Configurer les autorisations S Mo Stockage

FSLogix fonctionne avec des systèmes de stockage S Mo pour stocker des conteneurs Profil ou ODFC. Le stockage S Mo est utilisé dans les configurations standard où VHDLocations contient le chemin UNC vers les emplacements de stockage. Les fournisseurs de stockage S Mo peuvent également être utilisés dans les configurations du cache cloud où LESLOCATIONS SONT utilisées au lieu de VHDLocations.

Les autorisations de stockage S Mo s’appuient sur les listes de contrôle d’accès NTFS traditionnelles appliquées aux niveaux de fichiers ou de dossiers pour garantir la sécurité appropriée des données stockées. Quand vous utilisez Azure Files, vous devez activer une source Active Directory (AD), puis attribuer des autorisations au niveau du partage à la ressource. Vous pouvez attribuer des autorisations au niveau du partage de deux manières. Vous pouvez les affecter à des utilisateurs/groupes d’ID Entra spécifiques, et vous pouvez les affecter à toutes les identités authentifiées en tant qu’autorisation de niveau partage par défaut.

Avant de commencer

Avant de configurer les autorisations de stockage S Mo, vous devez d’abord avoir créé le fournisseur de stockage S Mo et correctement associé à l’autorité d’identité appropriée pour votre organisation et le type de fournisseur de stockage.

Important

Vous devez comprendre les processus nécessaires pour utiliser Azure Files ou Azure NetApp Files pour le stockage S Mo dans votre environnement.

Azure Files

Le plan fournit les concepts initiaux nécessaires lors de l’utilisation d’Azure Files en tant que fournisseur S Mo Stockage. Quelle que soit la configuration Active Directory sélectionnée, il est recommandé de configurer l’autorisationau niveau du partage par défaut à l’aide de Stockage Contributeur de données de fichiers Mo Contributeur de partage, qui est affecté à toutes les identités authentifiées. Pour pouvoir définir la ou les listes de contrôle d’accès Windows, veillez à attribuer des autorisations au niveau du partage pour des utilisateurs ou des groupes Entra ID spécifiques avec le rôle Stockage Données de fichier S Mo rôle Contributeur avec élévation de privilèges élevés et examiné Configurer les autorisations au niveau du répertoire et des fichiers sur S Mo.

1. Créez un partage de fichiers SMB Azure.
   • Activer l’authentification AD DS pour les partages de fichiers Azure
   • Activer l’authentification Azure Active Directory Domain Services sur Azure Files
   • Activer l’authentification Kerberos Azure Active Directory pour les identités hybrides sur Azure Files

Azure NetApp Files

Azure NetApp Files s’appuie uniquement sur les ACL Windows.

1. Créer un compte NetApp.
2. Comprendre les instructions pour services de domaine Active Directory conception et la planification de site pour Azure NetApp Files.
3. Créez un pool de capacités pour Azure NetApp Files.
4. Créer un volume SMB pour Azure NetApp Files.

Configurer les ACL Windows

Les listes de contrôle d’accès Windows sont importantes à configurer correctement afin que seul l’utilisateur (CREATOR OWNER) ait accès à son répertoire de profil ou à son fichier VHD(x). En outre, vous devez vous assurer que tous les autres groupes d’administration disposent d’un « contrôle total » du point de vue opérationnel. Ce concept est appelé accès basé sur l’utilisateur et est la configuration recommandée.

Tout partage de fichiers S Mo a un ensemble de listes de contrôle d’accès par défaut. Ces exemples sont les trois (3) types les plus courants de partages de fichiers S Mo et leurs ACL par défaut.

Liste de contrôle d’accès du serveur de fichiers	Azure Files Share ACL(s)	ACL Azure NetApp Files

Important

L’application des ACL aux partages de fichiers Azure peut nécessiter une (1) de deux méthodes (2) :

1. Fournissez un utilisateur ou un groupe avec Stockage rôle De données de fichier S Mo Partager un contributeur élevé au niveau du compte Stockage ou du contrôle d’accès au partage de fichiers (IAM).
2. Montez le partage de fichiers à l’aide de la clé de compte Stockage.

Étant donné qu’il existe des case activée d’accès à deux niveaux (le niveau de partage et le niveau fichier/répertoire), l’application de la ou des listes de contrôle d’accès est restreinte. Seuls les utilisateurs disposant du rôle Stockage Données de fichier S Mo Rôle Contributeur avec élévation de privilèges peuvent attribuer des autorisations sur la racine du partage de fichiers ou d’autres fichiers ou répertoires sans utiliser la clé de compte de stockage. Toutes les autres attributions d’autorisations de fichier/répertoire nécessitent la connexion préalable au partage à l’aide de la clé du compte de stockage.

