Przypisywanie uprawnień na poziomie udziału dla udziałów plików platformy Azure

Po włączeniu źródła usługi Active Directory (AD) dla konta magazynu należy skonfigurować uprawnienia na poziomie udziału, aby uzyskać dostęp do udziału plików. Istnieją dwa sposoby przypisywania uprawnień na poziomie udziału. Możesz przypisać je do określonych użytkowników/grup firmy Microsoft entra i przypisać je do wszystkich uwierzytelnionych tożsamości jako domyślne uprawnienia na poziomie udziału.

Ważne

Pełna kontrola administracyjna udziału plików, w tym możliwość przejęcia własności pliku, wymaga użycia klucza konta magazynu. Pełna kontrola administracyjna nie jest obsługiwana w przypadku uwierzytelniania opartego na tożsamościach.

Dotyczy

Typ udziału plików	SMB	NFS
Udziały plików w warstwie Standardowa (GPv2), LRS/ZRS
Udziały plików w warstwie Standardowa (GPv2), GRS/GZRS
Udziały plików w warstwie Premium (FileStorage), LRS/ZRS

Wybieranie sposobu przypisywania uprawnień na poziomie udziału

Uprawnienia na poziomie udziału w udziałach plików platformy Azure są konfigurowane dla użytkowników, grup lub jednostek usługi firmy Microsoft, podczas gdy uprawnienia na poziomie katalogu i pliku są wymuszane przy użyciu list kontroli dostępu systemu Windows (ACL). Musisz przypisać uprawnienia na poziomie udziału do tożsamości microsoft Entra reprezentującej użytkownika, grupę lub jednostkę usługi, która powinna mieć dostęp. Uwierzytelnianie i autoryzacja względem tożsamości, które istnieją tylko w identyfikatorze Entra firmy Microsoft, takim jak tożsamości zarządzane platformy Azure (MSI), nie są obsługiwane.

Większość użytkowników powinna przypisywać uprawnienia na poziomie udziału do określonych użytkowników lub grup firmy Microsoft, a następnie używać list ACL systemu Windows do szczegółowej kontroli dostępu na poziomie katalogu i pliku. Jest to najbardziej rygorystyczna i bezpieczna konfiguracja.

Istnieją trzy scenariusze, w których zamiast tego zalecamy użycie domyślnego uprawnienia na poziomie udziału, aby zezwolić na dostęp czytelnika, współautora, współautora z podwyższonym poziomem uprawnień, współautora uprzywilejowanego lub uprzywilejowanego czytelnika do wszystkich uwierzytelnionych tożsamości:

• Jeśli nie możesz zsynchronizować lokalnych usług AD DS z identyfikatorem Entra firmy Microsoft, możesz użyć domyślnego uprawnienia na poziomie udziału. Przypisanie domyślnego uprawnienia na poziomie udziału umożliwia obejście wymagania synchronizacji, ponieważ nie trzeba określać uprawnień do tożsamości w identyfikatorze Entra firmy Microsoft. Następnie możesz użyć list ACL systemu Windows do szczegółowego wymuszania uprawnień w plikach i katalogach.
  • Tożsamości powiązane z usługą AD, ale nie są synchronizowane z identyfikatorem Entra firmy Microsoft, mogą również korzystać z domyślnych uprawnień na poziomie udziału. Może to obejmować autonomiczne zarządzane konta usług (sMSA), konta usług zarządzane przez grupę (gMSA) i konta komputerów.
• Lokalne usługi AD DS, których używasz, są synchronizowane z innym identyfikatorem Microsoft Entra ID niż identyfikator Entra firmy Microsoft, w którym wdrożono udział plików.
  • Jest to typowe w przypadku zarządzania środowiskami wielodostępnym. Użycie domyślnego uprawnienia na poziomie udziału umożliwia obejście wymagania tożsamości hybrydowej identyfikatora Entra firmy Microsoft. Nadal można używać list ACL systemu Windows w plikach i katalogach w celu szczegółowego wymuszania uprawnień.
• Wolisz wymuszać uwierzytelnianie tylko przy użyciu list ACL systemu Windows na poziomie pliku i katalogu.

Role RBAC platformy Azure dla usługi Azure Files

Dla usługi Azure Files istnieje pięć wbudowanych ról kontroli dostępu opartej na rolach (RBAC) platformy Azure, z których niektóre umożliwiają przyznawanie uprawnień na poziomie udziału użytkownikom i grupom. Jeśli używasz Eksplorator usługi Azure Storage, musisz również mieć rolę Czytelnik i Dostęp do danych, aby odczytywać/uzyskiwać dostęp do udziału plików platformy Azure.

