Machtigingen op shareniveau toewijzen voor Azure-bestandsshares

Zodra u een Active Directory-bron (AD) hebt ingeschakeld voor uw opslagaccount, moet u machtigingen op shareniveau configureren om toegang te krijgen tot uw bestandsshare. Er zijn twee manieren waarop u machtigingen op shareniveau kunt toewijzen. U kunt ze toewijzen aan specifieke Microsoft Entra-gebruikers/-groepen en u kunt ze toewijzen aan alle geverifieerde identiteiten als standaardmachtiging op shareniveau.

Belangrijk

Voor volledig beheer van een bestandsshare, inclusief de mogelijkheid om eigenaar te worden van een bestand, moet u de sleutel van het opslagaccount gebruiken. Volledig beheer wordt niet ondersteund met verificatie op basis van identiteiten.

Van toepassing op

Bestands sharetype	SMB	NFS
Standaardbestandsshares (GPv2), LRS/ZRS
Standaardbestandsshares (GPv2), GRS/GZRS
Premium bestandsshares (FileStorage), LRS/ZRS

Kiezen hoe u machtigingen op shareniveau toewijst

Machtigingen op shareniveau voor Azure-bestandsshares worden geconfigureerd voor Microsoft Entra-gebruikers, groepen of service-principals, terwijl machtigingen op map- en bestandsniveau worden afgedwongen met behulp van Windows-toegangsbeheerlijsten (ACL's). U moet machtigingen op shareniveau toewijzen aan de Microsoft Entra-identiteit die dezelfde gebruiker, groep of service-principal vertegenwoordigt in uw AD DS om AD DS-verificatie te ondersteunen voor uw Azure-bestandsshare. Verificatie en autorisatie voor identiteiten die alleen aanwezig zijn in Microsoft Entra ID, zoals Azure Managed Identities (MSA's), worden niet ondersteund.

De meeste gebruikers moeten machtigingen op shareniveau toewijzen aan specifieke Microsoft Entra-gebruikers of -groepen en vervolgens Windows ACL's gebruiken voor gedetailleerd toegangsbeheer op map- en bestandsniveau. Dit is de strengste en veilige configuratie.

Er zijn drie scenario's waarin u in plaats daarvan het gebruik van een standaardmachtiging op shareniveau kunt gebruiken om inzender, inzender met verhoogde bevoegdheid of lezer toegang tot alle geverifieerde identiteiten toe te staan:

• Als u uw on-premises AD DS niet kunt synchroniseren met Microsoft Entra ID, kunt u een standaardmachtiging op shareniveau gebruiken. Als u een standaardmachtiging op shareniveau toewijst, kunt u de synchronisatievereiste omzeilen, omdat u de machtiging voor identiteiten in Microsoft Entra-id niet hoeft op te geven. Vervolgens kunt u Windows ACL's gebruiken voor gedetailleerde afdwinging van machtigingen voor uw bestanden en mappen.
  • Identiteiten die zijn gekoppeld aan een AD, maar die niet aan Microsoft Entra ID zijn gekoppeld, kunnen ook gebruikmaken van de standaardmachtiging op shareniveau. Dit kan bestaan uit zelfstandige beheerde serviceaccounts (sMSA), beheerde serviceaccounts (gMSA) en computeraccounts.
• De on-premises AD DS die u gebruikt, wordt gesynchroniseerd met een andere Microsoft Entra-id dan de Microsoft Entra-id waarin de bestandsshare is geïmplementeerd.
  • Dit is gebruikelijk wanneer u omgevingen met meerdere tenants beheert. Met behulp van een standaardmachtiging op shareniveau kunt u de vereiste voor een hybride Identiteit van Microsoft Entra ID overslaan. U kunt nog steeds Windows ACL's voor uw bestanden en mappen gebruiken voor gedetailleerde afdwinging van machtigingen.
• U wilt verificatie liever alleen afdwingen met windows-ACL's op bestand- en mapniveau.

Notitie

Omdat computeraccounts geen identiteit hebben in Microsoft Entra ID, kunt u op rollen gebaseerd toegangsbeheer (RBAC) voor Azure niet configureren. Computeraccounts hebben echter toegang tot een bestandsshare met behulp van een standaardmachtiging op shareniveau.

