Atribuir permissões de nível de compartilhamento para compartilhamentos de arquivos Azure

Aplica-se a: ✔️ Compartilhamentos de arquivos SMB do Azure

Depois de habilitar uma fonte de identidade para sua conta de armazenamento, você deve configurar permissões de nível de compartilhamento para acessar o compartilhamento de arquivos. Você pode atribuir permissões de nível de compartilhamento de duas maneiras: para usuários ou grupos específicos do Microsoft Entra, ou para todas as identidades autenticadas como uma permissão de nível de compartilhamento padrão.

Escolher como atribuir as permissões de nível de compartilhamento

Configure permissões de nível de compartilhamento em compartilhamentos de arquivos do Azure para usuários, grupos ou entidades de serviço do Microsoft Entra. As permissões de diretório e de nível de arquivo são impostas por meio de ACLs (listas de controle de acesso) de Windows. Atribua permissões de nível de compartilhamento à identidade do Entra que representa o usuário, o grupo ou a entidade de serviço que precisa de acesso.

A maioria dos usuários atribui permissões de nível de compartilhamento a usuários ou grupos específicos do Entra e usa ACLs Windows para controle de acesso granular no nível do diretório e do arquivo. Essa configuração é a mais segura.

Use uma permissão de nível de compartilhamento padrão para conceder acesso baseado em função a todas as identidades autenticadas nestes cenários:

• Você está usando Microsoft Entra Kerberos para autenticar identidades somente na nuvem (versão prévia).
• Você não consegue sincronizar seus Serviços de Domínio do Active Directory (AD DS) locais com o Microsoft Entra ID. Atribuir uma permissão padrão de nível de compartilhamento contorna o requisito de sincronização porque você não precisa especificar a permissão para identidades no Entra ID. Em seguida, você pode usar Windows ACLs para a imposição de permissões granulares em seus arquivos e diretórios.
  • As identidades vinculadas a um Active Directory, mas que não estão sincronizadas com o Microsoft Entra ID, também podem aproveitar a permissão padrão de nível de compartilhamento. Essa condição pode incluir contas de serviço gerenciadas autônomas (sMSA), gMSA (contas de serviço gerenciado de grupo) e contas de computador.
• O AD DS local que você está usando é sincronizado com uma ID de Entra diferente da ID de Entra na qual o compartilhamento de arquivos é implantado.
  • Essa condição é típica quando você está gerenciando ambientes multilocatários. Usando uma permissão de nível de compartilhamento padrão, você ignora o requisito de uma identidade híbrida do Entra ID. Você ainda pode usar Windows ACLs em seus arquivos e diretórios para a imposição de permissões granulares.
• Você prefere impor a autenticação apenas usando Windows ACLs no nível de arquivo e diretório.

Funções do Azure RBAC para Arquivos do Azure

Existem várias funções internas incorporadas de controle de acesso baseado em função (RBAC) do Azure destinadas ao uso com Arquivos do Azure. Algumas dessas funções concedem permissões de nível de compartilhamento a usuários e grupos. Se você estiver usando Gerenciador de Armazenamento do Azure, também precisará da função Reader e Data Access para ler e acessar o compartilhamento de arquivos Azure.

Observação

Como as contas de computador não têm uma identidade na ID do Entra, você não pode configurar Azure RBAC para elas. No entanto, as contas de computador podem acessar um compartilhamento de arquivos usando uma permissão de nível de compartilhamento padrão.

Função RBAC interna do Azure	Descrição
Leitor de compartilhamento SMB de dados de arquivo de armazenamento	Concede acesso de leitura a arquivos e diretórios no Arquivos do Azure. Essa função é semelhante a uma ACL de compartilhamento de arquivos com permissão de leitura em servidores de arquivos Windows.
Colaborador de compartilhamento SMB de dados de arquivo de armazenamento	Concede acesso de leitura, gravação e exclusão em arquivos e diretórios em Arquivos do Azure.
Colaborador elevado de compartilhamento SMB de dados de arquivo de armazenamento	Concede permissões de leitura, gravação, exclusão e modificação de ACLs (listas de controle de acesso) em arquivos e diretórios nos Arquivos do Azure. Essa função é semelhante a uma ACL de compartilhamento de arquivos de alteração em servidores de arquivos do Windows.
Colaborador Privilegiado de Dados de Arquivo de Armazenamento	Concede ACLs de leitura, gravação, exclusão e modificação em Arquivos do Azure substituindo as ACLs existentes.
Leitor Privilegiado de Dados de Arquivo de Armazenamento	Concede acesso de leitura em Arquivos do Azure substituindo ACLs existentes.
Administrador de Dados de Arquivos de Armazenamento SMB	Concede acesso de administrador equivalente à chave da conta de armazenamento para usuários finais por SMB.

