Přiřazení oprávnění na úrovni sdílené složky

Jakmile pro účet úložiště povolíte zdroj služby Active Directory (AD), musíte nakonfigurovat oprávnění na úrovni sdílené složky, abyste ke sdílené složce získali přístup. Oprávnění na úrovni sdílené složky můžete přiřadit dvěma způsoby. Můžete je přiřadit konkrétním uživatelům nebo skupinám Microsoft Entra a přiřadit je všem ověřeným identitám jako výchozí oprávnění na úrovni sdílené složky.

Důležité

Úplné řízení správy sdílené složky, včetně možnosti převzít vlastnictví souboru, vyžaduje použití klíče účtu úložiště. Úplné řízení správy se u ověřování na základě identit nepodporuje.

Platí pro

Typ sdílené složky	SMB	NFS
Sdílené složky úrovně Standard (GPv2), LRS/ZRS
Sdílené složky úrovně Standard (GPv2), GRS/GZRS
Sdílené složky úrovně Premium (FileStorage), LRS/ZRS

Jakou konfiguraci byste měli použít

Oprávnění na úrovni sdílené složky Azure se konfigurují pro uživatele, skupiny nebo instanční objekty Microsoft Entra, zatímco oprávnění k adresáři a úrovni souborů se vynucují pomocí seznamů řízení přístupu (ACL) Windows. Abyste mohli podporovat ověřování AD DS sdílené složky pro sdílenou složku, musíte přiřadit identitě Microsoft Entra představující stejného uživatele, skupiny nebo instančního objektu ve službě AD DS. Ověřování a autorizace vůči identitám, které existují pouze v ID Microsoft Entra, jako jsou spravované identity Azure (MSI), se nepodporují.

Většina uživatelů by měla přiřadit oprávnění na úrovni sdílené složky konkrétním uživatelům nebo skupinám Microsoft Entra a pak používat seznamy ACL systému Windows k podrobnému řízení přístupu na úrovni adresáře a souboru. Toto je nejpřísnější a nejbezpečnější konfigurace.

Existují tři scénáře, kdy místo toho doporučujeme použít výchozí oprávnění na úrovni sdílené složky pro povolení přístupu přispěvatele, přispěvatele se zvýšenými oprávněními nebo čtenáře ke všem ověřeným identitám:

• Pokud nemůžete synchronizovat místní službu AD DS s Microsoft Entra ID, můžete použít výchozí oprávnění na úrovni sdílené složky. Přiřazení výchozího oprávnění na úrovni sdílené složky umožňuje obejít požadavek na synchronizaci, protože v Microsoft Entra ID nemusíte zadávat oprávnění k identitám. Seznamy ACL systému Windows pak můžete použít k podrobnému vynucení oprávnění u souborů a adresářů.
  • Identity, které jsou svázané s AD, ale nejdou synchronizovat s Microsoft Entra ID, můžou také využít výchozí oprávnění na úrovni sdílené složky. To může zahrnovat samostatné účty spravované služby (sMSA), účty spravovaných služeb (gMSA) a účty počítačů.
• Místní služba AD DS, kterou používáte, se synchuje s jiným ID Microsoft Entra, než je ID Microsoft Entra, ve kterém je sdílená složka nasazená.
  • To je typické při správě prostředí s více tenanty. Pomocí výchozího oprávnění na úrovni sdílené složky můžete obejít požadavek na hybridní identitu Microsoft Entra ID. Seznamy ACL systému Windows můžete dál používat v souborech a adresářích k podrobnému vynucení oprávnění.
• Dáváte přednost vynucení ověřování pouze pomocí seznamů ACL systému Windows na úrovni souboru a adresáře.

Poznámka:

Vzhledem k tomu, že účty počítačů nemají identitu v Microsoft Entra ID, nemůžete pro ně nakonfigurovat řízení přístupu na základě role (RBAC) Azure. Účty počítačů ale mají přístup ke sdílené složce pomocí výchozího oprávnění na úrovni sdílené složky.

