Så här använder du hanterade identiteter med Azure File Sync (förhandsversion)

  • Artikel

Azure File Sync-stöd för systemtilldelade hanterade identiteter finns nu i förhandsversion.

Stöd för hanterad identitet eliminerar behovet av delade nycklar som en autentiseringsmetod genom att använda en systemtilldelad hanterad identitet som tillhandahålls av Microsoft Entra-ID.

När du aktiverar den här konfigurationen används de systemtilldelade hanterade identiteterna för följande scenarier:

  • Storage Sync Service-autentisering till Azure-filresurs
  • Registrerad serverautentisering till Azure-filresurs
  • Registrerad serverautentisering till Tjänsten för synkronisering av lagring

Mer information om fördelarna med att använda hanterade identiteter finns i Hanterade identiteter för Azure-resurser.

Följ anvisningarna i följande avsnitt om du vill konfigurera azure file sync-distributionen så att den använder systemtilldelade hanterade identiteter.

Förutsättningar

  • Du måste ha en storage sync-tjänst distribuerad med minst en registrerad server.

  • Azure File Sync-agent version 19.1.0.0 eller senare måste vara installerad på den registrerade servern.

  • På dina lagringskonton som används av Azure File Sync:

    • Du måste vara medlem i ägarhanteringsrollen eller ha behörigheten "Microsoft.Authorization/roleassignments/write".
    • Tillåt att Azure-tjänster i listan över betrodda tjänster får åtkomst till det här undantaget för lagringskontot måste vara aktiverat för förhandsversion. Läs mer
    • Tillåt åtkomst till lagringskontonyckeln måste vara aktiverat för förhandsversion. Om du vill kontrollera den här inställningen går du till ditt lagringskonto och väljer Konfiguration under avsnittet Inställningar.

  • Az.StorageSync PowerShell-modul version 2.2.0 eller senare måste installeras på den dator som ska användas för att konfigurera Azure File Sync att använda hanterade identiteter. Om du vill installera den senaste Az.StorageSync PowerShell-modulen kör du följande kommando från ett upphöjt PowerShell-fönster:

    Install-Module Az.StorageSync -Force

Regional tillgänglighet

Azure File Sync-stöd för systemtilldelade hanterade identiteter (förhandsversion) är tillgängligt i alla offentliga Azure- och Gov-regioner som stöder Azure File Sync.

Aktivera en systemtilldelad hanterad identitet på dina registrerade servrar

Innan du kan konfigurera Azure File Sync till att använda hanterade identiteter måste dina registrerade servrar ha en systemtilldelad hanterad identitet som ska användas för att autentisera till Azure File Sync-tjänsten och Azure-filresurser.

Utför följande steg för att aktivera en systemtilldelad hanterad identitet på en registrerad server som har Azure File Sync v19-agenten installerad:

  • Om servern finns utanför Azure måste det vara en Azure Arc-aktiverad server för att ha en systemtilldelad hanterad identitet. Mer information om Azure Arc-aktiverade servrar och hur du installerar Azure Connected Machine-agenten finns i Översikt över Azure Arc-aktiverade servrar.
  • Om servern är en virtuell Azure-dator aktiverar du den systemtilldelade hanterade identitetsinställningen på den virtuella datorn. Mer information finns i: Konfigurera hanterade identiteter på virtuella Azure-datorer.

Kommentar

  • Minst en registrerad server måste ha en systemtilldelad hanterad identitet innan du kan konfigurera Storage Sync Service att använda en systemtilldelad identitet.
  • När Tjänsten för synkronisering av lagring har konfigurerats för att använda hanterade identiteter fortsätter registrerade servrar som inte har en systemtilldelad hanterad identitet att använda en delad nyckel för att autentisera till dina Azure-filresurser.

Så här kontrollerar du om dina registrerade servrar har en systemtilldelad hanterad identitet

Kontrollera om dina registrerade servrar har en systemtilldelad hanterad identitet genom att köra följande PowerShell-kommando:

Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>

Kontrollera att egenskapen LatestApplicationId har ett GUID som anger att servern har en systemtilldelad hanterad identitet men inte är konfigurerad för att använda den hanterade identiteten.

Om värdet för egenskapen ActiveAuthType är Certifikat och LatestApplicationId inte har något GUID, har servern ingen systemtilldelad hanterad identitet och använder delade nycklar för att autentisera till Azure-filresursen.

