Megosztás a következőn keresztül:

Felügyelt identitások használata az Azure File Synctel (előzetes verzió)

  • Cikk

A rendszer által hozzárendelt felügyelt identitások Azure File Sync-támogatása előzetes verzióban érhető el.

A felügyelt identitás támogatása kiküszöböli a megosztott kulcsok mint hitelesítési módszer szükségességét a Microsoft Entra ID által biztosított rendszer által hozzárendelt felügyelt identitás használatával.

Ha engedélyezi ezt a konfigurációt, a rendszer által hozzárendelt felügyelt identitások a következő forgatókönyvekhez lesznek használva:

  • Storage Sync Service-hitelesítés az Azure-fájlmegosztáshoz
  • Regisztrált kiszolgálói hitelesítés az Azure-fájlmegosztáshoz
  • Regisztrált kiszolgálói hitelesítés a Storage Sync Service-be

A felügyelt identitások használatának előnyeiről további információt az Azure-erőforrások felügyelt identitásai című témakörben talál.

Ha az Azure File Sync üzembe helyezését a rendszer által hozzárendelt felügyelt identitások használatára szeretné konfigurálni, kövesse a következő szakaszokban található útmutatást.

Előfeltételek

  • Legalább egy regisztrált kiszolgálóval üzembe kell helyeznie egy Tárolószinkronizálási szolgáltatást.

  • Az Azure File Sync-ügynök 19.1.0.0-s vagy újabb verzióját telepíteni kell a regisztrált kiszolgálón.

  • Az Azure File Sync által használt tárfiókokon :

    • A tulajdonosi felügyeleti szerepkör tagjának kell lennie, vagy "Microsoft.Authorization/roleassignments/write" engedélyekkel kell rendelkeznie.
    • Engedélyezni kell, hogy a megbízható szolgáltatások listájában szereplő Azure-szolgáltatások elérhessék ezt a tárfiókkivételt előzetes verzióban. További információ
    • A tárfiók kulcshozzáférésének engedélyezését engedélyezni kell az előzetes verzióhoz. A beállítás ellenőrzéséhez keresse meg a tárfiókot, és válassza a Beállítások szakasz Konfiguráció elemét .

  • Az Az.StorageSync PowerShell-modul 2.2.0-s vagy újabb verzióját telepíteni kell azon a gépen, amely az Azure File Sync felügyelt identitások használatára való konfigurálásához lesz használva. A legújabb Az.StorageSync PowerShell-modul telepítéséhez futtassa a következő parancsot egy emelt szintű PowerShell-ablakból:

    Install-Module Az.StorageSync -Force

Regionális elérhetőség

A rendszer által hozzárendelt felügyelt identitások (előzetes verzió) Azure File Sync-támogatása az Azure File Syncet támogató összes Nyilvános és Gov-régióban elérhető.

Rendszer által hozzárendelt felügyelt identitás engedélyezése a regisztrált kiszolgálókon

Mielőtt konfigurálhatja az Azure File Syncet felügyelt identitások használatára, a regisztrált kiszolgálóknak rendelkezniük kell egy rendszer által hozzárendelt felügyelt identitással, amely az Azure File Sync szolgáltatásban és az Azure-fájlmegosztásokban való hitelesítéshez lesz használva.

Ha olyan regisztrált kiszolgálón szeretné engedélyezni a rendszer által hozzárendelt felügyelt identitást, amelyen telepítve van az Azure File Sync v19-ügynök, hajtsa végre a következő lépéseket:

  • Ha a kiszolgáló az Azure-on kívül van üzemeltetve, akkor az Azure Arc-kompatibilis kiszolgálónak kell lennie, hogy rendszer által hozzárendelt felügyelt identitással rendelkezzen. Az Azure Arc-kompatibilis kiszolgálókról és az Azure Connected Machine-ügynök telepítéséről további információt az Azure Arc-kompatibilis kiszolgálók áttekintése című témakörben talál.
  • Ha a kiszolgáló Azure-beli virtuális gép, engedélyezze a rendszer által hozzárendelt felügyelt identitás beállítást a virtuális gépen. További információ: Felügyelt identitások konfigurálása Azure-beli virtuális gépeken.

Feljegyzés

  • Legalább egy regisztrált kiszolgálónak rendelkeznie kell egy rendszer által hozzárendelt felügyelt identitással, mielőtt konfigurálhatja a Társzinkronizálási szolgáltatást a rendszer által hozzárendelt identitás használatára.
  • Miután a Társzinkronizálási szolgáltatás konfigurálva lett a felügyelt identitások használatára, a rendszer által hozzárendelt felügyelt identitással nem rendelkező regisztrált kiszolgálók továbbra is megosztott kulccsal hitelesítik az Azure-fájlmegosztásokat.

Annak ellenőrzése, hogy a regisztrált kiszolgálók rendelkeznek-e rendszer által hozzárendelt felügyelt identitással

Annak ellenőrzéséhez, hogy a regisztrált kiszolgálók rendelkeznek-e rendszer által hozzárendelt felügyelt identitással, futtassa a következő PowerShell-parancsot:

Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>

Ellenőrizze, hogy a LatestApplicationId tulajdonság rendelkezik-e GUID azonosítóval, amely azt jelzi, hogy a kiszolgáló rendszer által hozzárendelt felügyelt identitással rendelkezik, de jelenleg nincs konfigurálva a felügyelt identitás használatára.

Ha az ActiveAuthType tulajdonság értéke Tanúsítvány , és a LatestApplicationId nem rendelkezik GUID azonosítóval, a kiszolgáló nem rendelkezik rendszer által hozzárendelt felügyelt identitással, és megosztott kulcsokkal hitelesíti az Azure-fájlmegosztást.

