Назначение разрешений Share-Level для файлов Azure

Область применения: ✔️ файловые хранилища SMB Azure

После включения источника идентификации для аккаунта хранилища необходимо настроить разрешения на уровне доли, чтобы получить доступ к вашему файловому ресурсу. Существует два способа назначения разрешений на уровне общего ресурса. Их можно назначить определенным пользователям/группам Microsoft Entra, и их можно назначить всем аутентифицированным идентичностям в качестве разрешения по умолчанию на уровне общего доступа.

Разрешения на уровне общего доступа в общих папках Azure настраиваются для пользователей, групп или субъектов-служб Microsoft Entra, а разрешения на уровне каталога и файлов применяются с помощью списков управления доступом Windows (ACL). Необходимо назначить разрешения на уровне совместного доступа для удостоверения Microsoft Entra, которое представляет пользователя, группу или служебный принципал, которым должен быть предоставлен доступ.

Большинство пользователей должны назначать разрешения на уровне общего доступа определенным пользователям или группам Microsoft Entra, а затем использовать списки управления доступом Windows для детального управления доступом на уровне каталогов и файлов. Это самая строгая и безопасная конфигурация.

Существуют некоторые сценарии, в которых мы рекомендуем использовать разрешение уровня общего доступа по умолчанию , чтобы разрешить читателю, участнику, участнику с повышенными привилегиями, привилегированным участником или привилегированным читателем доступ ко всем удостоверениям, прошедшим проверку подлинности:

Вы используете Microsoft Entra Kerberos для проверки подлинности облачных удостоверений (предварительная версия).
Если вы не можете синхронизировать локальные доменные службы Active Directory (AD DS) с идентификатором Microsoft Entra, можно использовать разрешение на общий уровень по умолчанию. Назначение разрешения на уровне общего ресурса по умолчанию позволяет обойти требование синхронизации, так как вам не нужно указывать разрешение для удостоверений в идентификаторе Microsoft Entra. Затем можно использовать Windows ACL для детализированного применения разрешений к файлам и каталогам.
- Учетные записи, связанные с AD, но не синхронизируемые с Microsoft Entra ID, также могут использовать разрешения на уровне общего доступа по умолчанию. Это может включать автономные управляемые учетные записи служб (sMSA), групповые управляемые учетные записи служб (gMSA) и учетные записи компьютеров.
Локальные службы AD DS, которые вы используете, синхронизируются с другим идентификатором Microsoft Entra, чем тот, в котором развертывается общая папка.
- Это обычно происходит при управлении мультитенантными средами. Использование разрешения на уровне общего ресурса по умолчанию позволяет обойти требование гибридной идентификации Microsoft Entra ID. Вы по-прежнему можете использовать Windows ACL для файлов и каталогов, чтобы обеспечить детализированное применение разрешений.
Вы предпочитаете применять проверку подлинности только с помощью списков управления доступом Windows на уровне файлов и каталогов.

Роли Azure RBAC для файлов Azure

Существуют встроенные роли управления доступом на основе ролей Azure (RBAC) для файлов Azure, некоторые из которых позволяют предоставлять разрешения на уровне общего доступа пользователям и группам. Если вы используете Обозреватель хранилища Azure, вам также потребуется роль Чтение и доступ к данным для чтения и доступа к общему ресурсу Azure.

Примечание.

Поскольку учетные записи компьютеров не имеют идентичности в Microsoft Entra ID, для них нельзя настроить Azure RBAC. Однако учетные записи компьютеров могут получить доступ к общей папке с помощью разрешения уровня общего доступа по умолчанию.

