Condividi tramite

Come usare le identità gestite con Sincronizzazione file di Azure (anteprima)

  • Articolo

Sincronizzazione file di Azure il supporto per le identità gestite assegnate dal sistema è ora disponibile in anteprima.

Il supporto dell'identità gestita elimina la necessità di chiavi condivise come metodo di autenticazione usando un'identità gestita assegnata dal sistema fornita dall'ID Microsoft Entra.

Quando si abilita questa configurazione, le identità gestite assegnate dal sistema verranno usate per gli scenari seguenti:

  • Autenticazione del servizio di sincronizzazione archiviazione nella condivisione file di Azure
  • Autenticazione del server registrata nella condivisione file di Azure
  • Autenticazione del server registrata nel servizio di sincronizzazione archiviazione

Per altre informazioni sui vantaggi dell'uso delle identità gestite, vedere Identità gestite per le risorse di Azure.

Per configurare la distribuzione di Sincronizzazione file di Azure per usare le identità gestite assegnate dal sistema, seguire le indicazioni riportate nelle sezioni successive.

Prerequisiti

  • È necessario avere un servizio di sincronizzazione archiviazione distribuito con almeno un server registrato.

  • Sincronizzazione file di Azure agente versione 19.1.0.0 o successiva deve essere installato nel server registrato.

  • Sugli account di archiviazione usati da Sincronizzazione file di Azure:

    • È necessario essere membri del ruolo di gestione proprietario o disporre delle autorizzazioni "Microsoft.Authorization/roleassignments/write".
    • Consentire ai servizi di Azure nell'elenco dei servizi attendibili di accedere a questa eccezione dell'account di archiviazione deve essere abilitata per l'anteprima. Ulteriori informazioni
    • Consentire l'accesso alla chiave dell'account di archiviazione deve essere abilitato per l'anteprima. Per controllare questa impostazione, passare all'account di archiviazione e selezionare Configurazione nella sezione Impostazioni.

  • Il modulo PowerShell Az.StorageSync versione 2.2.0 o successiva deve essere installato nel computer che verrà usato per configurare Sincronizzazione file di Azure per l'uso delle identità gestite. Per installare il modulo PowerShell Az.StorageSync più recente, eseguire il comando seguente da una finestra di PowerShell con privilegi elevati:

    Install-Module Az.StorageSync -Force

Disponibilità a livello di area

Sincronizzazione file di Azure supporto per le identità gestite assegnate dal sistema (anteprima) è disponibile in tutte le aree pubbliche e gov di Azure che supportano Sincronizzazione file di Azure.

Abilitare un'identità gestita assegnata dal sistema nei server registrati

Prima di poter configurare Sincronizzazione file di Azure per l'uso delle identità gestite, i server registrati devono avere un'identità gestita assegnata dal sistema che verrà usata per l'autenticazione per il servizio Sincronizzazione file di Azure e le condivisioni file di Azure.

Per abilitare un'identità gestita assegnata dal sistema in un server registrato in cui è installato l'agente Sincronizzazione file di Azure v19, seguire questa procedura:

  • Se il server è ospitato all'esterno di Azure, deve essere un server abilitato per Azure Arc per avere un'identità gestita assegnata dal sistema. Per altre informazioni sui server abilitati per Azure Arc e su come installare l'agente di Azure Connected Machine, vedere Panoramica dei server abilitati per Azure Arc.
  • Se il server è una macchina virtuale di Azure, abilitare l'impostazione dell'identità gestita assegnata dal sistema nella macchina virtuale. Per altre informazioni, vedere Configurare le identità gestite nelle macchine virtuali di Azure.

Nota

  • Almeno un server registrato deve avere un'identità gestita assegnata dal sistema prima di poter configurare il servizio di sincronizzazione archiviazione per l'uso di un'identità assegnata dal sistema.
  • Dopo aver configurato il servizio di sincronizzazione archiviazione per l'uso delle identità gestite, i server registrati che non dispongono di un'identità gestita assegnata dal sistema continueranno a usare una chiave condivisa per l'autenticazione nelle condivisioni file di Azure.

Come verificare se i server registrati hanno un'identità gestita assegnata dal sistema

Per verificare se i server registrati hanno un'identità gestita assegnata dal sistema, eseguire il comando PowerShell seguente:

Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>

Verificare che la proprietà LatestApplicationId abbia un GUID che indica che il server ha un'identità gestita assegnata dal sistema, ma non è attualmente configurata per l'uso dell'identità gestita.

Se il valore della proprietà ActiveAuthType è Certificate e LatestApplicationId non dispone di un GUID, il server non dispone di un'identità gestita assegnata dal sistema e userà chiavi condivise per l'autenticazione nella condivisione file di Azure.