Feljegyzés

Ha egy kiszolgáló úgy van konfigurálva, hogy a rendszer által hozzárendelt felügyelt identitást használja a következő szakaszban leírt lépések végrehajtásával, a LatestApplicationId tulajdonság már nem lesz használatban (üres lesz), az ActiveAuthType tulajdonság értéke ManagedIdentity értékre változik, az ApplicationId tulajdonság pedig a rendszer által hozzárendelt felügyelt identitás GUID azonosítóval fog rendelkezni.

Az Azure File Sync üzembe helyezésének konfigurálása rendszer által hozzárendelt felügyelt identitások használatára

Ha a Társzinkronizálási szolgáltatást és a regisztrált kiszolgálókat rendszer által hozzárendelt felügyelt identitások használatára szeretné konfigurálni, futtassa a következő parancsot egy emelt szintű PowerShell-ablakból:

Set-AzStorageSyncServiceIdentity -ResourceGroupName <string> -StorageSyncServiceName <string> -Verbose

A Set-AzStorageSyncServiceIdentity parancsmag a következő lépéseket hajtja végre, és több percig (vagy hosszabb ideig) tart a nagy topológiák esetében:

  • Ellenőrzi, hogy legalább egy regisztrált kiszolgáló rendelkezik-e rendszer által hozzárendelt felügyelt identitással.
    • A parancsmag ebben a lépésben leáll, ha nincsenek rendszer által hozzárendelt felügyelt identitással rendelkező regisztrált kiszolgálók.
  • Engedélyezi a rendszer által hozzárendelt felügyelt identitást a Storage Sync Service-erőforráshoz.
  • Hozzáférést biztosít a Storage Sync Szolgáltatásnak a rendszer által hozzárendelt felügyelt identitáshoz a tárfiókokhoz (tárfiók közreműködői szerepköréhez).
  • Hozzáférést biztosít a Storage Sync Szolgáltatáshoz rendszer által hozzárendelt felügyelt identitásnak az Azure-fájlmegosztásokhoz (Storage File Data Privileged Közreműködői szerepkör).
  • Hozzáférést biztosít a regisztrált kiszolgáló(ok)nak a rendszer által hozzárendelt felügyelt identitásokhoz az Azure-fájlmegosztásokhoz (Storage File Data Privileged Közreműködői szerepkör).
  • Konfigurálja a Storage Sync szolgáltatást a rendszer által hozzárendelt felügyelt identitás használatára.
  • A regisztrált kiszolgálókat a rendszer által hozzárendelt felügyelt identitás használatára konfigurálja.

A Set-AzStorageSyncServiceIdentity parancsmagot bármikor használhatja, amikor további regisztrált kiszolgálókat kell konfigurálnia a felügyelt identitások használatára.

Feljegyzés

Miután a regisztrált kiszolgáló(ok) konfigurálva lettek a rendszer által hozzárendelt felügyelt identitás használatára, akár egy órát is igénybe vehet, amíg a kiszolgáló a rendszer által hozzárendelt felügyelt identitással hitelesíti a Társzinkronizálási szolgáltatást és a fájlmegosztásokat.

Annak ellenőrzése, hogy a Társzinkronizálási szolgáltatás rendszer által hozzárendelt felügyelt identitást használ-e

Annak ellenőrzéséhez, hogy a Társzinkronizálási szolgáltatás rendszer által hozzárendelt felügyelt identitást használ-e, futtassa a következő parancsot egy emelt szintű PowerShell-ablakból:

Get-AzStorageSyncService -ResourceGroupName <string> -StorageSyncServiceName <string>

Ellenőrizze, hogy a UseIdentity tulajdonság értéke Igaz-e. Ha az érték hamis, a Storage Sync service megosztott kulcsokkal hitelesíti az Azure-fájlmegosztásokat.

Annak ellenőrzése, hogy egy regisztrált kiszolgáló rendszer által hozzárendelt felügyelt identitás használatára van-e konfigurálva

Annak ellenőrzéséhez, hogy egy regisztrált kiszolgáló rendszer által hozzárendelt felügyelt identitás használatára van-e konfigurálva, futtassa a következő parancsot egy emelt szintű PowerShell-ablakból:

Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>

Ellenőrizze, hogy az ApplicationId tulajdonság rendelkezik-e GUID azonosítóval, amely azt jelzi, hogy a kiszolgáló konfigurálva van a felügyelt identitás használatára. Ha a kiszolgáló a rendszer által hozzárendelt felügyelt identitást használja, az ActiveAuthType tulajdonság értéke a ManagedIdentity értékre frissül.

Feljegyzés

Miután a regisztrált kiszolgáló(ok) konfigurálva lettek a rendszer által hozzárendelt felügyelt identitás használatára, akár egy órát is igénybe vehet, amíg a kiszolgáló a rendszer által hozzárendelt felügyelt identitással hitelesíti magát a Storage Sync Service-ben és az Azure-fájlmegosztásokban.

További információ

Miután a Társzinkronizálási szolgáltatás és a regisztrált kiszolgáló(ok) konfigurálva lettek a rendszer által hozzárendelt felügyelt identitás használatára:

  • A létrehozott új végpontok (felhő vagy kiszolgáló) rendszer által hozzárendelt felügyelt identitást használnak az Azure-fájlmegosztás hitelesítéséhez.
  • A Set-AzStorageSyncServiceIdentity parancsmagot bármikor használhatja, amikor további regisztrált kiszolgálókat kell konfigurálnia a felügyelt identitások használatára.

Ha problémákat tapasztal, tekintse meg az Azure File Sync felügyelt identitásproblémáinak hibaelhárítását.