適用於: ✔️ SMB Azure 檔案共用
無論您選擇哪個身分識別來源進行儲存體帳戶的 身分識別型驗證 ,您都需要設定授權和存取控制。 Azure 檔案儲存體會在共用層級和目錄/檔案層級強制執行使用者存取授權。
您可以將共用層級許可權指派給透過 Azure RBAC 管理的 Microsoft Entra 使用者或群組。 使用 Azure RBAC,您用於檔案存取的認證應該可用或同步至 Microsoft Entra ID。 您可以將 Azure 內建角色 ( 例如儲存體、檔案資料、SMB 共用讀取者 ) 指派給 Microsoft Entra ID 中的使用者或群組,以授與檔案共用的存取權。
在目錄/檔案層級,Azure 檔案儲存體支援保留、繼承及強制執行 Windows ACL。 您可以選擇在現有檔案共用與 Azure 檔案共用之間透過 SMB 複製資料時保留 Windows ACL。 無論您是否打算強制執行授權,您都可以使用 Azure 檔案共用來備份 ACL 以及您的資料。
設定共用層級權限
在儲存體帳戶上啟用身分識別來源之後,您必須執行下列其中一項動作,才能存取檔案共用:
- 設定套用至所有已驗證使用者和群組的預設共用層級權限
- 將內建的 Azure RBAC 角色指派給使用者和群組,或
- 設定 Microsoft Entra 身分識別的自訂角色,並將存取權限指派給儲存體帳戶中的檔案共用。
指派的共用層級許可權只允許授權的身分識別存取該共用,而無法存取其他內容,甚至包括根目錄。 您仍然需要分別配置目錄和檔案層級權限。
如需詳細資訊,請參閱 指派共用層級權限。
備註
您無法使用 Azure RBAC 將共用層級許可權指派給電腦帳戶 (電腦帳戶),因為電腦帳戶無法同步至 Microsoft Entra ID 中的身分識別。 如果您想要允許電腦帳戶使用身分識別型驗證來存取 Azure 檔案共用,請 使用預設共用層級許可權 ,或考慮改用服務登入帳戶。
設定目錄和檔案層級權限
Azure 檔案共用會在目錄和檔案層級強制執行標準 Windows ACL,包括根目錄。 SMB 和 REST 都支援目錄或檔案層級權限的設定。
如需詳細資訊,請參閱 設定目錄和檔案層級權限。
將資料匯入 Azure 檔案儲存體時保留目錄和檔案 ACL
Azure 檔案儲存體支援在將資料複製到 Azure 檔案共用時保留目錄或檔案層級 ACL。 您可以使用 Azure 檔案同步或一般檔案移動工具集,將目錄或檔案上的 ACL 複製到 Azure 檔案共用。 例如,您可以使用 robocopy 搭配 /copy:s 旗標將資料和 ACL 複製到 Azure 檔案共用。 根據預設,ACL 會保留,因此您不需要在儲存體帳戶上啟用身分識別型驗證來保留 ACL。
後續步驟
如需詳細資訊,請參閱: