Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Depois de ativar uma origem do Active Directory (AD) para a conta de armazenamento, tem de configurar permissões ao nível da partilha para obter acesso à partilha de ficheiros. Há duas maneiras de atribuir permissões de nível de compartilhamento. Você pode atribuí-los a usuários/grupos específicos do Microsoft Entra e atribuí-los a todas as identidades autenticadas como uma permissão padrão de nível de compartilhamento.
Aplica-se a
| Modelo de gestão | Modelo de faturação | Nível de média | Redundância | PME | Sistema de Arquivos de Rede (NFS) |
|---|---|---|---|---|---|
| Microsoft.Armazenamento | Provisionado v2 | HDD (padrão) | Localização (LRS) |
|
|
| Microsoft.Armazenamento | Provisionado v2 | HDD (padrão) | Zona (ZRS) |
|
|
| Microsoft.Armazenamento | Provisionado v2 | HDD (padrão) | Geo (GRS) |
|
|
| Microsoft.Armazenamento | Provisionado v2 | HDD (padrão) | GeoZona (GZRS) |
|
|
| Microsoft.Armazenamento | Provisionado versão 1 | SSD (de qualidade superior) | Localização (LRS) |
|
|
| Microsoft.Armazenamento | Provisionado versão 1 | SSD (de qualidade superior) | Zona (ZRS) |
|
|
| Microsoft.Armazenamento | Pagamento conforme o consumo | HDD (padrão) | Localização (LRS) |
|
|
| Microsoft.Armazenamento | Pagamento conforme o consumo | HDD (padrão) | Zona (ZRS) |
|
|
| Microsoft.Armazenamento | Pagamento conforme o consumo | HDD (padrão) | Geo (GRS) |
|
|
| Microsoft.Armazenamento | Pagamento conforme o consumo | HDD (padrão) | GeoZona (GZRS) |
|
|
Escolher como atribuir permissões de nível de compartilhamento
As permissões de nível de compartilhamento em compartilhamentos de arquivos do Azure são configuradas para usuários, grupos ou entidades de serviço do Microsoft Entra, enquanto as permissões de nível de diretório e arquivo são impostas usando ACLs (listas de controle de acesso) do Windows. Você deve atribuir permissões de nível de compartilhamento à identidade do Microsoft Entra que representa o usuário, grupo ou entidade de serviço que deve ter acesso. Não há suporte para autenticação e autorização contra identidades que só existem no Microsoft Entra ID, como Identidades Gerenciadas do Azure (MSIs).
A maioria dos usuários deve atribuir permissões de nível de compartilhamento a usuários ou grupos específicos do Microsoft Entra e, em seguida, usar ACLs do Windows para controle de acesso granular no nível de diretório e arquivo. Esta é a configuração mais rigorosa e segura.
Há três cenários em que, em vez disso, recomendamos o uso de uma permissão padrão de nível de compartilhamento para permitir que o leitor, o colaborador, o contribuidor elevado, o contribuidor privilegiado ou o leitor privilegiado tenham acesso a todas as identidades autenticadas:
- Se não conseguir sincronizar o AD DS local com o ID do Microsoft Entra, pode utilizar uma permissão de nível de partilha predefinida. A atribuição de uma permissão padrão no nível de compartilhamento permite que você contorne o requisito de sincronização porque não precisa especificar a permissão para identidades na ID do Microsoft Entra. Em seguida, você pode usar ACLs do Windows para imposição de permissão granular em seus arquivos e diretórios.
- As identidades que estão vinculadas a um AD, mas não estão sincronizadas com o Microsoft Entra ID, também podem aproveitar a permissão padrão de nível de compartilhamento. Isso pode incluir contas de serviço gerenciado autônomas (sMSA), contas de serviço gerenciado de grupo (gMSA) e contas de computador.
- O AD DS local que você está usando é sincronizado com uma ID do Microsoft Entra diferente da ID do Microsoft Entra na qual o compartilhamento de arquivos está implantado.
- Isso é típico quando você está gerenciando ambientes multilocatário. O uso de uma permissão padrão de nível de compartilhamento permite que se ignore o requisito de uma identidade híbrida do Microsoft Entra ID. Você ainda pode usar ACLs do Windows em seus arquivos e diretórios para imposição de permissão granular.
- Você prefere impor a autenticação somente usando ACLs do Windows no nível de arquivo e diretório.
