Назначение разрешений Share-Level для Файлы Azure

Область применения: ✔️ общие папки SMB

После включения источника удостоверений для учетной записи хранения необходимо настроить разрешения на уровне общего ресурса для доступа к общей папке. Разрешения уровня общего доступа можно назначать двумя способами: определённым пользователям или группам Microsoft Entra или всем удостоверениям, прошедшим проверку подлинности, как разрешение на уровне общего доступа по умолчанию.

Вы настраиваете разрешения на уровне общего доступа для файловых ресурсов Azure для пользователей Microsoft Entra, групп или диспетчеров служб. Разрешения на уровне каталогов и файлов применяются с помощью списков управления доступом Windows (ACL). Назначьте разрешения на уровне общего ресурса для удостоверения Microsoft Entra, представляющего пользователя, группу или субъект-службу, которым требуется доступ.

Большинство пользователей назначают разрешения на уровне общего доступа определенным Microsoft Entra пользователям или группам и используют Windows списки управления доступом для детального управления доступом на уровне каталогов и файлов. Эта конфигурация является наиболее безопасной.

Используйте разрешение уровня общего доступа по умолчанию для предоставления доступа на основе ролей ко всем удостоверениям, прошедшим проверку подлинности, в следующих сценариях:

Вы используете Microsoft Entra Kerberos для проверки подлинности облачных удостоверений (предварительная версия).
Вы не можете синхронизировать локальное развертывание доменные службы Active Directory (AD DS) с Microsoft Entra ID. Назначение разрешений общего доступа по умолчанию обходит требование синхронизации, поскольку нет необходимости указывать разрешение для удостоверений в Microsoft Entra ID. Затем вы можете использовать Windows ACLs для гранулярного контроля разрешений на ваших файлах и каталогах.

Удостоверения, привязанные к Active Directory, но не синхронизируются с Microsoft Entra ID также могут использовать разрешение уровня общего доступа по умолчанию. Это условие может включать автономные управляемые учетные записи служб (sMSAs), групповые управляемые учетные записи служб (gMSAs) и учетные записи компьютеров.
Локальное развертывание AD DS, которое вы используете, синхронизируется с развертыванием Microsoft Entra ID, отличающимся от того, где развернуто совместно используемое хранилище файлов.

Это условие обычно используется при управлении мультитенантными средами. Используя разрешение уровня общего доступа по умолчанию, вы обойдёте необходимость использования гибридного удостоверения Microsoft Entra ID. Вы по-прежнему можете использовать списки управления доступом (ACL) Windows на ваших файлах и каталогах для гранулированного контроля разрешений.
Вы предпочитаете применять аутентификацию только с помощью Windows списков контроля доступа на уровне файлов и каталогов.

Роли Azure RBAC для файлов Azure

Несколько встроенных ролей управления доступом на основе Azure (RBAC) предназначены для работы с Файлы Azure. Некоторые из этих ролей предоставляют разрешения на уровне общего доступа пользователям и группам. Если вы используете Обозреватель службы хранилища Azure, вам также нужна роль Reader и Data Access для чтения и доступа к общей папке Azure.

Примечание.

Так как учетные записи компьютеров не имеют удостоверения в Microsoft Entra ID, вы не можете настроить для них Azure RBAC. Однако учетные записи компьютеров могут получить доступ к общей папке с помощью разрешения уровня общего доступа по умолчанию.

Встроенная роль Azure RBAC	Описание
Читатель доступа к файлам данных хранилища через общую папку SMB	Предоставляет доступ на чтение к файлам и каталогам в Файлы Azure. Эта роль аналогична ACL файлового ресурса read на Windows файловых серверах.
Участник SMB-доступа к данным хранилища	Предоставляет доступ для чтения, записи и удаления файлов и каталогов в Файлы Azure.
Участник с повышенными правами для общих данных SMB-ресурса файлового хранилища	Предоставляет доступ к файлам и каталогам в Файлы Azure для чтения, записи, удаления и изменения ACL. Эта роль аналогична ACL файлового ресурса change на Windows файловых серверах.
Участник с привилегированным доступом к данным файлов хранилища	Предоставляет доступ для чтения, записи, удаления и изменения списков управления доступом (ACL) в Файлы Azure путём переопределения существующих списков.
Привилегированный читатель данных файлов хранилища	Предоставляет доступ для чтения в Файлы Azure, переопределяя существующие ACL.
Администратор SMB файлов хранилища	Предоставляет администратору доступ, эквивалентный ключу учетной записи хранения для пользователей через SMB.
Хранение данных файлов SMB: Взятие на себя владения	Позволяет пользователям брать на себя ответственность за файл или каталог.

