Megosztási szintű engedélyek hozzárendelése Azure-fájlmegosztásokhoz

Ha engedélyezte az Active Directory- (AD-) forrást a tárfiókban, a fájlmegosztás eléréséhez konfigurálnia kell a megosztásszintű engedélyeket. A megosztási szintű engedélyek kétféleképpen rendelhetők hozzá. Hozzárendelheti őket adott Microsoft Entra-felhasználókhoz/csoportokhoz, és az összes hitelesített identitáshoz hozzárendelheti őket alapértelmezett megosztási szintű engedélyként.

Fontos

A fájlmegosztások teljes körű felügyeleti vezérlése, beleértve a fájlok tulajdonjogának átvételét is, a tárfiókkulcs használatát igényli. Az identitásalapú hitelesítés nem támogatja a teljes felügyeleti ellenőrzést.

A következőre érvényes:

Fájlmegosztás típusa	SMB	NFS
Standard szintű fájlmegosztások (GPv2), LRS/ZRS
Standard szintű fájlmegosztások (GPv2), GRS/GZRS
Prémium fájlmegosztások (FileStorage), LRS/ZRS

Megosztási szintű engedélyek hozzárendelésének kiválasztása

Az Azure-fájlmegosztások megosztási szintű engedélyei a Microsoft Entra-felhasználók, csoportok vagy szolgáltatásnevek számára vannak konfigurálva, míg a címtár- és fájlszintű engedélyek a Windows hozzáférés-vezérlési listák (ACL-ek) használatával lesznek kényszerítve. Az AD DS-hitelesítés azure-fájlmegosztáshoz való támogatásához megosztási szintű engedélyeket kell hozzárendelnie az AD DS-ben ugyanazt a felhasználót, csoportot vagy szolgáltatásnevet képviselő Microsoft Entra-identitáshoz. Az olyan identitások hitelesítése és engedélyezése, amelyek csak a Microsoft Entra-azonosítóban léteznek, például az Azure Managed Identityes (MSI-k) nem támogatottak.

A felhasználók többségének megosztási szintű engedélyeket kell hozzárendelnie adott Microsoft Entra-felhasználókhoz vagy -csoportokhoz, majd Windows ACL-eket kell használnia a címtár- és fájlszintű részletes hozzáférés-vezérléshez. Ez a legszigorúbb és legbiztonságosabb konfiguráció.

Három esetben javasoljuk, hogy használjon alapértelmezett megosztási szintű engedélyt , amely lehetővé teszi a közreműködői, emelt szintű közreműködői vagy olvasói hozzáférést az összes hitelesített identitáshoz:

• Ha nem tudja szinkronizálni a helyszíni AD DS-t a Microsoft Entra-azonosítóval, használhat egy alapértelmezett megosztási szintű engedélyt. Az alapértelmezett megosztási szintű engedély hozzárendelésével megkerülheti a szinkronizálási követelményt, mivel nem kell megadnia az identitásokra vonatkozó engedélyt a Microsoft Entra-azonosítóban. Ezután a Windows ACL-eket használhatja a fájlok és könyvtárak részletes engedélykényszerítéséhez.
  • Az AD-hez kapcsolódó, de a Microsoft Entra-azonosítóval nem szinkronizált identitások is használhatják az alapértelmezett megosztási szintű engedélyt. Ilyenek lehetnek az önálló felügyelt szolgáltatásfiókok (sMSA), a csoportos felügyelt szolgáltatásfiókok (gMSA) és a számítógépfiókok.
• A helyszíni AD DS egy másik Microsoft Entra-azonosítóval van szinkronizálva, mint az a Microsoft Entra-azonosító, amelyben a fájlmegosztás telepítve van.
  • Ez a több-bérlős környezetek kezelésekor jellemző. Az alapértelmezett megosztási szintű engedélyekkel megkerülheti a Hibrid Microsoft Entra ID-identitásra vonatkozó követelményt. A windowsos ACL-eket továbbra is használhatja a fájlokon és könyvtárakon a részletes engedélyérvényesítéshez.
• A hitelesítést inkább csak a Windows ACL-ek használatával szeretné kikényszeríteni fájl- és címtárszinten.

Feljegyzés

Mivel a számítógépfiókok nem rendelkeznek identitással a Microsoft Entra-azonosítóban, az Azure szerepköralapú hozzáférés-vezérlését (RBAC) nem konfigurálhatja hozzájuk. A számítógépfiókok azonban egy alapértelmezett megosztási szintű engedéllyel férhetnek hozzá a fájlmegosztásokhoz.

