Tilldela behörigheter på resursnivå för Azure-filresurser

När du har aktiverat en Active Directory-källa (AD) för ditt lagringskonto måste du konfigurera behörigheter på resursnivå för att få åtkomst till filresursen. Det finns två sätt att tilldela behörigheter på resursnivå. Du kan tilldela dem till specifika Microsoft Entra-användare/-grupper och du kan tilldela dem till alla autentiserade identiteter som en standardbehörighet på resursnivå.

Viktigt!

Fullständig administrativ kontroll över en filresurs, inklusive möjligheten att ta ägarskap för en fil, kräver att du använder lagringskontonyckeln. Fullständig administrativ kontroll stöds inte med identitetsbaserad autentisering.

Gäller för

Typ av filresurs SMB NFS
Standardfilresurser (GPv2), LRS/ZRS Ja Inga
Standardfilresurser (GPv2), GRS/GZRS Ja Inga
Premiumfilresurser (FileStorage), LRS/ZRS Ja Nej

Välj hur du tilldelar behörigheter på resursnivå

Behörigheter på share-nivå för Azure-filresurser konfigureras för Microsoft Entra-användare, grupper eller tjänstens huvudnamn, medan katalog- och filnivåbehörigheter tillämpas med hjälp av Windows åtkomstkontrollistor (ACL). Du måste tilldela behörigheter på resursnivå till Den Microsoft Entra-identitet som representerar användaren, gruppen eller tjänstens huvudnamn som ska ha åtkomst. Autentisering och auktorisering mot identiteter som bara finns i Microsoft Entra-ID, till exempel Azure Managed Identities (MSI), stöds inte.

De flesta användare bör tilldela behörigheter på resursnivå till specifika Microsoft Entra-användare eller -grupper och sedan använda Windows-ACL:er för detaljerad åtkomstkontroll på katalog- och filnivå. Detta är den strängaste och säkraste konfigurationen.

Det finns tre scenarier där vi i stället rekommenderar att du använder en standardbehörighet på resursnivå för att ge läsare, deltagare, förhöjd deltagare, privilegierad deltagare eller privilegierad läsare åtkomst till alla autentiserade identiteter:

  • Om du inte kan synkronisera din lokala AD DS till Microsoft Entra-ID kan du använda en standardbehörighet på resursnivå. Om du tilldelar en standardbehörighet på resursnivå kan du kringgå synkroniseringskravet eftersom du inte behöver ange behörighet till identiteter i Microsoft Entra-ID. Sedan kan du använda Windows-ACL:er för detaljerad behörighetskontroll på dina filer och kataloger.
    • Identiteter som är knutna till en AD men som inte synkroniseras med Microsoft Entra-ID kan också utnyttja standardbehörigheten på resursnivå. Detta kan omfatta fristående hanterade tjänstkonton (sMSA), grupphanterade tjänstkonton (gMSA) och datorkonton.
  • Den lokala AD DS som du använder synkroniseras med ett annat Microsoft Entra-ID än det Microsoft Entra-ID som filresursen distribueras i.
    • Detta är typiskt när du hanterar miljöer med flera klientorganisationer. Med hjälp av en standardbehörighet på resursnivå kan du kringgå kravet på en Hybrididentitet för Microsoft Entra-ID. Du kan fortfarande använda Windows-ACL:er på dina filer och kataloger för detaljerad behörighetstillämpning.
  • Du föredrar att endast framtvinga autentisering med hjälp av Windows-ACL:er på fil- och katalognivå.

Azure RBAC-roller för Azure Files

Det finns fem inbyggda Rollbaserade RBAC-roller (Azure Rollbaserad åtkomstkontroll) för Azure Files, varav vissa tillåter beviljande av behörigheter på resursnivå till användare och grupper. Om du använder Azure Storage Explorer behöver du även rollen Läsare och dataåtkomst för att kunna läsa/komma åt Azure-filresursen.

