التحكم في الوصول إلى مشاركات ملفات Azure - مصادقة AD DS المحلية

مقالة
05/17/2022
قراءة خلال 7 دقائق

قبل بدء هذه المقالة، تأكد من إكمال المقالة السابقة، تمكين مصادقة AD DS لحسابك.

بمجرد تمكين مصادقة خدمات مجال Active Directory (AD DS) على حساب التخزين لديك، يجب عليك تكوين أذونات على مستوى المشاركة للوصول إلى مشاركات الملفات. هناك طريقتان يمكنك من خلالهما تعيين أذونات على مستوى المشاركة. يمكنك تعيينها إلى مستخدمين/مجموعات مستخدمين معينة في Azure AD، ويمكنك تعيينها إلى جميع الهويات المصادق عليها كإذن افتراضي لمستوى المشاركة.

هام

يتطلب التحكم الإداري الكامل لمشاركة الملف، بما في ذلك القدرة على الحصول على ملكية ملف، استخدام مفتاح حساب التخزين. التحكم الإداري غير مدعوم ببيانات اعتماد Azure AD.

ينطبق على

نوع مشاركة الملف	SMB	NFS
مشاركات الملفات القياسية (GPv2)، LRS/ZRS
مشاركات الملفات القياسية (GPv2)، GRS/GZRS
مشاركات الملفات المتميزة (FileStorage)، LRS/ZRS

التكوين الواجب استخدامه

يجب على معظم المستخدمين تعيين أذونات على مستوى المشاركة لمستخدمي أو مجموعات Azure AD، ثم استخدام قوائم التحكم في الوصول لنظام Windows للتحكم بالوصول الدقيق على مستوى الدليل والملف. يعد هذا هو التكوين الأكثر صرامة وأماناً.

هناك ثلاثة سيناريوهات نوصي فيها بدلاً من ذلك باستخدام الأذونات الافتراضية على مستوى المشاركة المعينة لجميع الهويات المصادق عليها:

إذا لم تتمكن من مزامنة AD DS المحلي مع Azure AD، يمكنك بدلاً من ذلك استخدام إذن افتراضي على مستوى المشاركة. يسمح لك تعيين إذن افتراضي على مستوى المشاركة بالتغلب على متطلبات المزامنة، حيث لا تحتاج إلى تحديد إذن للهويات في Azure AD. ثم يمكنك استخدام قوائم التحكم بالوصول في Windows لفرض الإذن الدقيق على ملفاتك والأدلة المتوفرة لديك.
- الهويات المرتبطة بـ AD، ولكنها لا تتزامن مع Azure AD DS، يمكنها أيضًا الاستفادة من الإذن الافتراضي على مستوى المشاركة. يمكن أن يشمل ذلك حسابات الخدمة المُدارة المستقلة (sMSA) وحسابات الخدمة المُدارة للمجموعة (gMSA) وحسابات خدمة الكمبيوتر.
تتم مزامنة AD DS المحلي الذي تستخدمه مع Azure AD مختلف عن Azure AD الذي يتم توزيع مشاركة الملفات فيه.
- هذا أمر نموذجي عندما تقوم بإدارة بيئات متعددة المستأجرين. يتيح لك استخدام الإذن الافتراضي على مستوى المشاركة تجاوز متطلبات هوية Azure AD المختلطة. لا يزال بإمكانك استخدام قوائم التحكم في الوصول في نظام Windows على ملفاتك والأدلة المتوفرة لديك لفرض الأذونات الدقيقة.
تفضل فرض المصادقة فقط باستخدام قوائم التحكم بالوصول في Windows على مستوى الملف والدليل.

يسرد الجدول التالي الأذونات على مستوى المشاركة وكيفية محاذاتها مع أدوار التحكم في الوصول استناداً إلى الدور المضمنة:

الأدوار المضمنة المدعومة	الوصف
Storage File Data SMB Share Reader	يسمح بالوصول للقراءة إلى الملفات والأدلة في مشاركات ملفات Azure. يشبه هذا الدور قائمة التحكم في الوصول لمشاركة الملفات للقراءة على خوادم ملفات Windows. تعرف على المزيد.
Storage File Data SMB Share Contributor	يسمح بالوصول للقراءة والكتابة والحذف على الملفات والدلائل في مشاركات ملفات Azure. تعرف على المزيد.
Storage File Data SMB Share Elevated Contributor	يسمح بقراءة قوائم التحكم في الوصول وكتابتها وحذفها وتعديلها على الملفات والأدلة في مشاركات ملفات Azure. يشبه هذا الدور قائمة التحكم في الوصول لبيانات التحكم في الوصول لمشاركة الملفات على خوادم الملفات التي تعمل بنظام Windows. تعرف على المزيد.

