Partager via

Comment utiliser les identités gérées avec Azure File Sync (aperçu)

  • Article

La prise en charge d’Azure File Sync pour les identités gérées attribuées par le système est désormais en préversion.

La prise en charge de l’identité gérée élimine le besoin de clés partagées comme méthode d’authentification en utilisant une identité gérée attribuée par le système fournie par Microsoft Entra ID.

Quand vous activez cette configuration, les identités managées affectées par le système sont utilisées pour les scénarios suivants :

  • Authentification du service de synchronisation du stockage auprès du partage de fichiers Azure
  • Authentification du serveur inscrit auprès du partage de fichiers Azure
  • Authentification du serveur inscrit auprès du service de synchronisation du stockage

Pour en savoir plus sur les avantages de l’utilisation d’identités gérées, consultez Identités gérées pour les ressources Azure.

Pour configurer votre déploiement Azure File Sync afin d’utiliser des identités gérées attribuées par le système, veuillez suivre les instructions des sections suivantes.

Prérequis

  • Vous devez disposer d'un service de synchronisation de stockage déployé avec au moins un serveur enregistré.

  • L’agent Azure File Sync version 19.1.0.0 ou ultérieure doit être installé sur le serveur enregistré.

  • Sur vos comptes de stockage utilisés par Azure File Sync :

    • Vous devez être membre du rôle de gestion Propriétaire ou disposer des autorisations « Microsoft.Authorization/roleassignments/write ».
    • L’exception Autoriser les services Azure de la liste des services approuvés à accéder à ce compte de stockage doit être activée pour la préversion. En savoir plus
    • L'accès à la clé du compte de stockage doit être activé pour l'aperçu. Pour vérifier ce paramètre, accédez à votre compte de stockage et sélectionnez Configuration dans la section Paramètres.

  • Le module PowerShell Az.StorageSync version 2.2.0 ou ultérieure doit être installé sur la machine qui sera utilisée pour configurer Azure File Sync afin d’utiliser des identités gérées. Pour installer le dernier module PowerShell Az.StorageSync, exécutez la commande suivante à partir d'une fenêtre PowerShell avec privilèges élevés :

    Install-Module Az.StorageSync -Force

Disponibilité régionale

La prise en charge d’Azure File Sync pour les identités gérées attribuées par le système (préversion) est disponible dans toutes les régions Azure publiques et gouvernementales qui prennent en charge Azure File Sync.

Activez une identité gérée attribuée par le système sur vos serveurs enregistrés

Avant de pouvoir configurer Azure File Sync pour utiliser des identités gérées, vos serveurs enregistrés doivent disposer d’une identité gérée attribuée par le système qui sera utilisée pour s’authentifier auprès du service Azure File Sync et des partages de fichiers Azure.

Pour activer une identité gérée attribuée par le système sur un serveur enregistré sur lequel l'agent Azure File Sync v19 est installé, procédez comme suit :

  • Si le serveur est hébergé en dehors d’Azure, il doit s’agir d’un serveur compatible Azure Arc pour disposer d’une identité managée attribuée par le système. Pour plus d’informations sur les serveurs compatibles Azure Arc et sur l’installation de l’agent Azure Connected Machine, consultez : Présentation des serveurs compatibles Azure Arc.
  • Si le serveur est une machine virtuelle Azure, activez le paramètre d’identité gérée attribuée par le système sur la machine virtuelle. Pour plus d’informations, consultez : Configurez les identités gérées sur les machines virtuelles Azure.

Remarque

  • Au moins un serveur enregistré doit disposer d'une identité gérée attribuée par le système avant de pouvoir configurer le service de synchronisation de stockage pour utiliser une identité attribuée par le système.
  • Une fois le service de synchronisation de stockage configuré pour utiliser des identités gérées, les serveurs enregistrés qui ne disposent pas d’une identité gérée attribuée par le système continueront d’utiliser une clé partagée pour s’authentifier auprès de vos partages de fichiers Azure.

Comment vérifier si vos serveurs enregistrés disposent d'une identité gérée attribuée par le système

Pour vérifier si vos serveurs enregistrés disposent d’une identité gérée attribuée par le système, exécutez la commande PowerShell suivante :

Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>

Vérifiez que la propriété LatestApplicationId possède un GUID qui indique que le serveur dispose d'une identité gérée attribuée par le système mais n'est pas actuellement configuré pour utiliser l'identité gérée.

Si la valeur de la propriété ActiveAuthType est Certificat et que LatestApplicationId n’a pas de GUID, le serveur n’a pas d’identité managée attribuée par le système et utilisera des clés partagées pour s’authentifier auprès du partage de fichiers Azure.

