Parte dois: atribuir permissões de nível de partilha a uma identidadePart two: assign share-level permissions to an identity

Antes de iniciar este artigo, certifique-se de ter completado o artigo anterior, Ativar a autenticação DS AD para a sua conta.Before you begin this article, make sure you've completed the previous article, Enable AD DS authentication for your account.

Uma vez ativada a autenticação dos Serviços de Domínio do Diretório Ativo (DS AD) na sua conta de armazenamento, tem de configurar permissões de nível de partilha para ter acesso às suas ações de ficheiros.Once you've enabled Active Directory Domain Services (AD DS) authentication on your storage account, you must configure share-level permissions in order to get access to your file shares. A identidade que pretende aceder aos recursos de partilha de ficheiros Azure deve ser uma identidade híbrida que existe tanto na AD DS como na Azure AD.The identity you want to access Azure file share resources with must be a hybrid identity that exists in both AD DS and Azure AD. Por exemplo, digamos que tem um utilizador no seu DS AD que é user1@onprem.contoso.com e que sincronizou com a Azure AD como user1@contoso.com usando a sincronização Azure AD Connect. Para permitir que este utilizador aceda a Ficheiros Azure, tem de atribuir as permissões de nível de partilha a user1@contoso.com .For example, say you have a user in your AD DS that is user1@onprem.contoso.com and you have synced to Azure AD as user1@contoso.com using Azure AD Connect sync. To allow this user to access Azure Files, you must assign the share-level permissions to user1@contoso.com. O mesmo conceito aplica-se a grupos ou princípios de serviço.The same concept applies to groups or service principals. Por isso, deve sincronizar os utilizadores e grupos do seu DS AD AD a Azure AD utilizando a sincronização Azure AD Connect.Because of this, you must sync the users and groups from your AD DS to Azure AD using Azure AD Connect sync.

As permissões de nível de partilha devem ser atribuídas à identidade Azure AD que representa o mesmo utilizador ou grupo no seu DS AD para suportar a autenticação AD DS na sua partilha de ficheiros Azure.Share-level permissions must be assigned to the Azure AD identity representing the same user or group in your AD DS to support AD DS authentication to your Azure file share. A autenticação e autorização contra identidades que só existem em Azure AD, como as Identidades Geridas Azure (MSIs), não são suportadas com a autenticação de DS AD.Authentication and authorization against identities that only exist in Azure AD, such as Azure Managed Identities (MSIs), are not supported with AD DS authentication. Este artigo demonstra como atribuir permissões de nível de partilha para uma partilha de ficheiros a uma identidade.This article demonstrates how to assign share-level permissions for a file share to an identity.

Permissões de nível de partilhaShare-level permissions

Geralmente, recomendamos a utilização de permissões de nível de partilha para uma gestão de acesso de alto nível a um grupo AD Azure que representa um grupo de utilizadores e identidades, aproveitando depois os ACLs do Windows para o controlo de acesso granular ao nível do diretório/ficheiro.Generally, we recommend using share level permissions for high-level access management to an Azure AD group representing a group of users and identities, then leveraging Windows ACLs for granular access control to the directory/file level.

Existem três funções integradas da Azure para a concessão de permissões de nível de partilha aos utilizadores:There are three Azure built-in roles for granting share-level permissions to users:

  • O Storage File Data SMB Share Reader permite o acesso de leitura em ações de ficheiros de armazenamento Azure sobre SMB.Storage File Data SMB Share Reader allows read access in Azure Storage file shares over SMB.
  • O Storage File Data SMB Share Contributor permite ler, escrever e eliminar o acesso em ações de ficheiros de armazenamento Azure em todo o SMB.Storage File Data SMB Share Contributor allows read, write, and delete access in Azure Storage file shares over SMB.
  • Dados de ficheiros de armazenamento SMB Share Contribuinte Elevado permite ler, escrever, excluir e modificar ACLs do Windows em ações de ficheiros de armazenamento Azure em todo o SMB.Storage File Data SMB Share Elevated Contributor allows read, write, delete, and modify Windows ACLs in Azure Storage file shares over SMB.

Importante

O controlo administrativo total de uma parte de ficheiro, incluindo a capacidade de apropriar-se de um ficheiro, requer a utilização da chave da conta de armazenamento.Full administrative control of a file share, including the ability to take ownership of a file, requires using the storage account key. O controlo administrativo não é suportado com credenciais Azure AD.Administrative control is not supported with Azure AD credentials.