Megosztási szintű engedélyek és Azure RBAC-szerepkörök

Az alábbi táblázat felsorolja a megosztási szintű engedélyeket, és hogy azok hogyan igazodnak a beépített Azure RBAC-szerepkörökhöz:

Támogatott beépített szerepkörök	Leírás
Storage-fájladatok SMB-megosztási olvasója	Olvasási hozzáférést biztosít az Azure-fájlmegosztásokban lévő fájlokhoz és könyvtárakhoz. Ez a szerepkör hasonló a Windows-fájlkiszolgálókon található olvasási ACL fájlmegosztási ACL-éhez. További információ.
Storage-fájladatok SMB-megosztási közreműködője	Olvasási, írási és törlési hozzáférést tesz lehetővé az Azure-fájlmegosztásokban lévő fájlokon és könyvtárakon. További információ.
Storage File Data SMB share emelt szintű közreműködő	Lehetővé teszi az ACL-ek olvasását, írását, törlését és módosítását az Azure-fájlmegosztásokban lévő fájlokon és könyvtárakon. Ez a szerepkör hasonló a Windows-fájlkiszolgálókon a változás ACL-jének fájlmegosztási ACL-éhez. További információ.

Megosztási szintű engedélyek adott Microsoft Entra-felhasználókhoz vagy -csoportokhoz

Ha egy adott Microsoft Entra-felhasználót vagy -csoportot kíván használni az Azure-fájlmegosztási erőforrások eléréséhez, az identitásnak hibrid identitásnak kell lennie, amely a helyszíni AD DS-ben és a Microsoft Entra-azonosítóban is létezik. Tegyük fel például, hogy user1@onprem.contoso.com van egy felhasználója az AD-ben, és szinkronizálta a Microsoft Entra-azonosítót user1@contoso.com a Microsoft Entra Csatlakozás Sync vagy a Microsoft Entra Csatlakozás felhőszinkronizálás használatával. Ahhoz, hogy a felhasználó hozzáférhessen az Azure Fileshoz, hozzá kell rendelnie a megosztási szintű engedélyeketuser1@contoso.com. Ugyanez a fogalom vonatkozik a csoportokra és a szolgáltatásnevekre is.

Fontos

Az engedélyek hozzárendelését a műveletek és adatműveletek explicit deklarálásával végezze, nem pedig helyettesítő (*) karakter használatával. Ha egy adatművelet egyéni szerepkör-definíciója helyettesítő karaktert tartalmaz, a szerepkörhöz rendelt összes identitás hozzáférést fog kapni az összes lehetséges adatművelethez. Ez egyben azt jelenti, hogy az összes ilyen identitás a platformhoz hozzáadott új adatműveleteket is megkapja. Az új műveletek vagy adatműveletek által biztosított további hozzáférés és engedélyek nem kívánt viselkedést jelenthetnek a helyettesítő karaktereket használó ügyfelek számára.

A megosztási szintű engedélyek működéséhez a következőket kell tennie:

• Szinkronizálja a felhasználókat és a csoportokat a helyi AD-ből a Microsoft Entra-azonosítóba a helyszíni Microsoft Entra Csatlakozás Sync alkalmazással vagy a Microsoft Entra Csatlakozás felhőalapú szinkronizálással, amely egy egyszerűsített ügynök, amely a Microsoft Entra Rendszergazda Centerből telepíthető.
• Szinkronizált AD-csoportokat adhat hozzá az RBAC-szerepkörhöz, hogy hozzáférhessenek a tárfiókhoz.

Tipp.

Nem kötelező: Azok az ügyfelek, akik az SMB-kiszolgáló megosztási szintű engedélyeit RBAC-engedélyekre szeretnék migrálni, a Move-OnPremSharePermissionsToAzureFileShare PowerShell-parancsmaggal könyvtár- és fájlszintű engedélyeket migrálhatnak a helyszínről az Azure-ba. Ez a parancsmag kiértékeli egy adott helyszíni fájlmegosztás csoportjait, majd megírja a megfelelő felhasználókat és csoportokat az Azure-fájlmegosztásba a három RBAC-szerepkör használatával. A parancsmag meghívásakor meg kell adnia a helyszíni megosztás és az Azure-fájlmegosztás adatait.

