为 Azure 文件分配 Share-Level 权限

适用于： ✔️ SMB Azure 文件共享

为存储帐户启用标识源后，必须配置共享级别权限才能访问文件共享。可以通过两种方式分配共享级别权限：为特定的 Microsoft Entra 用户或组分配权限，或为所有经过身份验证的标识设置为默认的共享级别权限。

为 Microsoft Entra 用户、组或服务主体配置 Azure 文件共享的共享级别权限。目录和文件级权限是通过 Windows 访问控制列表（ACL）强制执行的。将共享级别权限分配给表示需要访问权限的用户、组或服务主体的 Entra 标识。

大多数用户为特定的 Entra 用户或组分配共享级别权限，并使用 Windows ACL 在目录和文件级别进行精细访问控制。此配置是最安全的。

使用默认共享级别权限授予基于角色的访问权限给所有在这些场景中已认证的身份：

无法将本地 Active Directory 域服务（AD DS）同步到Microsoft Entra ID。分配默认共享级别权限来满足同步要求，因为无需在 Entra ID 中指定身份的权限。然后，可以使用 Windows ACL 对文件和目录强制实施精细权限。
- 绑定到 Active Directory 但未同步到 Microsoft Entra ID 的身份还可以利用默认共享权限级别。此条件可能包括独立托管服务帐户（sMSA）、组托管服务帐户（gMSA）和计算机帐户。
正在使用的本地 AD DS 已同步到不同于部署文件共享的 Entra ID 的另一个 Entra ID。
- 管理多租户环境时，这种情况很典型。通过使用默认共享级别权限，可以绕过 Entra ID 混合标识的要求。仍可对文件和目录使用 Windows ACL，以强制实施精细权限。
你希望仅在文件和目录级别使用 Windows ACL 来强制实施身份验证。

Azure 文件存储的 Azure RBAC 角色

有几个内置的 Azure 基于角色的访问控制 (RBAC) 角色适用于 Azure 文件。这些角色中的一些授予用户和群组共享级权限。如果使用 Azure 存储资源管理器，则还需要读取和数据访问角色来读取和访问 Azure 文件共享。

注意

由于计算机帐户在 Entra ID 中没有标识，因此无法为其配置 Azure RBAC。但是，计算机帐户可以使用默认共享级别权限访问文件共享。

内置 Azure RBAC 角色	描述
存储文件数据 SMB 共享读取者	授予对 Azure 文件中文件和目录的读取访问权限。此角色类似于 Windows 文件服务器上的只读文件共享 ACL。
存储文件数据 SMB 共享贡献者	授予对 Azure 文件中文件和目录的读取、写入和删除访问权限。
SMB 共享存储文件数据高级贡献者	授予对 Azure 文件中文件和目录的读取、写入、删除权限，并修改访问控制列表 (ACL)。此角色类似于 Windows 文件服务器上的具有更改权限的文件共享 ACL。
存储文件数据的特权参与者	通过覆盖现有 ACL，授予对 Azure 文件的读取、写入、删除权限，并修改 ACL。
存储文件数据特权读取器	通过覆盖现有 ACL 授予 Azure Files 中的读取访问权限。
存储文件数据 SMB 管理员	通过 SMB 为最终用户授予与存储帐户密钥等效的管理员访问权限。

如果你打算使用特定的 Microsoft Entra 用户或组来访问 Azure 文件共享资源，该标识必须是同时存在于本地 AD DS 和 Microsoft Entra ID 中的混合标识。

例如，假设在 AD user1@onprem.contoso.com 中有一个用户，并且通过 Microsoft Entra Connect Sync 将其同步到 Entra ID user1@contoso.com。若要访问 Azure Files，此用户必须具有分配给 user1@contoso.com 的共享级别权限。同一理念也适用于组和服务主体。

重要

通过显式声明操作和数据操作，而不是使用通配符 (*) 字符来分配权限。 如果数据操作的自定义角色定义包含通配符，则将向分配给该角色的所有标识授予访问所有可能的数据操作的权限。此访问权限包括添加到平台的任何新数据操作。使用通配符的客户可能会觉得通过新的操作或数据操作授予的额外访问权限和许可是不必要的。