Встроенная роль Azure RBAC	Описание
Читатель доступа к файлам данных хранилища через общую папку SMB	Разрешает доступ на чтение файлов и каталогов в общих папках Azure. Эта роль аналогична ACL общей папки для чтения на файловых серверах Windows.
Участник SMB-доступа к данным хранилища	Разрешает доступ на чтение, запись и удаление файлов и каталогов в общих папках Azure.
Участник с повышенными правами для общих данных SMB-ресурса файлового хранилища	Разрешает доступ на чтение, запись, удаление и изменение списков управления доступом для файлов и каталогов в общих папках Azure. Эта роль аналогична ACL общей папки для изменения данных на файловых серверах Windows.
Участник с привилегиями на доступ к данным файла хранилища	Разрешает чтение, запись, удаление и изменение списков управления доступом в общих папках Azure путем переопределения существующих списков управления доступом.
Привилегированный читатель данных файлов хранилища	Позволяет доступ на чтение в файловых ресурсах Azure, переопределяя существующие ACL.
Администратор SMB файлов хранилища	Разрешает доступ администратора, эквивалентный ключу учетной записи хранения для конечных пользователей через SMB.

Если вы планируете использовать конкретного пользователя или группу Microsoft Entra для доступа к ресурсам общей папки Azure, это удостоверение должно быть гибридным, существующим как в локальных AD DS, так и в Microsoft Entra ID. Облачные удостоверения должны использовать стандартное разрешение на уровне общего доступа.

Например, предположим, что у вас есть пользователь в AD как [email protected], и вы синхронизировали его с идентификатором в Microsoft Entra ID как [email protected] с помощью Microsoft Entra Connect Sync или облачной синхронизации Microsoft Entra Connect. Чтобы этот пользователь мог получить доступ к Azure Files, необходимо назначить разрешения на уровне общего ресурса [email protected]. Та же концепция применяется к группам и субъектам-службам.

Внимание

Назначайте разрешения, явно указывая действия и операции с данными, а не используя подстановочный знак (*). Если определение пользовательской роли для действия с данными содержит подстановочный знак, все пользователи и объекты, назначенные этой роли, получают доступ ко всем возможным действиям с данными. Это означает, что всем таким идентификаторам автоматически будет предоставлен доступ к любому новому действию с данными, добавленному на платформу. Дополнительные доступ и разрешения, предоставляемые через новые действия или действия с данными, могут быть нежелательными для клиентов, использующих подстановочные знаки.

Чтобы разрешения на уровне общего доступа работали, необходимо выполнить следующие действия:

Если источником AD является AD DS или Microsoft Entra Kerberos, необходимо синхронизировать пользователей и группы из локального AD с идентификатором Microsoft Entra Entra ID с помощью локального приложения Microsoft Entra Connect Sync или облачной синхронизации Microsoft Entra Connect, упрощенного агента, который можно установить из Центра администрирования Microsoft Entra.
Добавьте синхронизированные группы AD в роль RBAC, чтобы они могли получить доступ к учетной записи хранения.

Подсказка

Необязательно: клиенты, которые хотят перенести разрешения уровня общего доступа сервера SMB на разрешения RBAC, могут использовать командлет PowerShell Move-OnPremSharePermissionsToAzureFileShare для переноса разрешений на каталоги и файлы из локальной среды в Azure. Этот cmdlet оценивает группы определённой локальной файловой папки, а затем записывает соответствующих пользователей и группы на файловую папку Azure с помощью трёх ролей RBAC. Вы предоставляете сведения о локальной общей папке и файловом ресурсе Azure при вызове командлета.

Вы можете использовать портал Azure, Azure PowerShell или Azure CLI для назначения встроенных ролей удостоверению Microsoft Entra пользователя для предоставления разрешений на уровне общего доступа.

Внимание

Изменения разрешений на уровне общего доступа обычно вступают в силу в течение 30 минут. Подождите, пока разрешения распространились, перед подключением к файловому хранилищу с помощью ваших учетных данных.

Чтобы назначить роль Azure удостоверению Microsoft Entra, используя портал Azure, выполните следующие действия.

В портал Azure перейдите в общую папку или создайте общую папку SMB.
Выберите Управление доступом (IAM).
Выберите Добавить назначение роли
В колонке Добавление назначения роли выберите соответствующую встроенную роль из списка Роль.
Оставьте Назначьте доступ на значение по умолчанию: пользователь, группа или учетная запись службы Microsoft Entra. Выберите целевую учетную запись Microsoft Entra по имени или адресу электронной почты. Выбранное удостоверение Microsoft Entra должно быть гибридным удостоверением и не может быть единственным облачным удостоверением. Это означает, что то же удостоверение также представлено в AD DS.
Нажмите кнопку Сохранить, чтобы завершить операцию назначения ролей.