ACL(s) recommandée(s)

Le tableau présente la ou les listes de contrôle d’accès recommandées à configurer.

Principal	Access	S’applique à	Description
CREATOR OWNER	Modifier (lecture/écriture)	Sous-dossiers et fichiers uniquement	Garantit que le répertoire de profil créé par l’utilisateur dispose des autorisations appropriées uniquement pour cet utilisateur.
CONTOSO\Domain Admins	Contrôle total	Ce dossier, ses sous-dossiers et ses fichiers	Remplacez par votre groupe d’organisations utilisés à des fins d’administration.
CONTOSO\Domain Users	Modifier (lecture/écriture)	Ce dossier uniquement	Permet aux utilisateurs autorisés de créer leur répertoire de profil. Remplacez par les utilisateurs de l’organisation qui ont besoin d’un accès pour créer des profils.

Appliquer des ACL Windows à l’aide d’icacls

Utilisez la commande Windows suivante pour configurer les autorisations recommandées pour tous les répertoires et fichiers sous le partage de fichiers, y compris le répertoire racine.

Remarque

N’oubliez pas de remplacer les valeurs d’espace réservé dans l’exemple par vos propres valeurs.

icacls \\contosoanf-1408.contoso.com\fsl-profiles /inheritance:r
icacls \\contosoanf-1408.contoso.com\fsl-profiles /grant:r "CREATOR OWNER":(OI)(CI)(IO)(M)
icacls \\contosoanf-1408.contoso.com\fsl-profiles /grant:r "CONTOSO\Domain Admins":(OI)(CI)(F)
icacls \\contosoanf-1408.contoso.com\fsl-profiles /grant:r "CONTOSO\Domain Users":(M)

Pour plus d’informations sur l’utilisation des listes de contrôle d’accès Windows et sur les différents types d’autorisations prises en charge, consultez la référence de ligne de commande pour les listes de contrôle d’accès Windows.

Appliquer des ACL Windows à l’aide de l’Explorateur Windows

Utilisez Windows Explorateur de fichiers pour appliquer les autorisations recommandées à tous les répertoires et fichiers sous le partage de fichiers, y compris le répertoire racine.

1. Ouvrez Windows Explorateur de fichiers à la racine du partage de fichiers.

2. Cliquez avec le bouton droit dans la zone ouverte dans le volet droit et sélectionnez Propriétés.

3. Sélectionnez l'onglet Sécurité .

4. Sélectionnez Avancé.

5. Sélectionnez Désactiver l’héritage.

   Remarque

   Si vous y êtes invité, supprimez les autorisations héritées au lieu de copier

6. Sélectionnez Ajouter.

7. Sélectionnez « Sélectionner un principal ».

8. Tapez « CREATOR OWNER » et sélectionnez Vérifier le nom, puis OK.

9. Pour « S’applique à : », sélectionnez « Sous-dossiers et fichiers uniquement ».

10. Pour « Autorisations de base : », sélectionnez « Modifier ».

11. Cliquez sur OK.

12. Répétez les étapes 6 à 11 en fonction des ACL recommandées.

13. Sélectionnez OK et OK pour terminer l’application des autorisations.

    

Appliquer des ACL Windows à l’aide de la configuration SIDDirSDDL

Par ailleurs, FSLogix fournit un paramètre de configuration qui définit la ou les ACL Windows sur le répertoire pendant le processus de création. Le paramètre de configuration SIDDirSDDL accepte une chaîne SDDL qui définit la ou les listes de contrôle d’accès à appliquer au répertoire lors de sa création.

Créer votre chaîne SDDL

1. Créez un dossier « Test » sur le partage de fichiers S Mo.

   

2. Modifiez les autorisations pour qu’elles correspondent à votre organisation.

   

3. Ouvrez un terminal PowerShell.

4. Tapez Get-Acl -Path \\contosoanf-1408.contoso.com\fsl-profiles\Test | Select-Object Sddl.

   

5. Copiez la sortie dans Bloc-notes Windows.

6. Remplacez O:BAG par (Définit le SID de l’utilisateur comme propriétaire du O:%sid% dossier).

7. Remplacez (A;OICIIO;0x1301bf;;;CO) par (A;OICIIO;0x1301bf;;;%sid%) (Donne les droits de modification SID de l’utilisateur à tous les éléments).

8. Dans votre configuration FSLogix, appliquez le paramètre SIDDirSDDL.

   • Nom de la valeur : SIDDirSDDL
   • Type de valeur : REG_SZ
   • Valeur :O:%sid%:DUD:PAI(A;OICIIO;0x1301bf;;;%sid%)(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-3260294598-3507968424-1365985680-2602)

9. Lorsque la connexion de l’utilisateur pour la première fois, son répertoire est créé avec ces autorisations.