Sdílet prostřednictvím

Jak používat spravované identity s Synchronizace souborů Azure (Preview)

  • Článek

Synchronizace souborů Azure podpora spravovaných identit přiřazených systémem je teď ve verzi Preview.

Podpora spravované identity eliminuje potřebu sdílených klíčů jako metody ověřování pomocí spravované identity přiřazené systémem, kterou poskytuje Id Microsoft Entra.

Když tuto konfiguraci povolíte, budou spravované identity přiřazené systémem použity pro následující scénáře:

  • Ověřování službou synchronizace úložiště do sdílené složky Azure
  • Zaregistrované ověřování serveru do sdílené složky Azure
  • Zaregistrované ověřování serveru ve službě synchronizace úložiště

Další informace o výhodách používání spravovaných identit najdete v tématu Spravované identity pro prostředky Azure.

Pokud chcete nakonfigurovat nasazení Synchronizace souborů Azure tak, aby využívaly spravované identity přiřazené systémem, postupujte podle pokynů v následujících částech.

Požadavky

  • Musíte mít nasazenou službu synchronizace úložiště s alespoň jedním registrovaným serverem.

  • Synchronizace souborů Azure agenta verze 19.1.0.0 nebo novější musí být nainstalován na zaregistrovaný server.

  • U účtů úložiště používaných Synchronizace souborů Azure:

    • Musíte být členem role správa vlastníka nebo mít oprávnění Microsoft.Authorization/roleassignments/write.
    • Povolit službám Azure v seznamu důvěryhodných služeb přístup k této výjimce účtu úložiště musí být povolené pro verzi Preview. Další informace
    • Povolit přístup ke klíči účtu úložiště musí být povolený pro verzi Preview. Pokud chcete toto nastavení zkontrolovat, přejděte do svého účtu úložiště a v části Nastavení vyberte Možnost Konfigurace .

  • Na počítači, který se použije ke konfiguraci Synchronizace souborů Azure pro použití spravovaných identit, musí být nainstalovaný modul Az.StorageSync PowerShell verze 2.2.0 nebo novější. Pokud chcete nainstalovat nejnovější modul PowerShellu Az.StorageSync, spusťte z okna PowerShellu se zvýšenými oprávněními následující příkaz:

    Install-Module Az.StorageSync -Force

Regionální dostupnost

Synchronizace souborů Azure podpora spravovaných identit přiřazených systémem (Preview) je dostupná ve všech veřejných a gov oblastech Azure, které podporují Synchronizace souborů Azure.

Povolení spravované identity přiřazené systémem na registrovaných serverech

Než budete moct nakonfigurovat Synchronizace souborů Azure tak, aby používaly spravované identity, musí mít registrované servery spravovanou identitu přiřazenou systémem, která se použije k ověření ve službě Synchronizace souborů Azure a sdílených složkách Azure.

Pokud chcete povolit spravovanou identitu přiřazenou systémem na registrovaném serveru s nainstalovaným agentem Synchronizace souborů Azure v19, proveďte následující kroky:

  • Pokud je server hostovaný mimo Azure, musí se jednat o server s podporou Azure Arc, aby měl spravovanou identitu přiřazenou systémem. Další informace o serverech s podporou Azure Arc a o tom, jak nainstalovat agenta Azure Connected Machine, najdete v tématu: Přehled serverů s podporou Azure Arc.
  • Pokud je serverem virtuální počítač Azure, povolte na virtuálním počítači nastavení spravované identity přiřazené systémem. Další informace najdete v tématu: Konfigurace spravovaných identit na virtuálních počítačích Azure.

Poznámka:

  • Aby služba synchronizace úložiště používala identitu přiřazenou systémem, musí mít alespoň jeden registrovaný server spravovanou identitu přiřazenou systémem.
  • Jakmile je služba synchronizace úložiště nakonfigurovaná tak, aby používala spravované identity, registrované servery, které nemají spravovanou identitu přiřazenou systémem, budou dál používat sdílený klíč k ověření sdílených složek Azure.

Postup kontroly, jestli vaše registrované servery mají spravovanou identitu přiřazenou systémem

Pokud chcete zkontrolovat, jestli vaše registrované servery mají spravovanou identitu přiřazenou systémem, spusťte následující příkaz PowerShellu:

Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>

Ověřte, že vlastnost LatestApplicationId má identifikátor GUID, který indikuje, že server má spravovanou identitu přiřazenou systémem, ale aktuálně není nakonfigurovaná tak, aby používala spravovanou identitu.

Pokud je hodnota vlastnosti ActiveAuthType Certificate a Vlastnost LatestApplicationId nemá identifikátor GUID, server nemá spravovanou identitu přiřazenou systémem a použije sdílené klíče k ověření ve sdílené složce Azure.