Remarque

Une fois qu'un serveur est configuré pour utiliser l'identité gérée attribuée par le système en suivant les étapes de la section suivante, la propriété LatestApplicationId n'est plus utilisée (sera vide), la valeur de la propriété ActiveAuthType sera modifiée en ManagedIdentity et la propriété ApplicationId aura un GUID qui est l'identité gérée attribuée par le système.

Configurez votre déploiement Azure File Sync pour utiliser des identités gérées attribuées par le système

Pour configurer le service de synchronisation de stockage et les serveurs enregistrés afin d’utiliser des identités gérées attribuées par le système, exécutez la commande suivante à partir d’une fenêtre PowerShell avec privilèges élevés :

Set-AzStorageSyncServiceIdentity -ResourceGroupName <string> -StorageSyncServiceName <string> -Verbose

L'applet de commande Set-AzStorageSyncServiceIdentity exécute les étapes suivantes pour vous et prendra plusieurs minutes (ou plus pour les topologies volumineuses) :

  • Valide qu'au moins un serveur enregistré dispose d'une identité gérée attribuée par le système.
    • L’applet de commande s’arrêtera à cette étape s’il n’y a aucun serveur enregistré avec une identité gérée attribuée par le système.
  • Active une identité gérée attribuée par le système pour la ressource du service de synchronisation de stockage.
  • Accorde au système de service de synchronisation de stockage l'accès à l'identité gérée attribuée à vos comptes de stockage (rôle de contributeur de compte de stockage).
  • Accorde au système Storage Sync Service l’accès à l’identité gérée attribuée à vos partages de fichiers Azure (rôle de contributeur privilégié aux données de fichiers de stockage).
  • Accorde aux serveurs enregistrés l’accès à l’identité gérée attribuée par le système aux partages de fichiers Azure (rôle de contributeur privilégié aux données de fichiers de stockage).
  • Configure le service de synchronisation de stockage pour utiliser l’identité gérée attribuée par le système.
  • Configure les serveurs enregistrés pour utiliser l'identité gérée attribuée par le système.

Utilisez l’applet de commande Set-AzStorageSyncServiceIdentity chaque fois que vous devez configurer des serveurs enregistrés supplémentaires pour utiliser des identités gérées.

Remarque

Une fois que les serveurs enregistrés sont configurés pour utiliser une identité gérée attribuée par le système, il peut s'écouler jusqu'à une heure avant que le serveur utilise l'identité gérée attribuée par le système pour s'authentifier auprès du service de synchronisation de stockage et des partages de fichiers.

Comment vérifier si le service de synchronisation de stockage utilise une identité gérée attribuée par le système

Pour vérifier si le service de synchronisation de stockage utilise une identité gérée attribuée par le système, exécutez la commande suivante à partir d'une fenêtre PowerShell avec privilèges élevés :

Get-AzStorageSyncService -ResourceGroupName <string> -StorageSyncServiceName <string>

Vérifiez que la valeur de la propriété UseIdentity est True. Si la valeur est False, le service de synchronisation de stockage utilise des clés partagées pour s’authentifier auprès des partages de fichiers Azure.

Comment vérifier si un serveur enregistré est configuré pour utiliser une identité gérée attribuée par le système

Pour vérifier si un serveur enregistré est configuré pour utiliser une identité gérée attribuée par le système, exécutez la commande suivante à partir d'une fenêtre PowerShell avec privilèges élevés :

Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>

Vérifiez que la propriété ApplicationId possède un GUID qui indique que le serveur est configuré pour utiliser l’identité gérée. La valeur de la propriété ActiveAuthType sera mise à jour sur ManagedIdentity une fois que le serveur utilisera l'identité gérée attribuée par le système.

Remarque

Une fois que les serveurs enregistrés sont configurés pour utiliser une identité gérée attribuée par le système, il peut s’écouler jusqu’à une heure avant que le serveur utilise l’identité gérée attribuée par le système pour s’authentifier auprès du service de synchronisation de stockage et des partages de fichiers Azure.

Plus d’informations

Une fois que le service de synchronisation de stockage et les serveurs enregistrés sont configurés pour utiliser une identité gérée attribuée par le système :

  • Les nouveaux points de terminaison (cloud ou serveur) créés utiliseront une identité gérée attribuée par le système pour s’authentifier auprès du partage de fichiers Azure.
  • Utilisez l’applet de commande Set-AzStorageSyncServiceIdentity chaque fois que vous devez configurer des serveurs enregistrés supplémentaires pour utiliser des identités gérées.

Si vous rencontrez des problèmes, consultez : Résoudre les problèmes concernant les identités managées Azure File Sync.