Uwaga

Ponieważ konta komputerów nie mają tożsamości w usłudze Microsoft Entra ID, nie można skonfigurować dla nich kontroli dostępu opartej na rolach platformy Azure. Jednak konta komputerów mogą uzyskiwać dostęp do udziału plików przy użyciu domyślnych uprawnień na poziomie udziału.

Wbudowana rola RBAC platformy Azure	Opis
Czytelnik udziału SMB danych pliku magazynu	Umożliwia dostęp do odczytu do plików i katalogów w udziałach plików platformy Azure. Ta rola jest analogiczna do listy ACL udziału plików odczytu na serwerach plików systemu Windows.
Współautor udziału SMB danych pliku magazynu	Umożliwia dostęp do odczytu, zapisu i usuwania plików i katalogów w udziałach plików platformy Azure.
Współautor udziału SMB danych pliku magazynu z podwyższonym poziomem uprawnień	Umożliwia odczyt, zapis, usuwanie i modyfikowanie list ACL w plikach i katalogach w udziałach plików platformy Azure. Ta rola jest analogiczna do listy ACL udziału plików zmian na serwerach plików systemu Windows.
Współautor uprzywilejowany danych plików magazynu	Umożliwia odczyt, zapis, usuwanie i modyfikowanie list ACL w udziałach plików platformy Azure przez zastąpienie istniejących list ACL.
Czytelnik uprzywilejowany danych plików magazynu	Umożliwia dostęp do odczytu w udziałach plików platformy Azure przez zastąpienie istniejących list ACL.

Uprawnienia na poziomie udziału dla określonych użytkowników lub grup firmy Microsoft

Jeśli zamierzasz użyć określonego użytkownika lub grupy firmy Microsoft w celu uzyskania dostępu do zasobów udziału plików platformy Azure, ta tożsamość musi być tożsamością hybrydową, która istnieje zarówno w lokalnych usługach AD DS, jak i w identyfikatorze Microsoft Entra. Załóżmy na przykład, że masz użytkownika w usłudze AD, który jest user1@onprem.contoso.com i zsynchronizowano z firmą Microsoft Entra ID jako user1@contoso.com przy użyciu usługi Microsoft Entra Connect Sync lub synchronizacji z chmurą Microsoft Entra Connect. Aby ten użytkownik uzyskiwał dostęp do usługi Azure Files, musisz przypisać uprawnienia na poziomie udziału do user1@contoso.comusługi . Ta sama koncepcja dotyczy grup i jednostek usługi.

Ważne

Przypisz uprawnienia przez jawne deklarowanie akcji i akcji danych w przeciwieństwie do używania symbolu wieloznakowego (*). Jeśli niestandardowa definicja roli dla akcji danych zawiera symbol wieloznaczny, wszystkie tożsamości przypisane do tej roli mają dostęp dla wszystkich możliwych akcji danych. Oznacza to, że wszystkie takie tożsamości również zostaną przyznane każdej nowej akcji danych dodanej do platformy. Dodatkowy dostęp i uprawnienia przyznane za pośrednictwem nowych akcji lub akcji danych mogą być niechcianym zachowaniem klientów korzystających z symboli wieloznacznych.

Aby uprawnienia na poziomie udziału działały, musisz:

• Jeśli źródłem usługi AD jest usługa AD DS lub Microsoft Entra Kerberos, musisz zsynchronizować użytkowników i grupy z lokalnej usługi AD do identyfikatora Entra firmy Microsoft przy użyciu lokalnej aplikacji Microsoft Entra Connect Sync lub synchronizacji z chmurą Microsoft Entra Connect, uproszczonego agenta, który można zainstalować z centrum administracyjnego firmy Microsoft Entra.
• Dodaj grupy zsynchronizowane z usługą AD do roli RBAC, aby mogły uzyskiwać dostęp do konta magazynu.

Napiwek

Opcjonalnie: Klienci, którzy chcą przeprowadzić migrację uprawnień na poziomie udziału serwera SMB do uprawnień RBAC, mogą użyć Move-OnPremSharePermissionsToAzureFileShare polecenia cmdlet programu PowerShell do migracji uprawnień katalogu i na poziomie plików z lokalnego do platformy Azure. To polecenie cmdlet ocenia grupy określonego lokalnego udziału plików, a następnie zapisuje odpowiednich użytkowników i grupy w udziale plików platformy Azure przy użyciu trzech ról RBAC. Podczas wywoływania polecenia cmdlet należy podać informacje dotyczące udziału lokalnego i udziału plików platformy Azure.