Oprávnění na úrovni sdílené složky

Následující tabulka uvádí oprávnění na úrovni sdílené složky a jejich sladění s předdefinovanými rolemi Azure RBAC:

Podporované předdefinované role	Popis
Čtečka sdílené složky SMB s daty souboru úložiště	Umožňuje přístup pro čtení k souborům a adresářům ve sdílených složkách Azure. Tato role je podobná seznamu ACL sdílené složky na souborových serverech Windows. Další informace.
Přispěvatel sdílené složky SMB dat souborů úložiště	Umožňuje čtení, zápis a odstraňování přístupu k souborům a adresářům ve sdílených složkách Azure. Další informace.
Přispěvatel sdílené složky SMB se zvýšenými oprávněními k datům souboru úložiště	Umožňuje číst, zapisovat, odstraňovat a upravovat seznamy ACL u souborů a adresářů ve sdílených složkách Azure. Tato role je analogická ke změně seznamu ACL sdílené složky na souborových serverech Windows. Další informace.

Oprávnění na úrovni sdílení pro konkrétní uživatele nebo skupiny Microsoft Entra

Pokud chcete pro přístup k prostředkům sdílené složky Azure použít konkrétního uživatele nebo skupiny Microsoft Entra, musí být tato identita hybridní identitou, která existuje v místní službě AD DS i v Microsoft Entra ID. Řekněme například, že máte ve službě AD uživatele, který je user1@onprem.contoso.com a synchronizovali jste se s Microsoft Entra ID jako user1@contoso.com pomocí Microsoft Entra Připojení Sync nebo Microsoft Entra Připojení synchronizace cloudu. Aby tento uživatel měl přístup ke službě Azure Files, musíte přiřadit oprávnění user1@contoso.comna úrovni sdílené složky . Stejný koncept platí pro skupiny a instanční objekty.

Důležité

Přiřaďte oprávnění explicitním deklarováním akcí a datových akcí na rozdíl od použití zástupné znaky (*). Pokud definice vlastní role pro akci dat obsahuje zástupný znak, mají všechny identity přiřazené k této roli udělený přístup pro všechny možné akce dat. To znamená, že všem těmto identitám se také udělí jakákoli nová akce dat přidaná na platformu. Další přístup a oprávnění udělená prostřednictvím nových akcí nebo akcí dat mohou být nežádoucí chování pro zákazníky používající zástupný znak.

Aby oprávnění na úrovni sdílené složky fungovala, musíte:

• Synchronizujte uživatele a skupiny z místní ad do Microsoft Entra ID pomocí místní aplikace Microsoft Entra Připojení Sync nebo cloudové synchronizace Microsoft Entra Připojení, odlehčeného agenta, který je možné nainstalovat z centra Microsoft Entra Správa Center.
• Přidejte do role RBAC synchronizované skupiny AD, aby měli přístup k vašemu účtu úložiště.

Tip

Volitelné: Zákazníci, kteří chtějí migrovat oprávnění na úrovni sdílené složky serveru SMB do oprávnění RBAC, můžou pomocí Move-OnPremSharePermissionsToAzureFileShare rutiny PowerShellu migrovat oprávnění adresáře a souborů z místního prostředí do Azure. Tato rutina vyhodnotí skupiny konkrétní místní sdílené složky a pak zapíše příslušné uživatele a skupiny do sdílené složky Azure pomocí tří rolí RBAC. Při vyvolání rutiny zadáte informace pro místní sdílenou složku a sdílenou složku Azure.

Pomocí webu Azure Portal, Azure PowerShellu nebo Azure CLI můžete přiřadit předdefinované role identitě Microsoft Entra uživatele za účelem udělení oprávnění na úrovni sdílené složky.

Důležité

Po dokončení se oprávnění na úrovni sdílené složky projeví až tři hodiny. Než se připojíte ke sdílené složce pomocí přihlašovacích údajů, počkejte na synchronizaci oprávnění.

