Freigeben über

Verwenden verwalteter Identitäten mit der Azure-Dateisynchronisierung (Vorschau)

  • Artikel

Die Unterstützung der Azure-Dateisynchronisierung für systemseitig zugewiesene verwaltete Identitäten ist jetzt als Vorschauversion verfügbar.

Durch die Unterstützung verwalteter Identitäten ist es nicht mehr notwendig, freigegebene Schlüssel als Authentifizierungsmethode zu verwenden, da von Microsoft Entra ID eine systemseitig zugewiesene verwaltete Identität bereitgestellt wird.

Wenn Sie diese Konfiguration aktivieren, werden systemseitig zugewiesene verwalteten Identitäten für die folgenden Szenarien verwendet:

  • Authentifizierung beim Speichersynchronisierungsdienst für Azure-Dateifreigaben
  • Authentifizierung registrierter Server für Azure-Dateifreigaben
  • Authentifizierung registrierter Server beim Speichersynchronisierungsdienst

Weitere Informationen zu den Vorteilen von verwalteten Identitäten finden Sie unter Verwaltete Identitäten für Azure-Ressourcen.

Wenn Sie Ihre Bereitstellung der Azure-Dateisynchronisierung so konfigurieren möchten, dass systemseitig zugewiesene verwaltete Identitäten verwendet werden, befolgen Sie die Anweisungen in den nachfolgenden Abschnitten.

Voraussetzungen

  • Sie müssen einen Speichersynchronisierungsdienst mit mindestens einem registrierten Server bereitgestellt haben.

  • Version 19.1.0.0 oder höher des Agents für die Azure-Dateisynchronisierung muss auf dem registrierten Server installiert sein.

  • Auf Ihren Speicherkonten, die von der Azure-Dateisynchronisierung verwendet werden:

    • Sie müssen ein Mitglied der Verwaltungsrolle „Besitzer“ sein oder über die Berechtigungen „Microsoft.Authorization/roleassignments/write“ verfügen.
    • Die Ausnahme Azure-Dienste auf der Liste der vertrauenswürdigen Dienste für den Zugriff auf dieses Speicherkonto zulassen muss für die Vorschauversion aktiviert sein. Weitere Informationen
    • Zugriff auf Speicherkontoschlüssel erlauben muss für die Vorschauversion aktiviert sein. Wenn Sie diese Einstellung überprüfen möchten, navigieren Sie zu Ihrem Speicherkonto, und wählen Sie im Abschnitt „Einstellungen“ die Option Konfiguration aus.

  • Az.StorageSync-PowerShell-Modul Version 2.2.0 oder höher muss auf dem Computer installiert werden, der zum Konfigurieren der Azure-Dateisynchronisierung für die Verwendung verwalteter Identitäten verwendet wird. Um das neueste Az.StorageSync-PowerShell-Modul zu installieren, führen Sie den folgenden Befehl in einem PowerShell-Fenster mit erhöhten Rechten aus:

    Install-Module Az.StorageSync -Force

Regionale Verfügbarkeit

Die Unterstützung der Azure-Dateisynchronisierung für systemseitig zugewiesene verwaltete Identitäten (Vorschau) ist in allen Azure Public- und Gov-Regionen verfügbar, die die Azure-Dateisynchronisierung unterstützen.

Aktivieren einer systemseitig zugewiesenen verwalteten Identität auf Ihren registrierten Servern

Bevor Sie die Azure-Dateisynchronisierung so konfigurieren können, dass verwaltete Identitäten verwendet werden, müssen Ihre registrierten Server über eine systemseitig zugewiesene verwaltete Identität verfügen, die zur Authentifizierung bei der Azure-Dateisynchronisierung und Azure-Dateifreigaben verwendet wird.

