Partager via


Choisir comment autoriser l’accès à des données de fichier dans le Portail Azure

Lorsque vous accédez aux données de fichiers à l’aide du Portail Azure, le portail envoie des requêtes à Azure Files en arrière-plan. Ces requêtes peuvent être autorisées à l’aide de votre compte Microsoft Entra ou de la clé d’accès du compte de stockage. Le portail indique la méthode que vous utilisez et vous permet de basculer entre les deux si vous disposez des autorisations appropriées.

Important

L’accès à un partage de fichiers en utilisant des clés de compte de stockage comporte des risques inhérents à la sécurité. Authentifiez-vous avec Microsoft Entra lorsque cela est possible. Pour plus d’informations sur la protection et la gestion de vos clés, consultez Gérer les clés d’accès de compte de stockage.

Vous pouvez également préciser de quelle manière une opération individuelle de partage de fichiers doit être autorisée dans le Portail Azure. Par défaut, le portail utilise la méthode que vous utilisez déjà pour autoriser tous les partages de fichiers, mais vous avez la possibilité de modifier ce paramètre pour des partages de fichiers individuels.

Autorisations nécessaires pour accéder aux données de fichiers

Selon la façon dont vous souhaitez autoriser l’accès aux données de fichiers dans le Portail Azure, vous devrez disposer d’autorisations particulières. Dans la plupart des cas, ces autorisations sont fournies via le Contrôle d’accès en fonction du rôle Azure (Azure RBAC).

Utiliser votre compte Microsoft Entra

Pour accéder aux données de fichiers à partir du portail Azure en utilisant votre compte Microsoft Entra, ces deux instructions doivent être vraies :

  • Un rôle intégré ou personnalisé qui fournit l’accès aux données de fichiers vous a été attribué.
  • Le rôle Lecteur Azure Resource Manager au minimum vous a été attribué, limité au niveau du compte de stockage ou à un niveau supérieur. Le rôle Lecteur octroie les autorisations les plus restreintes, mais l’utilisation d’un autre rôle Azure Resource Manager accordant l’accès aux ressources de gestion de compte de stockage est également acceptable.

Le rôle Lecteur est un rôle d’Azure Resource Manager qui permet aux utilisateurs d’afficher les ressources de compte de stockage, mais pas de les modifier. Il ne fournit pas d’autorisations en lecture pour des données dans Stockage Azure, mais pour des ressources de gestion de compte uniquement. Le rôle Lecteur est nécessaire pour que les utilisateurs puissent accéder aux partages de fichiers du Portail Azure.

Deux nouveaux rôles intégrés disposent des autorisations requises pour accéder aux données de fichier avec OAuth :

Si vous souhaitez obtenir plus d’informations sur les rôles intégrés qui prennent en charge l’accès aux données de fichiers, consultez Accéder aux partages de fichiers Azure à l’aide de Microsoft Entra ID avec Azure Files OAuth sur REST.

Remarque

Le rôle Contributeur privilégié des données du fichier de stockage est autorisé à lire, écrire, supprimer et modifier des autorisations ACL/NTFS sur les fichiers/répertoires au sein des partages de fichiers Azure. La modification des autorisations ACL/NTFS n’est pas prise en charge par le Portail Azure.

Les rôles personnalisés peuvent prendre en charge différentes combinaisons des mêmes autorisations fournies par les rôles intégrés. Pour plus d’informations sur la création de rôles Azure personnalisés, consultez Rôles personnalisés Azure et Présentation des définitions de rôles pour les ressources Azure.

Utiliser la clé d’accès du compte de stockage

Pour accéder aux données de fichiers avec la clé d’accès du compte de stockage, vous devez disposer d’un rôle Azure qui vous est attribué et qui inclut l’action Azure RBAC Microsoft.Storage/storageAccounts/listkeys/action. Ce rôle Azure peut être un rôle intégré ou un rôle personnalisé. Les rôles intégrés qui prennent en charge Microsoft.Storage/storageAccounts/listkeys/action incluent les suivants, répertoriés dans l’ordre croissant des autorisations :

Lorsque vous tentez d’accéder aux données de fichiers dans le Portail Azure, le portail commence par vérifier si un rôle vous a été attribué avec Microsoft.Storage/storageAccounts/listkeys/action. Si un rôle avec cette action vous a été attribué, le portail utilise alors la clé de compte du stockage pour accéder aux données de fichiers. Si un rôle avec cette action ne vous a pas été attribué, le portail tente d’accéder aux données à l’aide de votre compte Microsoft Entra.

Important

Quand un compte de stockage est verrouillé à l’aide d’un verrou ReadOnly Azure Resource Manager, l’opération Afficher la liste des clés n’est pas autorisée pour ce compte de stockage. Répertorier les clés est une opération POST, et toutes les opérations POST sont empêchées lorsqu’un verrou ReadOnly est configuré pour le compte. Pour cette raison, lorsque le compte est verrouillé avec un verrou ReadOnly, les utilisateurs doivent utiliser des informations d’identification Microsoft Entra pour accéder aux données de fichiers dans le portail. Pour plus d’informations sur l’accès aux données de fichiers dans le portail Azure avec Microsoft Entra ID, consultez Utiliser votre compte Microsoft Entra.