Azure Portal

Pokud chcete přiřadit roli Azure identitě Microsoft Entra pomocí webu Azure Portal, postupujte takto:

1. Na webu Azure Portal přejděte do sdílené složky nebo vytvořte sdílenou složku.
2. Vyberte Řízení přístupu (IAM).
3. Vyberte Přidat přiřazení role.
4. V okně Přidat přiřazení role vyberte v seznamu rolí odpovídající předdefinované role.
   1. Čtenář sdílené složky SMB dat souboru úložiště
   2. Přispěvatel sdílené složky SMB dat souboru úložiště
   3. Přispěvatel sdílené složky SMB dat souboru úložiště s vyššími oprávněními
5. Ponechte možnost Přiřadit přístup k výchozímu nastavení: Uživatel, skupina nebo instanční objekt Microsoft Entra. Vyberte cílovou identitu Microsoft Entra podle jména nebo e-mailové adresy. Vybraná identita Microsoft Entra musí být hybridní identita a nemůže být pouze cloudovou identitou. To znamená, že stejná identita je také reprezentována ve službě AD DS.
6. Výběrem možnosti Uložit dokončete operaci přiřazení role.

Azure PowerShell

Následující ukázka PowerShellu ukazuje, jak přiřadit roli Azure identitě Microsoft Entra na základě názvu přihlášení. Další informace o přiřazování rolí Azure pomocí PowerShellu najdete v tématu Přidání nebo odebrání přiřazení rolí Azure pomocí modulu Azure PowerShellu.

Před spuštěním následujícího ukázkového skriptu nahraďte zástupné hodnoty, včetně hranatých závorek, hodnotami.

#Get the name of the custom role
$FileShareContributorRole = Get-AzRoleDefinition "<role-name>" #Use one of the built-in roles: Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor, Storage File Data SMB Share Elevated Contributor
#Constrain the scope to the target file share
$scope = "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/fileServices/default/fileshares/<share-name>"
#Assign the custom role to the target identity with the specified scope.
New-AzRoleAssignment -SignInName <user-principal-name> -RoleDefinitionName $FileShareContributorRole.Name -Scope $scope

Azure CLI

Následující příkaz CLI 2.0 přiřadí roli Azure identitě Microsoft Entra na základě názvu přihlášení. Další informace o přiřazování rolí Azure pomocí Azure CLI najdete v tématu Přidání nebo odebrání přiřazení rolí Azure pomocí Azure CLI.

Než spustíte následující ukázkový skript, nezapomeňte nahradit zástupné hodnoty, včetně hranatých závorek, vlastními hodnotami.

#Assign the built-in role to the target identity: Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor, Storage File Data SMB Share Elevated Contributor
az role assignment create --role "<role-name>" --assignee <user-principal-name> --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/fileServices/default/fileshares/<share-name>"

Oprávnění na úrovni sdílené složky pro všechny ověřené identity

Pro účet úložiště můžete přidat výchozí oprávnění na úrovni sdílené složky místo konfigurace oprávnění na úrovni sdílené složky pro uživatele nebo skupiny Microsoft Entra. Výchozí oprávnění na úrovni sdílené složky přiřazené k vašemu účtu úložiště platí pro všechny sdílené složky obsažené v účtu úložiště.

Když nastavíte výchozí oprávnění na úrovni sdílené složky, budou mít všichni ověření uživatelé a skupiny stejné oprávnění. Ověření uživatelé nebo skupiny jsou identifikováni jako identita, která se dá ověřit v místní službě AD DS, ke které je účet úložiště přidružený. Výchozí oprávnění na úrovni sdílené složky je nastaveno na None při inicializaci, což znamená, že ke souborům nebo adresářům ve sdílené složce Azure není povolený žádný přístup.

Azure Portal

Pokud chcete nakonfigurovat výchozí oprávnění na úrovni sdílené složky pro účet úložiště pomocí webu Azure Portal, postupujte takto.