Führen Sie die folgenden Schritte aus, um eine systemseitig zugewiesene verwaltete Identität auf einem registrierten Server zu aktivieren, auf dem der Azure-Dateisynchronisierung-Agent v19 installiert ist:

  • Wenn der Server außerhalb von Azure gehostet wird, muss es ein Azure Arc-fähigen Server sein, um über eine systemseitig zugewiesene verwaltete Identität zu verfügen. Weitere Informationen zu Azure Arc-fähigen Servern und zum Installieren des Azure Connected Machine-Agents finden Sie unter: Azure Arc-fähige Server – Übersicht.
  • Wenn es sich bei dem Server um einen virtuellen Azure-Computer handelt, aktivieren Sie die Einstellung für die systemseitig zugewiesene verwaltete Identität auf dem virtuellen Computer. Weitere Informationen finden Sie unter: Konfigurieren verwalteter Identitäten auf virtuellen Azure-Computern.

Hinweis

  • Mindestens ein registrierter Server muss über eine systemseitig zugewiesene verwaltete Identität verfügen, bevor Sie den Speichersynchronisierungsdienst für die Verwendung einer systemseitig zugewiesenen Identität konfigurieren können.
  • Nachdem der Speichersynchronisierungsdienst für die Verwendung verwalteter Identitäten konfiguriert ist, verwenden registrierte Server, auf denen keine systemseitig zugewiesene verwaltete Identität vorhanden ist, weiterhin einen freigegebenen Schlüssel, um sich bei Ihren Azure-Dateifreigaben zu authentifizieren.

So überprüfen Sie, ob Ihre registrierten Server über eine systemseitig zugewiesene verwaltete Identität verfügen

Führen Sie den folgenden PowerShell-Befehl aus, um zu überprüfen, ob Ihre registrierten Server über eine systemseitig zugewiesene verwaltete Identität verfügen:

Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>

Stellen Sie sicher, dass die Eigenschaft LatestApplicationId über eine GUID verfügt, die angibt, dass der Server über eine systemseitig zugewiesene verwaltete Identität verfügt, aber zurzeit nicht für die Verwendung der verwalteten Identität konfiguriert ist.

Wenn der Wert für die Eigenschaft ActiveAuthType Certificate ist und die LatestApplicationId keine GUID aufweist, verfügt der Server nicht über eine systemseitig zugewiesene verwaltete Identität und verwendet freigegebene Schlüssel, um sich bei der Azure-Dateifreigabe zu authentifizieren.

Hinweis

Sobald ein Server für die Verwendung der systemseitig zugewiesenen verwalteten Identität konfiguriert ist, indem die Schritte im folgenden Abschnitt ausgeführt werden, wird die LatestApplicationId-Eigenschaft nicht mehr verwendet (ist leer), der ActiveAuthType-Eigenschaftswert wird in ManagedIdentity geändert, und die ApplicationId-Eigenschaft verfügt über eine GUID, bei der es sich um die systemseitig zugewiesene verwaltete Identität handelt.

Konfigurieren der Bereitstellung der Azure-Dateisynchronisierung für die Verwendung von systemseitig zugewiesenen verwalteten Identitäten

Um den Speichersynchronisierungsdienst und registrierte Server für die Verwendung von systemseitig zugewiesenen verwalteten Identitäten zu konfigurieren, führen Sie den folgenden Befehl in einem PowerShell-Fenster mit erhöhten Rechten aus:

Set-AzStorageSyncServiceIdentity -ResourceGroupName <string> -StorageSyncServiceName <string> -Verbose

Das Cmdlet Set-AzStorageSyncServiceIdentity führt die folgenden Schritte für Sie aus und dauert mehrere Minuten (oder länger für große Topologien):

