztási szintű engedélyeket kell hozzárendelnie adott Microsoft Entra-felhasználókhoz vagy -csoportokhoz, majd Windows ACL-eket kell használnia a címtár- és fájlszintű részletes hozzáférés-vezérléshez. Ez a legszigorúbb és legbiztonságosabb konfiguráció.
Három esetben javasoljuk, hogy használjon alapértelmezett megosztási szintű engedélyt , amely lehetővé teszi a közreműködői, emelt szintű közreműködői vagy olvasói hozzáférést az összes hitelesített identitáshoz:
- Ha nem tudja szinkronizálni a helyszíni AD DS-t a Microsoft Entra-azonosítóval, használhat egy alapértelmezett megosztási szintű engedélyt. Az alapértelmezett megosztási szintű engedély hozzárendelésével megkerülheti a szinkronizálási követelményt, mivel nem kell megadnia az identitásokra vonatkozó engedélyt a Microsoft Entra-azonosítóban. Ezután a Windows ACL-eket használhatja a fájlok és könyvtárak részletes engedélykényszerítéséhez.
- Az AD-hez kapcsolódó, de a Microsoft Entra-azonosítóval nem szinkronizált identitások is használhatják az alapértelmezett megosztási szintű engedélyt. Ilyenek lehetnek az önálló felügyelt szolgáltatásfiókok (sMSA), a csoportos felügyelt szolgáltatásfiókok (gMSA) és a számítógépfiókok.
- A helyszíni AD DS egy másik Microsoft Entra-azonosítóval van szinkronizálva, mint az a Microsoft Entra-azonosító, amelyben a fájlmegosztás telepítve van.
- A hitelesítést inkább csak a Windows ACL-ek használatával szeretné kikényszeríteni fájl- és címtárszinten.
Feljegyzés
Mivel a számítógépfiókok nem rendelkeznek identitással a Microsoft Entra-azonosítóban, az Azure szerepköralapú hozzáférés-vezérlését (RBAC) nem konfigurálhatja hozzájuk. A számítógépfiókok azonban egy alapértelmezett megosztási szintű engedéllyel férhetnek hozzá a fájlmegosztásokhoz.
Megosztási szintű engedélyek és Azure RBAC-szerepkörök
Az alábbi táblázat felsorolja a megosztási szintű engedélyeket, és hogy azok hogyan igazodnak a beépített Azure RBAC-szerepkörökhöz:
Támogatott beépített szerepkörök | Leírás |
---|---|
Storage-fájladatok SMB-megosztási olvasója | Olvasási hozzáférést biztosít az Azure-fájlmegosztásokban lévő fájlokhoz és könyvtárakhoz. Ez a szerepkör hasonló a Windows-fájlkiszolgálókon található olvasási ACL fájlmegosztási ACL-éhez. További információ. |
Storage-fájladatok SMB-megosztási közreműködője | Olvasási, írási és törlési hozzáférést tesz lehetővé az Azure-fájlmegosztásokban lévő fájlokon és könyvtárakon. További információ. |
Storage File Data SMB share emelt szintű közreműködő | Lehetővé teszi az ACL-ek olvasását, írását, törlését és módosítását az Azure-fájlmegosztásokban lévő fájlokon és könyvtárakon. Ez a szerepkör hasonló a Windows-fájlkiszolgálókon a változás ACL-jének fájlmegosztási ACL-éhez. További információ. |
Megosztási szintű engedélyek adott Microsoft Entra-felhasználókhoz vagy -csoportokhoz
Ha egy adott Microsoft Entra-felhasználót vagy -csoportot kíván használni az Azure-fájlmegosztási erőforrások eléréséhez, az identitásnak hibrid identitásnak kell lennie, amely a helyszíni AD DS-ben és a Microsoft Entra-azonosítóban is létezik. Tegyük fel például, hogy user1@onprem.contoso.com van egy felhasználója az AD-ben, és szinkronizálta a Microsoft Entra-azonosítót user1@contoso.com a Microsoft Entra Csatlakozás Sync vagy a Microsoft Entra Csatlakozás felhőszinkronizálás használatával. Ahhoz, hogy a felhasználó hozzáférhessen az Azure Fileshoz, hozzá kell rendelnie a megosztási szintű engedélyeketuser1@contoso.com. Ugyanez a fogalom vonatkozik a csoportokra és a szolgáltatásnevekre is.
