次の方法で共有

Azure File Sync でマネージド ID を使用する方法 (プレビュー)

  • [アーティクル]

現在、システム割り当てマネージド ID に対する Azure File Sync のサポートはプレビュー段階です。

マネージド ID のサポートにより、Microsoft Entra ID によって提供されるシステム割り当てマネージド ID を利用することで、認証方法としての共有キーは不要になります。

この構成を有効にすると、システム割り当てマネージド ID が次のシナリオで使用されます。

  • Azure ファイル共有に対するストレージ同期サービスの認証
  • Azure ファイル共有に対する登録済みサーバーの認証
  • ストレージ同期サービスに対する登録済みサーバーの認証

マネージド ID を使用する利点の詳細については、Azure リソース用マネージド ID に関する記事を参照してください。

システム割り当てマネージド ID を利用するように Azure File Sync デプロイを構成するには、以降のセクションのガイダンスに従ってください。

前提条件

  • 少なくとも 1 つの登録サーバーを使用して、ストレージ同期サービスデプロイする必要があります。

  • Azure File Sync エージェント バージョン 19.1.0.0 以降を登録サーバーにインストールする必要があります。

  • Azure File Sync で使用されるストレージ アカウント上で:

    • 所有者管理ロールのメンバーであるか、"Microsoft.Authorization/roleassignments/write" アクセス許可を持っている必要があります。
    • [信頼されたサービスの一覧にある Azure サービスがこのストレージ アカウントにアクセスすることを許可します] 例外を、プレビューのために有効にする必要があります。 詳細情報
    • プレビューのためには、[ストレージ アカウント キーへのアクセスを許可する] を有効にする必要があります。 この設定を確認するには、ストレージ アカウントに移動し、[設定] セクションで [構成] を選択します。

  • マネージド ID を使用するように Azure File Sync を構成するために使用するマシンには、Az.StorageSync PowerShell モジュール バージョン 2.2.0 以降をインストールする必要があります。 最新の Az.StorageSync PowerShell モジュールをインストールするには、管理者特権の PowerShell ウィンドウから次のコマンドを実行します。

    Install-Module Az.StorageSync -Force

リージョン別の提供状況

システム割り当てマネージド ID に対する Azure File Sync のサポート (プレビュー) は、Azure File Sync をサポートするすべての Azure Public および Gov リージョンで使用できます。

登録サーバー上でシステム割り当てマネージド ID を有効にする

マネージド ID を使用するように Azure File Sync を構成するには、Azure File Sync サービスと Azure ファイル共有への認証に使用されるシステム割り当てマネージド ID が登録サーバーに割り当てられている必要です。

Azure File Sync v19 エージェントがインストールされている登録サーバー上でシステム割り当てマネージド ID を有効にするには、以下の手順を実行します。

  • サーバーが Azure の外部でホストされている場合、システム割り当てマネージド ID を割り当てるには、Azure Arc 対応サーバーである必要があります。 Azure Arc 対応サーバーの詳細と Azure Connected Machine エージェントのインストール方法については、Azure Arc 対応サーバーの概要に関する記事を参照してください。
  • サーバーが Azure 仮想マシンの場合は、VM 上でシステム割り当てマネージド ID 設定を有効にします。 詳細については、「Azure 仮想マシン上でマネージド ID を構成する」を参照してください。

Note

  • システム割り当て ID を使用するようにストレージ同期サービスを構成するには、少なくとも 1 つの登録サーバーにシステム割り当てマネージド ID が割り当てられている必要があります。
  • ストレージ同期サービスがマネージド ID を使用するように構成されると、システム割り当てマネージド ID が割り当てられていない登録サーバーは、引き続き共有キーを使用して Azure ファイル共有に対する認証を行います。

登録サーバーにシステム割り当てマネージド ID が割り当てられているかどうかを確認する方法

登録サーバーにシステム割り当てマネージド ID が割り当てられているかどうかを確認するには、次の PowerShell コマンドを実行します。

Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>

LatestApplicationId プロパティに GUID が設定されていることを確認します。これは、サーバーにシステム割り当てマネージド ID が割り当てられていることを示しますが、現在はそのマネージド ID を使用するように構成されていません。

ActiveAuthType プロパティの値が Certificate であり、LatestApplicationId に GUID が設定されていない場合、サーバーにはシステム割り当てマネージド ID が割り当てられていません。また、共有キーを使用して Azure ファイル共有に対する認証を行います。

