Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
När du har aktiverat en identitetskälla för ditt lagringskonto måste du konfigurera behörigheter på resursnivå för att få åtkomst till filresursen. Det finns två sätt att tilldela behörigheter på resursnivå. Du kan tilldela dem till specifika Microsoft Entra-användare/-grupper och du kan tilldela dem till alla autentiserade identiteter som en standardbehörighet på resursnivå.
Gäller för
| Hanteringsmodell | Faktureringsmodell | Medieklass | Redundans | Små och medelstora företag (SMB) | NFS (Network File System) |
|---|---|---|---|---|---|
| Microsoft.Storage, lagringstjänster | Provisionerad v2 | HDD (standard) | Lokalt (LRS) |
|
|
| Microsoft.Storage, lagringstjänster | Provisionerad v2 | HDD (standard) | Zon (ZRS) |
|
|
| Microsoft.Storage, lagringstjänster | Provisionerad v2 | HDD (standard) | Geo (GRS) |
|
|
| Microsoft.Storage, lagringstjänster | Provisionerad v2 | HDD (standard) | GeoZone (GZRS) |
|
|
| Microsoft.Storage, lagringstjänster | Tillhandahållen v1 | SSD (hög kvalitet) | Lokalt (LRS) |
|
|
| Microsoft.Storage, lagringstjänster | Tillhandahållen v1 | SSD (hög kvalitet) | Zon (ZRS) |
|
|
| Microsoft.Storage, lagringstjänster | Betala efter hand | HDD (standard) | Lokalt (LRS) |
|
|
| Microsoft.Storage, lagringstjänster | Betala efter hand | HDD (standard) | Zon (ZRS) |
|
|
| Microsoft.Storage, lagringstjänster | Betala efter hand | HDD (standard) | Geo (GRS) |
|
|
| Microsoft.Storage, lagringstjänster | Betala efter hand | HDD (standard) | GeoZone (GZRS) |
|
|
Välj hur du tilldelar behörigheter på resursnivå
Behörigheter på delningsnivå för Azure-fildelningar är konfigurerade för Microsoft Entra-användare, grupper eller tjänstprincipaler, medan katalog- och filnivåbehörigheter tillämpas med hjälp av åtkomstkontrollistor med Windows (ACL). Du måste tilldela behörigheter på resursnivå till Den Microsoft Entra-identitet som representerar användaren, gruppen eller tjänstens huvudnamn som ska ha åtkomst. Autentisering och auktorisering mot identiteter som bara finns i Microsoft Entra-ID, till exempel Azure Managed Identities (MSI), stöds inte.
De flesta användare bör tilldela behörigheter på resursnivå till specifika Microsoft Entra-användare eller -grupper och sedan använda Windows-ACL:er för detaljerad åtkomstkontroll på katalog- och filnivå. Detta är den strängaste och säkraste konfigurationen.
Det finns tre scenarier där vi i stället rekommenderar att du använder en standardbehörighet på resursnivå för att ge läsare, deltagare, förhöjd deltagare, privilegierad deltagare eller privilegierad läsare åtkomst till alla autentiserade identiteter:
- Om du inte kan synkronisera din lokala AD DS till Microsoft Entra-ID kan du använda en standardbehörighet på resursnivå. Om du tilldelar en standardbehörighet på resursnivå kan du kringgå synkroniseringskravet eftersom du inte behöver ange behörighet till identiteter i Microsoft Entra-ID. Sedan kan du använda Windows-ACL:er för detaljerad behörighetskontroll på dina filer och kataloger.
- Identiteter som är knutna till en AD men som inte synkroniseras med Microsoft Entra-ID kan också utnyttja standardbehörigheten på delningsnivå. Detta kan omfatta fristående hanterade tjänstkonton (sMSA), grupphanterade tjänstkonton (gMSA) och datorkonton.
- Den lokala AD DS som du använder synkroniseras med ett annat Microsoft Entra-ID än det Microsoft Entra-ID som filresursen distribueras i.
- Detta är typiskt när du hanterar miljöer med flera klientorganisationer. Med hjälp av en standardbehörighet på resursnivå kan du kringgå kravet på en Hybrididentitet för Microsoft Entra-ID. Du kan fortfarande använda Windows-ACL:er på dina filer och kataloger för detaljerad behörighetstillämpning.