Permissões de nível de compartilhamento para usuários ou grupos específicos do Entra

Se você pretende usar um usuário ou grupo Microsoft Entra específico para acessar Azure recursos de compartilhamento de arquivos, essa identidade deve ser uma identidade hibrid que existe tanto no AD DS local quanto no Microsoft Entra ID. As identidades somente na nuvem devem usar uma permissão de nível de compartilhamento padrão.

Por exemplo, digamos que você tenha um usuário no seu AD identificado como user1@onprem.contoso.com e você sincronize com o Entra ID como user1@contoso.com usando o Microsoft Entra Connect Sync ou o Microsoft Entra Connect Cloud Sync. Para acessar o Arquivos do Azure, esse usuário deve ter as permissões de nível de compartilhamento atribuídas a user1@contoso.com. O mesmo conceito se aplica aos grupos e às entidades de serviço.

Importante

Atribua permissões declarando explicitamente ações e ações de dados em vez de usar um caractere curinga (*). Se uma definição de função personalizada de uma ação de dados contiver um caractere curinga, todas as identidades atribuídas a essa função receberão acesso a todas as ações de dados possíveis. Esse acesso inclui qualquer nova ação de dados adicionada à plataforma. O acesso e as permissões adicionais concedidos por meio de novas ações ou de ações de dados podem ser um comportamento indesejado para clientes que usam curinga.

Para que as permissões de nível de compartilhamento funcionem, você deve executar as seguintes ações:

• Se a fonte de identidade for AD DS ou Microsoft Entra Kerberos, sincronize os usuários e os grupos de seu Active Directory local para a Entra ID usando Microsoft Entra Connect Sync ou Microsoft Entra Cloud Sync, um agente leve que você pode instalar no portal de administração do Microsoft Entra.
• Adicionar grupos sincronizados do AD à função RBAC para que eles possam acessar sua conta de armazenamento.

Dica

Opcional: para migrar permissões de nível de compartilhamento do servidor SMB para permissões RBAC, use o cmdlet Move-OnPremSharePermissionsToAzureFileShare PowerShell para migrar permissões de diretório e de nível de arquivo do local para o Azure. Esse cmdlet avalia os grupos de um compartilhamento de arquivos local específico e grava os usuários e grupos apropriados no compartilhamento de arquivos Azure usando as funções RBAC internas. Você fornece as informações para o compartilhamento local e o compartilhamento de arquivos Azure ao invocar o cmdlet.

Para conceder permissões de nível de compartilhamento, use o portal do Azure, Azure PowerShell ou CLI do Azure para atribuir uma das funções integradas à identidade Entra ID de um usuário.

Importante

As alterações de permissão de nível de compartilhamento geralmente entram em vigor dentro de 30 minutos, mas em alguns casos podem levar mais tempo. Aguarde a propagação de permissões antes de se conectar ao compartilhamento de arquivos usando suas credenciais.

Para atribuir uma função do Azure a uma identidade Entra usando o portal Azure, siga estas etapas:

1. No portal do Azure, acesse o compartilhamento de arquivos ou crie um compartilhamento de arquivos SMB.
2. Selecione Controle de Acesso (IAM).
3. Selecione Adicionar uma atribuição de função.
4. No painel Adicionar atribuição de função , selecione a função interna apropriada na lista de funções .
5. Mantenha atribuir acesso a na configuração padrão: usuário, grupo ou entidade de serviço do Microsoft Entra. Selecione a identidade Entra alvo por nome ou endereço de email. A identidade de Entra selecionada deve ser uma identidade híbrida e não pode ser uma identidade somente na nuvem. Esse requisito significa que a mesma identidade também é representada no AD DS.
6. Selecione Salvar para concluir a operação de atribuição de função.