Fontos
Az engedélyek hozzárendelését a műveletek és adatműveletek explicit deklarálásával végezze, nem pedig helyettesítő (*) karakter használatával. Ha egy adatművelet egyéni szerepkör-definíciója helyettesítő karaktert tartalmaz, a szerepkörhöz rendelt összes identitás hozzáférést fog kapni az összes lehetséges adatművelethez. Ez egyben azt jelenti, hogy az összes ilyen identitás a platformhoz hozzáadott új adatműveleteket is megkapja. Az új műveletek vagy adatműveletek által biztosított további hozzáférés és engedélyek nem kívánt viselkedést jelenthetnek a helyettesítő karaktereket használó ügyfelek számára.
A megosztási szintű engedélyek működéséhez a következőket kell tennie:
- Szinkronizálja a felhasználókat és a csoportokat a helyi AD-ből a Microsoft Entra-azonosítóba a helyszíni Microsoft Entra Csatlakozás Sync alkalmazással vagy a Microsoft Entra Csatlakozás felhőalapú szinkronizálással, amely egy egyszerűsített ügynök, amely a Microsoft Entra Rendszergazda Centerből telepíthető.
- Szinkronizált AD-csoportokat adhat hozzá az RBAC-szerepkörhöz, hogy hozzáférhessenek a tárfiókhoz.
Tipp.
Nem kötelező: Azok az ügyfelek, akik az SMB-kiszolgáló megosztási szintű engedélyeit RBAC-engedélyekre szeretnék migrálni, a Move-OnPremSharePermissionsToAzureFileShare
PowerShell-parancsmaggal könyvtár- és fájlszintű engedélyeket migrálhatnak a helyszínről az Azure-ba. Ez a parancsmag kiértékeli egy adott helyszíni fájlmegosztás csoportjait, majd megírja a megfelelő felhasználókat és csoportokat az Azure-fájlmegosztásba a három RBAC-szerepkör használatával. A parancsmag meghívásakor meg kell adnia a helyszíni megosztás és az Azure-fájlmegosztás adatait.
Az Azure Portal, az Azure PowerShell vagy az Azure CLI használatával hozzárendelheti a beépített szerepköröket egy felhasználó Microsoft Entra-identitásához a megosztási szintű engedélyek megadásához.
Fontos
A megosztásszintű engedélyek érvénybe lépése akár három órát is igénybe vehet. Várja meg az engedélyek szinkronizálódását, mielőtt hitelesítő adataival csatlakozik a fájlmegosztáshoz.
Ha Azure-szerepkört szeretne hozzárendelni egy Microsoft Entra-identitáshoz az Azure Portal használatával, kövesse az alábbi lépéseket:
- Az Azure Portalon nyissa meg a fájlmegosztást, vagy hozzon létre egy fájlmegosztást.
- Válassza a Hozzáférés-vezérlés (IAM) lehetőséget.
- Válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget
- A Szerepkör-hozzárendelés hozzáadása panelen válassza ki a megfelelő beépített szerepkört a szerepkörlistában.
- Storage-fájladatok SMB-megosztásának olvasója
- Storage-fájladatok SMB-megosztásának közreműködője
- Storage-fájladatok SMB-megosztásának emelt szintű közreműködője
- Hagyja meg a Hozzáférés hozzárendelése beállítást az alapértelmezett beállításnál: Microsoft Entra felhasználó, csoport vagy szolgáltatásnév. Válassza ki a cél Microsoft Entra-identitást név vagy e-mail-cím alapján. A kiválasztott Microsoft Entra-identitásnak hibrid identitásnak kell lennie, és nem lehet csak felhőbeli identitás. Ez azt jelenti, hogy ugyanez az identitás az AD DS-ben is megjelenik.