Remarque

Les rôles d’administrateur d’abonnement classique Administrateur de service et Co-administrateur incluent l’équivalent du rôle Propriétaire d’Azure Resource Manager. Le rôle Propriétaire inclut toutes les actions, y compris Microsoft.Storage/storageAccounts/listkeys/action, pour qu’un utilisateur disposant de l’un de ces rôles d’administration puisse accéder également aux données de fichiers avec la clé de compte de stockage. Pour plus d’informations, consultez Rôles Azure, rôles Microsoft Entra et rôles d’administrateur d’abonnements classiques.

Spécifier comment autoriser des opérations sur un partage de fichiers spécifique

Vous pouvez modifier la méthode d’authentification pour des partages de fichiers individuels. Par défaut, le portail utilise la méthode d’authentification actuelle. Pour déterminer la méthode d’authentification actuelle, procédez comme suit.

  1. Accédez à votre compte de stockage dans le portail Azure.
  2. Dans le menu du service, sous Stockage de données, sélectionnez Partages de fichiers.
  3. Sélectionnez un partage de fichiers.
  4. Sélectionnez Parcourir.
  5. La Méthode d’authentification indique si vous utilisez actuellement la clé d’accès du compte de stockage ou votre compte Microsoft Entra pour authentifier et autoriser des opérations de partage de fichiers. Si vous êtes en cours d’authentification en utilisant la clé d’accès du compte de stockage, vous verrez Clé d’accès spécifiée comme méthode d’authentification, tel que dans l’image suivante. Si vous vous authentifiez à l’aide de votre compte Microsoft Entra, Compte d’utilisateur Microsoft Entra est spécifié à la place.

Capture d’écran montrant la méthode d’authentification définie sur une clé d accès.

S’authentifier avec son compte Microsoft Entra

Pour passer à l’utilisation de votre compte Microsoft Entra, sélectionnez le lien mis en surbrillance dans l’image indiquant Basculer vers le compte d’utilisateur Microsoft Entra. Si vous disposez des autorisations appropriées via les rôles Azure qui vous sont attribués, vous pourrez poursuivre. Toutefois, si vous n’avez pas les autorisations nécessaires, un message d’erreur s’affiche indiquant que vous ne disposez pas des autorisations nécessaires pour répertorier les données à l’aide de votre compte d’utilisateur avec Microsoft Entra ID.

Deux autorisations RBAC supplémentaires sont requises pour utiliser votre compte Microsoft Entra :

  • Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
  • Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action

Notez qu’aucun partage de fichiers n’apparaît dans la liste si votre compte Microsoft Entra ne dispose pas des autorisations pour les afficher.

S’authentifier à l’aide de la clé d’accès du compte de stockage

Pour basculer vers l’utilisation de la clé d’accès du compte, sélectionnez le lien indiquant Basculer vers la clé d’accès. Si vous avez accès à la clé du compte de stockage, vous pouvez continuer. Toutefois, si vous n’avez pas accès à la clé de compte, vous verrez un message d’erreur indiquant que vous ne disposez pas des autorisations nécessaires pour utiliser la clé d’accès afin de répertorier des données.

Aucun partage de fichiers n’apparaît dans la liste si vous n’avez pas accès à la clé d’accès du compte de stockage.

Autorisation Microsoft Entra par défaut dans le portail Azure

Quand vous créez un compte de stockage, vous pouvez spécifier que l’autorisation par défaut du portail Azure est Microsoft Entra ID lorsqu’un utilisateur navigue vers des données de fichiers. Vous pouvez également configurer ce paramètre pour un compte de stockage existant. Ce paramètre spécifie uniquement la méthode d’autorisation par défaut. N’oubliez pas qu’un utilisateur peut remplacer ce paramètre et choisir d’autoriser l’accès aux données avec la clé de compte de stockage.

Pour indiquer que le portail doit utiliser l’autorisation Microsoft Entra par défaut pour accéder aux données quand vous créez un compte de stockage, procédez comme suit :

  1. Créez un compte de stockage en suivant les instructions de la section Créer un compte de stockage.

  2. Dans l’onglet Avancé, dans la section Sécurité, cochez la case à côté de Autorisation Microsoft Entra par défaut dans le portail Azure.

    Capture d’écran montrant comment configurer l’autorisation Microsoft Entra par défaut dans le portail Azure pour le nouveau compte.

  3. Sélectionnez Vérifier + Créer pour exécuter la validation et créer le compte de stockage.

Pour mettre à jour ce paramètre pour un compte de stockage existant, effectuez les étapes suivantes :

  1. Accédez à la vue d’ensemble de votre compte de stockage dans le Portail Azure.
  2. Sous Paramètres, sélectionnez Configuration.
  3. Définissez Autorisation Microsoft Entra par défaut dans le portail Azure sur Activée.

Voir aussi