Az Azure Portal, az Azure PowerShell vagy az Azure CLI használatával hozzárendelheti a beépített szerepköröket egy felhasználó Microsoft Entra-identitásához a megosztási szintű engedélyek megadásához.

Fontos

A megosztásszintű engedélyek érvénybe lépése akár három órát is igénybe vehet. Várja meg az engedélyek szinkronizálódását, mielőtt hitelesítő adataival csatlakozik a fájlmegosztáshoz.

Portál

Ha Azure-szerepkört szeretne hozzárendelni egy Microsoft Entra-identitáshoz az Azure Portal használatával, kövesse az alábbi lépéseket:

1. Az Azure Portalon nyissa meg a fájlmegosztást, vagy hozzon létre egy fájlmegosztást.
2. Válassza a Hozzáférés-vezérlés (IAM) lehetőséget.
3. Válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget
4. A Szerepkör-hozzárendelés hozzáadása panelen válassza ki a megfelelő beépített szerepkört a szerepkörlistában.
   1. Storage-fájladatok SMB-megosztásának olvasója
   2. Storage-fájladatok SMB-megosztásának közreműködője
   3. Storage-fájladatok SMB-megosztásának emelt szintű közreműködője
5. Hagyja meg a Hozzáférés hozzárendelése beállítást az alapértelmezett beállításnál: Microsoft Entra felhasználó, csoport vagy szolgáltatásnév. Válassza ki a cél Microsoft Entra-identitást név vagy e-mail-cím alapján. A kiválasztott Microsoft Entra-identitásnak hibrid identitásnak kell lennie, és nem lehet csak felhőbeli identitás. Ez azt jelenti, hogy ugyanez az identitás az AD DS-ben is megjelenik.
6. Válassza a Mentés lehetőséget a szerepkör-hozzárendelési művelet befejezéséhez.

Azure PowerShell

Az alábbi PowerShell-minta bemutatja, hogyan rendelhet Azure-szerepkört egy Microsoft Entra-identitáshoz a bejelentkezési név alapján. További információ az Azure-szerepkörök PowerShell-lel való hozzárendeléséről: Azure-szerepkör-hozzárendelések hozzáadása vagy eltávolítása az Azure PowerShell-modul használatával.

A következő példaszkript futtatása előtt cserélje le a helyőrző értékeket, beleértve a szögletes zárójeleket is az értékekre.

#Get the name of the custom role
$FileShareContributorRole = Get-AzRoleDefinition "<role-name>" #Use one of the built-in roles: Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor, Storage File Data SMB Share Elevated Contributor
#Constrain the scope to the target file share
$scope = "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/fileServices/default/fileshares/<share-name>"
#Assign the custom role to the target identity with the specified scope.
New-AzRoleAssignment -SignInName <user-principal-name> -RoleDefinitionName $FileShareContributorRole.Name -Scope $scope

Azure CLI

Az alábbi CLI 2.0-parancs egy Azure-szerepkört rendel egy Microsoft Entra-identitáshoz a bejelentkezési név alapján. Az Azure-szerepkörök Azure CLI-vel való hozzárendelésével kapcsolatos további információkért lásd : Azure-szerepkör-hozzárendelések hozzáadása vagy eltávolítása az Azure CLI használatával.

A következő példaszkript futtatása előtt ne felejtse el lecserélni a helyőrző értékeket, beleértve a zárójeleket is, a saját értékeire.

#Assign the built-in role to the target identity: Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor, Storage File Data SMB Share Elevated Contributor
az role assignment create --role "<role-name>" --assignee <user-principal-name> --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/fileServices/default/fileshares/<share-name>"

Megosztási szintű engedélyek az összes hitelesített identitáshoz

A microsoft Entra-felhasználók vagy -csoportok megosztási szintű engedélyeinek konfigurálása helyett hozzáadhat egy alapértelmezett megosztási szintű engedélyt a tárfiókhoz. A tárfiókhoz rendelt alapértelmezett megosztási szintű engedély a tárfiókban található összes fájlmegosztásra vonatkozik.

Ha beállít egy alapértelmezett megosztási szintű engedélyt, minden hitelesített felhasználó és csoport ugyanazzal az engedéllyel fog rendelkezni. A hitelesített felhasználók vagy csoportok azonosíthatók, mivel az identitás hitelesíthető azon a helyszíni AD DS-en, amelyhez a tárfiók társítva van. Az alapértelmezett megosztási szintű engedély Nincs értékre van állítva az inicializáláskor, ami azt jelenti, hogy az Azure-fájlmegosztásban lévő fájlokhoz és könyvtárakhoz nem engedélyezett hozzáférés.