Если вы планируете использовать конкретного пользователя или группу Microsoft Entra для доступа к ресурсам файлового хранилища Azure, это удостоверение должно быть гибридным удостоверением, которое должно существовать и в локальной службе AD DS, и в Microsoft Entra ID. Облачные удостоверения должны использовать разрешение на уровне общего доступа по умолчанию.

Например, если у вас есть пользователь в Active Directory с именем user1@onprem.contoso.com, и вы синхронизируете его в Microsoft Entra ID как user1@contoso.com с помощью Microsoft Entra Connect Sync или Microsoft Entra Connect Cloud Sync, то у пользователя должны быть назначены разрешения на уровне доступа к общей папке для доступа к файловому ресурсу user1@contoso.com. Та же концепция применяется к группам и субъектам-службам.

Внимание

Назначьте разрешения путем явного объявления действий и действий с данными вместо использования подстановочного знака (*).

Если определение пользовательской роли для действия с данными содержит подстановочный знак, все пользователи и объекты, назначенные этой роли, получают доступ ко всем возможным действиям с данными. Этот доступ включает любую новую операцию с данными, добавленную на платформу. Дополнительный доступ и разрешения, предоставляемые с помощью новых действий или действий с данными, могут быть нежелательными для клиентов, использующих подстановочные знаки.

Для работы разрешений на уровне общего доступа необходимо выполнить следующие действия:

Если источником удостоверений является AD DS или Microsoft Entra Kerberos, синхронизируйте пользователей и группы из локального развертывания Active Directory в Microsoft Entra ID с помощью Microsoft Entra Connect Sync или Microsoft Entra Cloud Sync. Microsoft Entra Cloud Sync — это упрощенный агент, который можно установить из центра администрирования Microsoft Entra.
Добавьте группы, синхронизированные с Active Directory, в роль RBAC, чтобы они могли получить доступ к учетной записи хранения.

Подсказка

Необязательно. Чтобы перенести разрешения корневой папки сервера SMB на разрешения RBAC, используйте командлет Move-OnPremSharePermissionsToAzureFileShare PowerShell из модуля AzFilesHybrid. Этот командлет получает разрешения корневого каталога локального файлового ресурса и обновляет определение RBAC в файловом ресурсе Azure, чтобы предоставить доступ пользователям или группам, указанным в списке ACL корневого каталога.

Командлет преобразует только корневой каталог в назначения RBAC. Пользователи, имеющие доступ к вложенным файлам и каталогам без доступа к корневому каталогу, не добавляются в RBAC. Кроме того, командлет предоставляет роль RBAC, эквивалентную тому, что находится в корневом каталоге. Пользователи, имеющие доступ только для чтения к корневому каталогу, но доступ на запись к некоторым подфайлам или подкаталогам, будут иметь только доступ для чтения в RBAC. В этих случаях необходимо вручную настроить RBAC.

Чтобы предоставить разрешения на уровне общего доступа, воспользуйтесь порталом Azure, Azure PowerShell или Azure CLI, чтобы назначить одну из встроенных ролей идентификации пользователя Microsoft Entra ID.

Изменения разрешений на уровне общего доступа обычно вступают в силу в течение 30 минут, но в некоторых случаях они могут занять больше времени. Дождитесь распространения разрешений перед подключением к общей папке с помощью аутентификационных данных.

Чтобы назначить роль Azure удостоверением Microsoft Entra с помощью портала Azure выполните следующие действия.

На портале Azure перейдите к общей папке или создайте общую папку SMB.
Выберите контроль доступа (IAM).
Выберите "Добавить назначение роли".
В области добавления назначения ролей выберите соответствующую встроенную рольиз списка ролей.
Оставить назначение доступа по умолчанию: пользователю, группе или служебному принципалу Microsoft Entra. Выберите целевое Microsoft Entra удостоверение по имени или адресу электронной почты.