  • Überprüft, ob mindestens ein registrierter Server über eine systemseitig verwaltete Identität verfügt.
    • Das Cmdlet wird bei diesem Schritt beendet, wenn keine registrierten Server mit einer systemseitig zugewiesenen verwalteten Identität vorhanden sind.
  • Aktiviert eine systemseitig zugewiesene verwaltete Identität für die Speichersynchronisierungsdienstressource.
  • Gewährt der systemseitig zugewiesenen verwalteten Identität des Speichersynchronisierungsdiensts Zugriff auf Ihre Speicherkonten (Rolle „Speicherkontomitwirkender“).
  • Gewährt der systemseitig zugewiesenen verwalteten Identität des Speichersynchronisierungsdiensts Zugriff auf Ihre Azure-Dateifreigaben (Rolle „Privilegierter Mitwirkender für Speicherdateidaten“).
  • Gewährt der systemseitig zugewiesenen verwalteten Identität der registrierten Server Zugriff auf Ihre Azure-Dateifreigaben (Rolle „Privilegierter Mitwirkender für Speicherdateidaten“).
  • Konfiguriert den Speichersynchronisierungsdienst für die Verwendung der systemseitig zugewiesenen verwalteten Identität.
  • Konfiguriert registrierte Server für die Verwendung der systemseitig zugewiesenen verwalteten Identität.

Verwenden Sie das Cmdlet Set-AzStorageSyncServiceIdentity, wenn Sie zusätzliche registrierte Server für die Verwendung verwalteter Identitäten konfigurieren müssen.

Hinweis

Nachdem die registrierten Server für die Verwendung einer systemseitig zugewiesenen verwalteten Identität konfiguriert wurden, kann es bis zu einer Stunde dauern, bis der Server die systemseitig zugewiesene verwaltete Identität verwendet, um sich beim Speichersynchronisierungsdienst und Dateifreigaben zu authentifizieren.

So überprüfen Sie, ob der Speichersynchronisierungsdienst eine systemseitig zugewiesene verwaltete Identität verwendet

Um zu überprüfen, ob der Speichersynchronisierungsdienst eine systemseitig zugewiesene verwaltete Identität verwendet, führen Sie den folgenden Befehl in einem PowerShell-Fenster mit erhöhten Rechten aus:

Get-AzStorageSyncService -ResourceGroupName <string> -StorageSyncServiceName <string>

Überprüfen Sie, ob der Wert für die UseIdentity-Eigenschaft True ist. Wenn der Wert False ist, verwendet der Speichersynchronisierungsdienst freigegebene Schlüssel, um sich bei den Azure-Dateifreigaben zu authentifizieren.

So überprüfen Sie, ob ein registrierter Server für die Verwendung einer systemseitig zugewiesenen verwalteten Identität konfiguriert ist

Um zu überprüfen, ob ein registrierter Server für die Verwendung einer systemseitig zugewiesenen verwalteten Identität konfiguriert ist, führen Sie den folgenden Befehl in einem PowerShell-Fenster mit erhöhten Rechten aus:

Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>

Stellen Sie sicher, dass die ApplicationId-Eigenschaft über eine GUID verfügt, die angibt, dass der Server für die Verwendung der verwalteten Identität konfiguriert ist. Der Wert für die ActiveAuthType-Eigenschaft ändert sich in ManagedIdentity, sobald der Server die systemseitig zugewiesene verwaltete Identität verwendet.

Hinweis

Nachdem die registrierten Server für die Verwendung einer systemseitig zugewiesenen verwalteten Identität konfiguriert wurden, kann es bis zu einer Stunde dauern, bis der Server die systemseitig zugewiesene verwaltete Identität verwendet, um sich beim Speichersynchronisierungsdienst und Azure-Dateifreigaben zu authentifizieren.

Weitere Informationen

Sobald der Speichersynchronisierungsdienst und die registrierten Server konfiguriert sind, um eine systemseitig zugewiesene verwaltete Identität zu verwenden:

  • Neue Endpunkte (Cloud oder Server), die erstellt werden, verwenden eine systemseitig zugewiesene verwaltete Identität, um sich bei der Azure-Dateifreigabe zu authentifizieren.
  • Verwenden Sie das Cmdlet „Set-AzStorageSyncServiceIdentity“, wenn Sie zusätzliche registrierte Server für die Verwendung verwalteter Identitäten konfigurieren müssen.

Wenn Probleme auftreten, lesen Sie: Fehlerbehebung bei Problemen mit der verwalteten Identität von Azure File Sync.