Funções do RBAC do Azure para Arquivos do Azure
Há cinco funções RBAC (controle de acesso baseadas em função) internas do Azure para Arquivos do Azure, algumas das quais permitem conceder permissões de nível de compartilhamento a usuários e grupos. Se você estiver usando o Gerenciador de Armazenamento do Azure, também precisará da função Leitor e Acesso a Dados para ler/acessar o compartilhamento de arquivos do Azure.
Nota
Como as contas de computador não têm uma identidade na ID do Microsoft Entra, não é possível configurar o RBAC do Azure para elas. No entanto, as contas de computador podem acessar um compartilhamento de arquivos usando uma permissão padrão de nível de compartilhamento.
| Função interna do RBAC do Azure | Descrição |
|---|---|
| Leitor de partilha SMB de ficheiros de dados de armazenamento | Permite acesso de leitura a arquivos e diretórios em compartilhamentos de arquivos do Azure. Este papel é análogo a uma ACL de compartilhamento de arquivos com permissão de leitura em servidores de arquivos do Windows. |
| Contribuidor da Partilha SMB de Dados de Ficheiros de Armazenamento | Permite ler, gravar e excluir acesso em arquivos e diretórios em compartilhamentos de arquivos do Azure. |
| Contribuidor com privilégios elevados para a partilha SMB de dados de ficheiros de armazenamento | Permite ler, gravar, excluir e modificar ACLs em arquivos e diretórios em compartilhamentos de arquivos do Azure. Essa função é análoga a uma ACL de alteração para partilha de ficheiros em servidores de ficheiros do Windows. |
| Contribuidor Privilegiado de Dados de Ficheiros de Armazenamento | Permite ler, escrever, excluir e modificar ACLs em compartilhamentos de arquivos do Azure substituindo ACLs existentes. |
| Leitor privilegiado de dados de arquivos de armazenamento | Permite acesso de leitura em compartilhamentos de arquivos do Azure substituindo ACLs existentes. |
Permissões de nível de compartilhamento para usuários ou grupos específicos do Microsoft Entra
Se você pretende usar um usuário ou grupo específico do Microsoft Entra para acessar recursos de compartilhamento de arquivos do Azure, essa identidade deve ser uma identidade híbrida que exista no AD DS local e na ID do Microsoft Entra. Por exemplo, digamos que você tenha um usuário em seu AD que esteja user1@onprem.contoso.com e tenha sincronizado com a ID do Microsoft Entra como user1@contoso.com usando o Microsoft Entra Connect Sync ou a sincronização na nuvem do Microsoft Entra Connect. Para que esse usuário acesse os Arquivos do Azure, você deve atribuir as permissões de nível de compartilhamento ao user1@contoso.com. O mesmo conceito se aplica a grupos e entidades de serviço.
Importante
Atribua permissões declarando explicitamente ações e ações de dados em vez de utilizar um caráter curinga (*). Se uma definição de função personalizada para uma ação de dados contiver um caractere curinga, todas as identidades atribuídas a essa função têm acesso a todas as ações de dados possíveis. Isto significa que todas essas identidades também irão receber qualquer nova ação de dados adicionada à plataforma. O acesso e as permissões adicionais concedidas através de novas ações ou ações de dados podem ser um comportamento indesejado para os clientes que utilizam um caráter curinga.
Para que as permissões de nível de compartilhamento funcionem, você deve:
- Se a origem do AD for AD DS ou Microsoft Entra Kerberos, deverá sincronizar os utilizadores e os grupos do seu AD local com o Microsoft Entra ID, utilizando a aplicação local Microsoft Entra Connect Sync ou Microsoft Entra Connect cloud sync, um agente leve que pode ser instalado a partir do Centro de Administração do Microsoft Entra.
- Adicione grupos sincronizados do AD à função RBAC para que eles possam acessar sua conta de armazenamento.
Gorjeta
Opcional: os clientes que desejam migrar permissões de nível de compartilhamento do servidor SMB para permissões RBAC podem usar o cmdlet do PowerShell para migrar permissões de diretório e nível de arquivo do local para o Move-OnPremSharePermissionsToAzureFileShare Azure. Este cmdlet avalia os grupos de um compartilhamento de arquivos local específico e, em seguida, grava os usuários e grupos apropriados no compartilhamento de arquivos do Azure usando as três funções RBAC. Você fornece as informações para o compartilhamento local e o compartilhamento de arquivos do Azure ao invocar o cmdlet.