Możesz użyć witryny Azure Portal, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure, aby przypisać wbudowane role do tożsamości microsoft Entra użytkownika w celu udzielenia uprawnień na poziomie udziału.

Ważne

Wykonanie uprawnień na poziomie udziału potrwa do trzech godzin. Pamiętaj, aby poczekać na synchronizację uprawnień przed nawiązaniem połączenia z udziałem plików przy użyciu poświadczeń.

Portal

Aby przypisać rolę platformy Azure do tożsamości firmy Microsoft Entra, korzystając z witryny Azure Portal, wykonaj następujące kroki:

1. W witrynie Azure Portal przejdź do udziału plików lub utwórz udział plików SMB.
2. Wybierz Access Control (Zarządzanie dostępem i tożsamościami).
3. Wybierz pozycję Dodaj przypisanie roli
4. W bloku Dodawanie przypisania roli wybierz odpowiednią wbudowaną rolę z listy Rola.
5. Pozostaw opcję Przypisz dostęp do w ustawieniu domyślnym: Użytkownik, grupa lub jednostka usługi firmy Microsoft. Wybierz docelową tożsamość firmy Microsoft Entra według nazwy lub adresu e-mail. Wybrana tożsamość firmy Microsoft Entra musi być tożsamością hybrydową i nie może być tożsamością tylko w chmurze. Oznacza to, że ta sama tożsamość jest również reprezentowana w usługach AD DS.
6. Wybierz pozycję Zapisz , aby ukończyć operację przypisywania roli.

Azure PowerShell

W poniższym przykładzie programu PowerShell pokazano, jak przypisać rolę platformy Azure do tożsamości entra firmy Microsoft na podstawie nazwy logowania. Aby uzyskać więcej informacji na temat przypisywania ról platformy Azure za pomocą programu PowerShell, zobacz Dodawanie lub usuwanie przypisań ról platformy Azure przy użyciu modułu Azure PowerShell.

Przed uruchomieniem następującego przykładowego skryptu zastąp wartości symboli zastępczych, w tym nawiasy, wartościami.

#Get the name of the custom role
$FileShareContributorRole = Get-AzRoleDefinition "<role-name>" #Use one of the built-in roles: Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor, Storage File Data SMB Share Elevated Contributor
#Constrain the scope to the target file share
$scope = "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/fileServices/default/fileshares/<share-name>"
#Assign the custom role to the target identity with the specified scope.
New-AzRoleAssignment -SignInName <user-principal-name> -RoleDefinitionName $FileShareContributorRole.Name -Scope $scope

Interfejs wiersza polecenia platformy Azure

Następujące polecenie interfejsu wiersza polecenia przypisuje rolę platformy Azure do tożsamości firmy Microsoft Entra na podstawie nazwy logowania. Aby uzyskać więcej informacji na temat przypisywania ról platformy Azure za pomocą interfejsu wiersza polecenia platformy Azure, zobacz Dodawanie lub usuwanie przypisań ról platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure.

Przed uruchomieniem następującego przykładowego skryptu pamiętaj, aby zastąpić wartości symboli zastępczych, w tym nawiasy, własnymi wartościami.

#Assign the built-in role to the target identity: Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor, Storage File Data SMB Share Elevated Contributor, Storage File Data Privileged Contributor, Storage File Data Privileged Reader
az role assignment create --role "<role-name>" --assignee <user-principal-name> --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/fileServices/default/fileshares/<share-name>"

Uprawnienia na poziomie udziału dla wszystkich uwierzytelnionych tożsamości

Możesz dodać domyślne uprawnienie na poziomie udziału na koncie magazynu, zamiast konfigurować uprawnienia na poziomie udziału dla użytkowników lub grup firmy Microsoft Entra. Domyślne uprawnienie na poziomie udziału przypisane do konta magazynu dotyczy wszystkich udziałów plików zawartych na koncie magazynu.

Po ustawieniu domyślnego uprawnienia na poziomie udziału wszyscy uwierzytelnieni użytkownicy i grupy będą mieli takie same uprawnienia. Uwierzytelnieni użytkownicy lub grupy są identyfikowani jako tożsamość można uwierzytelniać w lokalnych usługach AD DS skojarzonych z kontem magazynu. Domyślne uprawnienie na poziomie udziału jest ustawione na Wartość Brak podczas inicjowania, co oznacza, że żaden dostęp nie może mieć dostępu do plików lub katalogów w udziale plików platformy Azure.