1. Na webu Azure Portal přejděte do účtu úložiště, který obsahuje vaše sdílené složky, a vyberte Sdílené složky datového úložiště>.

2. Před přiřazením výchozích oprávnění na úrovni sdílené složky musíte ve svém účtu úložiště povolit zdroj AD. Pokud jste to už udělali, vyberte Active Directory a pokračujte dalším krokem. V opačném případě vyberte Active Directory: Nenakonfigurováno, vyberte Nastavit v požadovaném zdroji AD a povolte zdroj AD.

3. Po povolení zdroje AD bude krok 2: Nastavení oprávnění na úrovni sdílené složky k dispozici pro konfiguraci. Vyberte Povolit oprávnění pro všechny ověřené uživatele a skupiny.

   

4. V rozevíracím seznamu vyberte příslušnou roli, která se má povolit jako výchozí oprávnění ke sdílené složce.

5. Zvolte Uložit.

Azure PowerShell

Pomocí následujícího skriptu můžete nakonfigurovat výchozí oprávnění na úrovni sdílené složky pro váš účet úložiště. Výchozí oprávnění na úrovni sdílené složky můžete povolit jenom u účtů úložiště přidružených k adresářové službě pro ověřování azure Files.

Před spuštěním následujícího skriptu se ujistěte, že je modul Az.Storage verze 3.7.0 nebo novější. Doporučujeme aktualizovat na nejnovější verzi.

$defaultPermission = "None|StorageFileDataSmbShareContributor|StorageFileDataSmbShareReader|StorageFileDataSmbShareElevatedContributor" # Set the default permission of your choice

$account = Set-AzStorageAccount -ResourceGroupName "<resource-group-name-here>" -AccountName "<storage-account-name-here>" -DefaultSharePermission $defaultPermission

$account.AzureFilesIdentityBasedAuth

Azure CLI

Pomocí následujícího skriptu můžete nakonfigurovat výchozí oprávnění na úrovni sdílené složky pro váš účet úložiště. Výchozí oprávnění na úrovni sdílené složky můžete povolit jenom u účtů úložiště přidružených k adresářové službě pro ověřování azure Files.

Před spuštěním následujícího skriptu se ujistěte, že je azure CLI verze 2.24.1 nebo novější.

# Declare variables
storageAccountName="YourStorageAccountName"
resourceGroupName="YourResourceGroupName"
defaultPermission="None|StorageFileDataSmbShareContributor|StorageFileDataSmbShareReader|StorageFileDataSmbShareElevatedContributor" # Set the default permission of your choice

az storage account update --name $storageAccountName --resource-group $resourceGroupName --default-share-permission $defaultPermission

Co se stane, když použijete obě konfigurace

Můžete také přiřadit oprávnění všem ověřeným uživatelům Microsoft Entra a konkrétním uživatelům nebo skupinám Microsoft Entra. V této konfiguraci bude mít konkrétní uživatel nebo skupina oprávnění vyšší úrovně z výchozího oprávnění na úrovni sdílené složky a přiřazení RBAC. Jinými slovy řečeno, řekněme, že jste uživateli udělili roli Čtenář SMB pro souborová data úložiště v cílové sdílené složce. Zároveň jste všem ověřeným uživatelům udělili výchozí oprávnění k ukládání dat protokolu SMB se zvýšenými oprávněními na úrovni sdílené složky. V této konfiguraci bude mít konkrétní uživatel úroveň přístupu ke sdílené složce smb dat úložiště se zvýšenými oprávněními přispěvatele . Oprávnění vyšší úrovně mají vždy přednost.

Další kroky

Teď, když jste přiřadili oprávnění na úrovni sdílené složky, můžete nakonfigurovat oprávnění na úrovni adresáře a souboru. Mějte na paměti, že platnost oprávnění na úrovni sdílené složky může trvat až tři hodiny.