Tilldela behörigheter på resursnivå för Azure-filresurser

När du har aktiverat en Active Directory-källa (AD) för ditt lagringskonto måste du konfigurera behörigheter på resursnivå för att få åtkomst till filresursen. Det finns två sätt att tilldela behörigheter på resursnivå. Du kan tilldela dem till specifika Microsoft Entra-användare/-grupper och du kan tilldela dem till alla autentiserade identiteter som en standardbehörighet på resursnivå.

Viktigt!

Fullständig administrativ kontroll över en filresurs, inklusive möjligheten att ta ägarskap för en fil, kräver att du använder lagringskontonyckeln. Fullständig administrativ kontroll stöds inte med identitetsbaserad autentisering.

Gäller för

Typ av filresurs	SMB	NFS
Standardfilresurser (GPv2), LRS/ZRS
Standardfilresurser (GPv2), GRS/GZRS
Premiumfilresurser (FileStorage), LRS/ZRS

Välj hur du tilldelar behörigheter på resursnivå

Behörigheter på share-nivå för Azure-filresurser konfigureras för Microsoft Entra-användare, grupper eller tjänstens huvudnamn, medan katalog- och filnivåbehörigheter tillämpas med hjälp av Windows åtkomstkontrollistor (ACL). Du måste tilldela behörigheter på resursnivå till Microsoft Entra-identiteten som representerar samma användare, grupp eller tjänsthuvudnamn i din AD DS för att stödja AD DS-autentisering till din Azure-filresurs. Autentisering och auktorisering mot identiteter som bara finns i Microsoft Entra-ID, till exempel Azure Managed Identities (MSI), stöds inte.

De flesta användare bör tilldela behörigheter på resursnivå till specifika Microsoft Entra-användare eller -grupper och sedan använda Windows-ACL:er för detaljerad åtkomstkontroll på katalog- och filnivå. Detta är den strängaste och säkraste konfigurationen.

Det finns tre scenarier där vi i stället rekommenderar att du använder en standardbehörighet på resursnivå för att ge deltagare, upphöjd deltagare eller läsare åtkomst till alla autentiserade identiteter:

• Om du inte kan synkronisera din lokala AD DS till Microsoft Entra-ID kan du använda en standardbehörighet på resursnivå. Om du tilldelar en standardbehörighet på resursnivå kan du kringgå synkroniseringskravet eftersom du inte behöver ange behörighet till identiteter i Microsoft Entra-ID. Sedan kan du använda Windows-ACL:er för detaljerad behörighetskontroll på dina filer och kataloger.
  • Identiteter som är knutna till en AD men som inte synkroniseras med Microsoft Entra-ID kan också utnyttja standardbehörigheten på resursnivå. Detta kan omfatta fristående hanterade tjänstkonton (sMSA), grupphanterade tjänstkonton (gMSA) och datorkonton.
• Den lokala AD DS som du använder synkroniseras med ett annat Microsoft Entra-ID än det Microsoft Entra-ID som filresursen distribueras i.
  • Detta är typiskt när du hanterar miljöer med flera klientorganisationer. Med hjälp av en standardbehörighet på resursnivå kan du kringgå kravet på en Hybrididentitet för Microsoft Entra-ID. Du kan fortfarande använda Windows-ACL:er på dina filer och kataloger för detaljerad behörighetstillämpning.
• Du föredrar att endast framtvinga autentisering med hjälp av Windows-ACL:er på fil- och katalognivå.

Kommentar

Eftersom datorkonton inte har någon identitet i Microsoft Entra-ID kan du inte konfigurera rollbaserad åtkomstkontroll i Azure (RBAC) för dem. Datorkonton kan dock komma åt en filresurs med hjälp av en standardbehörighet på resursnivå.

Behörigheter på share-nivå och Azure RBAC-roller

I följande tabell visas behörigheter på resursnivå och hur de överensstämmer med de inbyggda Azure RBAC-rollerna:

Inbyggda roller som stöds	beskrivning
Storage File Data SMB Share Reader	Tillåter läsåtkomst till filer och kataloger i Azure-filresurser. Den här rollen motsvarar en filresurs-ACL för läsning på Windows-filservrar. Läs mer.
Storage File Data SMB-resursdeltagare	Tillåter läs-, skriv- och borttagningsåtkomst för filer och kataloger i Azure-filresurser. Läs mer.
Lagringsfildata SMB-resurs förhöjd deltagare	Tillåter läsning, skrivning, borttagning och ändring av ACL:er för filer och kataloger i Azure-filresurser. Den här rollen motsvarar en filresurs-ACL för ändring på Windows-filservrar. Läs mer.