В следующем примере PowerShell показано, как назначить роль Azure для учетной записи Microsoft Entra, используя имя входа. Дополнительные сведения о назначении ролей Azure с помощью PowerShell см. в разделе Добавление и удаление назначений ролей Azure с помощью модуля Azure PowerShell.

Перед запуском следующего примера сценария замените значения заполнителей, включая скобки, своими значениями.

#Get the name of the custom role
$FileShareContributorRole = Get-AzRoleDefinition "<role-name>" #Use one of the built-in roles: Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor, Storage File Data SMB Share Elevated Contributor
#Constrain the scope to the target file share
$scope = "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/fileServices/default/fileshares/<share-name>"
#Assign the custom role to the target identity with the specified scope.
New-AzRoleAssignment -SignInName <user-principal-name> -RoleDefinitionName $FileShareContributorRole.Name -Scope $scope

Следующая команда CLI назначает роль Azure удостоверению Microsoft Entra на основе имени входа. Дополнительные сведения о назначении ролей Azure с помощью Azure CLI см. в разделе Добавление и удаление назначений ролей Azure с помощью Azure CLI.

Перед запуском следующего примера сценария не забудьте заменить значения заполнителей, включая скобки, на свои значения.

#Assign the built-in role to the target identity: Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor, Storage File Data SMB Share Elevated Contributor, Storage File Data Privileged Contributor, Storage File Data Privileged Reader
az role assignment create --role "<role-name>" --assignee <user-principal-name> --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/fileServices/default/fileshares/<share-name>"

Вместо настройки разрешений на уровне общего ресурса для пользователей или групп Microsoft Entra, вы можете добавить разрешение на уровне общего доступа по умолчанию для вашей учетной записи хранения. Разрешения на уровне общей папки по умолчанию, назначенные вашей учетной записи хранения, применяются ко всем общим папкам, содержащимся в учетной записи хранения.

Внимание

Если в учетной записи хранения задано разрешение по умолчанию для уровня общего доступа, то синхронизировать локальные удостоверения с Microsoft Entra ID не требуется.

Если задано разрешение уровня доступа к общей ресурсу по умолчанию, все аутентифицированные пользователи и группы будут иметь одно и то же разрешение. Прошедшие проверку подлинности пользователи или группы идентифицируются, поскольку удостоверение может пройти проверку подлинности в локальных AD DS, с которыми связана учетная запись хранения. Разрешение уровня общего доступа по умолчанию имеет значение None при инициализации, что означает, что доступ к файлам или каталогам в общей папке Azure не разрешен.

Чтобы настроить разрешения на уровне общего ресурса по умолчанию для учетной записи хранения, выполните следующие действия, используя портал Azure.

В портале Azure перейдите в учетную запись хранения, содержащую ваши файловые ресурсы, и выберите Хранилище данных > Файловые ресурсы.
Перед назначением разрешений на уровне общего ресурса необходимо включить источник Active Directory (AD) в учетной записи хранения. Если вы уже сделали это, выберите Active Directory и перейдите к следующему шагу. В противном случае выберите Active Directory: Не настроено, выберите Настроить в нужном источнике AD и включите источник AD.
После включения источника AD шаг 2. Настройка разрешений на уровне общего ресурса будет доступна для настройки. Выберите "Включить разрешения" для всех пользователей и групп, прошедших проверку подлинности.
Выберите соответствующую роль, чтобы она использовалась в качестве разрешения по умолчанию для общего ресурса из выпадающего списка.
Выберите Сохранить.

Вы можете использовать следующий скрипт для настройки разрешений на уровне общего доступа по умолчанию в учетной записи хранения. Разрешение на уровне общего доступа по умолчанию можно включить только в учетных записях хранения, которые связаны со службой каталогов для аутентификации с помощью Azure Files.

