Freigeben über


Auswählen der Autorisierung des Zugriffs auf Dateidaten im Azure-Portal

Wenn Sie über das Azure Portal auf Dateidaten zugreifen, werden vom Portal im Hintergrund Anforderungen an Azure Files gesendet. Diese Anforderungen können entweder mit Ihrem Microsoft Entra-Konto oder Zugriffsschlüssel für das Speicherkonto autorisiert werden. Das Portal zeigt an, welche Methode Sie verwenden, und ermöglicht Ihnen, zwischen den beiden zu wechseln, sofern Sie über die entsprechenden Berechtigungen verfügen.

Wichtig

Der Zugriff auf eine Dateifreigabe mithilfe von Speicherkontoschlüsseln birgt inhärente Sicherheitsrisiken, sodass Sie wenn möglich immer eine Authentifizierung bei Microsoft Entra vornehmen sollten. Informationen zum Schützen und Verwalten Ihrer Schlüssel finden Sie unter Verwalten von Speicherkonto-Zugriffsschlüsseln.

Sie können auch angeben, wie ein einzelner Dateifreigabevorgang im Azure-Portal autorisiert werden soll. Standardmäßig verwendet das Portal die Methode, die Sie bereits verwenden, um alle Dateifreigaben zu autorisieren. Sie haben jedoch die Möglichkeit, diese Einstellung für einzelne Dateifreigaben zu ändern.

Für den Zugriff auf Dateidaten benötigte Berechtigungen

Je nachdem, wie Sie den Zugriff auf Dateidaten im Azure-Portal autorisieren möchten, benötigen Sie spezielle Berechtigungen. Meist werden diese Berechtigungen über die rollenbasierte Zugriffssteuerung in Azure (Azure RBAC) bereitgestellt.

Verwenden Ihres Microsoft Entra-Kontos

Für den Zugriff auf Dateidaten im Azure-Portal über Ihr Microsoft Entra-Konto müssen die beiden folgenden Voraussetzungen erfüllt sein:

  • Ihnen wurde entweder eine integrierte oder benutzerdefinierte Rolle zugewiesen, die den Zugriff auf Dateidaten ermöglicht.
  • Ihnen wurde die Azure Resource Manager-Rolle Leser mindestens bis zur Ebene des Speicherkontos oder höher zugewiesen. Die Rolle Leser erteilt die am stärksten eingeschränkten Berechtigungen. Eine andere Azure Resource Manager-Rolle, die den Zugriff auf Ressourcen zur Verwaltung von Speicherkonten gewährt, ist jedoch ebenfalls akzeptabel.

Die Azure Resource Manager-Rolle Leser ermöglicht es Benutzern, Ressourcen im Speicherkonto anzuzeigen, ohne sie zu ändern. Sie bietet keine Leseberechtigungen für Daten in Azure Storage, sondern nur für Ressourcen zur Kontoverwaltung. Die Rolle Leser ist erforderlich, damit Benutzer im Azure-Portal zu Datenfreigaben navigieren können.

Es gibt zwei neue integrierte Rollen, die die erforderlichen Berechtigungen für den Zugriff auf Dateidaten mit OAuth haben:

Weitere Informationen zu den integrierten Rollen, die den Zugriff auf Dateidaten unterstützen, finden Sie unter Zugreifen auf Azure-Dateifreigaben mithilfe von Microsoft Entra ID mit Azure Files OAuth über REST.

Hinweis

Die Rolle Privilegierter Mitwirkender für Speicherdateidaten hat Berechtigungen zum Lesen, Schreiben, Löschen und Ändern von ACLs/NTFS-Berechtigungen für Dateien/Verzeichnisse in Azure-Dateifreigaben. Das Ändern von ACLs/NTFS-Berechtigungen wird über das Azure-Portal nicht unterstützt.

Benutzerdefinierte Rollen können verschiedene Kombinationen der von den integrierten Rollen gebotenen Berechtigungen unterstützen. Weitere Informationen zum Erstellen benutzerdefinierter Azure-Rollen finden Sie unter Benutzerdefinierte Azure-Rollen und Grundlegendes zu Rollendefinitionen für Azure-Ressourcen.

