Atribuir permissões ao nível da partilha

  • Artigo

Depois de ativar uma origem do Active Directory (AD) para a conta de armazenamento, tem de configurar permissões ao nível da partilha para obter acesso à partilha de ficheiros. Há duas maneiras de atribuir permissões de nível de compartilhamento. Você pode atribuí-los a usuários/grupos específicos do Microsoft Entra e atribuí-los a todas as identidades autenticadas como uma permissão padrão de nível de compartilhamento.

Importante

O controle administrativo total de um compartilhamento de arquivos, incluindo a capacidade de assumir a propriedade de um arquivo, requer o uso da chave da conta de armazenamento. O controle administrativo total não é suportado com a autenticação baseada em identidade.

Aplica-se a

Tipo de partilhas de ficheiros SMB NFS
Partilhas de ficheiros Standard (GPv2), LRS/ZRS Yes No
Partilhas de ficheiros Standard (GPv2), GRS/GZRS Yes No
Partilhas de ficheiros Premium (FileStorage), LRS/ZRS Yes No

Qual configuração você deve usar

As permissões de nível de compartilhamento em compartilhamentos de arquivos do Azure são configuradas para usuários, grupos ou entidades de serviço do Microsoft Entra, enquanto as permissões de nível de diretório e arquivo são impostas usando ACLs (listas de controle de acesso) do Windows. Você deve atribuir permissões de nível de compartilhamento à identidade do Microsoft Entra que representa o mesmo usuário, grupo ou entidade de serviço em seu AD DS para dar suporte à autenticação do AD DS em seu compartilhamento de arquivos do Azure. Não há suporte para autenticação e autorização contra identidades que só existem no Microsoft Entra ID, como Identidades Gerenciadas do Azure (MSIs).

A maioria dos usuários deve atribuir permissões de nível de compartilhamento a usuários ou grupos específicos do Microsoft Entra e, em seguida, usar ACLs do Windows para controle de acesso granular no nível de diretório e arquivo. Esta é a configuração mais rigorosa e segura.

Há três cenários em que, em vez disso, recomendamos o uso de uma permissão padrão de nível de compartilhamento para permitir o acesso de colaborador, colaborador elevado ou leitor a todas as identidades autenticadas:

  • Se não conseguir sincronizar o AD DS local com o ID do Microsoft Entra, pode utilizar uma permissão de nível de partilha predefinida. A atribuição de uma permissão padrão no nível de compartilhamento permite que você contorne o requisito de sincronização porque não precisa especificar a permissão para identidades na ID do Microsoft Entra. Em seguida, você pode usar ACLs do Windows para imposição de permissão granular em seus arquivos e diretórios.
    • As identidades que estão vinculadas a um AD, mas não estão sincronizadas com o Microsoft Entra ID, também podem aproveitar a permissão padrão no nível de compartilhamento. Isso pode incluir contas de serviço gerenciado autônomas (sMSA), contas de serviço gerenciado de grupo (gMSA) e contas de computador.
  • O AD DS local que você está usando é sincronizado com uma ID do Microsoft Entra diferente da ID do Microsoft Entra na qual o compartilhamento de arquivos está implantado.
    • Isso é típico quando você está gerenciando ambientes multilocatário. O uso de uma permissão padrão de nível de compartilhamento permite que você ignore o requisito de uma identidade híbrida do Microsoft Entra ID. Você ainda pode usar ACLs do Windows em seus arquivos e diretórios para imposição de permissão granular.
  • Você prefere impor a autenticação somente usando ACLs do Windows no nível de arquivo e diretório.

Nota

Como as contas de computador não têm uma identidade no Microsoft Entra ID, não é possível configurar o RBAC (controle de acesso baseado em função) do Azure para elas. No entanto, as contas de computador podem acessar um compartilhamento de arquivos usando uma permissão padrão de nível de compartilhamento.