إذا كنت تنوي استخدام مستخدم أو مجموعة Azure AD معينة للوصول إلى موارد مشاركة ملفات Azure، يجب أن تكون تلك الهوية هوية مختلطة موجودة في كل من AD DS المحلي وAzure AD. على سبيل المثال، لنفترض أن لديك مستخدمًا في AD الخاص بك وهو user1@onprem.contoso.com وقمت بالمزامنة مع Azure AD كـ user1@contoso.com باستخدام مزامنة Azure AD Connect. لكي يتمكن هذا المستخدم من الوصول إلى ملفات Azure، يجب عليك تعيين أذونات على مستوى المشاركة إلى user1@contoso.com. وينطبق المفهوم نفسه على المجموعات أو كيانات الخدمات.

لكي تعمل الأذونات على مستوى المشاركة، يجب عليك:

مزامنة المستخدمين و المجموعات من AD المحلي إلى Azure AD باستخدام مزامنة Azure AD Connect
إضافة مجموعات AD المتزامنة إلى دور التحكم في الوصول استناداً إلى الدور بحيث تتمكن من الوصول إلى حساب التخزين

يجب تعيين أذونات على مستوى المشاركة إلى هوية Azure AD التي تمثل نفس المستخدم أو المجموعة في AD DS لدعم مصادقة AD DS لمشاركة ملف Azure. المصادقة والتخويل مقابل الهويات الموجودة فقط في Azure AD، مثل هويات Azure المدارة (MSIs)، غير مدعومة مع مصادقة AD DS.

يمكنك استخدام مدخل Azure، أو الوحدة Azure PowerShell، أو Azure CLI لتعيين الأدوار المضمنة لهوية Azure AD للمستخدم لمنح أذونات على مستوى المشاركة.

هام

ستستغرق الأذونات على مستوى المشاركة ما يصل إلى ثلاث ساعات لتصبح سارية المفعول بمجرد اكتمالها. يرجى الانتظار حتى تتم مزامنة الأذونات قبل الاتصال بمشاركة الملف باستخدام بيانات الاعتماد لديك.

لتعيين دور Azure لهوية Azure AD، باستخدام مدخل Azure، اتبع الخطوات التالية:

في مدخل Azure، انتقل إلى مشاركة الملف، أو إنشاء مشاركة ملف.
حدد ⁧⁩Access Control (IAM)⁧⁩.
حدد إضافة تعيين دور
في جزء إضافة تعيين دور، حدد الدور المضمن المناسب من قائمة الدور.
1. قارئ مشاركة SMB لبيانات ملفات التخزين
2. المساهم في مشاركة SMB لبيانات ملفات التخزين
3. مساهم غير مقيد لمشاركة SMB لبيانات ملفات التخزين
اترك تعيين الوصول إلى في الإعداد الافتراضي: مستخدم Azure AD أو المجموعة أو كيان الخدمة. حدد هوية Azure AD المستهدفة بواسطة الاسم أو عنوان البريد الإلكتروني. يجب أن تكون هوية Azure AD المحددة هوية مختلطة، ولا يمكن أن تكون هوية سحابية فقط. هذا يعني أن نفس الهوية يتم تمثيلها أيضًا في AD DS.
حدد حفظ لإكمال عملية تعيين الدور.

يوضح نموذج PowerShell التالي كيفية تعيين دور Azure لهوية Azure AD، بناءً على اسم تسجيل الدخول. لمزيد من المعلومات حول تعيين أدوار Azure باستخدام PowerShell، راجع إضافة تعيينات دور Azure أو إزالتها باستخدام الوحدة Azure PowerShell.

قبل تشغيل نموذج البرنامج النصي التالي، استبدل قيم العناصر النائبة، بما في ذلك الأقواس، بقيمك.

#Get the name of the custom role
$FileShareContributorRole = Get-AzRoleDefinition "<role-name>" #Use one of the built-in roles: Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor, Storage File Data SMB Share Elevated Contributor
#Constrain the scope to the target file share
$scope = "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/fileServices/default/fileshares/<share-name>"
#Assign the custom role to the target identity with the specified scope.
New-AzRoleAssignment -SignInName <user-principal-name> -RoleDefinitionName $FileShareContributorRole.Name -Scope $scope

يعين الأمر CLI 2.0 التالي دور Azure إلى هوية Azure AD، استناداً إلى اسم تسجيل الدخول. لمزيد من المعلومات حول تعيين أدوار Azure باستخدام Azure CLI، راجع إضافة تعيينات دور Azure أو إزالتها باستخدام Azure CLI.

قبل تشغيل نموذج البرنامج النصي التالي، تذكر استبدال قيم العناصر النائبة، بما في ذلك الأقواس، بقيمك الخاصة.