- Du föredrar att endast framtvinga autentisering med hjälp av Windows-ACL:er på fil- och katalognivå.
Azure RBAC-roller för Azure Files
Det finns fem inbyggda Rollbaserade RBAC-roller (Azure Rollbaserad åtkomstkontroll) för Azure Files, varav vissa tillåter beviljande av behörigheter på resursnivå till användare och grupper. Om du använder Azure Storage Explorer behöver du även rollen Läsare och dataåtkomst för att kunna läsa/komma åt Azure-filresursen.
Kommentar
Eftersom datorkonton inte har någon identitet i Microsoft Entra-ID kan du inte konfigurera Azure RBAC för dem. Datorkonton kan dock komma åt en filresurs med hjälp av en standardbehörighet på resursnivå.
| Inbyggd Azure RBAC-roll | Beskrivning |
|---|---|
| Läsare för SMB-delning av lagringsfildata | Tillåter läsåtkomst till filer och kataloger i Azure-filresurser. Den här rollen motsvarar en filresurs-ACL för läsning på Windows-filservrar. |
| Storage File Data SMB-resursdeltagare | Tillåter läs-, skriv- och borttagningsåtkomst för filer och kataloger i Azure-filresurser. |
| Lagringsfildata SMB-delning med förhöjd behörighet | Tillåter läsning, skrivning, borttagning och ändring av ACL:er för filer och kataloger i Azure-filresurser. Den här rollen motsvarar en filresurs-ACL för ändring på Windows-filservrar. |
| Privilegierad deltagare för lagringsfildata | Tillåter läsning, skrivning, borttagning och ändring av ACL:er i Azure-filresurser genom att åsidosätta befintliga ACL:er. |
| Privilegierad läsare av lagringsfildata | Tillåter läsåtkomst i Azure-filresurser genom att åsidosätta befintliga ACL:er. |
Behörigheter på share-nivå för specifika Microsoft Entra-användare eller -grupper
Om du tänker använda en specifik Microsoft Entra-användare eller -grupp för att få åtkomst till Azure-filresursresurser måste den identiteten vara en hybrididentitet som finns i både lokal AD DS och Microsoft Entra-ID. Anta till exempel att du har en användare i din AD som är user1@onprem.contoso.com och att du har synkroniserat med Microsoft Entra-ID som user1@contoso.com använder Microsoft Entra Connect Sync eller Microsoft Entra Connect-molnsynkronisering. För att den här användaren ska få åtkomst till Azure Files måste du tilldela behörigheter på resursnivå till user1@contoso.com. Samma begrepp gäller för grupper och tjänstens huvudnamn.
Viktigt!
Tilldela behörigheter genom att uttryckligen deklarera åtgärder och dataåtgärder i stället för att använda ett jokertecken (*). Om en anpassad rolldefinition för en dataåtgärd innehåller ett jokertecken ges alla identiteter som tilldelas den rollen åtkomst för alla möjliga dataåtgärder. Detta innebär att alla dessa identiteter även kommer att beviljas eventuella nya dataåtgärder som läggs till på plattformen. Den extra tillgång och de behörigheter som beviljas genom nya åtgärder eller dataåtgärder kan vara oönskat beteende för kunder som använder jokertecken.
För att behörigheter på resursnivå ska fungera måste du:
- Om din AD-källa är AD DS eller Microsoft Entra Kerberos måste du synkronisera användarna och grupperna från din lokala AD till Microsoft Entra-ID med antingen det lokala Microsoft Entra Connect Sync-programmet eller Microsoft Entra Connect-molnsynkroniseringen, en lättviktsagent som kan installeras från Microsoft Entra Admin Center.
- Lägg till AD-synkroniserade grupper i RBAC-rollen så att de kan komma åt ditt lagringskonto.
Dricks
Valfritt: Kunder som vill migrera behörigheter på SMB-serverresursnivå till RBAC-behörigheter kan använda PowerShell-cmdleten Move-OnPremSharePermissionsToAzureFileShare för att migrera katalog- och filnivåbehörigheter från lokalt till Azure. Den här cmdleten utvärderar grupperna för en viss lokal filresurs och skriver sedan lämpliga användare och grupper till Azure-filresursen med hjälp av de tre RBAC-rollerna. Du anger informationen för den lokala resursen och Azure-filresursen när du anropar cmdleten.
