Назначение разрешений на уровне общего ресурса

Когда вы включите проверку подлинности Active Directory (AD) в своей учетной записи хранения, вам нужно будет настроить разрешения на уровне общей папки, чтобы получить доступ к своей общей папке. Существует два способа назначения разрешений на уровне общего ресурса. Их можно назначить определенным пользователям и группам Microsoft Entra, и их можно назначить всем удостоверениям, прошедшим проверку подлинности, как разрешение на уровне общего доступа по умолчанию.

Важно!

Полный административный контроль над файловым ресурсом, включая возможность стать владельцем файла, требует использования ключа учетной записи хранения. Полный административный контроль не поддерживается при проверке подлинности на основе удостоверений.

Применяется к

Тип общей папки	SMB	NFS
Стандартные общие папки (GPv2), LRS/ZRS
Стандартные общие папки (GPv2), GRS/GZRS
Общие папки уровня "Премиум" (FileStorage), LRS/ZRS

Какую конфигурацию следует использовать

Разрешения на уровне общего доступа в общих папках Azure настраиваются для пользователей, групп или субъектов-служб Microsoft Entra, а разрешения на уровне каталога и файлов применяются с помощью списков управления доступом Windows (ACL). Для поддержки проверки подлинности AD DS в общей папке Azure необходимо назначить удостоверение Microsoft Entra, представляющее того же пользователя, группы или субъекта-службы в AD DS. Проверка подлинности и авторизация для удостоверений, которые существуют только в идентификаторе Microsoft Entra, например управляемых удостоверений Azure (MSIs), не поддерживаются.

Большинство пользователей должны назначать разрешения на уровне общего доступа определенным пользователям или группам Microsoft Entra, а затем использовать списки управления доступом Windows для детального управления доступом на уровне каталогов и файлов. Это самая строгая и безопасная конфигурация.

Существует три сценария, в которых мы рекомендуем использовать разрешение на уровне общего ресурса по умолчанию, чтобы разрешить участник, повышенные привилегии участник или доступ читателя ко всем удостоверениям, прошедшим проверку подлинности:

• Если вы не можете синхронизировать локальные ad DS с идентификатором Microsoft Entra ID, вы можете использовать разрешение на общий уровень по умолчанию. Назначение разрешения на уровне общего ресурса по умолчанию позволяет обойти требование синхронизации, так как вам не нужно указывать разрешение для удостоверений в идентификаторе Microsoft Entra. Затем можно использовать Windows ACL для детализированного применения разрешений к файлам и каталогам.
  • Удостоверения, привязанные к AD, но не синхронизированы с идентификатором Microsoft Entra, также могут использовать разрешение уровня общего доступа по умолчанию. Это может включать автономные управляемые учетные записи служб (sMSA), групповые управляемые учетные записи служб (gMSA) и учетные записи компьютеров.
• Локальные доменные службы AD DS, которые вы используете, синхронизируются с другим идентификатором Microsoft Entra, чем идентификатор Microsoft Entra ID, в который развертывается общая папка.
  • Это обычно происходит при управлении средами с несколькими клиентами. Использование разрешения на уровне общего ресурса по умолчанию позволяет обойти требование гибридного удостоверения идентификатора Microsoft Entra ID. Вы по-прежнему можете использовать Windows ACL для файлов и каталогов, чтобы обеспечить детализированное применение разрешений.
• Вы предпочитаете применять проверку подлинности только с помощью списков управления доступом Windows на уровне файлов и каталогов.

Примечание.

Так как учетные записи компьютеров не имеют удостоверения в идентификаторе Microsoft Entra ID, для них не удается настроить управление доступом на основе ролей Azure (RBAC). Однако учетные записи компьютеров могут получить доступ к общей папке с помощью разрешения уровня общего доступа по умолчанию.

Разрешения на уровне общего ресурса

В следующей таблице перечислены разрешения на уровне общего доступа и их соответствие встроенным ролям Azure RBAC:

Поддерживаемые встроенные роли	Description
Читатель общей папки файловых данных хранилища SMB	Разрешает доступ на чтение файлов и каталогов в общих папках Azure. Эта роль аналогична ACL общей папки для чтения данных на файловых серверах Windows. Подробнее.
Участник общей папки файловых данных хранилища SMB	Разрешает доступ на чтение, запись и удаление файлов и каталогов в общих папках Azure. Подробнее.
Участник общих папок данных SMB службы хранилища с повышенными правами	Разрешает доступ на чтение, запись, удаление и изменение списков управления доступом для файлов и каталогов в общих папках Azure. Эта роль аналогична ACL общей папки для изменения данных на файловых серверах Windows. Подробнее.

