Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
适用于: ✔️ SMB Azure 文件共享
无论在存储帐户上选择哪种标识源进行 基于标识的身份验证 ,都需要配置授权和访问控制。 Azure 文件在共享级别和目录/文件级别强制实施用户访问授权。
可以将共享级别权限分配给通过 Azure RBAC 管理的 Microsoft Entra 用户或组。 借助 Azure RBAC,用于文件访问的凭据应可用或同步到 Microsoft Entra ID。 可以将“存储文件数据 SMB 共享读取者”等 Azure 内置角色分配给 Microsoft Entra ID 中的用户或组,以授予对文件共享的访问权限。
在目录和文件级别,Azure 文件支持保留、继承和强制实施 Windows ACL。 在现有文件共享和 Azure 文件共享之间通过 SMB 复制数据时,可以选择保留 Windows ACL。 无论是否计划强制实施授权,都可以使用 Azure 文件存储来备份 ACL 以及数据。
配置共享级权限
在存储帐户上启用标识源后,必须执行下列作之一才能访问文件共享:
- 设置适用于所有经过身份验证的用户和组 的默认共享级别权限 。
- 将内置的 Azure RBAC 角色分配给用户和组。
- 为 Entra 标识配置自定义角色,并为存储帐户中的文件共享分配访问权限。
分配的共享级别权限仅授予对共享的标识访问权限,甚至不授予根目录。 你仍需单独配置目录级别和文件级别的权限。
有关详细信息,请参阅 “分配共享级别权限”。
注释
无法使用 Azure RBAC 将共享级别权限分配给计算机帐户(计算机帐户),因为计算机帐户无法同步到 Microsoft Entra ID 中的标识。 如果想要允许计算机帐户使用基于标识的身份验证访问 Azure 文件共享, 请使用默认共享级别权限 ,或改为考虑使用服务登录帐户。
配置目录和文件级别权限
Azure 文件在目录和文件级别(包括根目录)强制实施标准 Windows ACL。 可以通过 SMB 和 REST 配置目录或文件级权限。
有关详细信息,请参阅 “配置目录和文件级权限”。
在将数据导入到 Azure 文件服务时,要保留目录和文件的 ACL。
将数据复制到 Azure 文件共享时,Azure 文件存储支持保留目录级别或文件级别 ACL。 可以使用 Azure 文件同步或通用文件移动工具集将目录或文件上的 ACL 复制到 Azure 文件共享。 例如,可使用带 标志的 /copy:s 将数据和 ACL 复制到 Azure 文件共享。 默认情况下,系统会保留 ACL,因此你无需在存储帐户上启用基于标识的身份验证来保留 ACL。
后续步骤
有关详细信息,请参见: