كيفية استخدام الهويات المدارة مع Azure File Sync (معاينة)

دعم Azure File Sync للهويات المدارة المعينة من قبل النظام قيد المعاينة الآن.

يلغي دعم الهوية المدارة الحاجة إلى المفاتيح المشتركة كطريقة للمصادقة باستخدام هوية مدارة معينة من قبل النظام يوفرها معرف Microsoft Entra.

عند تمكين هذا التكوين، سيتم استخدام الهويات المدارة المعينة من قبل النظام للسيناريوهات التالية:

• مصادقة Storage Sync Service لمشاركة ملف Azure
• مصادقة الخادم المسجلة لمشاركة ملف Azure
• مصادقة الخادم المسجلة لخدمة مزامنة التخزين

لمعرفة المزيد حول فوائد استخدام الهويات المدارة، راجع الهويات المدارة لموارد Azure.

لتكوين توزيع Azure File Sync لاستخدام الهويات المدارة المعينة من قبل النظام، يرجى اتباع الإرشادات الموجودة في الأقسام اللاحقة.

المتطلبات الأساسية

• تحتاج إلى نشر Storage Sync Service مع خادم مسجل واحد على الأقل.

• يجب تثبيت الإصدار 19.1.0.0 أو أحدث من عامل Azure File Sync على الخادم المسجل.

• على حسابات التخزين الخاصة بك المستخدمة بواسطة Azure File Sync:

  • يجب أن تكون عضوا في دور إدارة المالك أو لديك أذونات "Microsoft.Authorization/roleassignments/write".
  • يجب تمكين السماح لخدمات Azure في قائمة الخدمات الموثوق بها بالوصول إلى استثناء حساب التخزين هذا للمعاينة. معرفة المزيد
  • يجب تمكين السماح بالوصول إلى مفتاح حساب التخزين للمعاينة. للتحقق من هذا الإعداد، انتقل إلى حساب التخزين الخاص بك وحدد التكوين ضمن قسم الإعدادات.

• يجب تثبيت الإصدار 2.2.0 أو أحدث من الوحدة النمطية Az.StorageSync PowerShell على الجهاز الذي سيتم استخدامه لتكوين Azure File Sync لاستخدام الهويات المدارة. لتثبيت أحدث وحدة نمطية Az.StorageSync PowerShell، قم بتشغيل الأمر التالي من نافذة PowerShell غير مقيدة:

  Install-Module Az.StorageSync -Force
  

التوفر الإقليمي

يتوفر دعم Azure File Sync للهويات المدارة المعينة من قبل النظام (معاينة) في جميع مناطق Azure Public وGov التي تدعم Azure File Sync.

تمكين هوية مدارة معينة من قبل النظام على الخوادم المسجلة

قبل أن تتمكن من تكوين Azure File Sync لاستخدام الهويات المدارة، يجب أن يكون للخوادم المسجلة هوية مدارة معينة من قبل النظام سيتم استخدامها للمصادقة على خدمة Azure File Sync ومشاركات ملفات Azure.

لتمكين هوية مدارة معينة من قبل النظام على خادم مسجل تم تثبيت عامل Azure File Sync v19 عليه، قم بتنفيذ الخطوات التالية:

• إذا تمت استضافة الخادم خارج Azure، فيجب أن يكون خادما يدعم Azure Arc للحصول على هوية مدارة معينة من قبل النظام. لمزيد من المعلومات حول الخوادم التي تدعم Azure Arc وكيفية تثبيت عامل Azure Connected Machine، راجع: نظرة عامة على الخوادم التي تدعم Azure Arc.
• إذا كان الخادم هو جهاز ظاهري Azure، فقم بتمكين إعداد الهوية المدارة المعينة من قبل النظام على الجهاز الظاهري. لمزيد من المعلومات، راجع: تكوين الهويات المدارة على أجهزة Azure الظاهرية.

كيفية التحقق مما إذا كانت الخوادم المسجلة لديها هوية مدارة معينة من قبل النظام

للتحقق مما إذا كانت الخوادم المسجلة لديك لها هوية مدارة معينة من قبل النظام، قم بتشغيل أمر PowerShell التالي:

Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>

تحقق من أن الخاصية LatestApplicationId تحتوي على GUID الذي يشير إلى أن الخادم لديه هوية مدارة معينة من قبل النظام ولكن لم يتم تكوينها حاليا لاستخدام الهوية المدارة.