Разрешения на уровне общего доступа для определенных пользователей или групп Microsoft Entra

Если вы планируете использовать определенный пользователь Или группу Microsoft Entra для доступа к ресурсам общей папки Azure, это удостоверение должно быть гибридным удостоверением , которое существует как в локальных AD DS, так и в идентификаторе Microsoft Entra. Например, предположим, что у вас есть пользователь в AD и user1@onprem.contoso.com вы синхронизировали с идентификатором user1@contoso.com Microsoft Entra как с помощью Microsoft Entra Подключение Sync или Microsoft Entra Подключение облачной синхронизации. Для доступа к Файлы Azure этого пользователя необходимо назначить разрешения user1@contoso.comна уровне общего ресурса. Та же концепция применяется к группам и субъектам-службам.

Важно!

Назначьте разрешения, объявляя действия и действия с данными явным образом, а не с помощью подстановочного знака (*). Если определение пользовательской роли для действия с данными содержит подстановочный знак, все удостоверения, назначенные этой роли, получают доступ ко всем возможным действиям с данными. Это означает, что всем таким удостоверениям также будет предоставлен доступ к любому новому действию с данными, добавленному на платформу. Дополнительные доступ и разрешения, предоставляемые через новые действия или действия с данными, могут быть нежелательными для клиентов, использующих подстановочные знаки.

Чтобы разрешения на уровне общего доступа работали, необходимо выполнить следующие действия:

• Синхронизируйте пользователей и группы из локальной службы AD с идентификатором Microsoft Entra с помощью локального приложения Microsoft Entra Подключение Sync или Microsoft Entra Подключение облачной синхронизации, упрощенного агента, который можно установить из Центра Администратор Майкрософт.
• Добавьте синхронизированные группы AD в роль RBAC, чтобы они могли получить доступ к учетной записи хранения.

Совет

Необязательный вариант. Клиенты, которые хотят перенести разрешения уровня сервера S МБ на разрешения RBAC, могут использовать Move-OnPremSharePermissionsToAzureFileShare командлет PowerShell для переноса разрешений каталога и уровня файлов из локальной среды в Azure. Этот командлет оценивает группы определенной локальной общей папки, а затем записывает соответствующих пользователей и групп в общую папку Azure с помощью трех ролей RBAC. Вы предоставляете сведения о локальном ресурсе и общей папке Azure при вызове командлета.

Вы можете использовать портал Azure, Azure PowerShell или Azure CLI для назначения встроенных ролей удостоверению Microsoft Entra пользователя для предоставления разрешений на уровне общего доступа.

Важно!

Разрешения на уровне общего доступ вступают в силу в течение трех часов после настройки. Дождитесь синхронизации разрешений перед попыткой подключения к файлу с настроенными учетными данными.

Портал

Чтобы назначить роль Azure удостоверению Microsoft Entra, используя портал Azure, выполните следующие действия.

1. На портале Azure перейдите в общую папку или создайте общую папку.
2. Выберите Управление доступом (IAM).
3. Выберите Добавить назначение роли
4. В колонке Добавление назначения роли выберите соответствующую встроенную роль из списка Роль.
   1. Читатель общей папки файловых данных хранилища SMB
   2. Участник общей папки файловых данных хранилища SMB
   3. Участник общих папок данных SMB службы хранилища с повышенными правами
5. Оставьте доступ к параметру по умолчанию: пользователь, группа или субъект-служба Microsoft Entra. Выберите целевое удостоверение Microsoft Entra по имени или адресу электронной почты. Выбранное удостоверение Microsoft Entra должно быть гибридным удостоверением и не может быть единственным облачным удостоверением. Это означает, что то же удостоверение также представлено в AD DS.
6. Нажмите кнопку Сохранить, чтобы завершить операцию назначения ролей.

Azure PowerShell

В следующем примере PowerShell показано, как назначить роль Azure удостоверению Microsoft Entra на основе имени входа. Дополнительные сведения о назначении ролей Azure с помощью PowerShell см. в разделе Добавление и удаление назначений ролей Azure с помощью модуля Azure PowerShell.

Перед запуском следующего примера сценария замените значения заполнителей, включая скобки, своими значениями.

#Get the name of the custom role
$FileShareContributorRole = Get-AzRoleDefinition "<role-name>" #Use one of the built-in roles: Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor, Storage File Data SMB Share Elevated Contributor
#Constrain the scope to the target file share
$scope = "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/fileServices/default/fileshares/<share-name>"
#Assign the custom role to the target identity with the specified scope.
New-AzRoleAssignment -SignInName <user-principal-name> -RoleDefinitionName $FileShareContributorRole.Name -Scope $scope

Azure CLI

Следующая команда CLI 2.0 назначает роль Azure удостоверению Microsoft Entra на основе имени входа. Дополнительные сведения о назначении ролей Azure с помощью Azure CLI см. в разделе Добавление и удаление назначений ролей Azure с помощью Azure CLI.

Перед запуском следующего примера сценария не забудьте заменить значения заполнителей, включая скобки, на свои значения.

