Bagikan melalui

Cara menggunakan identitas terkelola dengan Azure File Sync (pratinjau)

  • Artikel

Dukungan Azure File Sync untuk identitas terkelola yang ditetapkan sistem sekarang dalam pratinjau.

Dukungan Identitas Terkelola menghilangkan kebutuhan akan kunci bersama sebagai metode autentikasi dengan menggunakan identitas terkelola yang ditetapkan sistem yang disediakan oleh ID Microsoft Entra.

Saat Anda mengaktifkan konfigurasi ini, identitas terkelola yang ditetapkan sistem akan digunakan untuk skenario berikut:

  • Autentikasi Storage Sync Service ke berbagi file Azure
  • Autentikasi server terdaftar ke berbagi file Azure
  • Autentikasi server terdaftar ke Storage Sync Service

Untuk mempelajari selengkapnya tentang manfaat menggunakan identitas terkelola, lihat Identitas terkelola untuk sumber daya Azure.

Untuk mengonfigurasi penyebaran Azure File Sync Anda untuk menggunakan identitas terkelola yang ditetapkan sistem, ikuti panduan di bagian berikutnya.

Prasyarat

  • Anda harus memiliki Storage Sync Service yang disebarkan dengan setidaknya satu server terdaftar.

  • Agen Azure File Sync versi 19.1.0.0 atau yang lebih baru harus diinstal di server terdaftar.

  • Pada akun penyimpanan Anda yang digunakan oleh Azure File Sync:

    • Anda harus menjadi anggota peran manajemen Pemilik atau memiliki izin "Microsoft.Authorization/roleassignments/write".
    • Izinkan layanan Azure pada daftar layanan tepercaya untuk mengakses pengecualian akun penyimpanan ini harus diaktifkan untuk pratinjau. Pelajari lebih lanjut
    • Izinkan akses kunci akun penyimpanan harus diaktifkan untuk pratinjau. Untuk memeriksa pengaturan ini, navigasikan ke akun penyimpanan Anda dan pilih Konfigurasi di bawah bagian Pengaturan.

  • Modul Az.StorageSync PowerShell versi 2.2.0 atau yang lebih baru harus diinstal pada komputer yang akan digunakan untuk mengonfigurasi Azure File Sync untuk menggunakan identitas terkelola. Untuk menginstal modul Az.StorageSync PowerShell terbaru, jalankan perintah berikut dari jendela PowerShell yang ditingkatkan:

    Install-Module Az.StorageSync -Force

Ketersediaan regional

Dukungan Azure File Sync untuk identitas terkelola yang ditetapkan sistem (pratinjau) tersedia di semua wilayah Azure Public dan Gov yang mendukung Azure File Sync.

Mengaktifkan identitas terkelola yang ditetapkan sistem di server terdaftar Anda

Sebelum Anda dapat mengonfigurasi Azure File Sync untuk menggunakan identitas terkelola, server terdaftar Anda harus memiliki identitas terkelola yang ditetapkan sistem yang akan digunakan untuk mengautentikasi ke layanan Azure File Sync dan berbagi file Azure.

Untuk mengaktifkan identitas terkelola yang ditetapkan sistem di server terdaftar yang telah menginstal agen Azure File Sync v19, lakukan langkah-langkah berikut:

  • Jika server dihosting di luar Azure, server yang diaktifkan Azure Arc harus memiliki identitas terkelola yang ditetapkan sistem. Untuk informasi selengkapnya tentang server dengan dukungan Azure Arc dan cara menginstal agen Azure Connected Machine, lihat: Gambaran Umum server dengan dukungan Azure Arc.
  • Jika server adalah komputer virtual Azure, aktifkan pengaturan identitas terkelola yang ditetapkan sistem pada VM. Untuk informasi selengkapnya, lihat: Mengonfigurasi identitas terkelola di komputer virtual Azure.

Catatan

  • Setidaknya satu server terdaftar harus memiliki identitas terkelola yang ditetapkan sistem sebelum Anda dapat mengonfigurasi Storage Sync Service untuk menggunakan identitas yang ditetapkan sistem.
  • Setelah Storage Sync Service dikonfigurasi untuk menggunakan identitas terkelola, server terdaftar yang tidak memiliki identitas terkelola yang ditetapkan sistem akan terus menggunakan kunci bersama untuk mengautentikasi ke berbagi file Azure Anda.

Cara memeriksa apakah server terdaftar Anda memiliki identitas terkelola yang ditetapkan sistem

Untuk memeriksa apakah server terdaftar Anda memiliki identitas terkelola yang ditetapkan sistem, jalankan perintah PowerShell berikut:

Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>

Verifikasi properti LatestApplicationId memiliki GUID yang menunjukkan server memiliki identitas terkelola yang ditetapkan sistem tetapi saat ini tidak dikonfigurasi untuk menggunakan identitas terkelola.

Jika nilai untuk properti ActiveAuthType adalah Sertifikat dan LatestApplicationId tidak memiliki GUID, server tidak memiliki identitas terkelola yang ditetapkan sistem dan akan menggunakan kunci bersama untuk mengautentikasi ke berbagi file Azure.

