Scegliere come autorizzare l'accesso ai dati dei file nel portale di Azure

Quando si accede ai dati dei file tramite il portale di Azure, quest’ultimo invia richieste a File di Azure in background. Queste richieste possono essere autorizzate usando l'account Microsoft Entra o la chiave di accesso dell'account di archiviazione. Il portale indica il metodo in uso e consente di passare da uno all'altro se si dispone delle autorizzazioni appropriate.

È anche possibile specificare come autorizzare un'operazione di condivisione file singola nel portale di Azure. Per impostazione predefinita, il portale usa qualsiasi metodo già in uso per autorizzare tutte le condivisioni file. È tuttavia possibile modificare questa impostazione per le condivisioni file singole.

Autorizzazioni necessarie per accedere ai dati dei file

A seconda di come si vuole autorizzare l'accesso ai dati dei file nel portale di Azure, sono necessarie autorizzazioni specifiche. Nella maggior parte dei casi, queste autorizzazioni vengono fornite tramite il controllo degli accessi in base al ruolo di Azure.

Usare l'account Microsoft Entra

Per accedere ai dati dei file dal portale di Azure usando l'account Microsoft Entra, entrambe le istruzioni seguenti devono essere vere:

• È stato assegnato un ruolo predefinito o personalizzato che fornisce l'accesso ai dati dei file.
• Viene assegnato il ruolo di Lettore di Azure Resource Manager al livello dell'account di archiviazione o superiore. Il ruolo Lettore concede le autorizzazioni più limitate, ma è accettabile anche un altro ruolo di Azure Resource Manager che conceda l'accesso alle risorse di gestione degli account di archiviazione.

Il ruolo di Lettore di Azure Resource Manager è un ruolo che consente agli utenti di visualizzare le risorse dell'account di archiviazione, ma non di modificarle. Non fornisce autorizzazioni di lettura per i dati in Archiviazione di Azure, ma solo per le risorse di gestione degli account. Il ruolo Lettore è necessario in modo che gli utenti possano passare alle condivisioni file nel portale di Azure.

Esistono due nuovi ruoli predefiniti che dispongono delle autorizzazioni necessarie per accedere ai dati dei file con OAuth:

• Lettore privilegiato per i dati dei file di archiviazione
• Collaboratore privilegiato per i dati dei file di archiviazione

Per informazioni sui ruoli predefiniti che supportano l'accesso ai dati dei file, vedere Accedere alle condivisioni file di Azure usando Microsoft Entra ID con File di Azure OAuth su REST.

Nota

Il ruolo Collaboratore privilegiato per i dati dei file di archiviazione dispone delle autorizzazioni di lettura, scrittura, eliminazione e modifica di ACL/NTFS per file/directory nelle condivisioni file di Azure. La modifica delle autorizzazioni ACL/NTFS non è supportata tramite il portale di Azure.

I ruoli personalizzati possono supportare combinazioni diverse delle stesse autorizzazioni fornite dai ruoli predefiniti. Per ulteriori informazioni sulla creazione di ruoli personalizzati di Azure, vedere Ruoli personalizzati di Azure e Informazioni sulle definizioni dei ruoli per le risorse di Azure.

Usare la chiave di accesso dell'account di archiviazione

Per accedere ai dati dei file con la chiave di accesso dell'account di archiviazione, è necessario avere un ruolo di Azure assegnato all'utente che include l'azione Controllo degli accessi in base al ruolo di Azure Microsoft.Archiviazione/storageAccounts/listkeys/action. Questo ruolo di Azure può essere un ruolo predefinito o un ruolo personalizzato. Ruoli predefiniti che supportano Microsoft.Storage/storageAccounts/listkeys/action includono quanto segue, elencato in ordine dalle autorizzazioni minime a quelle massime:

• Ruolo Lettore e Accesso ai dati
• Il ruolo Collaboratore account di archiviazione
• Il ruolo di Collaboratore Azure Resource Manager
• Il ruolo di Proprietario Azure Resource Manager

Quando si prova ad accedere ai dati dei file nel portale di Azure, quest’ultimo verifica prima di tutto se è stato assegnato un ruolo con Microsoft.Storage/storageAccounts/listkeys/action. Se è stato assegnato un ruolo con questa azione, il portale usa quindi la chiave dell'account di archiviazione per accedere ai dati dei file. In caso contrario, il portale di Azure tenta di accedere ai dati tramite l'account Microsoft Entra.

Importante

Quando un account di archiviazione è bloccato con modalità ReadOnlydi Azure Resource Manager, l'operazione List Keys non è consentita per tale account. Elenca chiavi è un'operazione POST e tutte le operazioni POST vengono impedite quando viene configurato un blocco ReadOnly per l'account. Per questo motivo, quando l'account è bloccato con modalità ReadOnly, gli utenti devono usare le credenziali di Microsoft Entra per accedere ai dati dei file nel portale. Per informazioni sull'accesso ai dati dei file nella portale di Azure con Microsoft Entra ID, vedere Usare l'account Microsoft Entra.