Du kan använda Azure Portal, Azure PowerShell eller Azure CLI för att tilldela inbyggda roller till Microsoft Entra-identiteten för en användare för att bevilja behörigheter på resursnivå.
Viktigt!
Behörigheterna på resursnivå tar upp till tre timmar att börja gälla efter att de har slutförts. Vänta tills behörigheterna synkroniseras innan du ansluter till filresursen med dina autentiseringsuppgifter.
Följ dessa steg om du vill tilldela en Azure-roll till en Microsoft Entra-identitet med hjälp av Azure Portal:
- I Azure Portal går du till filresursen eller skapar en SMB-filresurs.
- Välj Access Control (IAM).
- Välj Lägg till en rolltilldelning
- På bladet Lägg till rolltilldelning väljer du lämplig inbyggd rolli listan Roll.
- Lämna Tilldela åtkomst till som standardinställning: Microsoft Entra-användare, grupp eller tjänstens huvudnamn. Välj Microsoft Entra-målidentiteten efter namn eller e-postadress. Den valda Microsoft Entra-identiteten måste vara en hybrididentitet och får inte bara vara en identitet i molnet. Det innebär att samma identitet också representeras i AD DS.
- Välj Spara för att slutföra rolltilldelningsåtgärden.
Behörigheter på delningsnivå för alla autentiserade identiteter
Du kan lägga till en standardbehörighet på resursnivå för ditt lagringskonto i stället för att konfigurera behörigheter på resursnivå för Microsoft Entra-användare eller -grupper. En standardbehörighet på resursnivå som tilldelats ditt lagringskonto gäller för alla filresurser som finns i lagringskontot.
Viktigt!
Om du anger en standardbehörighet på resursnivå för lagringskontot behöver du inte synkronisera dina lokala identiteter med Microsoft Entra-ID.
När du anger en standardbehörighet på resursnivå har alla autentiserade användare och grupper samma behörighet. Autentiserade användare eller grupper identifieras eftersom identiteten kan autentiseras mot den lokala AD DS som lagringskontot är associerat med. Standardbehörigheten på resursnivå är inställd på Ingen vid initiering, vilket innebär att ingen åtkomst tillåts till filer eller kataloger i Azure-filresursen.
Följ dessa steg om du vill konfigurera standardbehörigheter på resursnivå för ditt lagringskonto med hjälp av Azure Portal.
I Azure Portal går du till lagringskontot som innehåller dina filresurser och väljer Datalagringsfilresurser>.
Du måste aktivera en AD-källa på ditt lagringskonto innan du tilldelar standardbehörigheter på resursnivå. Om du redan har gjort det väljer du Active Directory och fortsätter till nästa steg. Annars väljer du Active Directory: Inte konfigurerad, väljer Konfigurera under önskad AD-källa och aktiverar AD-källan.
När du har aktiverat en AD-källa blir steg 2: Ange behörigheter på resursnivå tillgängliga för konfiguration. Välj Aktivera behörigheter för alla autentiserade användare och grupper.
Välj den lämpliga rollen som ska aktiveras som standard delningsbehörighet från listrutan.
Välj Spara.
Vad händer om du använder båda konfigurationerna
Du kan också tilldela behörigheter till alla autentiserade Microsoft Entra-användare och specifika Microsoft Entra-användare/-grupper. Med den här konfigurationen kommer en specifik användare eller grupp att få den högre av behörighetsnivåerna från antingen standardbehörigheten på delningsnivå eller RBAC-tilldelningen. Med andra ord, anta att du har beviljat en användare rollen Storage File Data SMB Reader på den måldelade filresursen. Du har också beviljat standardbehörigheten Storage File Data SMB Share Elevated Contributor för alla autentiserade användare. Med den här konfigurationen kommer den specifika användaren att ha förhöjd rättighet som Storage File Data SMB Share Contributor-nivå för åtkomst till filresursen. Behörigheter på högre nivå har alltid företräde.
Gå vidare
Nu när du har tilldelat behörigheter på resursnivå kan du konfigurera behörigheter på katalog- och filnivå. Kom ihåg att behörigheter på resursnivå kan ta upp till tre timmar att börja gälla.