Azure 文件授权和访问控制概述

适用于： ✔️ SMB Azure 文件共享

无论在存储帐户上选择哪种标识源进行 基于标识的身份验证 ，都需要配置授权和访问控制。 Azure 文件在共享级别和目录/文件级别强制实施用户访问授权。

可以将共享级别权限分配给通过 Azure RBAC 管理的 Microsoft Entra 用户或组。 使用 Azure RBAC 时，用于文件访问的凭据应可用或同步到 Microsoft Entra ID。 可以将 Azure 内置角色（如 存储文件数据 SMB 共享读取者 ）分配给Microsoft Entra ID 中的用户或组，以授予对文件共享的访问权限。

在目录/文件级别，Azure 文件支持保留、继承和强制实施 Windows ACL。 在现有文件共享和 Azure 文件共享之间通过 SMB 复制数据时，可以选择保留 Windows ACL。 无论是否计划强制实施授权，都可以使用 Azure 文件共享来备份 ACL 以及数据。

配置共享级权限

在存储帐户上启用标识源后，您必须执行以下操作之一来访问文件共享：

• 设置适用于所有经过身份验证的用户和组的默认共享级别权限
• 将内置的 Azure RBAC 角色分配给用户和组，或
• 为 Microsoft Entra 标识配置自定义角色，并为存储帐户中的文件共享分配访问权限。

分配的共享级别权限允许授予的标识仅获取对共享的访问权限，而不需要访问根目录。 你仍然需要单独配置目录和文件级权限。

有关详细信息，请参阅 “分配共享级别权限”。

注释

无法使用 Azure RBAC 将共享级别权限分配给计算机帐户（计算机帐户），因为计算机帐户无法同步到 Microsoft Entra ID 中的标识。 如果想要允许计算机帐户使用基于标识的身份验证访问 Azure 文件共享， 请使用默认共享级别权限 ，或者考虑改用服务登录帐户。

配置目录和文件级别权限

Azure 文件共享在目录和文件级别（包括根目录）强制实施标准 Windows ACL。 SMB 和 REST 支持配置目录或文件级权限。

有关详细信息，请参阅 “配置目录和文件级权限”。

将数据导入 Azure 文件时保留目录和文件 ACL

将数据复制到 Azure 文件共享时，Azure 文件支持保留目录或文件级 ACL。 可以使用 Azure 文件同步或通用文件移动工具集将目录或文件上的 ACL 复制到 Azure 文件共享。 例如，可使用带 标志的 /copy:s 将数据和 ACL 复制到 Azure 文件共享。 ACL 默认保留，因此无需在存储帐户上启用基于标识的身份验证来保留 ACL。

后续步骤

有关详细信息，请参见:

• 为 Azure 文件共享分配共享级权限
• 为 Azure 文件共享配置目录和文件级权限