Kiezen hoe u toegang tot bestandsgegevens wilt autoriseren in het Azure Portal

  • Artikel

Wanneer u bestandsgegevens opent met behulp van Azure Portal, doet de portal achter de schermen aanvragen naar Azure Files. Deze aanvragen kunnen worden geautoriseerd met uw Microsoft Entra-account of de toegangssleutel voor het opslagaccount. In de portal wordt aangegeven welke methode u gebruikt en kunt u schakelen tussen de twee als u over de juiste machtigingen beschikt.

U kunt ook opgeven hoe u een afzonderlijke bestandssharebewerking autoriseert in Azure Portal. De portal gebruikt standaard de methode die u al gebruikt om alle bestandsshares te autoriseren, maar u hebt de mogelijkheid om deze instelling voor afzonderlijke bestandsshares te wijzigen.

Machtigingen die nodig zijn voor toegang tot bestandsgegevens

Afhankelijk van hoe u toegang tot bestandsgegevens in Azure Portal wilt autoriseren, hebt u specifieke machtigingen nodig. In de meeste gevallen worden deze machtigingen geleverd via op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC).

Uw Microsoft Entra-account gebruiken

Als u vanuit Azure Portal toegang wilt krijgen tot bestandsgegevens met uw Microsoft Entra-account, moeten beide van de volgende instructies waar zijn:

  • U krijgt een ingebouwde of aangepaste rol toegewezen die toegang biedt tot bestandsgegevens.
  • U krijgt de rol Lezer van Azure Resource Manager, minimaal, toegewezen aan het niveau van het opslagaccount of hoger. De rol Lezer verleent de meest beperkte machtigingen, maar een andere Azure Resource Manager-rol die toegang verleent tot resources voor het beheren van opslagaccounts is ook acceptabel.

Met de rol Lezer van Azure Resource Manager kunnen gebruikers opslagaccountresources weergeven, maar niet wijzigen. Het biedt geen leesmachtigingen voor gegevens in Azure Storage, maar alleen voor accountbeheerbronnen. De rol Lezer is nodig, zodat gebruikers kunnen navigeren naar bestandsshares in Azure Portal.

Er zijn twee nieuwe ingebouwde rollen met de vereiste machtigingen voor toegang tot bestandsgegevens met OAuth:

Zie Toegang tot Azure-bestandsshares met Behulp van Microsoft Entra ID met Azure Files OAuth via REST voor informatie over de ingebouwde rollen die toegang tot bestandsgegevens ondersteunen.

Notitie

De rol Inzender met bevoegdheden voor opslagbestandsgegevens heeft machtigingen voor het lezen, schrijven, verwijderen en wijzigen van ACL's/NTFS-machtigingen voor bestanden/mappen in Azure-bestandsshares. Het wijzigen van ACL's/NTFS-machtigingen wordt niet ondersteund via Azure Portal.

Aangepaste rollen kunnen verschillende combinaties van dezelfde machtigingen ondersteunen die worden geboden door de ingebouwde rollen. Zie Aangepaste Azure-rollen en meer informatie over het maken van aangepaste Azure-rollen en Meer informatie over roldefinities voor Azure-resources.

De toegangssleutel van het opslagaccount gebruiken

Als u toegang wilt krijgen tot bestandsgegevens met de toegangssleutel voor het opslagaccount, moet aan u een Azure-rol zijn toegewezen die de Azure RBAC-actie Microsoft.Storage/storageAccounts/listkeys/action bevat. Deze Azure-rol kan een ingebouwde rol of een aangepaste rol zijn. Ingebouwde rollen die ondersteuning bieden voor Microsoft.Storage/storageAccounts/listkeys/action , bevatten het volgende, vermeld in volgorde van minimaal tot grootste machtigingen:

Wanneer u probeert toegang te krijgen tot bestandsgegevens in Azure Portal, controleert de portal eerst of u een rol hebt toegewezen aan Microsoft.Storage/storageAccounts/listkeys/action. Als u met deze actie een rol hebt toegewezen, gebruikt de portal de sleutel van het opslagaccount voor toegang tot bestandsgegevens. Als u met deze actie geen rol hebt toegewezen, probeert de portal toegang te krijgen tot gegevens met behulp van uw Microsoft Entra-account.

Belangrijk

Wanneer een opslagaccount is vergrendeld met een Azure Resource Manager ReadOnly-vergrendeling , is de bewerking Lijstsleutels niet toegestaan voor dat opslagaccount. Lijstsleutels is een POST-bewerking en alle POST-bewerkingen worden voorkomen wanneer een ReadOnly-vergrendeling is geconfigureerd voor het account. Daarom moeten gebruikers, wanneer het account is vergrendeld met een ReadOnly-vergrendeling , Microsoft Entra-referenties gebruiken om toegang te krijgen tot bestandsgegevens in de portal. Zie Uw Microsoft Entra-account gebruiken voor informatie over het openen van bestandsgegevens in Azure Portal met Microsoft Entra-id.