Machtigingen op shareniveau en Azure RBAC-rollen

De volgende tabel bevat de machtigingen op shareniveau en hoe deze overeenkomen met de ingebouwde Azure RBAC-rollen:

Ondersteunde ingebouwde rollen	Beschrijving
SMB-sharelezer voor opslagbestandsgegevens	Hiermee kunt u leestoegang krijgen tot bestanden en mappen in Azure-bestandsshares. Deze rol is vergelijkbaar met een bestandsshare-ACL van lezen op Windows-bestandsservers. Meer informatie.
Inzender voor SMB-share voor opslagbestandsgegevens	Hiermee kunt u toegang tot bestanden en mappen in Azure-bestandsshares lezen, schrijven en verwijderen. Meer informatie.
Inzender met verhoogde bevoegdheden voor SMB-share voor opslagbestandsgegevens	Hiermee kunt u ACL's lezen, schrijven, verwijderen en wijzigen voor bestanden en mappen in Azure-bestandsshares. Deze rol is vergelijkbaar met een bestandsshare-ACL van wijziging op Windows-bestandsservers. Meer informatie.

Machtigingen op shareniveau voor specifieke Microsoft Entra-gebruikers of -groepen

Als u van plan bent om een specifieke Microsoft Entra-gebruiker of -groep te gebruiken voor toegang tot Azure-bestandssharebronnen, moet die identiteit een hybride identiteit zijn die bestaat in zowel on-premises AD DS als Microsoft Entra-id. Stel dat u een gebruiker in uw AD hebt die is user1@onprem.contoso.com en dat u hebt gesynchroniseerd met Microsoft Entra ID als user1@contoso.com het gebruik van Microsoft Entra Verbinding maken Sync of Microsoft Entra Verbinding maken cloudsynchronisatie. Als deze gebruiker toegang heeft tot Azure Files, moet u de machtigingen op shareniveau toewijzen aan user1@contoso.com. Hetzelfde concept is van toepassing op groepen en service-principals.

Belangrijk

Wijs machtigingen toe door expliciet acties en gegevensacties te declareren in plaats van een jokerteken (*) te gebruiken. Als een aangepaste roldefinitie voor een gegevensactie een jokerteken bevat, wordt aan alle identiteiten die aan die rol zijn toegewezen toegang verleend voor alle mogelijke gegevensacties. Dit betekent dat aan alle dergelijke identiteiten ook toegang wordt verleend voor nieuwe gegevensacties die aan het platform worden toegevoegd. De aanvullende toegang en machtigingen die worden verleend door nieuwe acties of gegevensacties bij klanten die jokertekens gebruiken, kunnen ongewenst zijn.

Als u machtigingen op shareniveau wilt laten werken, moet u het volgende doen:

• Synchroniseer de gebruikers en de groepen van uw lokale AD naar Microsoft Entra ID met behulp van de on-premises Microsoft Entra Verbinding maken Sync-toepassing of Microsoft Entra Verbinding maken cloudsynchronisatie, een lichtgewicht agent die kan worden geïnstalleerd vanuit het Microsoft Entra Beheer Center.
• Voeg ad-gesynchroniseerde groepen toe aan de RBAC-rol, zodat ze toegang hebben tot uw opslagaccount.

Tip

Optioneel: klanten die SMB-servermachtigingen op shareniveau willen migreren naar RBAC-machtigingen, kunnen de Move-OnPremSharePermissionsToAzureFileShare PowerShell-cmdlet gebruiken om map- en bestandsmachtigingen van on-premises naar Azure te migreren. Deze cmdlet evalueert de groepen van een bepaalde on-premises bestandsshare en schrijft vervolgens de juiste gebruikers en groepen naar de Azure-bestandsshare met behulp van de drie RBAC-rollen. U geeft de informatie op voor de on-premises share en de Azure-bestandsshare wanneer u de cmdlet aanroept.

U kunt Azure Portal, Azure PowerShell of Azure CLI gebruiken om de ingebouwde rollen toe te wijzen aan de Microsoft Entra-identiteit van een gebruiker voor het verlenen van machtigingen op shareniveau.