Você pode usar o portal do Azure, o Azure PowerShell ou a CLI do Azure para atribuir as funções internas à identidade Microsoft Entra de um usuário para conceder permissões de nível de compartilhamento.
Importante
As permissões ao nível da partilha irão demorar até três horas para entrar em vigor depois de concluídas. Certifique-se de aguardar a sincronização das permissões antes de se conectar ao seu compartilhamento de arquivos usando suas credenciais.
Para atribuir uma função do Azure a uma identidade do Microsoft Entra, usando o Azure portal, siga estas etapas:
- No portal do Azure, vá para seu compartilhamento de arquivos ou crie um compartilhamento de arquivos SMB.
- Selecione Controlo de Acesso (IAM).
- Selecione Adicionar uma atribuição de função
- Na folha Adicionar atribuição de função, selecione a função predefinida apropriada na lista de funções.
- Deixe Atribuir acesso a na configuração padrão: usuário, grupo ou principal de serviço do Microsoft Entra. Selecione a identidade do Microsoft Entra de destino por nome ou endereço de e-mail. A identidade selecionada do Microsoft Entra deve ser uma identidade híbrida e não pode ser uma identidade somente na nuvem. Isso significa que a mesma identidade também é representada no AD DS.
- Selecione Salvar para concluir a operação de atribuição de função.
Permissões de nível de compartilhamento para todas as identidades autenticadas
Você pode adicionar uma permissão padrão de nível de compartilhamento em sua conta de armazenamento, em vez de configurar permissões de nível de compartilhamento para usuários ou grupos do Microsoft Entra. Uma permissão padrão de nível de compartilhamento atribuída à sua conta de armazenamento se aplica a todos os compartilhamentos de arquivos contidos na conta de armazenamento.
Quando você define uma permissão padrão de nível de compartilhamento, todos os usuários e grupos autenticados terão a mesma permissão. Os usuários ou grupos autenticados são identificados à medida que a identidade pode ser autenticada no AD DS local ao qual a conta de armazenamento está associada. A permissão de nível de compartilhamento padrão é definida como Nenhum na inicialização, implicando que nenhum acesso é permitido a arquivos ou diretórios no compartilhamento de arquivos do Azure.
Para configurar permissões padrão de nível de compartilhamento em sua conta de armazenamento usando o portal do Azure, siga estas etapas.
No portal do Azure, vá para a conta de armazenamento que contém o(s) seu(s) compartilhamento(s) de arquivos e selecione Compartilhamentos de arquivos de armazenamento > de dados.
Você deve habilitar uma fonte do AD em sua conta de armazenamento antes de atribuir permissões padrão no nível de compartilhamento. Se você já tiver feito isso, selecione Ative Directory e prossiga para a próxima etapa. Caso contrário, selecione Ative Directory: Não configurado, selecione Configurar na fonte do AD desejada e habilite a fonte do AD.
Depois de habilitar uma fonte do AD, a Etapa 2: Definir permissões de nível de compartilhamento estará disponível para configuração. Selecione Habilitar permissões para todos os usuários e grupos autenticados.
Selecione a função apropriada para ser ativada como a permissão padrão de compartilhamento a partir da lista suspensa.
Selecione Guardar.
O que acontece se você usar ambas as configurações
Também pode atribuir permissões a todos os utilizadores autenticados do Microsoft Entra e utilizadores/grupos específicos do Microsoft Entra. Com esta configuração, um utilizador ou grupo específico terá a permissão de nível superior da permissão ao nível da partilha predefinida e da atribuição RBAC. Em outras palavras, digamos que você concedeu a um usuário a função Storage File Data SMB Reader no compartilhamento de arquivos de destino. Você também concedeu o nível padrão de permissão de partilha Storage File Data SMB Share Elevated Contributor a todos os usuários autenticados. Com esta configuração, permitirá que esse usuário específico tenha o nível de acesso Elevado de Colaborador de Compartilhamento SMB de Dados de Ficheiro de Armazenamento ao partilhar ficheiros. As permissões de nível mais alto têm sempre precedência.
Próximo passo
Agora que você atribuiu permissões de nível de compartilhamento, você pode configurar permissões de diretório e nível de arquivo. Lembre-se de que as permissões de nível de compartilhamento podem levar até três horas para entrar em vigor.