Note

次のセクションの手順に従って、システム割り当てマネージド ID を使用するようにサーバーを構成すると、LatestApplicationId プロパティは使用されなくなり (空になり)、ActiveAuthType プロパティ値は ManagedIdentity に変更され、ApplicationId プロパティには、システム割り当てマネージド ID である GUID が設定されます。

システム割り当てマネージド ID を使用するように Azure File Sync デプロイを構成する

システム割り当てマネージド ID を使用するようにストレージ同期サービスと登録サーバーを構成するには、管理者特権の PowerShell ウィンドウから次のコマンドを実行します。

Set-AzStorageSyncServiceIdentity -ResourceGroupName <string> -StorageSyncServiceName <string> -Verbose

Set-AzStorageSyncServiceIdentity コマンドレットを使用して、以下の手順を自動実行します。これが完了するまでに数分 (大規模なトポロジの場合はそれ以上) かかります。

  • 少なくとも 1 つの登録サーバーにシステム割り当てマネージド ID が設定されていることを検証します。
    • システム割り当てマネージド ID がある登録サーバーがない場合、コマンドレットはこの手順で停止します。
  • ストレージ同期サービス リソースのシステム割り当てマネージド ID を有効にします。
  • ストレージ同期サービスのシステム割り当てマネージド ID に、ストレージ アカウントへのアクセス権 (ストレージ アカウント共同作成者ロール) を付与します。
  • ストレージ同期サービスのシステム割り当てマネージド ID に、Azure ファイル共有へのアクセス権 (ストレージ ファイル データ特権共同作成者ロール) を付与します。
  • 登録サーバーのシステム割り当てマネージド ID に、Azure ファイル共有へのアクセス権 (ストレージ ファイル データ特権共同作成者ロール) を付与します。
  • システム割り当てマネージド ID を使用するようにストレージ同期サービスを構成します。
  • システム割り当てマネージド ID を使用するように登録サーバーを構成します。

マネージド ID を使用するように追加の登録サーバーを構成する必要がある場合は、いつでも Set-AzStorageSyncServiceIdentity コマンドレットを使用してください。

Note

システム割り当てマネージド ID を使用するように登録サーバーを構成すると、サーバーがシステム割り当てマネージド ID を使用してストレージ同期サービスとファイル共有に対して認証を行うまでに最長 1 時間かかることがあります。

ストレージ同期サービスがシステム割り当てマネージド ID を使用しているかどうかを確認する方法

ストレージ同期サービスがシステム割り当てマネージド ID を使用しているかどうかを確認するには、管理者特権の PowerShell ウィンドウから次のコマンドを実行します。

Get-AzStorageSyncService -ResourceGroupName <string> -StorageSyncServiceName <string>

UseIdentity プロパティの値が True であることを確認します。 値が False の場合、ストレージ同期サービスは共有キーを使用して Azure ファイル共有に対する認証を行っています。

登録サーバーがシステム割り当てマネージド ID を使用するように構成されているかどうかを確認する方法

登録サーバーがシステム割り当てマネージド ID を使用するように構成されているかどうかを確認するには、管理者特権の PowerShell ウィンドウから次のコマンドを実行します。

Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>

ApplicationId プロパティに、サーバーがマネージド ID を使用するように構成されていることを示す GUID が設定されていることを確認します。 サーバーがシステム割り当てマネージド ID を使用すると、ActiveAuthType プロパティの値は ManagedIdentity に更新されます。

Note

システム割り当てマネージド ID を使用するように登録サーバーを構成すると、サーバーがシステム割り当てマネージド ID を使用してストレージ同期サービスと Azure ファイル共有に対して認証を行うまでに最長 1 時間かかることがあります。

詳細

ストレージ同期サービスと登録サーバーがシステム割り当てマネージド ID を使用するように構成された後:

  • 作成される新しいエンドポイント (クラウドまたはサーバー) は、システム割り当てマネージド ID を使用して、Azure ファイル共有に対する認証を行います。
  • マネージド ID を使用するように追加の登録サーバーを構成する必要がある場合は、いつでも Set-AzStorageSyncServiceIdentity コマンドレットを使用してください。

問題が発生した場合は、「Azure File Sync マネージド ID の問題をトラブルシューティングする」を参照してください。