Permissões de nível de compartilhamento

A tabela a seguir lista as permissões de nível de compartilhamento e como elas se alinham com as funções internas do RBAC do Azure:

Funções internas suportadas Descrição
Leitor de compartilhamento SMB de dados de arquivo de armazenamento Permite acesso de leitura a arquivos e diretórios em compartilhamentos de arquivos do Azure. Essa função é análoga a uma ACL de compartilhamento de arquivos de leitura em servidores de arquivos do Windows. Saiba mais.
Contribuidor de compartilhamento SMB de dados de arquivo de armazenamento Permite ler, gravar e excluir acesso em arquivos e diretórios em compartilhamentos de arquivos do Azure. Saiba mais.
Contribuidor elevado de compartilhamento SMB de dados de arquivos de armazenamento Permite ler, gravar, excluir e modificar ACLs em arquivos e diretórios em compartilhamentos de arquivos do Azure. Essa função é análoga a uma ACL de compartilhamento de arquivos de alteração em servidores de arquivos do Windows. Saiba mais.

Permissões de nível de compartilhamento para usuários ou grupos específicos do Microsoft Entra

Se você pretende usar um usuário ou grupo específico do Microsoft Entra para acessar recursos de compartilhamento de arquivos do Azure, essa identidade deve ser uma identidade híbrida que existe no AD DS local e na ID do Microsoft Entra. Por exemplo, digamos que você tenha um usuário em seu AD que esteja user1@onprem.contoso.com e tenha sincronizado com o ID do Microsoft Entra como user1@contoso.com usando o Microsoft Entra Connect Sync ou a sincronização de nuvem do Microsoft Entra Connect. Para que esse usuário acesse os Arquivos do Azure, você deve atribuir as permissões de nível de compartilhamento ao user1@contoso.com. O mesmo conceito se aplica a grupos e entidades de serviço.

Importante

Atribua permissões declarando explicitamente ações e ações de dados em vez de usar um caractere curinga (*). Se uma definição de função personalizada para uma ação de dados contiver um caractere curinga, todas as identidades atribuídas a essa função receberão acesso para todas as ações de dados possíveis. Isso significa que todas essas identidades também receberão qualquer nova ação de dados adicionada à plataforma. O acesso adicional e as permissões concedidas por meio de novas ações ou ações de dados podem ser um comportamento indesejado para os clientes que usam curinga.

Para que as permissões de nível de compartilhamento funcionem, você deve:

  • Sincronize os usuários e os grupos do AD local com a ID do Microsoft Entra usando o aplicativo local Microsoft Entra Connect Sync ou a sincronização na nuvem do Microsoft Entra Connect, um agente leve que pode ser instalado a partir do Centro de Administração do Microsoft Entra.
  • Adicione grupos sincronizados do AD à função RBAC para que eles possam acessar sua conta de armazenamento.

Gorjeta

Opcional: os clientes que desejam migrar permissões de nível de compartilhamento do servidor SMB para permissões RBAC podem usar o cmdlet do PowerShell para migrar permissões de diretório e nível de arquivo do local para o Move-OnPremSharePermissionsToAzureFileShare Azure. Este cmdlet avalia os grupos de um compartilhamento de arquivos local específico e, em seguida, grava os usuários e grupos apropriados no compartilhamento de arquivos do Azure usando as três funções RBAC. Você fornece as informações para o compartilhamento local e o compartilhamento de arquivos do Azure ao invocar o cmdlet.

Você pode usar o portal do Azure, o Azure PowerShell ou a CLI do Azure para atribuir as funções internas à identidade Microsoft Entra de um usuário para conceder permissões de nível de compartilhamento.

Importante

As permissões de nível de compartilhamento levarão até três horas para entrar em vigor depois de concluídas. Aguarde a sincronização das permissões antes de se conectar ao seu compartilhamento de arquivos usando suas credenciais.