Behörigheter på share-nivå för specifika Microsoft Entra-användare eller -grupper

Om du tänker använda en specifik Microsoft Entra-användare eller -grupp för att få åtkomst till Azure-filresursresurser måste den identiteten vara en hybrididentitet som finns i både lokal AD DS och Microsoft Entra-ID. Anta till exempel att du har en användare i din AD som är user1@onprem.contoso.com och du har synkroniserat med Microsoft Entra-ID som user1@contoso.com använder Microsoft Entra Anslut Sync eller Microsoft Entra Anslut molnsynkronisering. För att den här användaren ska få åtkomst till Azure Files måste du tilldela behörigheter på resursnivå till user1@contoso.com. Samma begrepp gäller för grupper och tjänstens huvudnamn.

Viktigt!

Tilldela behörigheter genom att uttryckligen deklarera åtgärder och dataåtgärder i stället för att använda ett jokertecken (*). Om en anpassad rolldefinition för en dataåtgärd innehåller ett jokertecken ges alla identiteter som tilldelas den rollen åtkomst för alla möjliga dataåtgärder. Detta innebär att alla dessa identiteter även kommer att beviljas eventuella nya dataåtgärder som läggs till på plattformen. Den extra tillgång och de behörigheter som beviljas genom nya åtgärder eller dataåtgärder kan vara oönskat beteende för kunder som använder jokertecken.

För att behörigheter på resursnivå ska fungera måste du:

• Synkronisera användarna och grupperna från din lokala AD till Microsoft Entra-ID med antingen det lokala Microsoft Entra Anslut Sync-programmet eller Microsoft Entra Anslut molnsynkronisering, en lättviktsagent som kan installeras från Administrationscenter för Microsoft Entra.
• Lägg till AD-synkroniserade grupper i RBAC-rollen så att de kan komma åt ditt lagringskonto.

Dricks

Valfritt: Kunder som vill migrera behörigheter på SMB-serverresursnivå till RBAC-behörigheter kan använda PowerShell-cmdleten Move-OnPremSharePermissionsToAzureFileShare för att migrera katalog- och filnivåbehörigheter från lokalt till Azure. Den här cmdleten utvärderar grupperna för en viss lokal filresurs och skriver sedan lämpliga användare och grupper till Azure-filresursen med hjälp av de tre RBAC-rollerna. Du anger informationen för den lokala resursen och Azure-filresursen när du anropar cmdleten.

Du kan använda Azure-portalen, Azure PowerShell eller Azure CLI för att tilldela de inbyggda rollerna till Microsoft Entra-identiteten för en användare för att bevilja behörigheter på resursnivå.

Viktigt!

Behörigheterna på resursnivå tar upp till tre timmar att börja gälla efter att de har slutförts. Vänta tills behörigheterna synkroniseras innan du ansluter till filresursen med dina inloggningsuppgifter.

Portal

Följ dessa steg för att tilldela en Azure-roll till en Microsoft Entra-identitet med hjälp av Azure-portalen:

1. Gå till din filresurs i Azure-portalen eller skapa en filresurs.
2. Välj Access Control (IAM).
3. Välj Lägg till en rolltilldelning
4. På bladet Lägg till rolltilldelning väljer du lämplig inbyggd rolli listan Roll.
   1. Storage-fildata för SMB-resursläsare
   2. Storage-fildata för SMB-resursdeltagare
   3. Storage-fildata för upphöjd SMB-resursdeltagare
5. Lämna Tilldela åtkomst till som standardinställning: Microsoft Entra-användare, grupp eller tjänstens huvudnamn. Välj Microsoft Entra-målidentiteten efter namn eller e-postadress. Den valda Microsoft Entra-identiteten måste vara en hybrididentitet och får inte bara vara en identitet i molnet. Det innebär att samma identitet också representeras i AD DS.
6. Välj Spara för att slutföra rolltilldelningsåtgärden.

Azure PowerShell

Följande PowerShell-exempel visar hur du tilldelar en Azure-roll till en Microsoft Entra-identitet baserat på inloggningsnamnet. Mer information om hur du tilldelar Azure-roller med PowerShell finns i Lägga till eller ta bort Azure-rolltilldelningar med hjälp av Azure PowerShell-modulen.

Innan du kör följande exempelskript ersätter du platshållarvärden, inklusive hakparenteser, med dina värden.

#Get the name of the custom role
$FileShareContributorRole = Get-AzRoleDefinition "<role-name>" #Use one of the built-in roles: Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor, Storage File Data SMB Share Elevated Contributor
#Constrain the scope to the target file share
$scope = "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/fileServices/default/fileshares/<share-name>"
#Assign the custom role to the target identity with the specified scope.
New-AzRoleAssignment -SignInName <user-principal-name> -RoleDefinitionName $FileShareContributorRole.Name -Scope $scope

Azure CLI

Följande CLI 2.0-kommando tilldelar en Azure-roll till en Microsoft Entra-identitet baserat på inloggningsnamnet. Mer information om hur du tilldelar Azure-roller med Azure CLI finns i Lägga till eller ta bort Azure-rolltilldelningar med hjälp av Azure CLI.