Перед выполнением следующего скрипта убедитесь, что используется модуль Az.Storage версии 3.7.0 или более поздней. Мы рекомендуем обновить до последней версии.

$defaultPermission = "None|StorageFileDataSmbShareContributor|StorageFileDataSmbShareReader|StorageFileDataSmbShareElevatedContributor" # Set the default permission of your choice

$account = Set-AzStorageAccount -ResourceGroupName "<resource-group-name-here>" -AccountName "<storage-account-name-here>" -DefaultSharePermission $defaultPermission

$account.AzureFilesIdentityBasedAuth

Перед выполнением следующего скрипта убедитесь, что используется Azure CLI версии 2.24.1 или более поздней.

# Declare variables
storageAccountName="YourStorageAccountName"
resourceGroupName="YourResourceGroupName"
defaultPermission="None|StorageFileDataSmbShareContributor|StorageFileDataSmbShareReader|StorageFileDataSmbShareElevatedContributor" # Set the default permission of your choice

az storage account update --name $storageAccountName --resource-group $resourceGroupName --default-share-permission $defaultPermission

Что происходит при использовании обеих конфигураций

Вы также можете назначить разрешения всем пользователям Microsoft Entra, прошедшим проверку подлинности, и конкретным пользователям или группам Microsoft Entra. С этой конфигурацией определённый пользователь или группа будет иметь более высокий уровень разрешений из разрешений на уровне общего доступа или назначенного уровня RBAC. Иными словами, предположим, что вы предоставили пользователю роль читателя SMB данных файлов хранилища на целевой файловый ресурс. Вы также предоставили разрешение уровня доступа по умолчанию Повышенный участник для общего доступа SMB данных файлов хранилища всем аутентифицированным пользователям. В этой конфигурации у конкретного пользователя будет уровень доступа Повышенный участник для SMB-ресурсов хранения файлов к общей папке. Разрешения более высокого уровня всегда имеют приоритет.

Общие сведения о доступе на основе групп для пользователей, не синхронизированных

Пользователи, которые не синхронизированы с идентификатором Microsoft Entra, по-прежнему могут получить доступ к общим папкам Azure через членство в группах. Если пользователь принадлежит локальной группе AD DS, которая синхронизируется с идентификатором Microsoft Entra и имеет назначение роли Azure RBAC, пользователь наследует разрешения группы, даже если они не отображаются как член группы на портале Microsoft Entra.

Как это работает:

Необходимо синхронизировать только группу с идентификатором Microsoft Entra, а не отдельными пользователями.
Когда пользователь проходит проверку подлинности, локальный контроллер домена выдает билет Kerberos, содержащий все членства в группах пользователя.
Файлы Azure считывают идентификаторы безопасности группы (SIDs) из Kerberos-билета.
Если какая-либо из этих групп синхронизируется с идентификатором Microsoft Entra, файлы Azure применяют соответствующие назначения ролей RBAC.

Это означает, что авторизация основана на группах, перечисленных в билете Kerberos, а не на том, что отображается на портале Microsoft Entra. Несинхронизированные пользователи могут получить доступ к общим папкам через синхронизированные членства в группах AD DS, не требуя отдельной синхронизации с Microsoft Entra ID.

Следующий шаг

Теперь, когда вы назначили разрешения на уровне общего ресурса, можно настроить разрешения на уровне каталога и файлов. Помните, что разрешения на уровне общего доступа могут занять до трех часов, чтобы ввести в силу.

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2025-12-15

Поделиться через

Назначение разрешений на уровне файлового ресурса для файловых ресурсов Azure

Выбор способа назначения разрешений на уровне общего ресурса

Роли Azure RBAC для файлов Azure

Разрешения на уровне общего доступа для определенных пользователей или групп Microsoft Entra

Разрешения на уровне общей папки для всех удостоверений, прошедших проверку подлинности

Что происходит при использовании обеих конфигураций

Общие сведения о доступе на основе групп для пользователей, не синхронизированных

Следующий шаг

Обратная связь

Дополнительные ресурсы