Atribuir permissões de nível de compartilhamento para compartilhamentos de arquivos do Azure

Depois de ativar uma origem do Active Directory (AD) para a conta de armazenamento, tem de configurar permissões ao nível da partilha para obter acesso à partilha de ficheiros. Há duas maneiras de atribuir permissões de nível de compartilhamento. Você pode atribuí-los a usuários/grupos específicos do Microsoft Entra e atribuí-los a todas as identidades autenticadas como uma permissão padrão de nível de compartilhamento.

Importante

O controle administrativo total de um compartilhamento de arquivos, incluindo a capacidade de assumir a propriedade de um arquivo, requer o uso da chave da conta de armazenamento. O controle administrativo total não é suportado com a autenticação baseada em identidade.

Aplica-se a

Tipo de partilhas de ficheiros SMB NFS
Partilhas de ficheiros Standard (GPv2), LRS/ZRS Yes No
Partilhas de ficheiros Standard (GPv2), GRS/GZRS Yes No
Partilhas de ficheiros Premium (FileStorage), LRS/ZRS Yes No

Escolher como atribuir permissões de nível de compartilhamento

As permissões de nível de compartilhamento em compartilhamentos de arquivos do Azure são configuradas para usuários, grupos ou entidades de serviço do Microsoft Entra, enquanto as permissões de nível de diretório e arquivo são impostas usando ACLs (listas de controle de acesso) do Windows. Você deve atribuir permissões de nível de compartilhamento à identidade do Microsoft Entra que representa o usuário, grupo ou entidade de serviço que deve ter acesso. Não há suporte para autenticação e autorização contra identidades que só existem no Microsoft Entra ID, como Identidades Gerenciadas do Azure (MSIs).

A maioria dos usuários deve atribuir permissões de nível de compartilhamento a usuários ou grupos específicos do Microsoft Entra e, em seguida, usar ACLs do Windows para controle de acesso granular no nível de diretório e arquivo. Esta é a configuração mais rigorosa e segura.

Há três cenários em que, em vez disso, recomendamos o uso de uma permissão padrão de nível de compartilhamento para permitir que o leitor, o colaborador, o contribuidor elevado, o contribuidor privilegiado ou o leitor privilegiado tenham acesso a todas as identidades autenticadas:

  • Se não conseguir sincronizar o AD DS local com o ID do Microsoft Entra, pode utilizar uma permissão de nível de partilha predefinida. A atribuição de uma permissão padrão no nível de compartilhamento permite que você contorne o requisito de sincronização porque não precisa especificar a permissão para identidades na ID do Microsoft Entra. Em seguida, você pode usar ACLs do Windows para imposição de permissão granular em seus arquivos e diretórios.
    • As identidades que estão vinculadas a um AD, mas não estão sincronizadas com o Microsoft Entra ID, também podem aproveitar a permissão padrão no nível de compartilhamento. Isso pode incluir contas de serviço gerenciado autônomas (sMSA), contas de serviço gerenciado de grupo (gMSA) e contas de computador.
  • O AD DS local que você está usando é sincronizado com uma ID do Microsoft Entra diferente da ID do Microsoft Entra na qual o compartilhamento de arquivos está implantado.
    • Isso é típico quando você está gerenciando ambientes multilocatário. O uso de uma permissão padrão de nível de compartilhamento permite que você ignore o requisito de uma identidade híbrida do Microsoft Entra ID. Você ainda pode usar ACLs do Windows em seus arquivos e diretórios para imposição de permissão granular.
  • Você prefere impor a autenticação somente usando ACLs do Windows no nível de arquivo e diretório.

Funções do RBAC do Azure para Arquivos do Azure

Há cinco funções RBAC (controle de acesso baseadas em função) internas do Azure para Arquivos do Azure, algumas das quais permitem conceder permissões de nível de compartilhamento a usuários e grupos. Se você estiver usando o Gerenciador de Armazenamento do Azure, também precisará da função Leitor e Acesso a Dados para ler/acessar o compartilhamento de arquivos do Azure.