Innan du kör följande exempelskript måste du komma ihåg att ersätta platshållarvärden, inklusive hakparenteser, med dina egna värden.

#Assign the built-in role to the target identity: Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor, Storage File Data SMB Share Elevated Contributor
az role assignment create --role "<role-name>" --assignee <user-principal-name> --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/fileServices/default/fileshares/<share-name>"

Behörigheter på share-nivå för alla autentiserade identiteter

Du kan lägga till en standardbehörighet på resursnivå för ditt lagringskonto i stället för att konfigurera behörigheter på resursnivå för Microsoft Entra-användare eller -grupper. En standardbehörighet på resursnivå som tilldelats ditt lagringskonto gäller för alla filresurser som finns i lagringskontot.

När du anger en standardbehörighet på resursnivå har alla autentiserade användare och grupper samma behörighet. Autentiserade användare eller grupper identifieras eftersom identiteten kan autentiseras mot den lokala AD DS som lagringskontot är associerat med. Standardbehörigheten på resursnivå är inställd på Ingen vid initiering, vilket innebär att ingen åtkomst tillåts till filer eller kataloger i Azure-filresursen.

Portal

Följ dessa steg för att konfigurera standardbehörigheter på resursnivå för ditt lagringskonto med hjälp av Azure-portalen.

1. I Azure-portalen går du till lagringskontot som innehåller dina filresurser och väljer Datalagringsfilresurser>.

2. Du måste aktivera en AD-källa på ditt lagringskonto innan du tilldelar standardbehörigheter på resursnivå. Om du redan har gjort det väljer du Active Directory och fortsätter till nästa steg. Annars väljer du Active Directory: Inte konfigurerad, väljer Konfigurera under önskad AD-källa och aktiverar AD-källan.

3. När du har aktiverat en AD-källa blir steg 2: Ange behörigheter på resursnivå tillgängliga för konfiguration. Välj Aktivera behörigheter för alla autentiserade användare och grupper.

   

4. Välj den roll som ska aktiveras som standardresursbehörighet i listrutan.

5. Välj Spara.

Azure PowerShell

Du kan använda följande skript för att konfigurera standardbehörigheter på resursnivå för ditt lagringskonto. Du kan endast aktivera standardbehörighet på resursnivå på lagringskonton som är associerade med en katalogtjänst för Azure Files-autentisering.

Innan du kör följande skript kontrollerar du att Az.Storage-modulen är version 3.7.0 eller senare. Vi rekommenderar att du uppdaterar till den senaste versionen.

$defaultPermission = "None|StorageFileDataSmbShareContributor|StorageFileDataSmbShareReader|StorageFileDataSmbShareElevatedContributor" # Set the default permission of your choice

$account = Set-AzStorageAccount -ResourceGroupName "<resource-group-name-here>" -AccountName "<storage-account-name-here>" -DefaultSharePermission $defaultPermission

$account.AzureFilesIdentityBasedAuth

Azure CLI

Du kan använda följande skript för att konfigurera standardbehörigheter på resursnivå för ditt lagringskonto. Du kan endast aktivera standardbehörighet på resursnivå på lagringskonton som är associerade med en katalogtjänst för Azure Files-autentisering.

Innan du kör följande skript kontrollerar du att Azure CLI är version 2.24.1 eller senare.

# Declare variables
storageAccountName="YourStorageAccountName"
resourceGroupName="YourResourceGroupName"
defaultPermission="None|StorageFileDataSmbShareContributor|StorageFileDataSmbShareReader|StorageFileDataSmbShareElevatedContributor" # Set the default permission of your choice

az storage account update --name $storageAccountName --resource-group $resourceGroupName --default-share-permission $defaultPermission

Vad händer om du använder båda konfigurationerna

Du kan också tilldela behörigheter till alla autentiserade Microsoft Entra-användare och specifika Microsoft Entra-användare/-grupper. Med den här konfigurationen har en specifik användare eller grupp den högsta behörighetsnivån från standardbehörigheten på resursnivå och RBAC-tilldelning. Anta med andra ord att du har beviljat en användare rollen Storage File Data SMB Reader på målfilresursen. Du har också beviljat behörigheten Storage File Data SMB Share Elevated Förhöjd deltagare för alla autentiserade användare. Med den här konfigurationen har den specifika användaren förhöjd deltagarnivå för Lagringsfildata SMB-resurs för åtkomst till filresursen. Behörigheter på högre nivå har alltid företräde.

Gå vidare

Nu när du har tilldelat behörigheter på resursnivå kan du konfigurera behörigheter på katalog- och filnivå. Kom ihåg att behörigheter på resursnivå kan ta upp till tre timmar att börja gälla.