Megosztási szintű engedélyek hozzárendelése az Azure Fileshoz

Cikk
2024. 10. 22.

Ha engedélyezte az Active Directory- (AD-) forrást a tárfiókban, a fájlmegosztás eléréséhez konfigurálnia kell a megosztásszintű engedélyeket. A megosztási szintű engedélyek kétféleképpen rendelhetők hozzá. Hozzárendelheti őket adott Microsoft Entra-felhasználókhoz/csoportokhoz, és az összes hitelesített identitáshoz hozzárendelheti őket alapértelmezett megosztási szintű engedélyként.

Fontos

A fájlmegosztások teljes körű felügyeleti vezérlése, beleértve a fájlok tulajdonjogának átvételét is, a tárfiókkulcs használatát igényli. Az identitásalapú hitelesítés nem támogatja a teljes felügyeleti ellenőrzést.

A következőre érvényes:

Fájlmegosztás típusa	SMB	NFS
Standard szintű fájlmegosztások (GPv2), LRS/ZRS
Standard szintű fájlmegosztások (GPv2), GRS/GZRS
Prémium fájlmegosztások (FileStorage), LRS/ZRS

Az Azure-fájlmegosztások megosztási szintű engedélyei a Microsoft Entra-felhasználók, csoportok vagy szolgáltatásnevek számára vannak konfigurálva, míg a címtár- és fájlszintű engedélyek a Windows hozzáférés-vezérlési listák (ACL-ek) használatával lesznek kényszerítve. Megosztási szintű engedélyeket kell hozzárendelnie a Microsoft Entra-identitáshoz, amely azt a felhasználót, csoportot vagy szolgáltatásnevet jelöli, amelyhez hozzáféréssel kell rendelkeznie. Az olyan identitások hitelesítése és engedélyezése, amelyek csak a Microsoft Entra-azonosítóban léteznek, például az Azure Managed Identityes (MSI-k) nem támogatottak.

A felhasználók többségének megosztási szintű engedélyeket kell hozzárendelnie adott Microsoft Entra-felhasználókhoz vagy -csoportokhoz, majd Windows ACL-eket kell használnia a címtár- és fájlszintű részletes hozzáférés-vezérléshez. Ez a legszigorúbb és legbiztonságosabb konfiguráció.

Három esetben javasoljuk , hogy használjon alapértelmezett megosztási szintű engedélyt az olvasó, a közreműködő, az emelt szintű közreműködő, a kiemelt közreműködő vagy a kiemelt olvasó hozzáférésének engedélyezéséhez az összes hitelesített identitáshoz:

Ha nem tudja szinkronizálni a helyszíni AD DS-t a Microsoft Entra-azonosítóval, használhat egy alapértelmezett megosztási szintű engedélyt. Az alapértelmezett megosztási szintű engedély hozzárendelésével megkerülheti a szinkronizálási követelményt, mivel nem kell megadnia az identitásokra vonatkozó engedélyt a Microsoft Entra-azonosítóban. Ezután a Windows ACL-eket használhatja a fájlok és könyvtárak részletes engedélykényszerítéséhez.
- Az AD-hez kapcsolódó, de a Microsoft Entra-azonosítóval nem szinkronizált identitások is használhatják az alapértelmezett megosztási szintű engedélyt. Ilyenek lehetnek az önálló felügyelt szolgáltatásfiókok (sMSA), a csoportos felügyelt szolgáltatásfiókok (gMSA) és a számítógépfiókok.
A helyszíni AD DS egy másik Microsoft Entra-azonosítóval van szinkronizálva, mint az a Microsoft Entra-azonosító, amelyben a fájlmegosztás telepítve van.
- Ez a több-bérlős környezetek kezelésekor jellemző. Az alapértelmezett megosztási szintű engedélyekkel megkerülheti a Hibrid Microsoft Entra ID-identitásra vonatkozó követelményt. A windowsos ACL-eket továbbra is használhatja a fájlokon és könyvtárakon a részletes engedélyérvényesítéshez.
A hitelesítést inkább csak a Windows ACL-ek használatával szeretné kikényszeríteni fájl- és címtárszinten.