Azure PowerShell

O exemplo do PowerShell a seguir mostra como atribuir uma função de Azure a uma identidade entra, com base no nome de entrada. Para obter mais informações sobre como atribuir funções Azure usando o PowerShell, consulte Add ou remova Azure atribuições de função usando o módulo Azure PowerShell.

Antes de executar o script de exemplo a seguir, substitua os valores de espaço reservado, incluindo os colchetes, por seus próprios valores.

#Get the name of the custom role
$FileShareContributorRole = Get-AzRoleDefinition "<role-name>" #Use one of the built-in roles: Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor, Storage File Data SMB Share Elevated Contributor, Storage File Data Privileged Contributor, Storage File Data Privileged Reader, Storage File Data SMB Admin
#Constrain the scope to the target file share
$scope = "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/fileServices/default/fileshares/<share-name>"
#Assign the custom role to the target identity with the specified scope.
New-AzRoleAssignment -SignInName <user-principal-name> -RoleDefinitionName $FileShareContributorRole.Name -Scope $scope

CLI do Azure

O comando da CLI a seguir atribui uma função do Azure a uma identidade Entra com base no nome de logon. Para obter mais informações sobre como atribuir funções Azure usando CLI do Azure, consulte Add ou remova Azure atribuições de função usando o CLI do Azure.

Antes de executar o comando a seguir, substitua os valores nos espaços reservados, incluindo os colchetes, pelos seus próprios valores.

#Assign one of the built-in roles to the target identity: Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor, Storage File Data SMB Share Elevated Contributor, Storage File Data Privileged Contributor, Storage File Data Privileged Reader, Storage File Data SMB Admin

az role assignment create --role "<role-name>" --assignee <user-principal-name> --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/fileServices/default/fileshares/<share-name>"

Permissões de nível de compartilhamento para todas as identidades autenticadas

Você pode adicionar uma permissão de nível de compartilhamento padrão em sua conta de armazenamento, em vez de configurar permissões de nível de compartilhamento para usuários ou grupos do Entra. Uma permissão de nível de compartilhamento padrão atribuída à sua conta de armazenamento se aplica a todos os compartilhamentos de arquivos contidos nela.

Importante

Se você definir uma permissão de nível de compartilhamento padrão na conta de armazenamento, não precisará sincronizar suas identidades locais com a ID do Entra.

Quando você define uma permissão de nível de compartilhamento padrão, todos os usuários e grupos autenticados têm a mesma permissão. Usuários ou grupos autenticados são identificados como a identidade que pode ser autenticada no AD DS ao qual a conta de armazenamento está associada. A permissão de nível de compartilhamento padrão é definida como None na inicialização, o que significa que nenhum acesso é permitido a arquivos ou diretórios no compartilhamento de arquivos Azure.

Para configurar permissões de nível de compartilhamento padrão em sua conta de armazenamento usando o Azure portal, siga estas etapas.

1. No portal Azure, acesse a conta de armazenamento que contém seus compartilhamentos de arquivos e selecione Data storage > Compartilhamentos de arquivos.

2. Você deve habilitar uma fonte de identidade em sua conta de armazenamento antes de atribuir permissões de nível de compartilhamento padrão. Se você já tiver habilitado uma fonte de identidade, selecione Configurado ao lado do acesso baseado em identidade e prossiga para a próxima etapa. Caso contrário, selecione Não configurado, selecione Configurar na fonte de identidade desejada e habilite a fonte de identidade.

3. Depois de habilitar uma origem do AD, a Etapa 2: Definir permissões de nível de compartilhamento estará disponível para configuração. Selecione Habilitar permissões para todos os usuários e grupos autenticados.

   

4. Selecione a função apropriada para habilitar como a permissão de compartilhamento padrão na lista suspensa.

5. Clique em Salvar.

Azure PowerShell

Use o script a seguir para configurar permissões de nível de compartilhamento padrão em sua conta de armazenamento. Você só pode habilitar a permissão de nível de compartilhamento padrão em contas de armazenamento que tenham uma fonte de identidade habilitada para autenticação Arquivos do Azure.