إذا كانت قيمة الخاصية ActiveAuthType هي Certificate ولم يكن LatestApplicationId يحتوي على GUID، فلن يكون للخادم هوية مدارة معينة من قبل النظام وسيستخدم المفاتيح المشتركة للمصادقة على مشاركة ملف Azure.

تكوين توزيع Azure File Sync لاستخدام الهويات المدارة المعينة من قبل النظام

لتكوين Storage Sync Service والخوادم المسجلة لاستخدام الهويات المدارة المعينة من قبل النظام، قم بتشغيل الأمر التالي من نافذة PowerShell مرتفعة:

Set-AzStorageSyncServiceIdentity -ResourceGroupName <string> -StorageSyncServiceName <string> -Verbose

ينفذ الأمر cmdlet Set-AzStorageSyncServiceIdentity الخطوات التالية لك وسيستغرق عدة دقائق (أو أكثر للطوبولوجيا الكبيرة) لإكمالها:

• التحقق من صحة خادم مسجل واحد على الأقل لديه هوية مدارة معينة من قبل النظام.
  • سيتوقف cmdlet عند هذه الخطوة إذا لم تكن هناك خوادم مسجلة بهوية مدارة معينة من قبل النظام.
• تمكين هوية مدارة معينة من قبل النظام لمورد Storage Sync Service.
• يمنح الوصول إلى الهوية المدارة المعينة من قبل نظام خدمة مزامنة التخزين إلى حسابات التخزين (دور مساهم حساب التخزين).
• يمنح الوصول إلى الهوية المدارة المعينة من قبل نظام خدمة مزامنة التخزين إلى مشاركات ملفات Azure (دور المساهم المتميز لبيانات ملف التخزين).
• يمنح الوصول إلى الهوية المدارة المعينة من قبل النظام للخادم (الخوادم) المسجلة إلى مشاركات ملفات Azure (دور المساهم المتميز لبيانات ملف التخزين).
• تكوين Storage Sync Service لاستخدام الهوية المدارة المعينة من قبل النظام.
• تكوين الخادم (الخوادم) المسجلة لاستخدام الهوية المدارة المعينة من قبل النظام.

استخدم الأمر Cmdlet Set-AzStorageSyncServiceIdentity في أي وقت تحتاج فيه إلى تكوين خوادم مسجلة إضافية لاستخدام الهويات المدارة.

كيفية التحقق مما إذا كانت Storage Sync Service تستخدم هوية مدارة معينة من قبل النظام

للتحقق مما إذا كانت Storage Sync Service تستخدم هوية مدارة معينة من قبل النظام، قم بتشغيل الأمر التالي من نافذة PowerShell مرتفعة:

Get-AzStorageSyncService -ResourceGroupName <string> -StorageSyncServiceName <string>

تحقق من أن قيمة الخاصية UseIdentity هي True. إذا كانت القيمة False، فإن Storage Sync Service تستخدم مفاتيح مشتركة للمصادقة على مشاركات ملفات Azure.

كيفية التحقق مما إذا تم تكوين خادم مسجل لاستخدام هوية مدارة معينة من قبل النظام

للتحقق مما إذا تم تكوين خادم مسجل لاستخدام هوية مدارة معينة من قبل النظام، قم بتشغيل الأمر التالي من نافذة PowerShell مرتفعة:

Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>

تحقق من أن الخاصية ApplicationId تحتوي على GUID الذي يشير إلى تكوين الخادم لاستخدام الهوية المدارة. سيتم تحديث قيمة الخاصية ActiveAuthType إلى ManagedIdentity بمجرد أن يستخدم الخادم الهوية المدارة المعينة من قبل النظام.

مزيد من المعلومات

بمجرد تكوين Storage Sync Service والخادم (الخوادم) المسجلة لاستخدام هوية مدارة معينة من قبل النظام:

• ستستخدم نقاط النهاية الجديدة (السحابة أو الخادم) التي تم إنشاؤها هوية مدارة معينة من قبل النظام للمصادقة على مشاركة ملف Azure.
• استخدم الأمر Cmdlet Set-AzStorageSyncServiceIdentity في أي وقت تحتاج فيه إلى تكوين خوادم مسجلة إضافية لاستخدام الهويات المدارة.

إذا واجهت مشكلات، فراجع: استكشاف مشكلات الهوية المدارة ل Azure File Sync وإصلاحها.