Belangrijk

Het kan na voltooiing tot drie uur duren voordat de machtigingen op shareniveau van kracht worden. Wacht totdat de machtigingen zijn gesynchroniseerd voordat u met uw referenties verbinding maakt met de bestandsshare.

Portal

Voer de volgende stappen uit om een Azure-rol toe te wijzen aan een Microsoft Entra-identiteit met behulp van Azure Portal:

1. Ga in Azure Portal naar uw bestandsshare of maak een bestandsshare.
2. Selecteer Access Control (IAM).
3. Selecteer Een roltoewijzing toevoegen
4. Selecteer op de blade Roltoewijzing toevoegen de juiste ingebouwde rol in de lijst Rollen .
   1. Lezer voor opslagbestandgegevens via SMB-share
   2. Inzender voor opslagbestandsgegevens via SMB-share
   3. Inzender met verhoogde bevoegdheden voor opslagbestandsgegevens via SMB-share
5. Laat Toegang toewijzen op de standaardinstelling staan: Microsoft Entra-gebruiker, -groep of -service-principal. Selecteer de microsoft Entra-doelidentiteit op naam of e-mailadres. De geselecteerde Microsoft Entra-identiteit moet een hybride identiteit zijn en mag geen cloudidentiteit zijn. Dit betekent dat dezelfde identiteit ook wordt weergegeven in AD DS.
6. Selecteer Opslaan om de roltoewijzingsbewerking te voltooien.

Azure PowerShell

In het volgende PowerShell-voorbeeld ziet u hoe u een Azure-rol toewijst aan een Microsoft Entra-identiteit, op basis van de aanmeldingsnaam. Zie Azure-roltoewijzingen toevoegen of verwijderen met behulp van de Azure PowerShell-module voor meer informatie over het toewijzen van Azure-rollen met PowerShell.

Voordat u het volgende voorbeeldscript uitvoert, vervangt u tijdelijke aanduidingen, inclusief vierkante haken, door uw waarden.

#Get the name of the custom role
$FileShareContributorRole = Get-AzRoleDefinition "<role-name>" #Use one of the built-in roles: Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor, Storage File Data SMB Share Elevated Contributor
#Constrain the scope to the target file share
$scope = "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/fileServices/default/fileshares/<share-name>"
#Assign the custom role to the target identity with the specified scope.
New-AzRoleAssignment -SignInName <user-principal-name> -RoleDefinitionName $FileShareContributorRole.Name -Scope $scope

Azure-CLI

Met de volgende CLI 2.0-opdracht wordt een Azure-rol toegewezen aan een Microsoft Entra-identiteit op basis van de aanmeldingsnaam. Zie Azure-roltoewijzingen toevoegen of verwijderen met behulp van de Azure CLI voor meer informatie over het toewijzen van Azure-rollen met Azure CLI.

Voordat u het volgende voorbeeldscript uitvoert, moet u ervoor zorgen dat u tijdelijke aanduidingen vervangt, inclusief vierkante haken, door uw eigen waarden.

#Assign the built-in role to the target identity: Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor, Storage File Data SMB Share Elevated Contributor
az role assignment create --role "<role-name>" --assignee <user-principal-name> --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/fileServices/default/fileshares/<share-name>"

Machtigingen op shareniveau voor alle geverifieerde identiteiten

U kunt een standaardmachtiging op shareniveau toevoegen aan uw opslagaccount in plaats van machtigingen op shareniveau te configureren voor Microsoft Entra-gebruikers of -groepen. Een standaardmachtiging op shareniveau die is toegewezen aan uw opslagaccount, is van toepassing op alle bestandsshares in het opslagaccount.

Wanneer u een standaardmachtiging op shareniveau instelt, hebben alle geverifieerde gebruikers en groepen dezelfde machtiging. Geverifieerde gebruikers of groepen worden geïdentificeerd als de identiteit kan worden geverifieerd op basis van de on-premises AD DS waarmee het opslagaccount is gekoppeld. De standaardmachtiging op shareniveau is ingesteld op None bij initialisatie, wat impliceert dat er geen toegang is toegestaan tot bestanden of mappen in de Azure-bestandsshare.