Antes de executar o script a seguir, verifique se o módulo Az.Storage é da versão 3.7.0 ou mais recente. Atualize para a versão mais recente , se necessário. Substitua e pelos seus próprios valores.

$defaultPermission = "None|StorageFileDataSmbShareContributor|StorageFileDataSmbShareReader|StorageFileDataSmbShareElevatedContributor|StorageFileDataPrivilegedContributor|StorageFileDataPrivilegedReader|StorageFileDataSmbAdmin" # Set the default permission of your choice. Specify only one of the built-in roles.

$account = Set-AzStorageAccount -ResourceGroupName "<resource-group-name>" -AccountName "<storage-account-name>" -DefaultSharePermission $defaultPermission

$account.AzureFilesIdentityBasedAuth

CLI do Azure

Use o script a seguir para configurar permissões de nível de compartilhamento padrão em sua conta de armazenamento. Você só pode habilitar a permissão de nível de compartilhamento padrão em contas de armazenamento que tenham uma fonte de identidade habilitada para autenticação Arquivos do Azure.

Antes de executar o script a seguir, verifique se o CLI do Azure é a versão 2.24.1 ou posterior.

# Declare variables
storageAccountName="YourStorageAccountName"
resourceGroupName="YourResourceGroupName"
defaultPermission="None|StorageFileDataSmbShareContributor|StorageFileDataSmbShareReader|StorageFileDataSmbShareElevatedContributor|StorageFileDataPrivilegedContributor|StorageFileDataPrivilegedReader|StorageFileDataSmbAdmin" # Set the default permission of your choice. Specify only one of the built-in roles.

az storage account update --name $storageAccountName --resource-group $resourceGroupName --default-share-permission $defaultPermission

O que acontece se você usar ambas as configurações

Você pode atribuir permissões a todos os usuários autenticados do Entra e a usuários ou grupos específicos do Entra. Quando você usa essa configuração, um usuário ou grupo específico obtém a permissão de nível superior entre a permissão de nível de compartilhamento padrão e a atribuição RBAC. Por exemplo, suponha que você atribua a um usuário a função de Leitor SMB de Dados de Arquivo Armazenado no compartilhamento de arquivos de destino. Você também concede a permissão de nível de compartilhamento padrão Colaborador com Privilégios Elevados de Compartilhamento SMB de Dados de Arquivos de Armazenamento a todos os usuários autenticados. Com essa configuração, esse usuário específico terá o acesso Colaborador com Privilégios Elevados de Compartilhamento SMB de Dados de Arquivos de Armazenamento ao compartilhamento de arquivos. As permissões de nível superior sempre têm precedência.

Noções básicas sobre o acesso baseado em grupo para usuários não sincronizados

Os usuários que não estão sincronizados com o Entra ID ainda podem obter acesso aos compartilhamentos de arquivos do Azure por meio da associação ao grupo. Se um usuário pertencer a um grupo do AD DS local sincronizado com a ID do Entra e tiver uma atribuição de função RBAC Azure, o usuário obterá as permissões do grupo, mesmo que não apareça como membro do grupo no centro de administração do Microsoft Entra.

Veja como funciona:

• Somente o grupo precisa ser sincronizado com a ID do Entra, não com usuários individuais.
• Quando um usuário é autenticado, o controlador de domínio local envia um tíquete Kerberos que inclui todas as associações de grupo do usuário.
• Os Arquivos do Azure leem os SIDs (identificadores de segurança de grupo) do ticket Kerberos.
• Se qualquer um desses grupos estiver sincronizado com a ID do Entra, Arquivos do Azure aplicará as atribuições de função RBAC correspondentes.

Devido a esse processo, a autorização se baseia nos grupos listados no tíquete Kerberos, não no que aparece no centro de administração do Microsoft Entra. Usuários não sincronizados podem acessar compartilhamentos de arquivos por meio de suas associações de grupo do AD DS sincronizadas sem a necessidade de sincronização individual com a ID do Entra.

Próxima etapa

Depois de atribuir permissões de nível de compartilhamento, você pode configurar permissões de diretório e de nível de arquivo. Aguarde até que as permissões de nível de compartilhamento se propaguem primeiro.