- Válassza a Mentés lehetőséget a szerepkör-hozzárendelési művelet befejezéséhez.
Megosztási szintű engedélyek az összes hitelesített identitáshoz
A microsoft Entra-felhasználók vagy -csoportok megosztási szintű engedélyeinek konfigurálása helyett hozzáadhat egy alapértelmezett megosztási szintű engedélyt a tárfiókhoz. A tárfiókhoz rendelt alapértelmezett megosztási szintű engedély a tárfiókban található összes fájlmegosztásra vonatkozik.
Ha beállít egy alapértelmezett megosztási szintű engedélyt, minden hitelesített felhasználó és csoport ugyanazzal az engedéllyel fog rendelkezni. A hitelesített felhasználók vagy csoportok azonosíthatók, mivel az identitás hitelesíthető azon a helyszíni AD DS-en, amelyhez a tárfiók társítva van. Az alapértelmezett megosztási szintű engedély Nincs értékre van állítva az inicializáláskor, ami azt jelenti, hogy az Azure-fájlmegosztásban lévő fájlokhoz és könyvtárakhoz nem engedélyezett hozzáférés.
Ha alapértelmezett megosztási szintű engedélyeket szeretne konfigurálni a tárfiókon az Azure Portal használatával, kövesse az alábbi lépéseket.
Az Azure Portalon lépjen a fájlmegosztásokat tartalmazó tárfiókra, és válassza ki az Adattárolási > fájlmegosztások lehetőséget.
Az alapértelmezett megosztási szintű engedélyek hozzárendelése előtt engedélyeznie kell egy AD-forrást a tárfiókban. Ha már elvégezte ezt, válassza az Active Directoryt, és folytassa a következő lépésben. Ellenkező esetben válassza az Active Directory: Nincs konfigurálva, válassza a Beállítás lehetőséget a kívánt AD-forrás alatt, és engedélyezze az AD-forrást.
Miután engedélyezte az AD-forrást, a 2. lépés: A megosztási szintű engedélyek beállítása elérhető lesz a konfigurációhoz. Válassza az Engedélyek engedélyezése az összes hitelesített felhasználóhoz és csoporthoz lehetőséget.
Válassza ki az alapértelmezett megosztási engedélyként engedélyezni kívánt szerepkört a legördülő listában.
Válassza a Mentés lehetőséget.
Mi történik, ha mindkét konfigurációt használja?
Engedélyeket is hozzárendelhet az összes hitelesített Microsoft Entra-felhasználóhoz és adott Microsoft Entra-felhasználóhoz/csoporthoz. Ezzel a konfigurációval egy adott felhasználó vagy csoport rendelkezik az alapértelmezett megosztási szintű engedély és RBAC-hozzárendelés magasabb szintű engedélyével. Más szóval, tegyük fel, hogy megadta a felhasználónak a Storage File Data SMB Reader szerepkört a célfájlmegosztáson. Az alapértelmezett megosztási szintű engedélyt is megadta a Storage File Data SMB-megosztás emelt szintű közreműködőjének az összes hitelesített felhasználó számára. Ezzel a konfigurációval az adott felhasználó emelt szintű hozzáféréssel rendelkezik a fájlmegosztáshoz a Storage File Data SMB Share-megosztáshoz . A magasabb szintű engedélyek mindig elsőbbséget élveznek.
Következő lépés
Most, hogy hozzárendelte a megosztási szintű engedélyeket, konfigurálhatja a címtár- és fájlszintű engedélyeket. Ne feledje, hogy a megosztási szintű engedélyek érvénybe lépése akár három órát is igénybe vehet.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: