Назначение разрешений на уровне общего ресурса для общих папок Azure
Когда вы включите проверку подлинности Active Directory (AD) в своей учетной записи хранения, вам нужно будет настроить разрешения на уровне общей папки, чтобы получить доступ к своей общей папке. Существует два способа назначения разрешений на уровне общего ресурса. Их можно назначить определенным пользователям и группам Microsoft Entra, и их можно назначить всем удостоверениям, прошедшим проверку подлинности, как разрешение на уровне общего доступа по умолчанию.
Внимание
Полный административный контроль над файловым ресурсом, включая возможность стать владельцем файла, требует использования ключа учетной записи хранения. Полный административный контроль не поддерживается при проверке подлинности на основе удостоверений.
Применяется к
Тип общей папки | SMB | NFS |
---|---|---|
Стандартные общие папки (GPv2), LRS/ZRS | ||
Стандартные общие папки (GPv2), GRS/GZRS | ||
Общие папки уровня "Премиум" (FileStorage), LRS/ZRS |
Выбор способа назначения разрешений на уровне общего ресурса
Разрешения на уровне общего доступа в общих папках Azure настраиваются для пользователей, групп или субъектов-служб Microsoft Entra, а разрешения на уровне каталога и файлов применяются с помощью списков управления доступом Windows (ACL). Необходимо назначить разрешения на уровне общего доступа удостоверения Microsoft Entra, представляющего пользователя, группу или субъект-службу, у которых должен быть доступ. Проверка подлинности и авторизация для удостоверений, которые существуют только в идентификаторе Microsoft Entra, например управляемых удостоверений Azure (MSIs), не поддерживаются.
Большинство пользователей должны назначать разрешения на уровне общего доступа определенным пользователям или группам Microsoft Entra, а затем использовать списки управления доступом Windows для детального управления доступом на уровне каталогов и файлов. Это самая строгая и безопасная конфигурация.
Существует три сценария, в которых мы рекомендуем использовать разрешение на уровне общего ресурса по умолчанию, чтобы разрешить читателю, участнику, участнику с повышенными привилегиями, привилегированным участником или привилегированным читателем доступ ко всем удостоверениям, прошедшим проверку подлинности:
- Если вы не можете синхронизировать локальные доменные службы AD DS с идентификатором Microsoft Entra, вы можете использовать разрешение на общий уровень общего доступа по умолчанию. Назначение разрешения на уровне общего ресурса по умолчанию позволяет обойти требование синхронизации, так как вам не нужно указывать разрешение для удостоверений в идентификаторе Microsoft Entra. Затем можно использовать Windows ACL для детализированного применения разрешений к файлам и каталогам.
- Удостоверения, привязанные к AD, но не синхронизированы с идентификатором Microsoft Entra, также могут использовать разрешение уровня общего доступа по умолчанию. Это может включать автономные управляемые учетные записи служб (sMSA), групповые управляемые учетные записи служб (gMSA) и учетные записи компьютеров.
- Локальные доменные службы AD DS, которые вы используете, синхронизируются с другим идентификатором Microsoft Entra, чем идентификатор Microsoft Entra ID, в который развертывается общая папка.
- Это обычно происходит при управлении мультитенантными средами. Использование разрешения на уровне общего ресурса по умолчанию позволяет обойти требование гибридного удостоверения идентификатора Microsoft Entra ID. Вы по-прежнему можете использовать Windows ACL для файлов и каталогов, чтобы обеспечить детализированное применение разрешений.
- Вы предпочитаете применять проверку подлинности только с помощью списков управления доступом Windows на уровне файлов и каталогов.
Роли Azure RBAC для Файлы Azure
Существует пять встроенных ролей Azure для управления доступом на основе ролей (RBAC) для Файлы Azure, некоторые из которых позволяют предоставлять разрешения на уровне общего доступа пользователям и группам. Если вы используете обозреватель служба хранилища Azure, вам также потребуется роль чтения и доступа к данным для чтения и доступа к общей папке Azure.