#Assign the built-in role to the target identity: Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor, Storage File Data SMB Share Elevated Contributor
az role assignment create --role "<role-name>" --assignee <user-principal-name> --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/fileServices/default/fileshares/<share-name>"

يمكنك إضافة إذن افتراضي على مستوى المشاركة على حساب التخزين لديك، بدلاً من تكوين أذونات على مستوى المشاركة لمستخدمي Azure AD أو مجموعاتهم. ينطبق الإذن الافتراضي على مستوى المشاركة المعين لحساب التخزين على جميع مشاركات الملفات المضمنة في حساب التخزين.

عند تعيين إذن افتراضي على مستوى المشاركة، سيكون لجميع المستخدمين والمجموعات التي تمت مصادقتها نفس الإذن. يتم تحديد المستخدمين أو المجموعات التي تمت مصادقتها، حيث يمكن مصادقة الهوية مقابل AD DS المحلي الذي يرتبط به حساب التخزين. يتم تعيين إذن مستوى المشاركة الافتراضي إلى بلا عند التهيئة، مما يعني أنه لا يسمح بالوصول إلى أدلة & للملفات في مشاركة ملفات Azure.

لا يمكنك حالياً تعيين أذونات لحساب التخزين باستخدام مدخل Azure. استخدم إما وحدة Azure PowerShell أو Azure CLI بدلاً من ذلك.

يمكنك استخدام البرنامج النصي التالي لتكوين أذونات افتراضية على مستوى المشاركة على حساب التخزين. يمكنك تمكين إذن مستوى المشاركة الافتراضي فقط على حسابات التخزين المقترنة بخدمة دليل لمصادقة الملفات.

قبل تشغيل البرنامج النصي التالي، تأكد من أن الوحدة «Az.Storage» هي الإصدار 3.7.0 أو أحدث.

$defaultPermission = "None|StorageFileDataSmbShareContributor|StorageFileDataSmbShareReader|StorageFileDataSmbShareElevatedContributor" # Set the default permission of your choice

$account = Set-AzStorageAccount -ResourceGroupName "<resource-group-name-here>" -AccountName "<storage-account-name-here>" -DefaultSharePermission $defaultPermission

$account.AzureFilesIdentityBasedAuth

قبل تشغيل البرنامج النصي التالي، تأكد من أن Azure CLI هو الإصدار 2.24.1 أو أحدث.

# Declare variables
storageAccountName="YourStorageAccountName"
resourceGroupName="YourResourceGroupName"
defaultPermission="None|StorageFileDataSmbShareContributor|StorageFileDataSmbShareReader|StorageFileDataSmbShareElevatedContributor" # Set the default permission of your choice


az storage account update --name $storageAccountName --resource-group $resourceGroupName --default-share-permission $defaultPermission

ماذا يحدث إذا كنت تستخدم كلا التكوينين

يمكنك أيضاً تعيين أذونات لجميع مستخدمي Azure AD المصادق عليهم ومستخدمي/مجموعات Azure AD المحددة. باستخدام هذا التكوين، سيكون لدى مستخدم أو مجموعة معينة أيهما هو إذن المستوى الأعلى من إذن مستوى المشاركة الافتراضي وتعيين التحكم في الوصول استناداً إلى الدور. بمعنى آخر، لنفترض أنك منحت مستخدماً دور قارئ SMB لبيانات ملف التخزين في مشاركة الملف الهدف. كما قمت أيضاً بمنح الإذن الافتراضي على مستوى المشاركة لدور المساهم غير المقيد لمشاركة SMB لبيانات ملفات التخزين إلى جميع المستخدمين المصادق عليهم. باستخدام هذا التكوين، سيتمتع هذا المستخدم المعين الموجود في دور المساهم غير المقيد لمشاركة SMB لبيانات ملفات التخزين بمستوى الوصول إلى مشاركة الملف. دائماً ما تكون للأذونات ذات المستوى الأعلى الأسبقية.

الخطوات التالية

الآن بعد أن قمت بتعيين أذونات على مستوى المشاركة، يجب عليك تكوين أذونات الدليل ومستوى الملف. تابع إلى المقالة التالية.

الجزء الثالث: تكوين أذونات على مستوى الدليل والملف عبر بروتوكول SMB

الجزء الثاني: تعيين أذونات على مستوى المشاركة لهوية

هل هذه الصفحة مفيدة؟

ينطبق على

التكوين الواجب استخدامه

أذونات على مستوى المشاركة

أذونات على مستوى المشاركة لمستخدمي أو مجموعات Azure AD محددة

أذونات على مستوى المشاركة لجميع الهويات المصادق عليها

ماذا يحدث إذا كنت تستخدم كلا التكوينين

الخطوات التالية