Kommentar

När en server har konfigurerats för att använda den systemtilldelade hanterade identiteten genom att följa stegen i följande avsnitt , används inte egenskapen LatestApplicationId längre (kommer att vara tom), egenskapen ActiveAuthType ändras till ManagedIdentity och egenskapen ApplicationId har ett GUID som är den systemtilldelade hanterade identiteten.

Konfigurera azure file sync-distributionen så att den använder systemtilldelade hanterade identiteter

Om du vill konfigurera Tjänsten för synkronisering av lagring och registrerade servrar för att använda systemtilldelade hanterade identiteter kör du följande kommando från ett upphöjt PowerShell-fönster:

Set-AzStorageSyncServiceIdentity -ResourceGroupName <string> -StorageSyncServiceName <string> -Verbose

Cmdleten Set-AzStorageSyncServiceIdentity utför följande steg åt dig och det tar flera minuter (eller längre tid för stora topologier) att slutföras:

  • Verifierar att minst en registrerad server har en systemtilldelad hanterad identitet.
    • Cmdleten stoppas i det här steget om det inte finns några registrerade servrar med en systemtilldelad hanterad identitet.
  • Aktiverar en systemtilldelad hanterad identitet för Storage Sync Service-resursen.
  • Ger den systemtilldelade hanterade identiteten Storage Sync Service åtkomst till dina lagringskonton (rollen Lagringskontodeltagare).
  • Ger den systemtilldelade hanterade identiteten Storage Sync Service åtkomst till dina Azure-filresurser (rollen Storage File Data Privileged Contributor).
  • Ger den/de registrerade servrarna systemtilldelad hanterad identitet åtkomst till Azure-filresurserna (rollen Lagringsfildataprivilegierad deltagare).
  • Konfigurerar Tjänsten för synkronisering av lagring för att använda systemtilldelad hanterad identitet.
  • Konfigurerar registrerade servrar för att använda systemtilldelad hanterad identitet.

Använd cmdleten Set-AzStorageSyncServiceIdentity när du behöver konfigurera ytterligare registrerade servrar för att använda hanterade identiteter.

Kommentar

När de registrerade servrarna har konfigurerats för att använda en systemtilldelad hanterad identitet kan det ta upp till en timme innan servern använder den systemtilldelade hanterade identiteten för att autentisera till Tjänsten för synkronisering av lagring och filresurser.

Så här kontrollerar du om tjänsten för synkronisering av lagring använder en systemtilldelad hanterad identitet

Kontrollera om Tjänsten för synkronisering av lagring använder en systemtilldelad hanterad identitet genom att köra följande kommando från ett upphöjt PowerShell-fönster:

Get-AzStorageSyncService -ResourceGroupName <string> -StorageSyncServiceName <string>

Kontrollera att värdet för egenskapen UseIdentity är Sant. Om värdet är Falskt använder Tjänsten för synkronisering av lagring delade nycklar för att autentisera till Azure-filresurserna.

Så här kontrollerar du om en registrerad server har konfigurerats för att använda en systemtilldelad hanterad identitet

Om du vill kontrollera om en registrerad server har konfigurerats för att använda en systemtilldelad hanterad identitet kör du följande kommando från ett upphöjt PowerShell-fönster:

Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>

Kontrollera att egenskapen ApplicationId har ett GUID som anger att servern är konfigurerad för att använda den hanterade identiteten. Värdet för egenskapen ActiveAuthType uppdateras till ManagedIdentity när servern använder den systemtilldelade hanterade identiteten.

Kommentar

När de registrerade servrarna har konfigurerats för att använda en systemtilldelad hanterad identitet kan det ta upp till en timme innan servern använder den systemtilldelade hanterade identiteten för att autentisera till Storage Sync Service och Azure-filresurser.

Mer information

När Tjänsten för synkronisering av lagring och registrerade servrar har konfigurerats för att använda en systemtilldelad hanterad identitet:

  • Nya slutpunkter (moln eller server) som skapas använder en systemtilldelad hanterad identitet för att autentisera till Azure-filresursen.
  • Använd cmdleten Set-AzStorageSyncServiceIdentity när du behöver konfigurera ytterligare registrerade servrar för att använda hanterade identiteter.

Om du får problem kan du läsa: Felsöka problem med hanterade identiteter i Azure File Sync.