Выбранное Microsoft Entra удостоверение должно быть гибридным удостоверением и не может быть облачным удостоверением. Это требование означает, что то же удостоверение также представлено в AD DS.
Нажмите кнопку Сохранить, чтобы завершить операцию назначения ролей.

В следующем примере PowerShell показано, как назначить роль Azure идентификатору Microsoft Entra на основе имени входа. Дополнительные сведения о назначении ролей Azure с помощью PowerShell см. в статье Add или удаление назначений ролей Azure с помощью модуля Azure PowerShell.

Перед выполнением следующего примера скрипта замените значения заполнителей (включая скобки) значениями.

#Get the name of the custom role
$FileShareContributorRole = Get-AzRoleDefinition "<role-name>" #Use one of the built-in roles: Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor, Storage File Data SMB Share Elevated Contributor, Storage File Data Privileged Contributor, Storage File Data Privileged Reader, Storage File Data SMB Admin
#Constrain the scope to the target file share
$scope = "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/fileServices/default/fileshares/<share-name>"
#Assign the custom role to the target identity with the specified scope.
New-AzRoleAssignment -SignInName <user-principal-name> -RoleDefinitionName $FileShareContributorRole.Name -Scope $scope

Следующая команда Azure CLI назначает роль Azure идентификатору Microsoft Entra на основе имени входа. Дополнительные сведения о назначении ролей Azure с помощью Azure CLI см. в разделе Add или удаление назначений ролей Azure с помощью Azure CLI.

Перед выполнением следующей команды замените значения заполнителей (включая скобки) собственными значениями.

#Assign one of the built-in roles to the target identity: Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor, Storage File Data SMB Share Elevated Contributor, Storage File Data Privileged Contributor, Storage File Data Privileged Reader, Storage File Data SMB Admin

az role assignment create --role "<role-name>" --assignee <user-principal-name> --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/fileServices/default/fileshares/<share-name>"

Вы можете добавить разрешение на уровне общего доступа по умолчанию для хранилища, вместо настройки разрешений на уровне общего доступа для пользователей или групп Microsoft Entra. Разрешения на уровне общей папки по умолчанию, назначенные вашей учетной записи хранения, применяются ко всем общим папкам, содержащимся в учетной записи хранения.

Внимание

Если для учетной записи хранилища задано разрешение по умолчанию на уровне общего доступа, вам не нужно синхронизировать локальные идентификаторы с Microsoft Entra ID.

При установке разрешения на уровне общего доступа по умолчанию все прошедшие проверку подлинности пользователи и группы имеют одинаковые разрешения. Пользователи или группы, прошедшие аутентификацию, определяются как идентификатор, который может быть аутентифицирован в развертывании AD DS, с которым связано хранилище аккаунта.

Разрешение уровня общего доступа по умолчанию имеет значение None при инициализации. Этот параметр означает, что доступ к файлам или каталогам в общей папке Azure не разрешен.

Чтобы настроить разрешения на уровне общего ресурса по умолчанию для учетной записи хранения с помощью портала Azure выполните следующие действия.

На портале Azure перейдите к учетной записи хранения, содержащей ваши файловые ресурсы, и выберите Хранилище данных>Файловые ресурсы.
Перед назначением разрешений на уровне общего ресурса необходимо включить источник идентификаций в учетной записи хранения. Если вы уже включили источник удостоверений, нажмите кнопку "Настроить рядом с доступом на основе удостоверений" и перейдите к следующему шагу. В противном случае выберите "Не настроено", выберите "Настроить" под нужным источником удостоверений и включите источник удостоверений.
После включения источника удостоверений Шаг 2: Настройка разрешений на уровне общего ресурса открывается для настройки. Выберите "Включить разрешения" для всех пользователей и групп, прошедших проверку подлинности.
В раскрывающемся списке выберите соответствующую роль, чтобы включить в качестве прав на общий доступ по умолчанию.
Нажмите Сохранить.

Используйте следующий скрипт, чтобы настроить разрешения на уровне общего доступа по умолчанию в вашей учетной записи хранения. Вы можете включить разрешение уровня общего доступа по умолчанию только для учетных записей хранения с включенным источником удостоверений для проверки подлинности Файлы Azure.

Перед выполнением следующего скрипта убедитесь, что модуль Az.Storage версии 3.7.0 или более новой версии. При необходимости обновите последнюю версию . Замените <resource-group-name> и <storage-account-name> собственными значениями.