Nota

Dopo aver configurato un server per l'uso dell'identità gestita assegnata dal sistema seguendo la procedura descritta nella sezione seguente, la proprietà LatestApplicationId non viene più utilizzata (sarà vuota), il valore della proprietà ActiveAuthType verrà modificato in ManagedIdentity e la proprietà ApplicationId avrà un GUID che è l'identità gestita assegnata dal sistema.

Configurare la distribuzione Sincronizzazione file di Azure per l'uso delle identità gestite assegnate dal sistema

Per configurare il servizio di sincronizzazione archiviazione e i server registrati per l'uso delle identità gestite assegnate dal sistema, eseguire il comando seguente da una finestra di PowerShell con privilegi elevati:

Set-AzStorageSyncServiceIdentity -ResourceGroupName <string> -StorageSyncServiceName <string> -Verbose

Il cmdlet Set-AzStorageSyncServiceIdentity esegue i passaggi seguenti e richiederà alcuni minuti (o più tempo per il completamento di topologie di grandi dimensioni):

  • Convalida che almeno un server registrato abbia un'identità gestita assegnata dal sistema.
    • Il cmdlet verrà arrestato in questo passaggio se non sono presenti server registrati con un'identità gestita assegnata dal sistema.
  • Abilita un'identità gestita assegnata dal sistema per la risorsa del servizio di sincronizzazione archiviazione.
  • Concede all'identità gestita assegnata dal sistema di sincronizzazione archiviazione l'accesso agli account di archiviazione (ruolo Collaboratore account di archiviazione).
  • Concede all'identità gestita assegnata dal sistema di sincronizzazione archiviazione l'accesso alle condivisioni file di Azure (ruolo Collaboratore con privilegi per i dati dei file di archiviazione).
  • Concede l'accesso all'identità gestita assegnata dal sistema ai server registrati alle condivisioni file di Azure (ruolo Collaboratore con privilegi per i dati dei file di archiviazione).
  • Configura il servizio di sincronizzazione archiviazione per l'uso dell'identità gestita assegnata dal sistema.
  • Configura i server registrati per l'uso dell'identità gestita assegnata dal sistema.

Usare il cmdlet Set-AzStorageSyncServiceIdentity ogni volta che è necessario configurare server registrati aggiuntivi per l'uso delle identità gestite.

Nota

Quando i server registrati sono configurati per l'uso di un'identità gestita assegnata dal sistema, possono essere necessarie fino a un'ora prima che il server usi l'identità gestita assegnata dal sistema per l'autenticazione al servizio di sincronizzazione archiviazione e alle condivisioni file.

Come verificare se il servizio di sincronizzazione archiviazione usa un'identità gestita assegnata dal sistema

Per verificare se il servizio di sincronizzazione archiviazione usa un'identità gestita assegnata dal sistema, eseguire il comando seguente da una finestra di PowerShell con privilegi elevati:

Get-AzStorageSyncService -ResourceGroupName <string> -StorageSyncServiceName <string>

Verificare che il valore della proprietà UseIdentity sia True. Se il valore è False, il servizio di sincronizzazione archiviazione usa chiavi condivise per l'autenticazione nelle condivisioni file di Azure.

Come verificare se un server registrato è configurato per l'uso di un'identità gestita assegnata dal sistema

Per verificare se un server registrato è configurato per l'uso di un'identità gestita assegnata dal sistema, eseguire il comando seguente da una finestra di PowerShell con privilegi elevati:

Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>

Verificare che la proprietà ApplicationId abbia un GUID che indica che il server è configurato per l'uso dell'identità gestita. Il valore della proprietà ActiveAuthType verrà aggiornato a ManagedIdentity quando il server usa l'identità gestita assegnata dal sistema.

Nota

Quando i server registrati sono configurati per l'uso di un'identità gestita assegnata dal sistema, possono essere necessarie fino a un'ora prima che il server usi l'identità gestita assegnata dal sistema per l'autenticazione al servizio di sincronizzazione archiviazione e alle condivisioni file di Azure.

Ulteriori informazioni

Dopo aver configurato il servizio di sincronizzazione archiviazione e i server registrati per l'uso di un'identità gestita assegnata dal sistema:

  • I nuovi endpoint (cloud o server) creati useranno un'identità gestita assegnata dal sistema per l'autenticazione nella condivisione file di Azure.
  • Usare il cmdlet Set-AzStorageSyncServiceIdentity ogni volta che è necessario configurare server registrati aggiuntivi per l'uso delle identità gestite.

Se si verificano problemi, vedere Risolvere i problemi relativi all'identità gestita Sincronizzazione file di Azure.