Verwenden des Zugriffsschlüssels für das Speicherkonto

Für den Zugriff auf Dateidaten mit dem Zugriffsschlüssel für das Speicherkonto muss Ihnen eine Azure-Rolle zugewiesen sein, die die Azure RBAC-Aktion Microsoft.Storage/storageAccounts/listkeys/action umfasst. Bei dieser Azure-Rolle kann es sich um eine integrierte oder benutzerdefinierte Rolle handeln. Integrierte Rollen, die Microsoft.Storage/storageAccounts/listkeys/action unterstützen, umfassen die Folgenden, aufgelistet in der Reihenfolge von der niedrigsten bis zur höchsten Berechtigung:

Wenn Sie versuchen, im Azure-Portal auf Dateidaten zuzugreifen, prüft das Portal zunächst, ob Ihnen eine Rolle mit Microsoft.Storage/storageAccounts/listkeys/action zugewiesen ist. Wenn Ihnen eine Rolle mit dieser Aktion zugewiesen wurde, wird im Portal der Speicherkontoschlüssel für den Zugriff auf Dateidaten verwendet. Wenn Ihnen keine Rolle mit dieser Aktion zugewiesen wurde, wird im Portal versucht, über Ihr Microsoft Entra-Konto auf die Daten zuzugreifen.

Wichtig

Wenn ein Speicherkonto mit ReadOnly in Azure Resource Manager gesperrt ist, ist der Vorgang Schlüssel auflisten für dieses Speicherkonto nicht zulässig. Schlüssel auflisten ist ein POST-Vorgang, und alle POST-Vorgänge werden verhindert, wenn die Sperre ReadOnly für das Konto festgelegt wurde. Wenn das Konto mit ReadOnly gesperrt ist, müssen Benutzer aus diesem Grund Microsoft Entra-Anmeldeinformationen verwenden, um auf Dateidaten im Portal zuzugreifen. Weitere Informationen zum Zugreifen auf Dateidaten im Azure-Portal mit Microsoft Entra ID finden Sie unter Verwenden Ihres Microsoft Entra-Kontos.

Hinweis

Die zum Administrator für klassische Abonnements gehörigen Rollen Dienstadministrator und Co-Administrator schließen die Entsprechung der Azure Resource Manager-Rolle Besitzer ein. Die Rolle Besitzer schließt alle Aktionen ein, darunter Microsoft.Storage/storageAccounts/listkeys/action, sodass ein Benutzer mit einer dieser Administratorrollen auch mit dem Speicherkontoschlüssel auf Dateidaten zugreifen kann. Weitere Informationen finden Sie unter Azure-Rollen, Microsoft Entra-Rollen und Administratorrollen für klassische Abonnements.

Angeben, wie Vorgänge für eine bestimmte Dateifreigabe autorisiert werden sollen

Sie können die Authentifizierungsmethode für einzelne Dateifreigaben ändern. Das Portal verwendet standardmäßig die aktuelle Authentifizierungsmethode. Führen Sie die folgenden Schritte aus, um die aktuelle Authentifizierungsmethode zu ermitteln.

  1. Navigieren Sie zum Speicherkonto im Azure-Portal.
  2. Wählen Sie im Dienstmenüunter Datenspeicher die Option Dateifreigaben aus.
  3. Wählen Sie eine Dateifreigabe aus.
  4. Wählen Sie Durchsuchen aus.
  5. Die Authentifizierungsmethode gibt an, ob Sie derzeit den Zugriffsschlüssel für das Speicherkonto oder Ihr Microsoft Entra-Konto zum Authentifizieren und Autorisieren von Dateifreigabevorgängen verwenden. Wenn Sie sich derzeit mit dem Zugriffsschlüssel für das Speicherkonto authentifizieren, wird der Zugriffsschlüssel als Authentifizierungsmethode wie in der folgenden Abbildung angegeben. Wenn Sie sich mit Ihrem Microsoft Entra-Konto authentifizieren, wird stattdessen das Microsoft Entra-Benutzerkonto angegeben.