Para atribuir uma função do Azure a uma identidade do Microsoft Entra, usando o portal do Azure, siga estas etapas:

  1. No portal do Azure, vá para seu compartilhamento de arquivos ou crie um compartilhamento de arquivos.
  2. Selecione Controlo de Acesso (IAM).
  3. Selecione Adicionar uma atribuição de função
  4. Na folha Adicionar atribuição de função, selecione a função interna apropriada na lista Função.
    1. Leitor de Partilhas SMB de Dados de Ficheiros de Armazenamento
    2. Contribuinte de Partilhas SMB de Dados de Ficheiros de Armazenamento
    3. Contribuinte Elevado de Partilhas SMB de Dados de Ficheiros de Armazenamento
  5. Deixe Atribuir acesso a na configuração padrão: usuário, grupo ou entidade de serviço do Microsoft Entra. Selecione a identidade do Microsoft Entra de destino por nome ou endereço de e-mail. A identidade selecionada do Microsoft Entra deve ser uma identidade híbrida e não pode ser uma identidade somente na nuvem. Isso significa que a mesma identidade também é representada no AD DS.
  6. Selecione Salvar para concluir a operação de atribuição de função.

Permissões de nível de compartilhamento para todas as identidades autenticadas

Você pode adicionar uma permissão padrão de nível de compartilhamento em sua conta de armazenamento, em vez de configurar permissões de nível de compartilhamento para usuários ou grupos do Microsoft Entra. Uma permissão padrão de nível de compartilhamento atribuída à sua conta de armazenamento se aplica a todos os compartilhamentos de arquivos contidos na conta de armazenamento.

Quando você define uma permissão padrão de nível de compartilhamento, todos os usuários e grupos autenticados terão a mesma permissão. Os usuários ou grupos autenticados são identificados à medida que a identidade pode ser autenticada no AD DS local ao qual a conta de armazenamento está associada. A permissão padrão no nível de compartilhamento é definida como Nenhum na inicialização, implicando que nenhum acesso é permitido a arquivos ou diretórios no compartilhamento de arquivos do Azure.

Para configurar permissões padrão de nível de compartilhamento em sua conta de armazenamento usando o portal do Azure, siga estas etapas.

  1. No portal do Azure, vá para a conta de armazenamento que contém o(s) seu(s) compartilhamento(s) de arquivos e selecione Compartilhamentos de arquivos de armazenamento > de dados.

  2. Você deve habilitar uma fonte do AD em sua conta de armazenamento antes de atribuir permissões padrão no nível de compartilhamento. Se você já tiver feito isso, selecione Ative Directory e prossiga para a próxima etapa. Caso contrário, selecione Ative Directory: Não configurado, selecione Configurar na fonte do AD desejada e habilite a fonte do AD.

  3. Depois de habilitar uma fonte do AD, a Etapa 2: Definir permissões de nível de compartilhamento estará disponível para configuração. Selecione Habilitar permissões para todos os usuários e grupos autenticados.

    Screenshot showing how to set a default share-level permission using the Azure portal.

  4. Selecione a função apropriada a ser habilitada como a permissão de compartilhamento padrão na lista suspensa.

  5. Selecione Guardar.

O que acontece se você usar ambas as configurações

Você também pode atribuir permissões a todos os usuários autenticados do Microsoft Entra e usuários/grupos específicos do Microsoft Entra. Com essa configuração, um usuário ou grupo específico terá a permissão de nível superior da permissão padrão de nível de compartilhamento e atribuição RBAC. Em outras palavras, digamos que você concedeu a um usuário a função Storage File Data SMB Reader no compartilhamento de arquivos de destino. Você também concedeu a permissão padrão de nível de compartilhamento Storage File Data SMB Share Elevated Contributor a todos os usuários autenticados. Com essa configuração, esse usuário específico terá o nível de Colaborador Elevado de Compartilhamento SMB de Dados de Arquivo de Armazenamento ao compartilhamento de arquivos. As permissões de nível superior sempre têm precedência.

Próximos passos

Agora que você atribuiu permissões de nível de compartilhamento, você pode configurar permissões de nível de diretório e arquivo. Lembre-se de que as permissões de nível de compartilhamento podem levar até três horas para entrar em vigor.