若要使共享级权限正常工作，必须执行以下操作：

如果标识源是 AD DS 或Microsoft Entra Kerberos，请使用 Microsoft Entra Connect 同步应用程序将用户和组从本地 Active Directory 同步到 Entra ID。
将 AD 同步组添加到 RBAC 角色，以便它们访问你的存储帐户。

提示

可选：若要将 SMB 服务器共享级权限迁移到 RBAC 权限，请使用 Move-OnPremSharePermissionsToAzureFileShare PowerShell cmdlet 将目录和文件级权限从本地迁移到 Azure。此 cmdlet 评估特定本地文件共享中的组，然后使用内置的 RBAC 角色将相应的用户和组写入 Azure 文件共享。调用 cmdlet 时，提供本地共享和 Azure 文件共享的信息。

若要授予共享权限，请使用 Azure 门户、Azure PowerShell 或 Azure CLI，将其中一个内置角色分配给用户的 Entra ID 标识。

重要

共享级别权限更改通常在 30 分钟内生效，但在某些情况下，它们可能需要更长的时间。在使用凭据连接到文件共享之前，请等待权限生效。

若要使用 Azure 门户分配一个 Azure 角色给 Entra 标识，请执行以下步骤：

在 Azure 门户中，转到文件共享，或创建 SMB 文件共享。
选择“访问控制 (IAM)”。
选择 “添加角色分配”。
在“添加角色分配”窗格中，从“角色”列表中选择相应的内置角色。
在默认设置中保留分配访问权限：Microsoft Entra 用户、组或服务主体。按名称或电子邮件地址选择目标 Entra 身份。
选择“保存”以完成角色分配操作。

以下 PowerShell 示例演示如何根据登录名称将 Azure 角色分配给 Entra 标识。有关使用 PowerShell 分配 Azure 角色的详细信息，请参阅使用 Azure PowerShell 模块添加或删除 Azure 角色分配。

运行以下示例脚本之前，请将占位符值（包括括号）替换为你的值。

#Get the name of the custom role
$FileShareContributorRole = Get-AzRoleDefinition "<role-name>" #Use one of the built-in roles: Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor, Storage File Data SMB Share Elevated Contributor, Storage File Data Privileged Contributor, Storage File Data Privileged Reader, Storage File Data SMB Admin
#Constrain the scope to the target file share
$scope = "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/fileServices/default/fileshares/<share-name>"
#Assign the custom role to the target identity with the specified scope.
New-AzRoleAssignment -SignInName <user-principal-name> -RoleDefinitionName $FileShareContributorRole.Name -Scope $scope

以下 CLI 命令根据登录名称为 Entra 标识分配 Azure 角色。有关使用 Azure CLI 分配 Azure 角色的详细信息，请参阅使用 Azure CLI 添加或删除 Azure 角色分配。

在运行以下命令之前，请将占位符值（包括括号）替换为你自己的值。

#Assign one of the built-in roles to the target identity: Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor, Storage File Data SMB Share Elevated Contributor, Storage File Data Privileged Contributor, Storage File Data Privileged Reader, Storage File Data SMB Admin

az role assignment create --role "<role-name>" --assignee <user-principal-name> --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/fileServices/default/fileshares/<share-name>"

可以为存储帐户添加默认共享级别权限，而不是为 Entra 用户或组配置共享级别权限。分配给存储帐户的默认共享级别权限将应用于存储帐户中包含的所有文件共享。

重要

如果对存储帐户设置了默认共享级别权限，则无需将本地标识同步到 Entra ID。

设置默认共享级别权限时，所有经过身份验证的用户和组都具有相同的权限。经过身份验证的用户或组被识别为可以通过存储帐户关联的 AD DS 进行身份验证的身份。默认共享级别权限在初始化时设置为 “无 ”，这意味着不允许访问 Azure 文件共享中的文件或目录。