Azure RBAC-szerepkörök az Azure Fileshoz

Az Azure Fileshoz öt beépített Azure szerepköralapú hozzáférés-vezérlési (RBAC) szerepkör érhető el, amelyek közül néhány lehetővé teszi a megosztási szintű engedélyek megadását a felhasználók és csoportok számára. Ha Az Azure Storage Explorert használja, az Azure-fájlmegosztás olvasásához és eléréséhez az Olvasó és az Adatelérés szerepkörre is szüksége lesz.

Megjegyzés

Mivel a számítógépfiókok nem rendelkeznek identitással a Microsoft Entra-azonosítóban, az Azure RBAC nem konfigurálható hozzájuk. A számítógépfiókok azonban egy alapértelmezett megosztási szintű engedéllyel férhetnek hozzá a fájlmegosztásokhoz.

Beépített Azure RBAC-szerepkör	Leírás
Storage-fájladatok SMB-megosztási olvasója	Olvasási hozzáférést biztosít az Azure-fájlmegosztásokban lévő fájlokhoz és könyvtárakhoz. Ez a szerepkör hasonló a Windows-fájlkiszolgálókon található olvasási ACL fájlmegosztási ACL-éhez.
Storage-fájladatok SMB-megosztási közreműködője	Olvasási, írási és törlési hozzáférést tesz lehetővé az Azure-fájlmegosztásokban lévő fájlokon és könyvtárakon.
Storage File Data SMB share emelt szintű közreműködő	Lehetővé teszi az ACL-ek olvasását, írását, törlését és módosítását az Azure-fájlmegosztásokban lévő fájlokon és könyvtárakon. Ez a szerepkör hasonló a Windows-fájlkiszolgálókon a változás ACL-jének fájlmegosztási ACL-éhez.
Tárfájl adatainak kiemelt közreműködője	A meglévő ACL-ek felülírásával lehetővé teszi az Azure-fájlmegosztásokban lévő ACL-ek olvasását, írását, törlését és módosítását.
Tárfájl adatjogosultságú olvasója	Lehetővé teszi az olvasási hozzáférést az Azure-fájlmegosztásokban a meglévő ACL-ek felülírásával.

Ha egy adott Microsoft Entra-felhasználót vagy -csoportot kíván használni az Azure-fájlmegosztási erőforrások eléréséhez, az identitásnak hibrid identitásnak kell lennie, amely a helyszíni AD DS-ben és a Microsoft Entra-azonosítóban is létezik. Tegyük fel például, hogy van egy felhasználója az AD-ben, user1@onprem.contoso.com és szinkronizálta a Microsoft Entra ID-t user1@contoso.com a Microsoft Entra Connect Sync vagy a Microsoft Entra Connect felhőszinkronizálás használatával. Ahhoz, hogy a felhasználó hozzáférhessen az Azure Fileshoz, hozzá kell rendelnie a megosztási szintű engedélyeket user1@contoso.com. Ugyanez a fogalom vonatkozik a csoportokra és a szolgáltatásnevekre is.

Fontos

Az engedélyek hozzárendelését a műveletek és adatműveletek explicit deklarálásával végezze, nem pedig helyettesítő (*) karakter használatával. Ha egy adatművelet egyéni szerepkör-definíciója helyettesítő karaktert tartalmaz, a szerepkörhöz rendelt összes identitás hozzáférést fog kapni az összes lehetséges adatművelethez. Ez egyben azt jelenti, hogy az összes ilyen identitás a platformhoz hozzáadott új adatműveleteket is megkapja. Az új műveletek vagy adatműveletek által biztosított további hozzáférés és engedélyek nem kívánt viselkedést jelenthetnek a helyettesítő karaktereket használó ügyfelek számára.

A megosztási szintű engedélyek működéséhez a következőket kell tennie:

Ha az AD-forrás AD DS vagy Microsoft Entra Kerberos, szinkronizálnia kell a felhasználókat és a csoportokat a helyi AD-ből a Microsoft Entra ID azonosítóba a helyszíni Microsoft Entra Connect Sync alkalmazással vagy a Microsoft Entra Connect felhőszinkronizálásával, amely egy egyszerűsített ügynök, amely telepíthető a Microsoft Entra Felügyeleti központból.
Szinkronizált AD-csoportokat adhat hozzá az RBAC-szerepkörhöz, hogy hozzáférhessenek a tárfiókhoz.