Примечание.
Так как учетные записи компьютеров не имеют удостоверения в идентификаторе Microsoft Entra ID, для них не удается настроить Azure RBAC. Однако учетные записи компьютеров могут получить доступ к общей папке с помощью разрешения уровня общего доступа по умолчанию.
Встроенная роль Azure RBAC | Description |
---|---|
Читатель общей папки файловых данных хранилища SMB | Разрешает доступ на чтение файлов и каталогов в общих папках Azure. Эта роль аналогична ACL общей папки для чтения данных на файловых серверах Windows. |
Участник общей папки файловых данных хранилища SMB | Разрешает доступ на чтение, запись и удаление файлов и каталогов в общих папках Azure. |
Участник общих папок данных SMB службы хранилища с повышенными правами | Разрешает доступ на чтение, запись, удаление и изменение списков управления доступом для файлов и каталогов в общих папках Azure. Эта роль аналогична ACL общей папки для изменения данных на файловых серверах Windows. |
Участник привилегированных данных хранилища | Разрешает чтение, запись, удаление и изменение списков управления доступом в общих папках Azure путем переопределения существующих списков управления доступом. |
Средство чтения с привилегированными данными файлов хранилища | Разрешает доступ на чтение в общих папках Azure, переопределяя существующие списки управления доступом. |
Разрешения на уровне общего доступа для определенных пользователей или групп Microsoft Entra
Если вы планируете использовать определенный пользователь Или группу Microsoft Entra для доступа к ресурсам общей папки Azure, это удостоверение должно быть гибридным удостоверением , которое существует как в локальных AD DS, так и в идентификаторе Microsoft Entra. Например, предположим, что у вас есть пользователь в AD и user1@onprem.contoso.com вы синхронизировали с идентификатором Microsoft Entra Connect как user1@contoso.com с помощью microsoft Entra Connect Sync или облачной синхронизации Microsoft Entra Connect. Для доступа к Файлы Azure этого пользователя необходимо назначить разрешения user1@contoso.comна уровне общего ресурса. Та же концепция применяется к группам и субъектам-службам.
Внимание
Назначьте разрешения, объявляя действия и действия с данными явным образом, а не с помощью подстановочного знака (*). Если определение пользовательской роли для действия с данными содержит подстановочный знак, все удостоверения, назначенные этой роли, получают доступ ко всем возможным действиям с данными. Это означает, что всем таким удостоверениям также будет предоставлен доступ к любому новому действию с данными, добавленному на платформу. Дополнительные доступ и разрешения, предоставляемые через новые действия или действия с данными, могут быть нежелательными для клиентов, использующих подстановочные знаки.
Чтобы разрешения на уровне общего доступа работали, необходимо выполнить следующие действия:
- Если источником AD является AD DS или Microsoft Entra Kerberos, необходимо синхронизировать пользователей и группы из локального AD с идентификатором Microsoft Entra Entra ID с помощью локального приложения Microsoft Entra Connect Sync или облачной синхронизации Microsoft Entra Connect, упрощенного агента, который можно установить из Центра администрирования Microsoft Entra.
- Добавьте синхронизированные группы AD в роль RBAC, чтобы они могли получить доступ к учетной записи хранения.
Совет
Необязательно. Клиенты, которые хотят перенести разрешения уровня общего доступа сервера SMB в разрешения RBAC, могут использовать Move-OnPremSharePermissionsToAzureFileShare
командлет PowerShell для переноса разрешений каталога и уровня файлов из локальной среды в Azure. Этот командлет оценивает группы определенной локальной общей папки, а затем записывает соответствующих пользователей и групп в общую папку Azure с помощью трех ролей RBAC. Вы предоставляете сведения о локальном ресурсе и общей папке Azure при вызове командлета.
Вы можете использовать портал Azure, Azure PowerShell или Azure CLI для назначения встроенных ролей удостоверению Microsoft Entra пользователя для предоставления разрешений на уровне общего доступа.