$defaultPermission = "None|StorageFileDataSmbShareContributor|StorageFileDataSmbShareReader|StorageFileDataSmbShareElevatedContributor|StorageFileDataPrivilegedContributor|StorageFileDataPrivilegedReader|StorageFileDataSmbAdmin" # Set the default permission of your choice. Specify only one of the built-in roles.

$account = Set-AzStorageAccount -ResourceGroupName "<resource-group-name>" -AccountName "<storage-account-name>" -DefaultSharePermission $defaultPermission

$account.AzureFilesIdentityBasedAuth

Перед выполнением следующего сценария убедитесь, что ваша версия Azure CLI 2.24.1 или более поздняя.

# Declare variables
storageAccountName="YourStorageAccountName"
resourceGroupName="YourResourceGroupName"
defaultPermission="None|StorageFileDataSmbShareContributor|StorageFileDataSmbShareReader|StorageFileDataSmbShareElevatedContributor|StorageFileDataPrivilegedContributor|StorageFileDataPrivilegedReader|StorageFileDataSmbAdmin" # Set the default permission of your choice. Specify only one of the built-in roles.

az storage account update --name $storageAccountName --resource-group $resourceGroupName --default-share-permission $defaultPermission

Что происходит при использовании обеих конфигураций

Вы можете назначить разрешения всем прошедшим проверку подлинности Microsoft Entra пользователям и определенным Microsoft Entra пользователям или группам. При использовании этой конфигурации определенный пользователь или группа получает разрешение на более высокий уровень между разрешением уровня общего доступа по умолчанию и назначением RBAC.

Например, предположим, что вы предоставляете пользователю роль читателя файловых данных хранилища SMB в целевой общей папке. Вы также предоставляете всем пользователям, прошедшим проверку подлинности, разрешение для уровня совместного использования по умолчанию Storage File Data SMB Share Elevated Contributor. В этой конфигурации у конкретного пользователя есть доступ уровня Storage File Data SMB Share Elevated Contributor к общей папке. Разрешения более высокого уровня всегда имеют приоритет.

Общие сведения о доступе на основе групп для пользователей, не синхронизированных

Этот раздел применяется только к учетным записям хранения, использующим проверку подлинности AD DS.

Пользователи, которые не синхронизируются с Microsoft Entra ID, по-прежнему могут получать доступ к общим папкам Azure через членство в группах. Если пользователь принадлежит локальной группе AD DS, которая синхронизирована с Microsoft Entra ID и имеет назначение роли RBAC Azure, пользователь получает разрешения группы, даже если они не отображаются как член группы в Центр администрирования Microsoft Entra.

Вот как это работает:

Необходимо синхронизировать только группу с Microsoft Entra ID, а не отдельными пользователями.
Когда пользователь проходит проверку подлинности, локальный контроллер домена отправляет запрос Kerberos, включающий все членства в группах пользователя.
Файлы Azure считывает идентификаторы безопасности группы (SID) из билета Kerberos.
Если какая-либо из этих групп синхронизируется с Microsoft Entra ID, Файлы Azure применяет соответствующие назначения ролей RBAC.

Из-за этого авторизация основана на группах, перечисленных в билете Kerberos, а не на том, что отображается в Центр администрирования Microsoft Entra. Несинхронизированные пользователи могут получить доступ к общим папкам через свои синхронизированные членства в группах AD DS, без необходимости индивидуальной синхронизации с Microsoft Entra ID.

Следующий шаг

Назначив разрешения на уровне общего ресурса, вы можете взять на себя ответственность за общую папку и настроить разрешения на уровне каталога и файлов. Дождитесь распространения разрешений на уровне общего ресурса.

Настройка разрешений на уровне каталога и файлового уровня для общих папок Azure

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2026-04-07

Назначение разрешений на уровне доступа для файловых ресурсов Azure

Выбор способа назначения разрешений на уровне общего ресурса

Роли Azure RBAC для файлов Azure

Разрешения уровня общего доступа для определенных Microsoft Entra пользователей или групп

Разрешения на уровне общей папки для всех удостоверений, прошедших проверку подлинности

Что происходит при использовании обеих конфигураций

Общие сведения о доступе на основе групп для пользователей, не синхронизированных

Следующий шаг

Обратная связь

Дополнительные ресурсы