Nota

Como as contas de computador não têm uma identidade na ID do Microsoft Entra, não é possível configurar o RBAC do Azure para elas. No entanto, as contas de computador podem acessar um compartilhamento de arquivos usando uma permissão padrão de nível de compartilhamento.

Função RBAC do Azure interna Descrição
Leitor de compartilhamento SMB de dados de arquivo de armazenamento Permite acesso de leitura a arquivos e diretórios em compartilhamentos de arquivos do Azure. Essa função é análoga a uma ACL de compartilhamento de arquivos de leitura em servidores de arquivos do Windows.
Contribuidor de compartilhamento SMB de dados de arquivo de armazenamento Permite ler, gravar e excluir acesso em arquivos e diretórios em compartilhamentos de arquivos do Azure.
Contribuidor elevado de compartilhamento SMB de dados de arquivos de armazenamento Permite ler, gravar, excluir e modificar ACLs em arquivos e diretórios em compartilhamentos de arquivos do Azure. Essa função é análoga a uma ACL de compartilhamento de arquivos de alteração em servidores de arquivos do Windows.
Contribuidor privilegiado de dados de arquivo de armazenamento Permite ler, escrever, excluir e modificar ACLs em compartilhamentos de arquivos do Azure substituindo ACLs existentes.
Leitor privilegiado de dados de arquivos de armazenamento Permite acesso de leitura em compartilhamentos de arquivos do Azure substituindo ACLs existentes.

Permissões de nível de compartilhamento para usuários ou grupos específicos do Microsoft Entra

Se você pretende usar um usuário ou grupo específico do Microsoft Entra para acessar recursos de compartilhamento de arquivos do Azure, essa identidade deve ser uma identidade híbrida que exista no AD DS local e na ID do Microsoft Entra. Por exemplo, digamos que você tenha um usuário em seu AD que esteja user1@onprem.contoso.com e tenha sincronizado com a ID do Microsoft Entra como user1@contoso.com usando o Microsoft Entra Connect Sync ou a sincronização na nuvem do Microsoft Entra Connect. Para que esse usuário acesse os Arquivos do Azure, você deve atribuir as permissões de nível de compartilhamento ao user1@contoso.com. O mesmo conceito se aplica a grupos e entidades de serviço.

Importante

Atribua permissões declarando explicitamente ações e ações de dados em vez de utilizar um caráter universal (*). Se uma definição de função personalizada para uma ação de dados contiver um caráter universal, todas as identidades atribuídas a essa função irão receber acesso para todas as ações de dados possíveis. Isto significa que todas essas identidades também irão receber qualquer nova ação de dados adicionada à plataforma. O acesso e as permissões adicionais concedidas através de novas ações ou ações de dados podem ser um comportamento indesejado para os clientes que utilizam um caráter universal.

Para que as permissões de nível de compartilhamento funcionem, você deve:

  • Se a origem do AD for AD DS ou Microsoft Entra Kerberos, você deverá sincronizar os usuários e os grupos do AD local com a ID do Microsoft Entra usando o aplicativo Microsoft Entra Connect Sync local ou a sincronização na nuvem do Microsoft Entra Connect, um agente leve que pode ser instalado a partir do Centro de Administração do Microsoft Entra.
  • Adicione grupos sincronizados do AD à função RBAC para que eles possam acessar sua conta de armazenamento.

Gorjeta

Opcional: os clientes que desejam migrar permissões de nível de compartilhamento do servidor SMB para permissões RBAC podem usar o cmdlet do PowerShell para migrar permissões de diretório e nível de arquivo do local para o Move-OnPremSharePermissionsToAzureFileShare Azure. Este cmdlet avalia os grupos de um compartilhamento de arquivos local específico e, em seguida, grava os usuários e grupos apropriados no compartilhamento de arquivos do Azure usando as três funções RBAC. Você fornece as informações para o compartilhamento local e o compartilhamento de arquivos do Azure ao invocar o cmdlet.

Você pode usar o portal do Azure, o Azure PowerShell ou a CLI do Azure para atribuir as funções internas à identidade Microsoft Entra de um usuário para conceder permissões de nível de compartilhamento.