Pode utilizar o portal Azure, Azure PowerShell ou Azure CLI para atribuir as funções incorporadas à identidade AD AZure de um utilizador para a concessão de permissões de nível de partilha.You can use the Azure portal, Azure PowerShell, or Azure CLI to assign the built-in roles to the Azure AD identity of a user for granting share-level permissions.

Atribuir um papel AzureAssign an Azure role

Portal do AzureAzure portal

Para atribuir um papel de Azure a uma identidade AD Azure, utilizando o portal Azure,siga estes passos:To assign an Azure role to an Azure AD identity, using the Azure portal, follow these steps:

  1. No portal Azure, vá à sua partilha de ficheiros ou crie uma partilha de ficheiros.In the Azure portal, go to your file share, or create a file share.
  2. Selecione Controlo de Acesso (IAM).Select Access Control (IAM).
  3. Selecione Adicionar uma atribuição de funçãoSelect Add a role assignment
  4. Na lâmina de atribuição de funções Add, selecione a função incorporada adequada (Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor) da lista Role.In the Add role assignment blade, select the appropriate built-in role (Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor) from the Role list. Deixar Atribuir acesso à definição predefinida: utilizador, grupo ou principal de serviço Azure.Leave Assign access to at the default setting: Azure AD user, group, or service principal. Selecione a identidade AD Azure alvo pelo nome ou endereço de e-mail.Select the target Azure AD identity by name or email address. A identidade AD AD selecionada deve ser uma identidade híbrida e não pode ser apenas uma identidade em nuvem.The selected Azure AD identity must be a hybrid identity and cannot be a cloud only identity. Isto significa que a mesma identidade também está representada na DS AD.This means that the same identity is also represented in AD DS.
  5. Selecione Guardar para completar a operação de atribuição de funções.Select Save to complete the role assignment operation.

PowerShellPowerShell

A seguinte amostra powerShell mostra como atribuir um papel Azure a uma identidade AD Azure, com base no nome de inscrição.The following PowerShell sample shows how to assign an Azure role to an Azure AD identity, based on sign-in name. Para obter mais informações sobre a atribuição de funções Azure com PowerShell, consulte adicionar ou remover atribuições de funções Azure utilizando o módulo Azure PowerShell.For more information about assigning Azure roles with PowerShell, see Add or remove Azure role assignments using the Azure PowerShell module.

Antes de executar o seguinte script de amostra, substitua os valores do espaço reservado, incluindo os parênteses, pelos seus valores.Before you run the following sample script, replace placeholder values, including brackets, with your values.

#Get the name of the custom role
$FileShareContributorRole = Get-AzRoleDefinition "<role-name>" #Use one of the built-in roles: Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor, Storage File Data SMB Share Elevated Contributor
#Constrain the scope to the target file share
$scope = "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/fileServices/default/fileshares/<share-name>"
#Assign the custom role to the target identity with the specified scope.
New-AzRoleAssignment -SignInName <user-principal-name> -RoleDefinitionName $FileShareContributorRole.Name -Scope $scope

CLICLI

O seguinte comando CLI 2.0 atribui um papel Azure a uma identidade AD Azure, com base no nome de inscrição.The following CLI 2.0 command assigns an Azure role to an Azure AD identity, based on sign-in name. Para obter mais informações sobre a atribuição de funções Azure com Azure CLI, consulte adicionar ou remover atribuições de funções Azure utilizando o Azure CLI.For more information about assigning Azure roles with Azure CLI, see Add or remove Azure role assignments using the Azure CLI.

Antes de executar o seguinte script de amostra, lembre-se de substituir os valores do espaço reservado, incluindo os suportes, pelos seus próprios valores.Before you run the following sample script, remember to replace placeholder values, including brackets, with your own values.

#Assign the built-in role to the target identity: Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor, Storage File Data SMB Share Elevated Contributor
az role assignment create --role "<role-name>" --assignee <user-principal-name> --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/fileServices/default/fileshares/<share-name>"

Passos seguintesNext steps

Agora que atribuiu permissões de nível de partilha, tem de configurar o diretório e as permissões de nível de ficheiro.Now that you've assigned share-level permissions, you must configure directory and file-level permissions. Continue para o próximo artigo.Continue to the next article.

Parte três: configurar o diretório e as permissões de nível de ficheiro sobre o SMBPart three: configure directory and file level permissions over SMB