Portal

Volg deze stappen om standaardmachtigingen op shareniveau voor uw opslagaccount te configureren met behulp van Azure Portal.

1. Ga in Azure Portal naar het opslagaccount dat uw bestandsshares bevat en selecteer Bestandsshares voor gegevensopslag>.

2. U moet een AD-bron inschakelen voor uw opslagaccount voordat u standaardmachtigingen op shareniveau toewijst. Als u dit al hebt gedaan, selecteert u Active Directory en gaat u verder met de volgende stap. Anders selecteert u Active Directory: Niet geconfigureerd, selecteert u Instellen onder de gewenste AD-bron en schakelt u de AD-bron in.

3. Nadat u een AD-bron hebt ingeschakeld, is stap 2: Machtigingen op shareniveau instellen beschikbaar voor configuratie. Selecteer Machtigingen inschakelen voor alle geverifieerde gebruikers en groepen.

   

4. Selecteer de juiste rol die moet worden ingeschakeld als de standaardmachtiging voor delen in de vervolgkeuzelijst.

5. Selecteer Opslaan.

Azure PowerShell

U kunt het volgende script gebruiken om standaardmachtigingen op shareniveau voor uw opslagaccount te configureren. U kunt standaardmachtigingen op shareniveau alleen inschakelen voor opslagaccounts die zijn gekoppeld aan een adreslijstservice voor Azure Files-verificatie.

Voordat u het volgende script uitvoert, moet u ervoor zorgen dat uw Az.Storage-module versie 3.7.0 of hoger is. We raden u aan om bij te werken naar de nieuwste versie.

$defaultPermission = "None|StorageFileDataSmbShareContributor|StorageFileDataSmbShareReader|StorageFileDataSmbShareElevatedContributor" # Set the default permission of your choice

$account = Set-AzStorageAccount -ResourceGroupName "<resource-group-name-here>" -AccountName "<storage-account-name-here>" -DefaultSharePermission $defaultPermission

$account.AzureFilesIdentityBasedAuth

Azure-CLI

U kunt het volgende script gebruiken om standaardmachtigingen op shareniveau voor uw opslagaccount te configureren. U kunt standaardmachtigingen op shareniveau alleen inschakelen voor opslagaccounts die zijn gekoppeld aan een adreslijstservice voor Azure Files-verificatie.

Voordat u het volgende script uitvoert, moet u ervoor zorgen dat uw Azure CLI versie 2.24.1 of hoger is.

# Declare variables
storageAccountName="YourStorageAccountName"
resourceGroupName="YourResourceGroupName"
defaultPermission="None|StorageFileDataSmbShareContributor|StorageFileDataSmbShareReader|StorageFileDataSmbShareElevatedContributor" # Set the default permission of your choice

az storage account update --name $storageAccountName --resource-group $resourceGroupName --default-share-permission $defaultPermission

Wat gebeurt er als u beide configuraties gebruikt

U kunt ook machtigingen toewijzen aan alle geverifieerde Microsoft Entra-gebruikers en specifieke Microsoft Entra-gebruikers/-groepen. Met deze configuratie heeft een specifieke gebruiker of groep de machtiging op een hoger niveau van de standaardmachtiging op shareniveau en RBAC-toewijzing. Met andere woorden, stel dat u een gebruiker de rol Opslagbestandsgegevens SMB Reader op de doelbestandsshare hebt verleend. U hebt ook de standaardmachtiging voor opslagbestandsgegevens voor SMB Share met verhoogde bevoegdheid verleend aan alle geverifieerde gebruikers. Met deze configuratie heeft die specifieke gebruiker het niveau Opslagbestandsgegevens SMB-share verhoogde toegang tot de bestandsshare. Machtigingen op een hoger niveau hebben altijd voorrang.

Volgende stap

Nu u machtigingen op shareniveau hebt toegewezen, kunt u machtigingen op map- en bestandsniveau configureren. Het kan tot drie uur duren voordat machtigingen op shareniveau van kracht worden.