Importante

As permissões ao nível da partilha irão demorar até três horas para entrar em vigor depois de concluídas. Certifique-se de aguardar a sincronização das permissões antes de se conectar ao seu compartilhamento de arquivos usando suas credenciais.

Para atribuir uma função do Azure a uma identidade do Microsoft Entra, usando o portal do Azure, siga estas etapas:

  1. No portal do Azure, vá para seu compartilhamento de arquivos ou crie um compartilhamento de arquivos SMB.
  2. Selecione Controlo de Acesso (IAM).
  3. Selecione Adicionar uma atribuição de função
  4. Na folha Adicionar atribuição de função, selecione a função interna apropriada na lista Função.
  5. Deixe Atribuir acesso a na configuração padrão: usuário, grupo ou entidade de serviço do Microsoft Entra. Selecione a identidade do Microsoft Entra de destino por nome ou endereço de e-mail. A identidade selecionada do Microsoft Entra deve ser uma identidade híbrida e não pode ser uma identidade somente na nuvem. Isso significa que a mesma identidade também é representada no AD DS.
  6. Selecione Salvar para concluir a operação de atribuição de função.

Permissões de nível de compartilhamento para todas as identidades autenticadas

Você pode adicionar uma permissão padrão de nível de compartilhamento em sua conta de armazenamento, em vez de configurar permissões de nível de compartilhamento para usuários ou grupos do Microsoft Entra. Uma permissão padrão de nível de compartilhamento atribuída à sua conta de armazenamento se aplica a todos os compartilhamentos de arquivos contidos na conta de armazenamento.

Quando você define uma permissão padrão de nível de compartilhamento, todos os usuários e grupos autenticados terão a mesma permissão. Os usuários ou grupos autenticados são identificados à medida que a identidade pode ser autenticada no AD DS local ao qual a conta de armazenamento está associada. A permissão de nível de compartilhamento padrão é definida como Nenhum na inicialização, implicando que nenhum acesso é permitido a arquivos ou diretórios no compartilhamento de arquivos do Azure.

Para configurar permissões padrão de nível de compartilhamento em sua conta de armazenamento usando o portal do Azure, siga estas etapas.

  1. No portal do Azure, vá para a conta de armazenamento que contém o(s) seu(s) compartilhamento(s) de arquivos e selecione Compartilhamentos de arquivos de armazenamento > de dados.

  2. Você deve habilitar uma fonte do AD em sua conta de armazenamento antes de atribuir permissões padrão no nível de compartilhamento. Se você já tiver feito isso, selecione Ative Directory e prossiga para a próxima etapa. Caso contrário, selecione Ative Directory: Não configurado, selecione Configurar na fonte do AD desejada e habilite a fonte do AD.

  3. Depois de habilitar uma fonte do AD, a Etapa 2: Definir permissões de nível de compartilhamento estará disponível para configuração. Selecione Habilitar permissões para todos os usuários e grupos autenticados.

    Captura de tela mostrando como definir uma permissão padrão de nível de compartilhamento usando o portal do Azure.

  4. Selecione a função apropriada a ser habilitada como a permissão de compartilhamento padrão na lista suspensa.

  5. Selecione Guardar.

O que acontece se você usar ambas as configurações

Também pode atribuir permissões a todos os utilizadores autenticados do Microsoft Entra e utilizadores/grupos específicos do Microsoft Entra. Com esta configuração, um utilizador ou grupo específico terá a permissão de nível mais alto da permissão ao nível da partilha predefinida e atribuição RBAC. Em outras palavras, digamos que você concedeu a um usuário a função Storage File Data SMB Reader no compartilhamento de arquivos de destino. Você também concedeu a permissão padrão de nível de compartilhamento Storage File Data SMB Share Elevated Contributor a todos os usuários autenticados. Com essa configuração, esse usuário específico terá o nível de Colaborador Elevado de Compartilhamento SMB de Dados de Arquivo de Armazenamento ao compartilhamento de arquivos. As permissões de nível mais alto têm sempre precedência.

Próximo passo

Agora que você atribuiu permissões de nível de compartilhamento, você pode configurar permissões de diretório e nível de arquivo. Lembre-se de que as permissões de nível de compartilhamento podem levar até três horas para entrar em vigor.