Poznámka:

Jakmile je server nakonfigurovaný tak, aby používal spravovanou identitu přiřazenou systémem podle kroků v následující části, vlastnost LatestApplicationId se už nepoužívá (bude prázdná), hodnota vlastnosti ActiveAuthType se změní na ManagedIdentity a vlastnost ApplicationId bude mít identifikátor GUID, což je spravovaná identita přiřazená systémem.

Konfigurace nasazení Synchronizace souborů Azure tak, aby používala spravované identity přiřazené systémem

Pokud chcete nakonfigurovat službu synchronizace úložiště a registrované servery tak, aby používaly spravované identity přiřazené systémem, spusťte z okna PowerShellu se zvýšenými oprávněními následující příkaz:

Set-AzStorageSyncServiceIdentity -ResourceGroupName <string> -StorageSyncServiceName <string> -Verbose

Rutina Set-AzStorageSyncServiceIdentity provede následující kroky a dokončení velkých topologií bude trvat několik minut (nebo déle):

  • Ověřuje, že alespoň jeden registrovaný server má spravovanou identitu přiřazenou systémem.
    • Pokud nejsou zaregistrované servery se spravovanou identitou přiřazenou systémem, rutina se zastaví v tomto kroku.
  • Povolí spravovanou identitu přiřazenou systémem pro prostředek služby synchronizace úložiště.
  • Udělí spravované identitě přiřazené systémem přiřazenou službou synchronizace úložiště přístup k vašim účtům úložiště (role Přispěvatel účtu úložiště).
  • Udělí spravované identitě přiřazené systémem přiřazenou službou synchronizace úložiště přístup k vašim sdíleným složkám Azure (role Přispěvatel privilegovaných dat souborů úložiště).
  • Udělí registrovaným serverům spravovaným identitám přiřazeným systémem přístup ke sdíleným složkám Azure (role Přispěvatel privilegovaných dat souborů úložiště).
  • Nakonfiguruje službu synchronizace úložiště tak, aby používala spravovanou identitu přiřazenou systémem.
  • Konfiguruje registrované servery tak, aby používaly spravovanou identitu přiřazenou systémem.

Rutinu Set-AzStorageSyncServiceIdentity můžete kdykoli nakonfigurovat pro použití spravovaných identit další registrované servery.

Poznámka:

Jakmile jsou registrované servery nakonfigurované tak, aby používaly spravovanou identitu přiřazenou systémem, může trvat až hodinu, než server použije spravovanou identitu přiřazenou systémem k ověření ve službě synchronizace úložiště a sdílených složkách.

Postup kontroly, jestli synchronizační služba úložiště používá spravovanou identitu přiřazenou systémem

Pokud chcete zkontrolovat, jestli služba synchronizace úložiště používá spravovanou identitu přiřazenou systémem, spusťte z okna PowerShellu se zvýšenými oprávněními následující příkaz:

Get-AzStorageSyncService -ResourceGroupName <string> -StorageSyncServiceName <string>

Ověřte, že hodnota vlastnosti UseIdentity je True. Pokud je hodnota False, služba synchronizace úložiště používá sdílené klíče k ověření ve sdílených složkách Azure.

Postup kontroly, jestli je zaregistrovaný server nakonfigurovaný tak, aby používal spravovanou identitu přiřazenou systémem

Pokud chcete zkontrolovat, jestli je zaregistrovaný server nakonfigurovaný tak, aby používal spravovanou identitu přiřazenou systémem, spusťte z okna PowerShellu se zvýšenými oprávněními následující příkaz:

Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>

Ověřte, že vlastnost ApplicationId má identifikátor GUID, který indikuje, že je server nakonfigurovaný tak, aby používal spravovanou identitu. Hodnota vlastnosti ActiveAuthType se aktualizuje na ManagedIdentity , jakmile server používá spravovanou identitu přiřazenou systémem.

Poznámka:

Jakmile jsou registrované servery nakonfigurované tak, aby používaly spravovanou identitu přiřazenou systémem, může trvat až hodinu, než server použije spravovanou identitu přiřazenou systémem k ověření ve službě synchronizace úložiště a sdílených složkách Azure.

Více informací

Jakmile je služba synchronizace úložiště a zaregistrované servery nakonfigurované tak, aby používaly spravovanou identitu přiřazenou systémem:

  • Nové koncové body (cloud nebo server), které se vytvoří, budou používat spravovanou identitu přiřazenou systémem k ověření sdílené složky Azure.
  • Rutinu Set-AzStorageSyncServiceIdentity můžete kdykoli nakonfigurovat pro použití spravovaných identit další registrované servery.

Pokud dochází k problémům, přečtěte si téma: Řešení potíží s Synchronizace souborů Azure spravovanou identitou.