#Assign the built-in role to the target identity: Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor, Storage File Data SMB Share Elevated Contributor
az role assignment create --role "<role-name>" --assignee <user-principal-name> --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/fileServices/default/fileshares/<share-name>"

Разрешения на уровне общей папки для всех удостоверений, прошедших проверку подлинности

Вы можете добавить разрешение уровня общего доступа по умолчанию для учетной записи хранения вместо настройки разрешений на уровне общего ресурса для пользователей или групп Microsoft Entra. Разрешения на уровне общей папки по умолчанию, назначенные вашей учетной записи хранения, применяются ко всем общим папкам, содержащимся в учетной записи хранения.

Если задано разрешение на уровне общей папки по умолчанию, все прошедшие проверку пользователи и группы будут иметь одно и то же разрешение. Прошедшие проверку подлинности пользователи или группы идентифицируются, поскольку удостоверение может пройти проверку подлинности в локальных AD DS, с которыми связана учетная запись хранения. Разрешение уровня общего доступа по умолчанию имеет значение None при инициализации, что означает, что доступ к файлам или каталогам в общей папке Azure не разрешен.

Портал

Чтобы настроить разрешения на уровне общего ресурса по умолчанию для учетной записи хранения с помощью портал Azure, выполните следующие действия.

1. В портал Azure перейдите в учетную запись хранения, содержащую общую папку, и выберите общие папки хранилища > данных.

2. Перед назначением разрешений на уровне общего ресурса необходимо включить источник AD в учетной записи хранения. Если вы уже сделали это, выберите Active Directory и перейдите к следующему шагу. В противном случае выберите Active Directory: "Не настроено", выберите "Настроить " в нужном источнике AD и включите источник AD.

3. После включения источника AD шаг 2. Настройка разрешений на уровне общего ресурса будет доступна для настройки. Выберите "Включить разрешения" для всех пользователей и групп, прошедших проверку подлинности.

   

4. Выберите соответствующую роль для включения в качестве разрешения общего ресурса по умолчанию в раскрывающемся списке.

5. Выберите Сохранить.

Azure PowerShell

Для настройки разрешений на уровне общей папки по умолчанию в учетной записи хранения можно использовать следующий скрипт. Разрешение уровня общего доступа по умолчанию можно включить только в учетных записях хранения, связанных со службой каталогов для проверки подлинности Файлы Azure.

Перед выполнением следующего скрипта убедитесь, что используется модуль Az.Storage версии 3.7.0 или более поздней. Мы рекомендуем обновить до последней версии.

$defaultPermission = "None|StorageFileDataSmbShareContributor|StorageFileDataSmbShareReader|StorageFileDataSmbShareElevatedContributor" # Set the default permission of your choice

$account = Set-AzStorageAccount -ResourceGroupName "<resource-group-name-here>" -AccountName "<storage-account-name-here>" -DefaultSharePermission $defaultPermission

$account.AzureFilesIdentityBasedAuth

Azure CLI

Для настройки разрешений на уровне общей папки по умолчанию в учетной записи хранения можно использовать следующий скрипт. Разрешение уровня общего доступа по умолчанию можно включить только в учетных записях хранения, связанных со службой каталогов для проверки подлинности Файлы Azure.

Перед выполнением следующего скрипта убедитесь, что используется Azure CLI версии 2.24.1 или более поздней.

# Declare variables
storageAccountName="YourStorageAccountName"
resourceGroupName="YourResourceGroupName"
defaultPermission="None|StorageFileDataSmbShareContributor|StorageFileDataSmbShareReader|StorageFileDataSmbShareElevatedContributor" # Set the default permission of your choice

az storage account update --name $storageAccountName --resource-group $resourceGroupName --default-share-permission $defaultPermission

Что происходит при использовании обеих конфигураций

Вы также можете назначить разрешения всем прошедшим проверку подлинности пользователям Microsoft Entra и определенным пользователям и группам Microsoft Entra. В такой конфигурации определенный пользователь или группа будет иметь расширение самого высокого уровня среди разрешений на уровне общей папки и назначение RBAC. Иными словами предположим, что вы предоставили пользователю роль читателя SMB данных файлов хранилища для целевой общей папки. Вы также предоставили разрешение на уровне общей папки по умолчанию участник с повышенными правами для SMB данных файлов хранилища всем пользователям, прошедшим проверку подлинности. В этой конфигурации у конкретного пользователя будет роль участник с повышенными правами для SMB данных файлов хранилища для доступа к общей папке. Разрешения более высокого уровня всегда имеют приоритет.

Следующие шаги

Теперь, когда вы назначили разрешения на уровне общего ресурса, можно настроить разрешения на уровне каталога и файлов. Помните, что разрешения на уровне общего доступа могут занять до трех часов, чтобы ввести в силу.