Kommentar

Eftersom datorkonton inte har någon identitet i Microsoft Entra-ID kan du inte konfigurera Azure RBAC för dem. Datorkonton kan dock komma åt en filresurs med hjälp av en standardbehörighet på resursnivå.

Inbyggd Azure RBAC-roll Beskrivning
Storage File Data SMB Share Reader Tillåter läsåtkomst till filer och kataloger i Azure-filresurser. Den här rollen motsvarar en filresurs-ACL för läsning på Windows-filservrar.
Storage File Data SMB-resursdeltagare Tillåter läs-, skriv- och borttagningsåtkomst för filer och kataloger i Azure-filresurser.
Lagringsfildata SMB-resurs förhöjd deltagare Tillåter läsning, skrivning, borttagning och ändring av ACL:er för filer och kataloger i Azure-filresurser. Den här rollen motsvarar en filresurs-ACL för ändring på Windows-filservrar.
Storage File Data Privileged-deltagare Tillåter läsning, skrivning, borttagning och ändring av ACL:er i Azure-filresurser genom att åsidosätta befintliga ACL:er.
Lagringsfil, dataprivilegierad läsare Tillåter läsåtkomst i Azure-filresurser genom att åsidosätta befintliga ACL:er.

Behörigheter på share-nivå för specifika Microsoft Entra-användare eller -grupper

Om du tänker använda en specifik Microsoft Entra-användare eller -grupp för att få åtkomst till Azure-filresursresurser måste den identiteten vara en hybrididentitet som finns i både lokal AD DS och Microsoft Entra-ID. Anta till exempel att du har en användare i din AD som är user1@onprem.contoso.com och att du har synkroniserat med Microsoft Entra-ID som user1@contoso.com använder Microsoft Entra Connect Sync eller Microsoft Entra Connect-molnsynkronisering. För att den här användaren ska få åtkomst till Azure Files måste du tilldela behörigheter på resursnivå till user1@contoso.com. Samma begrepp gäller för grupper och tjänstens huvudnamn.

Viktigt!

Tilldela behörigheter genom att uttryckligen deklarera åtgärder och dataåtgärder i stället för att använda ett jokertecken (*). Om en anpassad rolldefinition för en dataåtgärd innehåller ett jokertecken ges alla identiteter som tilldelas den rollen åtkomst för alla möjliga dataåtgärder. Detta innebär att alla dessa identiteter även kommer att beviljas eventuella nya dataåtgärder som läggs till på plattformen. Den extra tillgång och de behörigheter som beviljas genom nya åtgärder eller dataåtgärder kan vara oönskat beteende för kunder som använder jokertecken.

För att behörigheter på resursnivå ska fungera måste du:

  • Om din AD-källa är AD DS eller Microsoft Entra Kerberos måste du synkronisera användarna och grupperna från din lokala AD till Microsoft Entra-ID med antingen det lokala Microsoft Entra Connect Sync-programmet eller Microsoft Entra Connect-molnsynkroniseringen, en lättviktsagent som kan installeras från Microsoft Entra Admin Center.
  • Lägg till AD-synkroniserade grupper i RBAC-rollen så att de kan komma åt ditt lagringskonto.

Dricks

Valfritt: Kunder som vill migrera behörigheter på SMB-serverresursnivå till RBAC-behörigheter kan använda PowerShell-cmdleten Move-OnPremSharePermissionsToAzureFileShare för att migrera katalog- och filnivåbehörigheter från lokalt till Azure. Den här cmdleten utvärderar grupperna för en viss lokal filresurs och skriver sedan lämpliga användare och grupper till Azure-filresursen med hjälp av de tre RBAC-rollerna. Du anger informationen för den lokala resursen och Azure-filresursen när du anropar cmdleten.

Du kan använda Azure Portal, Azure PowerShell eller Azure CLI för att tilldela inbyggda roller till Microsoft Entra-identiteten för en användare för att bevilja behörigheter på resursnivå.