Portal

Aby skonfigurować domyślne uprawnienia na poziomie udziału na koncie magazynu przy użyciu witryny Azure Portal, wykonaj następujące kroki.

1. W witrynie Azure Portal przejdź do konta magazynu zawierającego udziały plików i wybierz pozycję Udziały plików magazynu > danych.

2. Przed przypisaniem domyślnych uprawnień na poziomie udziału należy włączyć źródło usługi AD na koncie magazynu. Jeśli to zrobiono, wybierz pozycję Active Directory i przejdź do następnego kroku. W przeciwnym razie wybierz pozycję Active Directory: Nie skonfigurowano, wybierz pozycję Skonfiguruj w żądanym źródle usługi AD i włącz źródło usługi AD.

3. Po włączeniu źródła usługi AD krok 2. Ustawianie uprawnień na poziomie udziału będzie dostępny dla konfiguracji. Wybierz pozycję Włącz uprawnienia dla wszystkich uwierzytelnionych użytkowników i grup.

   

4. Wybierz odpowiednią rolę, która ma być włączona jako domyślne uprawnienie udziału z listy rozwijanej.

5. Wybierz pozycję Zapisz.

Azure PowerShell

Poniższy skrypt umożliwia skonfigurowanie domyślnych uprawnień na poziomie udziału na koncie magazynu. Domyślne uprawnienia na poziomie udziału można włączyć tylko na kontach magazynu skojarzonych z usługą katalogową na potrzeby uwierzytelniania usługi Azure Files.

Przed uruchomieniem następującego skryptu upewnij się, że moduł Az.Storage jest w wersji 3.7.0 lub nowszej. Zalecamy zaktualizowanie do najnowszej wersji.

$defaultPermission = "None|StorageFileDataSmbShareContributor|StorageFileDataSmbShareReader|StorageFileDataSmbShareElevatedContributor" # Set the default permission of your choice

$account = Set-AzStorageAccount -ResourceGroupName "<resource-group-name-here>" -AccountName "<storage-account-name-here>" -DefaultSharePermission $defaultPermission

$account.AzureFilesIdentityBasedAuth

Interfejs wiersza polecenia platformy Azure

Poniższy skrypt umożliwia skonfigurowanie domyślnych uprawnień na poziomie udziału na koncie magazynu. Domyślne uprawnienia na poziomie udziału można włączyć tylko na kontach magazynu skojarzonych z usługą katalogową na potrzeby uwierzytelniania usługi Azure Files.

Przed uruchomieniem następującego skryptu upewnij się, że interfejs wiersza polecenia platformy Azure jest w wersji 2.24.1 lub nowszej.

# Declare variables
storageAccountName="YourStorageAccountName"
resourceGroupName="YourResourceGroupName"
defaultPermission="None|StorageFileDataSmbShareContributor|StorageFileDataSmbShareReader|StorageFileDataSmbShareElevatedContributor" # Set the default permission of your choice

az storage account update --name $storageAccountName --resource-group $resourceGroupName --default-share-permission $defaultPermission

Co się stanie, jeśli używasz obu konfiguracji

Możesz również przypisać uprawnienia do wszystkich uwierzytelnionych użytkowników Microsoft Entra i określonych użytkowników/grup Microsoft. W przypadku tej konfiguracji określony użytkownik lub grupa będą mieć odpowiednie uprawnienia poziomu wyższego niż domyślne uprawnienia na poziomie udziału i przypisanie RBAC. Innymi słowy, załóżmy, że udzielono użytkownikowi roli Czytelnik SMB danych pliku magazynu w docelowym udziale plików. Udzielono również uprawnień domyślnych na poziomie udziału plików magazynu Udziału SMB z podwyższonym poziomem uprawnień współautora dla wszystkich uwierzytelnionych użytkowników. W przypadku tej konfiguracji określony użytkownik będzie miał poziom współautora udziału SMB danych pliku magazynu z podwyższonym poziomem uprawnień dostępu do udziału plików. Uprawnienia wyższego poziomu zawsze mają pierwszeństwo.

Następny krok

Po przypisaniu uprawnień na poziomie udziału możesz skonfigurować uprawnienia na poziomie katalogu i pliku. Pamiętaj, że zastosowanie uprawnień na poziomie udziału może potrwać do trzech godzin.