Catatan

Setelah server dikonfigurasi untuk menggunakan identitas terkelola yang ditetapkan sistem dengan mengikuti langkah-langkah di bagian berikut, properti LatestApplicationId tidak lagi digunakan (akan kosong), nilai properti ActiveAuthType akan diubah menjadi ManagedIdentity, dan properti ApplicationId akan memiliki GUID yang merupakan identitas terkelola yang ditetapkan sistem.

Mengonfigurasi penyebaran Azure File Sync Anda untuk menggunakan identitas terkelola yang ditetapkan sistem

Untuk mengonfigurasi Storage Sync Service dan server terdaftar untuk menggunakan identitas terkelola yang ditetapkan sistem, jalankan perintah berikut dari jendela PowerShell yang ditinggikan:

Set-AzStorageSyncServiceIdentity -ResourceGroupName <string> -StorageSyncServiceName <string> -Verbose

Cmdlet Set-AzStorageSyncServiceIdentity melakukan langkah-langkah berikut untuk Anda dan akan memakan waktu beberapa menit (atau lebih lama hingga topologi besar) selesai:

  • Memvalidasi setidaknya satu server terdaftar memiliki identitas terkelola yang ditetapkan sistem.
    • Cmdlet akan berhenti pada langkah ini jika tidak ada server terdaftar dengan identitas terkelola yang ditetapkan sistem.
  • Mengaktifkan identitas terkelola yang ditetapkan sistem untuk sumber daya Storage Sync Service.
  • Memberikan akses identitas terkelola yang ditetapkan sistem Storage Sync Service ke Akun Penyimpanan Anda (peran Kontributor Akun Penyimpanan).
  • Memberikan akses identitas terkelola yang ditetapkan sistem Storage Sync Service ke berbagi file Azure Anda (peran Storage File Data Privileged Contributor).
  • Memberikan akses identitas terkelola yang ditetapkan sistem server terdaftar ke berbagi file Azure (peran Storage File Data Privileged Contributor).
  • Mengonfigurasi Storage Sync Service untuk menggunakan identitas terkelola yang ditetapkan sistem.
  • Mengonfigurasi server terdaftar untuk menggunakan identitas terkelola yang ditetapkan sistem.

Gunakan cmdlet Set-AzStorageSyncServiceIdentity kapan saja Anda perlu mengonfigurasi server terdaftar tambahan untuk menggunakan identitas terkelola.

Catatan

Setelah server terdaftar dikonfigurasi untuk menggunakan identitas terkelola yang ditetapkan sistem, diperlukan waktu hingga satu jam sebelum server menggunakan identitas terkelola yang ditetapkan sistem untuk mengautentikasi ke Storage Sync Service dan berbagi file.

Cara memeriksa apakah Storage Sync Service menggunakan identitas terkelola yang ditetapkan sistem

Untuk memeriksa apakah Storage Sync Service menggunakan identitas terkelola yang ditetapkan sistem, jalankan perintah berikut dari jendela PowerShell yang ditingkatkan:

Get-AzStorageSyncService -ResourceGroupName <string> -StorageSyncServiceName <string>

Verifikasi nilai untuk properti UseIdentity adalah True. Jika nilainya False, Storage Sync Service menggunakan kunci bersama untuk mengautentikasi ke berbagi file Azure.

Cara memeriksa apakah server terdaftar dikonfigurasi untuk menggunakan identitas terkelola yang ditetapkan sistem

Untuk memeriksa apakah server terdaftar dikonfigurasi untuk menggunakan identitas terkelola yang ditetapkan sistem, jalankan perintah berikut dari jendela PowerShell yang ditinggikan:

Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>

Verifikasi properti ApplicationId memiliki GUID yang menunjukkan server dikonfigurasi untuk menggunakan identitas terkelola. Nilai untuk properti ActiveAuthType akan diperbarui ke ManagedIdentity setelah server menggunakan identitas terkelola yang ditetapkan sistem.

Catatan

Setelah server terdaftar dikonfigurasi untuk menggunakan identitas terkelola yang ditetapkan sistem, diperlukan waktu hingga satu jam sebelum server menggunakan identitas terkelola yang ditetapkan sistem untuk mengautentikasi ke Storage Sync Service dan berbagi file Azure.

Informasi selengkapnya

Setelah Storage Sync Service dan server terdaftar dikonfigurasi untuk menggunakan identitas terkelola yang ditetapkan sistem:

  • Titik akhir baru (cloud atau server) yang dibuat akan menggunakan identitas terkelola yang ditetapkan sistem untuk mengautentikasi ke berbagi file Azure.
  • Gunakan cmdlet Set-AzStorageSyncServiceIdentity kapan saja Anda perlu mengonfigurasi server terdaftar tambahan untuk menggunakan identitas terkelola.

Jika Anda mengalami masalah, lihat: Memecahkan masalah identitas terkelola Azure File Sync.