Внимание
Разрешения на уровне общего доступ вступают в силу в течение трех часов после настройки. Не забудьте дождаться синхронизации разрешений перед подключением к общей папке с помощью учетных данных.
Чтобы назначить роль Azure удостоверению Microsoft Entra, используя портал Azure, выполните следующие действия.
- В портал Azure перейдите в общую папку или создайте общую папку SMB.
- Выберите Управление доступом (IAM).
- Выберите Добавить назначение роли
- В колонке Добавление назначения роли выберите соответствующую встроенную роль из списка Роль.
- Оставьте доступ к параметру по умолчанию: пользователь, группа или субъект-служба Microsoft Entra. Выберите целевое удостоверение Microsoft Entra по имени или адресу электронной почты. Выбранное удостоверение Microsoft Entra должно быть гибридным удостоверением и не может быть единственным облачным удостоверением. Это означает, что то же удостоверение также представлено в AD DS.
- Нажмите кнопку Сохранить, чтобы завершить операцию назначения ролей.
Разрешения на уровне общей папки для всех удостоверений, прошедших проверку подлинности
Вы можете добавить разрешение уровня общего доступа по умолчанию для учетной записи хранения вместо настройки разрешений на уровне общего ресурса для пользователей или групп Microsoft Entra. Разрешения на уровне общей папки по умолчанию, назначенные вашей учетной записи хранения, применяются ко всем общим папкам, содержащимся в учетной записи хранения.
Если задано разрешение на уровне общей папки по умолчанию, все прошедшие проверку пользователи и группы будут иметь одно и то же разрешение. Прошедшие проверку подлинности пользователи или группы идентифицируются, поскольку удостоверение может пройти проверку подлинности в локальных AD DS, с которыми связана учетная запись хранения. Разрешение уровня общего доступа по умолчанию имеет значение None при инициализации, что означает, что доступ к файлам или каталогам в общей папке Azure не разрешен.
Чтобы настроить разрешения на уровне общего ресурса по умолчанию для учетной записи хранения с помощью портал Azure, выполните следующие действия.
В портал Azure перейдите в учетную запись хранения, содержащую общую папку, и выберите общие папки хранилища > данных.
Перед назначением разрешений на уровне общего ресурса необходимо включить источник AD в учетной записи хранения. Если вы уже сделали это, выберите Active Directory и перейдите к следующему шагу. В противном случае выберите Active Directory: "Не настроено", выберите "Настроить " в нужном источнике AD и включите источник AD.
После включения источника AD шаг 2. Настройка разрешений на уровне общего ресурса будет доступна для настройки. Выберите "Включить разрешения" для всех пользователей и групп, прошедших проверку подлинности.
Выберите соответствующую роль для включения в качестве разрешения общего ресурса по умолчанию в раскрывающемся списке.
Выберите Сохранить.
Что происходит при использовании обеих конфигураций
Вы также можете назначить разрешения всем пользователям Microsoft Entra, прошедшим проверку подлинности, и конкретным пользователям или группам Microsoft Entra. В такой конфигурации определенный пользователь или группа будет иметь расширение самого высокого уровня среди разрешений на уровне общей папки и назначение RBAC. Иными словами предположим, что вы предоставили пользователю роль читателя SMB данных файлов хранилища для целевой общей папки. Вы также предоставили разрешение на уровне общей папки по умолчанию участник с повышенными правами для SMB данных файлов хранилища всем пользователям, прошедшим проверку подлинности. В этой конфигурации у конкретного пользователя будет роль участник с повышенными правами для SMB данных файлов хранилища для доступа к общей папке. Разрешения более высокого уровня всегда имеют приоритет.
Следующий шаг
Теперь, когда вы назначили разрешения на уровне общего ресурса, можно настроить разрешения на уровне каталога и файлов. Помните, что разрешения на уровне общего доступа могут занять до трех часов, чтобы ввести в силу.