Screenshot, der die auf „Zugriffsschlüssel“ festgelegte Authentifizierungsmethode anzeigt.

Authentifizieren mit Ihrem Microsoft Entra-Konto

Um zur Verwendung Ihres Microsoft Entra-Kontos zu wechseln, wählen Sie den Link aus, der in der Abbildung Zum Microsoft Entra-Benutzerkonto wechseln hervorgehoben ist. Wenn Sie über die Ihnen zugewiesenen Azure-Rollen die entsprechenden Berechtigungen haben, können Sie fortfahren. Wenn Ihnen jedoch die erforderlichen Berechtigungen fehlen, wird eine Fehlermeldung angezeigt, dass Sie nicht über Berechtigungen zum Auflisten der Daten mithilfe Ihres Benutzerkontos bei Microsoft Entra ID verfügen.

Für die Nutzung Ihres Microsoft Entra-Kontos sind zwei zusätzliche RBAC-Berechtigungen erforderlich:

  • Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
  • Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action

In der Liste sind keine Dateifreigaben enthalten, wenn Ihrem Microsoft Entra-Konto die Berechtigung zu ihrer Anzeige fehlt.

Authentifizieren mit dem Zugriffsschlüssel für das Speicherkonto

Um zur Verwendung des Kontozugriffsschlüssels zu wechseln, wählen Sie den Link Zum Zugriffsschlüssel wechseln aus. Wenn Sie Zugriff auf den Speicherkontoschlüssel haben, können Sie fortfahren. Wenn Sie jedoch keinen Zugriff auf den Kontoschlüssel haben, wird eine Fehlermeldung angezeigt, dass Sie nicht über Berechtigungen zum Verwenden des Zugriffsschlüssels zum Auflisten von Daten verfügen.

In der Liste sind keine Dateifreigaben enthalten, wenn Sie keinen Zugriff auf den Zugriffsschlüssel für das Speicherkonto haben.

Festlegen der Microsoft Entra-Autorisierung als Standard im Azure-Portal

Wenn Sie ein neues Speicherkonto erstellen, können Sie angeben, dass im Azure-Portal standardmäßig die Autorisierung mit Microsoft Entra ID verwendet wird, wenn ein Benutzer zu Dateidaten navigiert. Sie können diese Einstellung auch für ein vorhandenes Speicherkonto konfigurieren. Diese Einstellung gibt nur die standardmäßige Autorisierungsmethode an. Beachten Sie, dass ein Benutzer diese Einstellung außer Kraft setzen und festlegen kann, dass der Zugriff auf Daten mit dem Speicherkontoschlüssel autorisiert werden soll.

Führen Sie die folgenden Schritte aus, um anzugeben, dass im Portal standardmäßig die Microsoft Entra-Autorisierung für den Datenzugriff verwendet wird, wenn Sie ein Speicherkonto erstellen:

  1. Befolgen Sie zum Erstellen eines neuen Speicherkontos die Anweisungen zum Erstellen eines Speicherkontos.

  2. Aktivieren Sie auf der Registerkarte Erweitert im Abschnitt Sicherheit das Kontrollkästchen neben Standardmäßig Microsoft Entra-Autorisierung im Azure-Portal.

    Screenshot der Konfiguration der Microsoft Entra-Standardautorisierung im Azure-Portal für ein neues Konto

  3. Wählen Sie Überprüfen und erstellen aus, um die Überprüfung durchzuführen und das Speicherkonto zu erstellen.

Führen Sie die folgenden Schritte aus, um diese Einstellung für ein vorhandenes Speicherkonto zu aktualisieren:

  1. Navigieren Sie zur Speicherkontoübersicht im Azure-Portal.
  2. Klicken Sie unter Einstellungen auf Konfiguration.
  3. Legen Sie Standardmäßig Microsoft Entra-Autorisierung im Azure-Portal auf Aktiviert fest.

Siehe auch