Compartir a través de

Cómo utilizar identidades administradas con Azure File Sync (vista previa)

  • Artículo

La compatibilidad de Azure File Sync con las identidades administradas asignadas por el sistema ya está en fase de vista previa.

La compatibilidad con Identidad administrada elimina la necesidad de claves compartidas como método de autenticación mediante la utilización de una identidad administrada asignada al sistema proporcionada por Microsoft Entra ID.

Al habilitar esta configuración, las identidades administradas asignadas por el sistema se usarán para los escenarios siguientes:

  • Autenticación del servicio de sincronización de almacenamiento en un recurso compartido de archivos de Azure
  • Autenticación de servidor registrada en el recurso compartido de archivos de Azure
  • Autenticación de servidor registrada en el servicio de sincronización de almacenamiento

Para obtener más información sobre las ventajas de utilizar identidades administradas, consulte Identidades administradas para los recursos de Azure.

Para configurar la implementación de Azure File Sync para utilizar identidades administradas asignadas por el sistema, siga las instrucciones de las secciones siguientes.

Requisitos previos

  • Debe tener un Servicio de sincronización de almacenamiento implementado con al menos un servidor registrado.

  • El agente Azure File Sync versión 19.1.0.0 o posterior debe estar instalado en el servidor registrado.

  • En las cuentas de almacenamiento utilizadas por Azure File Sync:

    • Debe ser miembro de la función de administración Propietario o tener permisos “Microsoft.Authorization/roleassignments/write”.
    • Permitir que los servicios Azure de la lista de servicios de confianza accedan a esta excepción de cuenta de almacenamiento debe estar habilitada para la vista previa. Más información
    • Permitir el acceso a la clave de la cuenta de almacenamiento debe estar habilitado para la vista previa. Para comprobar esta configuración, vaya a su cuenta de almacenamiento y seleccione Configuración en la sección Configuración.

  • El módulo Az.StorageSync PowerShell versión 2.2.0 o posterior debe estar instalado en el equipo que se utilizará para configurar Azure File Sync para que utilice identidades administradas. Para instalar el último módulo Az.StorageSync PowerShell, ejecute el siguiente comando desde una ventana PowerShell elevada:

    Install-Module Az.StorageSync -Force

Disponibilidad regional

La compatibilidad de Azure File Sync con las identidades administradas asignadas por el sistema (versión preliminar) está disponible en todas las regiones de Azure Public y Gov que admiten Azure File Sync.

Habilite una identidad administrada asignada por el sistema en sus servidores registrados

Antes de poder configurar Azure File Sync para utilizar identidades administradas, los servidores registrados deben tener una identidad administrada asignada por el sistema que se utilizará para autenticarse en el servicio Azure File Sync y los recursos compartidos de archivos de Azure.

Para habilitar una identidad administrada asignada por el sistema en un servidor registrado que tenga instalado el agente Azure File Sync v19, realice los siguientes pasos:

Nota:

  • Al menos un servidor registrado debe tener una identidad administrada asignada por el sistema antes de poder configurar el Servicio de sincronización de almacenamiento para que utilice una identidad asignada por el sistema.
  • Una vez configurado el Servicio de sincronización de almacenamiento para utilizar identidades administradas, los servidores registrados que no tengan una identidad administrada asignada por el sistema seguirán utilizando una clave compartida para autenticarse en sus recursos compartidos de archivos de Azure.

Cómo comprobar si sus servidores registrados tienen una identidad administrada asignada por el sistema

Para comprobar si sus servidores registrados tienen una identidad administrada asignada por el sistema, ejecute el siguiente comando de PowerShell:

Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>

Compruebe que la propiedad LatestApplicationId tiene un GUID que indica que el servidor tiene una identidad administrada asignada por el sistema pero que no está configurada actualmente para utilizar la identidad administrada.

Si el valor de la propiedad ActiveAuthType es Certificado y LatestApplicationId no tiene un GUID, el servidor no tiene una identidad administrada asignada por el sistema y utilizará claves compartidas para autenticarse en el recurso compartido de archivos de Azure.

Nota:

Una vez que un servidor está configurado para utilizar la identidad administrada asignada por el sistema siguiendo los pasos de la siguiente sección, la propiedad LatestApplicationId ya no se utiliza (estará vacía), el valor de la propiedad ActiveAuthType cambiará a ManagedIdentity, y la propiedad ApplicationId tendrá un GUID que es la identidad administrada asignada por el sistema.