Tipp

Nem kötelező: Azok az ügyfelek, akik az SMB-kiszolgáló megosztási szintű engedélyeit RBAC-engedélyekre szeretnék migrálni, a Move-OnPremSharePermissionsToAzureFileShare PowerShell-parancsmaggal könyvtár- és fájlszintű engedélyeket migrálhatnak a helyszínről az Azure-ba. Ez a parancsmag kiértékeli egy adott helyszíni fájlmegosztás csoportjait, majd megírja a megfelelő felhasználókat és csoportokat az Azure-fájlmegosztásba a három RBAC-szerepkör használatával. A parancsmag meghívásakor meg kell adnia a helyszíni megosztás és az Azure-fájlmegosztás adatait.

Az Azure Portal, az Azure PowerShell vagy az Azure CLI használatával hozzárendelheti a beépített szerepköröket egy felhasználó Microsoft Entra-identitásához a megosztási szintű engedélyek megadásához.

Fontos

A megosztásszintű engedélyek érvénybe lépése akár három órát is igénybe vehet. Mielőtt a hitelesítő adatokkal csatlakozik a fájlmegosztáshoz, mindenképpen várja meg az engedélyek szinkronizálását.

Ha Azure-szerepkört szeretne hozzárendelni egy Microsoft Entra-identitáshoz az Azure Portal használatával, kövesse az alábbi lépéseket:

Az Azure Portalon nyissa meg a fájlmegosztást, vagy hozzon létre egy SMB-fájlmegosztást.
Válassza a Hozzáférés-vezérlés (IAM) lehetőséget.
Válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget
A Szerepkör-hozzárendelés hozzáadása panelen válassza ki a megfelelő beépített szerepkört a szerepkörlistában.
Hagyja meg a Hozzáférés hozzárendelése beállítást az alapértelmezett beállításnál: Microsoft Entra felhasználó, csoport vagy szolgáltatásnév. Válassza ki a cél Microsoft Entra-identitást név vagy e-mail-cím alapján. A kiválasztott Microsoft Entra-identitásnak hibrid identitásnak kell lennie, és nem lehet csak felhőbeli identitás. Ez azt jelenti, hogy ugyanez az identitás az AD DS-ben is megjelenik.
Válassza a Mentés lehetőséget a szerepkör-hozzárendelési művelet befejezéséhez.

Az alábbi PowerShell-minta bemutatja, hogyan rendelhet Azure-szerepkört egy Microsoft Entra-identitáshoz a bejelentkezési név alapján. További információ az Azure-szerepkörök PowerShell-lel való hozzárendeléséről: Azure-szerepkör-hozzárendelések hozzáadása vagy eltávolítása az Azure PowerShell-modul használatával.

A következő példaszkript futtatása előtt cserélje le a helyőrző értékeket, beleértve a szögletes zárójeleket is az értékekre.

PowerShell

#Get the name of the custom role
$FileShareContributorRole = Get-AzRoleDefinition "<role-name>" #Use one of the built-in roles: Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor, Storage File Data SMB Share Elevated Contributor
#Constrain the scope to the target file share
$scope = "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/fileServices/default/fileshares/<share-name>"
#Assign the custom role to the target identity with the specified scope.
New-AzRoleAssignment -SignInName <user-principal-name> -RoleDefinitionName $FileShareContributorRole.Name -Scope $scope

Az alábbi CLI-parancs egy Azure-szerepkört rendel egy Microsoft Entra-identitáshoz a bejelentkezési név alapján. Az Azure-szerepkörök Azure CLI-vel való hozzárendelésével kapcsolatos további információkért lásd : Azure-szerepkör-hozzárendelések hozzáadása vagy eltávolítása az Azure CLI használatával.

A következő példaszkript futtatása előtt ne felejtse el lecserélni a helyőrző értékeket, beleértve a zárójeleket is, a saját értékeire.

Azure CLI

#Assign the built-in role to the target identity: Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor, Storage File Data SMB Share Elevated Contributor, Storage File Data Privileged Contributor, Storage File Data Privileged Reader
az role assignment create --role "<role-name>" --assignee <user-principal-name> --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/fileServices/default/fileshares/<share-name>"

A microsoft Entra-felhasználók vagy -csoportok megosztási szintű engedélyeinek konfigurálása helyett hozzáadhat egy alapértelmezett megosztási szintű engedélyt a tárfiókhoz. A tárfiókhoz rendelt alapértelmezett megosztási szintű engedély a tárfiókban található összes fájlmegosztásra vonatkozik.