Viktigt!

Behörigheterna på resursnivå tar upp till tre timmar att börja gälla efter att de har slutförts. Vänta tills behörigheterna synkroniseras innan du ansluter till filresursen med dina autentiseringsuppgifter.

Följ dessa steg om du vill tilldela en Azure-roll till en Microsoft Entra-identitet med hjälp av Azure Portal:

  1. I Azure Portal går du till filresursen eller skapar en SMB-filresurs.
  2. Välj Access Control (IAM).
  3. Välj Lägg till en rolltilldelning
  4. På bladet Lägg till rolltilldelning väljer du lämplig inbyggd roll i listan Roll.
  5. Lämna Tilldela åtkomst till som standardinställning: Microsoft Entra-användare, grupp eller tjänstens huvudnamn. Välj Microsoft Entra-målidentiteten efter namn eller e-postadress. Den valda Microsoft Entra-identiteten måste vara en hybrididentitet och får inte bara vara en identitet i molnet. Det innebär att samma identitet också representeras i AD DS.
  6. Välj Spara för att slutföra rolltilldelningsåtgärden.

Behörigheter på share-nivå för alla autentiserade identiteter

Du kan lägga till en standardbehörighet på resursnivå för ditt lagringskonto i stället för att konfigurera behörigheter på resursnivå för Microsoft Entra-användare eller -grupper. En standardbehörighet på resursnivå som tilldelats ditt lagringskonto gäller för alla filresurser som finns i lagringskontot.

När du anger en standardbehörighet på resursnivå har alla autentiserade användare och grupper samma behörighet. Autentiserade användare eller grupper identifieras eftersom identiteten kan autentiseras mot den lokala AD DS som lagringskontot är associerat med. Standardbehörigheten på resursnivå är inställd på Ingen vid initiering, vilket innebär att ingen åtkomst tillåts till filer eller kataloger i Azure-filresursen.

Följ dessa steg om du vill konfigurera standardbehörigheter på resursnivå för ditt lagringskonto med hjälp av Azure Portal.

  1. I Azure Portal går du till lagringskontot som innehåller dina filresurser och väljer Datalagringsfilresurser>.

  2. Du måste aktivera en AD-källa på ditt lagringskonto innan du tilldelar standardbehörigheter på resursnivå. Om du redan har gjort det väljer du Active Directory och fortsätter till nästa steg. Annars väljer du Active Directory: Inte konfigurerad, väljer Konfigurera under önskad AD-källa och aktiverar AD-källan.

  3. När du har aktiverat en AD-källa blir steg 2: Ange behörigheter på resursnivå tillgängliga för konfiguration. Välj Aktivera behörigheter för alla autentiserade användare och grupper.

    Skärmbild som visar hur du anger en standardbehörighet på resursnivå med hjälp av Azure Portal.

  4. Välj den roll som ska aktiveras som standardresursbehörighet i listrutan.

  5. Välj Spara.

Vad händer om du använder båda konfigurationerna

Du kan också tilldela behörigheter till alla autentiserade Microsoft Entra-användare och specifika Microsoft Entra-användare/-grupper. Med den här konfigurationen har en specifik användare eller grupp den högsta behörighetsnivån från standardbehörigheten på delningsnivå och RBAC-tilldelning. Anta med andra ord att du har beviljat en användare rollen Storage File Data SMB Reader på målfilresursen. Du har också beviljat behörigheten Storage File Data SMB Share Elevated Förhöjd deltagare för alla autentiserade användare. Med den här konfigurationen har den specifika användaren förhöjd deltagarnivå för Lagringsfildata SMB-resurs för åtkomst till filresursen. Behörigheter på högre nivå har alltid företräde.

Gå vidare

Nu när du har tilldelat behörigheter på resursnivå kan du konfigurera behörigheter på katalog- och filnivå. Kom ihåg att behörigheter på resursnivå kan ta upp till tre timmar att börja gälla.