Portál

Ha alapértelmezett megosztási szintű engedélyeket szeretne konfigurálni a tárfiókon az Azure Portal használatával, kövesse az alábbi lépéseket.

1. Az Azure Portalon lépjen a fájlmegosztásokat tartalmazó tárfiókra, és válassza ki az Adattárolási > fájlmegosztások lehetőséget.

2. Az alapértelmezett megosztási szintű engedélyek hozzárendelése előtt engedélyeznie kell egy AD-forrást a tárfiókban. Ha már elvégezte ezt, válassza az Active Directoryt, és folytassa a következő lépésben. Ellenkező esetben válassza az Active Directory: Nincs konfigurálva, válassza a Beállítás lehetőséget a kívánt AD-forrás alatt, és engedélyezze az AD-forrást.

3. Miután engedélyezte az AD-forrást, a 2. lépés: A megosztási szintű engedélyek beállítása elérhető lesz a konfigurációhoz. Válassza az Engedélyek engedélyezése az összes hitelesített felhasználóhoz és csoporthoz lehetőséget.

   

4. Válassza ki az alapértelmezett megosztási engedélyként engedélyezni kívánt szerepkört a legördülő listában.

5. Válassza a Mentés lehetőséget.

Azure PowerShell

A következő szkripttel konfigurálhatja a tárfiók alapértelmezett megosztási szintű engedélyeit. Az alapértelmezett megosztási szintű engedélyt csak az Azure Files-hitelesítés címtárszolgáltatásához társított tárfiókokon engedélyezheti.

A következő szkript futtatása előtt győződjön meg arról, hogy az Az.Storage-modul 3.7.0-s vagy újabb verziójú. Javasoljuk, hogy frissítsen a legújabb verzióra.

$defaultPermission = "None|StorageFileDataSmbShareContributor|StorageFileDataSmbShareReader|StorageFileDataSmbShareElevatedContributor" # Set the default permission of your choice

$account = Set-AzStorageAccount -ResourceGroupName "<resource-group-name-here>" -AccountName "<storage-account-name-here>" -DefaultSharePermission $defaultPermission

$account.AzureFilesIdentityBasedAuth

Azure CLI

A következő szkripttel konfigurálhatja a tárfiók alapértelmezett megosztási szintű engedélyeit. Az alapértelmezett megosztási szintű engedélyt csak az Azure Files-hitelesítés címtárszolgáltatásához társított tárfiókokon engedélyezheti.

A következő szkript futtatása előtt győződjön meg arról, hogy az Azure CLI 2.24.1-es vagy újabb verziójú.

# Declare variables
storageAccountName="YourStorageAccountName"
resourceGroupName="YourResourceGroupName"
defaultPermission="None|StorageFileDataSmbShareContributor|StorageFileDataSmbShareReader|StorageFileDataSmbShareElevatedContributor" # Set the default permission of your choice

az storage account update --name $storageAccountName --resource-group $resourceGroupName --default-share-permission $defaultPermission

Mi történik, ha mindkét konfigurációt használja?

Engedélyeket is hozzárendelhet az összes hitelesített Microsoft Entra-felhasználóhoz és adott Microsoft Entra-felhasználóhoz/csoporthoz. Ezzel a konfigurációval egy adott felhasználó vagy csoport rendelkezik az alapértelmezett megosztási szintű engedély és RBAC-hozzárendelés magasabb szintű engedélyével. Más szóval, tegyük fel, hogy megadta a felhasználónak a Storage File Data SMB Reader szerepkört a célfájlmegosztáson. Az alapértelmezett megosztási szintű engedélyt is megadta a Storage File Data SMB-megosztás emelt szintű közreműködőjének az összes hitelesített felhasználó számára. Ezzel a konfigurációval az adott felhasználó emelt szintű hozzáféréssel rendelkezik a fájlmegosztáshoz a Storage File Data SMB Share-megosztáshoz . A magasabb szintű engedélyek mindig elsőbbséget élveznek.

Következő lépés

Most, hogy hozzárendelte a megosztási szintű engedélyeket, konfigurálhatja a címtár- és fájlszintű engedélyeket. Ne feledje, hogy a megosztási szintű engedélyek érvénybe lépése akár három órát is igénybe vehet.