Ha beállít egy alapértelmezett megosztási szintű engedélyt, minden hitelesített felhasználó és csoport ugyanazzal az engedéllyel fog rendelkezni. A hitelesített felhasználók vagy csoportok azonosíthatók, mivel az identitás hitelesíthető azon a helyszíni AD DS-en, amelyhez a tárfiók társítva van. Az alapértelmezett megosztási szintű engedély Nincs értékre van állítva az inicializáláskor, ami azt jelenti, hogy az Azure-fájlmegosztásban lévő fájlokhoz és könyvtárakhoz nem engedélyezett hozzáférés.

Ha alapértelmezett megosztási szintű engedélyeket szeretne konfigurálni a tárfiókon az Azure Portal használatával, kövesse az alábbi lépéseket.

Az Azure Portalon lépjen a fájlmegosztásokat tartalmazó tárfiókra, és válassza ki az Adattárolási > fájlmegosztások lehetőséget.
Az alapértelmezett megosztási szintű engedélyek hozzárendelése előtt engedélyeznie kell egy AD-forrást a tárfiókban. Ha már elvégezte ezt, válassza az Active Directoryt, és folytassa a következő lépésben. Ellenkező esetben válassza az Active Directory: Nincs konfigurálva, válassza a Beállítás lehetőséget a kívánt AD-forrás alatt, és engedélyezze az AD-forrást.
Miután engedélyezte az AD-forrást, a 2. lépés: A megosztási szintű engedélyek beállítása elérhető lesz a konfigurációhoz. Válassza az Engedélyek engedélyezése az összes hitelesített felhasználóhoz és csoporthoz lehetőséget.
Válassza ki az alapértelmezett megosztási engedélyként engedélyezni kívánt szerepkört a legördülő listában.
Válassza a Mentés lehetőséget.

A következő szkripttel konfigurálhatja a tárfiók alapértelmezett megosztási szintű engedélyeit. Az alapértelmezett megosztási szintű engedélyt csak az Azure Files-hitelesítés címtárszolgáltatásához társított tárfiókokon engedélyezheti.

A következő szkript futtatása előtt győződjön meg arról, hogy az Az.Storage-modul 3.7.0-s vagy újabb verziójú. Javasoljuk, hogy frissítsen a legújabb verzióra.

Azure PowerShell

$defaultPermission = "None|StorageFileDataSmbShareContributor|StorageFileDataSmbShareReader|StorageFileDataSmbShareElevatedContributor" # Set the default permission of your choice

$account = Set-AzStorageAccount -ResourceGroupName "<resource-group-name-here>" -AccountName "<storage-account-name-here>" -DefaultSharePermission $defaultPermission

$account.AzureFilesIdentityBasedAuth

A következő szkript futtatása előtt győződjön meg arról, hogy az Azure CLI 2.24.1-es vagy újabb verziójú.

Azure CLI

# Declare variables
storageAccountName="YourStorageAccountName"
resourceGroupName="YourResourceGroupName"
defaultPermission="None|StorageFileDataSmbShareContributor|StorageFileDataSmbShareReader|StorageFileDataSmbShareElevatedContributor" # Set the default permission of your choice

az storage account update --name $storageAccountName --resource-group $resourceGroupName --default-share-permission $defaultPermission

Mi történik, ha mindkét konfigurációt használja?

Engedélyeket is hozzárendelhet az összes hitelesített Microsoft Entra-felhasználóhoz és adott Microsoft Entra-felhasználóhoz/csoporthoz. Ezzel a konfigurációval egy adott felhasználó vagy csoport rendelkezik az alapértelmezett megosztási szintű engedély és RBAC-hozzárendelés magasabb szintű engedélyével. Más szóval, tegyük fel, hogy megadta a felhasználónak a Storage File Data SMB Reader szerepkört a célfájlmegosztáson. Az alapértelmezett megosztási szintű engedélyt is megadta a Storage File Data SMB-megosztás emelt szintű közreműködőjének az összes hitelesített felhasználó számára. Ezzel a konfigurációval az adott felhasználó emelt szintű hozzáféréssel rendelkezik a fájlmegosztáshoz a Storage File Data SMB Share-megosztáshoz . A magasabb szintű engedélyek mindig elsőbbséget élveznek.