若要使用 Azure 门户配置存储帐户的默认共享级别权限，请执行以下步骤。

在 Azure 门户中，转到包含文件共享的存储帐户，然后选择 “数据存储 > 文件共享”。
在分配默认共享级别权限之前，必须在存储帐户上启用标识源。如果已启用标识源，请选择“基于标识的访问”旁边的“已配置”，然后继续执行下一步。否则，请选择 “未配置”，在所需标识源下选择“ 设置 ”，然后启用标识源。
启用 AD 源后， 步骤 2：设置共享级别权限 可用于配置。选择“为所有经过身份验证的用户和组启用权限”。
从下拉列表中选择相应的角色以作为默认共享权限启用。
选择“保存”。

使用以下脚本在存储帐户上配置默认共享级别权限。只有在为 Azure 文件身份验证启用标识源的存储帐户上，您才能启用默认共享级别权限。

在运行以下脚本之前，请确保 Az.Storage 模块的版本为 3.7.0 或更高版本。根据需要更新到最新版本。将 <resource-group-name> 和 <storage-account-name> 替换为自己的值。

$defaultPermission = "None|StorageFileDataSmbShareContributor|StorageFileDataSmbShareReader|StorageFileDataSmbShareElevatedContributor|StorageFileDataPrivilegedContributor|StorageFileDataPrivilegedReader|StorageFileDataSmbAdmin" # Set the default permission of your choice. Specify only one of the built-in roles.

$account = Set-AzStorageAccount -ResourceGroupName "<resource-group-name>" -AccountName "<storage-account-name>" -DefaultSharePermission $defaultPermission

$account.AzureFilesIdentityBasedAuth

使用以下脚本在存储帐户上配置默认共享级别权限。只有在为 Azure 文件身份验证启用标识源的存储帐户上，您才能启用默认共享级别权限。

运行以下脚本之前，请确保 Azure CLI 版本为 2.24.1 或更高版本。

# Declare variables
storageAccountName="YourStorageAccountName"
resourceGroupName="YourResourceGroupName"
defaultPermission="None|StorageFileDataSmbShareContributor|StorageFileDataSmbShareReader|StorageFileDataSmbShareElevatedContributor|StorageFileDataPrivilegedContributor|StorageFileDataPrivilegedReader|StorageFileDataSmbAdmin" # Set the default permission of your choice. Specify only one of the built-in roles.

az storage account update --name $storageAccountName --resource-group $resourceGroupName --default-share-permission $defaultPermission

同时使用这两种配置会发生什么情况

可以将权限分配给所有经过身份验证的 Entra 用户和特定的 Entra 用户或组。使用此配置时，特定用户或组获取默认共享级别权限与 RBAC 分配之间的更高级别权限。例如，假设向用户授予目标文件共享上的 存储文件数据 SMB 读取者 角色。还可以向所有经过身份验证的用户授予默认共享级别权限 存储文件数据 SMB 共享提升的贡献者 。使用此配置，该特定用户能够以存储文件数据 SMB 共享高级贡献者身份访问文件共享。较高级别的权限始终优先。

了解未同步用户的组访问权限

未同步到 Entra ID 的用户仍可以通过组成员身份访问 Azure 文件共享。如果用户属于同步到 Entra ID 且具有 Azure RBAC 角色分配的本地 AD DS 组，则即使这些用户未在Microsoft Entra管理中心中显示为组成员，也会获得该组的权限。

以下是其工作原理：

只需将组同步到 Entra ID，而不需要同步单个用户。
当用户进行身份验证时，本地域控制器会发送一个 Kerberos 票证，其中包含所有用户的组成员身份。
Azure 文件从 Kerberos 票证读取组安全标识符（SID）。
如果这些组中的任何一个都同步到 Entra ID，Azure Files应用匹配的 RBAC 角色分配。

由于此过程，授权基于 Kerberos 票证中列出的组，而不是 Microsoft Entra 管理中心中显示的组。非同步用户可以通过其同步的 AD DS 组成员身份访问文件共享，而无需单独同步到 Entra ID。

下一步

分配共享级别权限后，可以配置目录和文件级权限。等待共享级权限先传播。

Last updated on 2026-03-12

Compartilhar via

为 Azure 文件共享分配共享级权限

选择如何分配共享级别权限

Azure 文件存储的 Azure RBAC 角色

特定 Entra 用户或组的共享级别权限

验证身份的所有用户的共享权限级别

同时使用这两种配置会发生什么情况

了解未同步用户的组访问权限

下一步

Recursos adicionais