Notitie

De klassieke abonnementsbeheerdersrollen Service Beheer istrator en Co-Beheer istrator bevatten het equivalent van de azure Resource Manager-eigenaarrol. De rol Eigenaar bevat alle acties, waaronder Microsoft.Storage /storageAccounts/listkeys/action, zodat een gebruiker met een van deze beheerdersrollen ook toegang heeft tot bestandsgegevens met de sleutel van het opslagaccount. Zie Azure-rollen, Microsoft Entra-rollen en klassieke abonnementsbeheerdersrollen voor meer informatie.

Opgeven hoe bewerkingen voor een specifieke bestandsshare moeten worden geautoriseerd

U kunt de verificatiemethode voor afzonderlijke bestandsshares wijzigen. De portal maakt standaard gebruik van de huidige verificatiemethode. Volg deze stappen om de huidige verificatiemethode te bepalen.

  1. Navigeer naar uw opslagaccount in Azure Portal en selecteer Bestandsshares voor gegevensopslag>in de linkernavigatiebalk.
  2. Selecteer een bestandsshare.
  3. Selecteer Bladeren.
  4. De verificatiemethode geeft aan of u momenteel de toegangssleutel van het opslagaccount of uw Microsoft Entra-account gebruikt om bewerkingen voor bestandsshares te verifiëren en te autoriseren. Als u momenteel verificatie uitvoert met behulp van de toegangssleutel voor het opslagaccount, ziet u de toegangssleutel die is opgegeven als verificatiemethode, zoals in de volgende afbeelding. Als u verificatie uitvoert met uw Microsoft Entra-account, ziet u dat in plaats daarvan het Microsoft Entra-gebruikersaccount is opgegeven.

Screenshot showing the authentication method set to access key.

Verifiëren met uw Microsoft Entra-account

Als u wilt overschakelen naar het gebruik van uw Microsoft Entra-account, selecteert u de koppeling die is gemarkeerd in de afbeelding met de tekst Overschakelen naar het Microsoft Entra-gebruikersaccount. Als u over de juiste machtigingen beschikt via de Azure-rollen die aan u zijn toegewezen, kunt u doorgaan. Als u echter niet over de benodigde machtigingen beschikt, ziet u een foutbericht dat u geen machtigingen hebt om de gegevens weer te geven met behulp van uw gebruikersaccount met Microsoft Entra-id.

Er zijn twee extra RBAC-machtigingen vereist voor het gebruik van uw Microsoft Entra-account:

  • Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
  • Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action

Er worden geen bestandsshares weergegeven in de lijst als uw Microsoft Entra-account geen machtigingen heeft om ze weer te geven.

Verifiëren met de toegangssleutel van het opslagaccount

Als u wilt overschakelen naar het gebruik van de toegangssleutel voor het account, selecteert u de koppeling met de tekst Overschakelen naar toegangssleutel. Als u toegang hebt tot de sleutel van het opslagaccount, kunt u doorgaan. Als u echter geen toegang hebt tot de accountsleutel, ziet u een foutbericht dat u geen machtigingen hebt om de toegangssleutel te gebruiken om gegevens weer te geven.

Er worden geen bestandsshares weergegeven in de lijst als u geen toegang hebt tot de toegangssleutel van het opslagaccount.

Standaard naar Microsoft Entra-autorisatie in Azure Portal

Wanneer u een nieuw opslagaccount maakt, kunt u opgeven dat Azure Portal standaard wordt geautoriseerd met Microsoft Entra-id wanneer een gebruiker naar bestandsgegevens navigeert. U kunt deze instelling ook configureren voor een bestaand opslagaccount. Met deze instelling wordt alleen de standaardautorisatiemethode opgegeven. Houd er rekening mee dat een gebruiker deze instelling kan overschrijven en ervoor kiest om toegang tot gegevens te autoriseren met de sleutel van het opslagaccount.

Voer de volgende stappen uit om op te geven dat microsoft Entra-autorisatie standaard wordt gebruikt voor gegevenstoegang wanneer u een opslagaccount maakt:

  1. Maak een nieuw opslagaccount met de instructies in Een opslagaccount maken.

  2. Schakel op het tabblad Geavanceerd in de sectie Beveiliging het selectievakje in naast Standaard naar Microsoft Entra-autorisatie in Azure Portal.

    Screenshot showing how to configure default Microsoft Entra authorization in Azure portal for new account.

  3. Selecteer Beoordelen en maken om validatie uit te voeren en het opslagaccount te maken.

Voer de volgende stappen uit om deze instelling voor een bestaand opslagaccount bij te werken:

  1. Navigeer naar het overzicht van het opslagaccount in Azure Portal.
  2. Selecteer onder Instellingen de optie Configuratie.
  3. Stel standaard in op Microsoft Entra-autorisatie in Azure Portal op Ingeschakeld.

Zie ook