Nota

I ruoli di amministratore della sottoscrizione classica Amministratore del servizio e Coamministratore includono l'equivalente del ruolo proprietario di Azure Resource Manager. Il ruolo Proprietario include tutte le azioni, tra cui Microsoft.Storage/storageAccounts/listkeys/action, quindi un utente con uno di questi ruoli amministrativi può anche accedere ai dati dei file con la chiave dell'account di archiviazione. Per altre informazioni, vedere Ruoli di Azure, ruoli di Microsoft Entra e ruoli di amministratore della sottoscrizione classica.

Specificare come autorizzare le operazioni in una condivisione file specifica

È possibile modificare il metodo di autenticazione per condivisioni file singole. Per impostazione predefinita, il portale usa il metodo di autenticazione corrente. Per determinare il metodo di autenticazione corrente, eseguire i passaggi seguenti.

1. Passare all'account di archiviazione nel portale di Azure.
2. Nel menu del servizio, in Archiviazione dati, selezionare Condivisioni file.
3. Selezionare una condivisione file.
4. Selezionare Sfoglia.
5. Il metodo di autenticazione indica se attualmente si usa la chiave di accesso dell'account di archiviazione o l'account Microsoft Entra per autenticare e autorizzare le operazioni di condivisione file. Se attualmente si esegue l'autenticazione usando la chiave di accesso dell'account di archiviazione, verrà visualizzata la Chiave di accesso specificata come metodo di autenticazione, come illustrato nell'immagine seguente. Se si esegue l'autenticazione usando l'account Microsoft Entra, verrà invece specificato l'account utente Microsoft Entra.

Eseguire l'autenticazione con l'account Microsoft Entra

Per passare all'uso dell'account Microsoft Entra, selezionare il collegamento evidenziato nell'immagine che indica Passa all'account utente Microsoft Entra. Se si dispone delle autorizzazioni appropriate tramite i ruoli di Azure che assegnati all'utente, sarà possibile procedere. Tuttavia, se non si dispone delle autorizzazioni necessarie, verrà visualizzato un messaggio di errore che indica che non si dispone delle autorizzazioni per elencare i dati usando il proprio account utente con Microsoft Entra ID.

Per usare l'account Microsoft Entra sono necessarie due autorizzazioni di controllo degli accessi in base al ruolo aggiuntive:

• Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
• Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action

Nessuna condivisione file verrà visualizzata nell'elenco se l'account Microsoft Entra non dispone delle autorizzazioni per visualizzarle.

Eseguire l'autenticazione con la chiave di accesso dell'account di archiviazione

Per passare all'uso della chiave di accesso dell'account, selezionare il collegamento Passa alla chiave di accesso. Se si ha accesso alla chiave dell'account di archiviazione, sarà possibile procedere. In caso contrario, tuttavia, verrà visualizzato un messaggio di errore che indica che non si dispone delle autorizzazioni per usare la chiave di accesso per elencare i dati.

Nessuna condivisione file viene visualizzata nell'elenco se non si ha accesso alla chiave di accesso dell'account di archiviazione.

Impostare l'autenticazione Microsoft Entra come predefinita nel portale di Azure

Quando si crea un nuovo account di archiviazione, è possibile specificare che il portale di Azure richiederà l'autorizzazione con Microsoft Entra ID per impostazione predefinita quando un utente si sposta nei dati dei file. È inoltre possibile configurare questa impostazione per un account di archiviazione esistente. Questa impostazione specifica solo il metodo di autorizzazione predefinito. Tenere presente che un utente può eseguire l'override di tale impostazione e scegliere di autorizzare l'accesso ai dati con la chiave dell'account di archiviazione.

Per specificare che il portale userà l'autorizzazione di Microsoft Entra come impostazione predefinita per l'accesso ai dati quando si crea un account di archiviazione, eseguire i passaggi seguenti:

1. Creare un nuovo account di archiviazione seguendo le istruzioni riportate in Creare un account di archiviazione.

2. Nella scheda Avanzate, nella sezione Sicurezza selezionare la casella accanto a Impostare come predefinita l'autorizzazione Microsoft Entra nel portale Azure.

   

3. Selezionare Rivedi e crea per eseguire la convalida e creare l'account di archiviazione.

Per aggiornare questa impostazione di un account di archiviazione esistente, eseguire i passaggi seguenti:

1. Spostarsi nella panoramica dell'account di archiviazione nel portale di Azure.
2. In Impostazioni selezionare Configurazione.
3. Impostare l'opzione Impostare come predefinita l'autorizzazione Microsoft Entra nel portale Azure su Abilitato.

Vedi anche

• Accedere alle condivisioni file di Azure usando Microsoft Entra ID con File di Azure OAuth su REST
• Autorizzare l'accesso ai dati in Archiviazione di Azure