Configure su implementación de Azure File Sync para utilizar identidades administradas asignadas por el sistema

Para configurar el Servicio de sincronización de almacenamiento y los servidores registrados para que utilicen identidades administradas asignadas por el sistema, ejecute el siguiente comando desde una ventana de PowerShell elevada:

Set-AzStorageSyncServiceIdentity -ResourceGroupName <string> -StorageSyncServiceName <string> -Verbose

El cmdlet Set-AzStorageSyncServiceIdentity realiza los siguientes pasos por usted y tardará varios minutos (o más en topologías grandes) en completarse:

  • Valida que al menos un servidor registrado tenga asignada una identidad administrada por el sistema.
    • El cmdlet se detendrá en este paso si no hay servidores registrados con una identidad administrada asignada por el sistema.
  • Habilita una identidad administrada asignada por el sistema para el recurso Servicio de sincronización de almacenamiento.
  • Concede al Servicio de Sincronización de almacenamiento acceso de identidad administrada asignado por el sistema a sus cuentas de almacenamiento (función de colaborador de cuentas de almacenamiento).
  • Concede a la identidad administrada asignada por el sistema del servicio de Sincronización de almacenamiento acceso a sus recursos compartidos de archivos de Azure (función de colaborador privilegiado de datos de archivos de almacenamiento).
  • Concede al servidor o servidores registrados acceso de identidad administrada asignado al sistema a los recursos compartidos de archivos de Azure (función de colaborador privilegiado de datos de archivos de almacenamiento).
  • Configura el Servicio de sincronización de almacenamiento para que utilice la identidad administrada asignada por el sistema.
  • Configura los servidores registrados para que utilicen la identidad administrada asignada por el sistema.

Utilice el cmdlet Set-AzStorageSyncServiceIdentity siempre que necesite configurar servidores registrados adicionales para utilizar identidades administradas.

Nota:

Una vez configurados los servidores registrados para utilizar una identidad administrada asignada por el sistema, puede transcurrir hasta una hora antes de que el servidor utilice la identidad administrada asignada por el sistema para autenticarse en el Servicio de sincronización de almacenamiento y en los archivos compartidos.

Cómo comprobar si el Servicio de sincronización de almacenamiento utiliza una identidad administrada asignada por el sistema

Para comprobar si el Servicio de sincronización de almacenamiento está utilizando una identidad administrada asignada por el sistema, ejecute el siguiente comando desde una ventana de PowerShell elevada:

Get-AzStorageSyncService -ResourceGroupName <string> -StorageSyncServiceName <string>

Compruebe que el valor de la propiedad UseIdentity es Verdadero. Si el valor es Falso, el Servicio de sincronización de almacenamiento utiliza claves compartidas para autenticarse en los recursos compartidos de archivos de Azure.

Cómo comprobar si un servidor registrado está configurado para utilizar una identidad administrada asignada por el sistema

Para comprobar si un servidor registrado está configurado para utilizar una identidad administrada asignada por el sistema, ejecute el siguiente comando desde una ventana elevada de PowerShell:

Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>

Compruebe que la propiedad ApplicationId tiene un GUID que indica que el servidor está configurado para utilizar la identidad administrada. El valor de la propiedad ActiveAuthType se actualizará a ManagedIdentity una vez que el servidor esté utilizando la identidad administrada asignada por el sistema.

Nota:

Una vez configurados los servidores registrados para utilizar una identidad administrada asignada por el sistema, puede transcurrir hasta una hora antes de que el servidor utilice la identidad administrada asignada por el sistema para autenticarse en el Servicio de sincronización de almacenamiento y en los recursos compartidos de archivos de Azure.

Más información

Una vez que el Servicio de sincronización de Almacenamiento y el servidor o servidores registrados están configurados para utilizar una identidad administrada asignada por el sistema:

  • Los nuevos puntos de conexión (nube o servidor) que se creen utilizarán una identidad administrada asignada por el sistema para autenticarse en el recurso compartido de archivos de Azure.
  • Utilice el cmdlet Set-AzStorageSyncServiceIdentity siempre que necesite configurar servidores registrados adicionales para utilizar identidades administradas.

Si experimenta problemas, consulte Solución de problemas de identidad administrada de Azure File Sync.