Következő lépés

Most, hogy hozzárendelte a megosztási szintű engedélyeket, konfigurálhatja a címtár- és fájlszintű engedélyeket. Ne feledje, hogy a megosztási szintű engedélyek érvénybe lépése akár három órát is igénybe vehet.

További források

Dokumentáció

Címtár- és fájlszintű engedélyek konfigurálása az Azure Fileshoz

Megtudhatja, hogyan konfigurálhatja a Windows ACL-eket címtár- és fájlszintű engedélyekhez az Active Directory -hitelesítéshez (AD) az Azure-fájlmegosztásokhoz SMB-n keresztül a részletes hozzáférés-vezérléshez.
SMB Azure-fájlmegosztás csatlakoztatása identitásalapú hozzáféréssel

Megtudhatja, hogyan csatlakoztathat SMB Azure-fájlmegosztást Windows rendszeren Active Directory (AD) vagy Microsoft Entra hitelesítő adatokkal.
Az Azure Files Azure AD DS-hitelesítésének engedélyezése

Megtudhatja, hogyan engedélyezheti Active Directory tartományi szolgáltatások hitelesítést SMB-en keresztül az Azure-fájlmegosztásokhoz. A tartományhoz csatlakoztatott Windows rendszerű virtuális gépek ezután hozzáférhetnek az Azure-fájlmegosztásokhoz az AD DS hitelesítő adataival.
Az Azure Files helyszíni AD DS-hitelesítésének áttekintése

Ismerje meg az Azure-fájlmegosztások SMB-n keresztüli Active Directory tartományi szolgáltatások (AD DS) hitelesítését, beleértve a támogatott forgatókönyveket, valamint az AD DS és a Microsoft Entra ID közötti engedélyek működését.
A Microsoft Entra Domain Services használata az Azure Files használatával

Megtudhatja, hogyan engedélyezheti az identitásalapú hitelesítést az Azure Files kiszolgálói üzenetblokkján (SMB) keresztül a Microsoft Entra Domain Servicesen keresztül. A Windows rendszerű virtuális gépek ezután a Microsoft Entra hitelesítő adataival férhetnek hozzá az Azure-fájlmegosztásokhoz.
Áttekintés – Az Azure Files identitásalapú hitelesítése

Az Azure Files támogatja a Active Directory tartományi szolgáltatások (AD DS), a Microsoft Entra Domain Services és a Microsoft Entra Kerberos használatával történő identitásalapú hitelesítést az SMB-n (kiszolgálói üzenetblokkon) keresztül a hibrid identitásokhoz.
AD DS-tárfiók identitásának jelszavának frissítése

Megtudhatja, hogyan frissítheti a tárfiókot képviselő Active Directory tartományi szolgáltatások (AD DS) identitás jelszavát. Ez megakadályozza a hitelesítési hibákat, és megakadályozza a tárfiók törlését a jelszó lejártakor.

esemény

FabCon Vegas

márc. 31. 23 - ápr. 2. 23

A legnagyobb Fabric-, Power BI- és SQL-tanulási esemény. Március 31. – Április 2. A FABINSIDER kóddal 400 dollárt takaríthat meg.

Regisztráljon még ma

Megosztás a következőn keresztül:

A következőre érvényes:

Azure RBAC-szerepkörök az Azure Fileshoz

Mi történik, ha mindkét konfigurációt használja?

Következő lépés

Visszajelzés

További források

Megosztás a következőn keresztül:

Megosztási szintű engedélyek hozzárendelése Azure-fájlmegosztásokhoz

A következőre érvényes:

Megosztási szintű engedélyek hozzárendelésének kiválasztása

Azure RBAC-szerepkörök az Azure Fileshoz

Megosztási szintű engedélyek adott Microsoft Entra-felhasználókhoz vagy -csoportokhoz

Megosztási szintű engedélyek az összes hitelesített identitáshoz

Mi történik, ha mindkét konfigurációt használja?

Következő lépés

Visszajelzés

További források