Delen via

Beheerde identiteiten gebruiken met Azure File Sync (preview)

  • Artikel

Azure File Sync-ondersteuning voor door het systeem toegewezen beheerde identiteiten is nu in preview.

Ondersteuning voor beheerde identiteit elimineert de noodzaak van gedeelde sleutels als verificatiemethode door gebruik te maken van een door het systeem toegewezen beheerde identiteit die wordt geleverd door Microsoft Entra ID.

Wanneer u deze configuratie inschakelt, worden de door het systeem toegewezen beheerde identiteiten gebruikt voor de volgende scenario's:

  • Verificatie van opslagsynchronisatieservice voor Azure-bestandsshare
  • Geregistreerde serververificatie voor Azure-bestandsshare
  • Geregistreerde serververificatie voor opslagsynchronisatieservice

Zie Beheerde identiteiten voor Azure-resources voor meer informatie over de voordelen van het gebruik van beheerde identiteiten.

Als u uw Azure File Sync-implementatie wilt configureren voor het gebruik van door het systeem toegewezen beheerde identiteiten, volgt u de richtlijnen in de volgende secties.

Vereisten

  • U moet een opslagsynchronisatieservice hebben geïmplementeerd met ten minste één geregistreerde server.

  • Azure File Sync-agent versie 19.1.0.0 of hoger moet zijn geïnstalleerd op de geregistreerde server.

  • Op uw opslagaccounts die worden gebruikt door Azure File Sync:

    • U moet lid zijn van de rol Eigenaarbeheer of machtigingen 'Microsoft.Authorization/roleassignments/write' hebben.
    • Toestaan dat Azure-services in de lijst met vertrouwde services toegang hebben tot deze uitzondering voor het opslagaccount , moet zijn ingeschakeld voor preview. Meer informatie
    • Toegang tot opslagaccountsleutels toestaan moet zijn ingeschakeld voor preview. Als u deze instelling wilt controleren, gaat u naar uw opslagaccount en selecteert u Configuratie in de sectie Instellingen.

  • Az.StorageSync PowerShell-moduleversie 2.2.0 of hoger moet zijn geïnstalleerd op de computer die wordt gebruikt om Azure File Sync te configureren voor het gebruik van beheerde identiteiten. Als u de nieuwste Az.StorageSync PowerShell-module wilt installeren, voert u de volgende opdracht uit vanuit een PowerShell-venster met verhoogde bevoegdheid:

    Install-Module Az.StorageSync -Force

Regionale beschikbaarheid

Azure File Sync-ondersteuning voor door het systeem toegewezen beheerde identiteiten (preview) is beschikbaar in alle openbare azure- en Gov-regio's die Ondersteuning bieden voor Azure File Sync.

Een door het systeem toegewezen beheerde identiteit inschakelen op uw geregistreerde servers

Voordat u Azure File Sync kunt configureren voor het gebruik van beheerde identiteiten, moeten uw geregistreerde servers een door het systeem toegewezen beheerde identiteit hebben die wordt gebruikt voor verificatie bij de Azure File Sync-service en Azure-bestandsshares.

Voer de volgende stappen uit om een door het systeem toegewezen beheerde identiteit in te schakelen op een geregistreerde server waarop de Azure File Sync v19-agent is geïnstalleerd:

  • Als de server buiten Azure wordt gehost, moet deze een server met Azure Arc zijn om een door het systeem toegewezen beheerde identiteit te hebben. Zie voor meer informatie over servers met Azure Arc en het installeren van de Azure Connected Machine-agent: Overzicht van Servers met Azure Arc.
  • Als de server een virtuele Azure-machine is, schakelt u de door het systeem toegewezen beheerde identiteit in op de VIRTUELE machine. Zie voor meer informatie: Beheerde identiteiten configureren op virtuele Azure-machines.

Notitie

  • Ten minste één geregistreerde server moet een door het systeem toegewezen beheerde identiteit hebben voordat u de opslagsynchronisatieservice kunt configureren voor het gebruik van een door het systeem toegewezen identiteit.
  • Zodra de opslagsynchronisatieservice is geconfigureerd voor het gebruik van beheerde identiteiten, blijven geregistreerde servers die geen door het systeem toegewezen beheerde identiteit hebben een gedeelde sleutel gebruiken om te verifiëren bij uw Azure-bestandsshares.

Controleren of uw geregistreerde servers een door het systeem toegewezen beheerde identiteit hebben

Voer de volgende PowerShell-opdracht uit om te controleren of uw geregistreerde servers een door het systeem toegewezen beheerde identiteit hebben:

Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>

Controleer of de eigenschap LatestApplicationId een GUID heeft die aangeeft dat de server een door het systeem toegewezen beheerde identiteit heeft, maar momenteel niet is geconfigureerd voor het gebruik van de beheerde identiteit.

Als de waarde voor de eigenschap ActiveAuthType certificaat is en de LatestApplicationId geen GUID heeft, heeft de server geen door het systeem toegewezen beheerde identiteit en worden gedeelde sleutels gebruikt om te verifiëren bij de Azure-bestandsshare.

Notitie

Zodra een server is geconfigureerd voor het gebruik van de door het systeem toegewezen beheerde identiteit door de stappen in de volgende sectie te volgen, wordt de eigenschap LatestApplicationId niet meer gebruikt (is leeg), wordt de eigenschapswaarde ActiveAuthType gewijzigd in ManagedIdentity en heeft de eigenschap ApplicationId een GUID die de door het systeem toegewezen beheerde identiteit is.

Uw Azure File Sync-implementatie configureren voor het gebruik van door het systeem toegewezen beheerde identiteiten

Als u de opslagsynchronisatieservice en geregistreerde servers wilt configureren voor het gebruik van door het systeem toegewezen beheerde identiteiten, voert u de volgende opdracht uit vanuit een PowerShell-venster met verhoogde bevoegdheid:

Set-AzStorageSyncServiceIdentity -ResourceGroupName <string> -StorageSyncServiceName <string> -Verbose

De cmdlet Set-AzStorageSyncServiceIdentity voert de volgende stappen voor u uit en duurt enkele minuten (of langer voordat grote topologieën zijn voltooid):

  • Valideert ten minste één geregistreerde server heeft een door het systeem toegewezen beheerde identiteit.
    • De cmdlet stopt bij deze stap als er geen geregistreerde servers zijn met een door het systeem toegewezen beheerde identiteit.
  • Hiermee schakelt u een door het systeem toegewezen beheerde identiteit in voor opslagsynchronisatieserviceresource.
  • Verleent de door het opslagsynchronisatieservice toegewezen beheerde identiteit toegang tot uw opslagaccounts (rol Inzender voor opslagaccounts).
  • Verleent de door het opslagsynchronisatieservice toegewezen beheerde identiteit toegang tot uw Azure-bestandsshares (rol Inzender voor opslagbestandsgegevens).
  • Verleent de geregistreerde server(s) door het systeem toegewezen beheerde identiteit toegang tot de Azure-bestandsshares (rol Inzender voor opslagbestandsgegevens).
  • Hiermee configureert u de opslagsynchronisatieservice voor het gebruik van door het systeem toegewezen beheerde identiteit.
  • Hiermee configureert u geregistreerde server(s) voor het gebruik van door het systeem toegewezen beheerde identiteit.

Gebruik de cmdlet Set-AzStorageSyncServiceIdentity wanneer u extra geregistreerde servers moet configureren voor het gebruik van beheerde identiteiten.

Notitie

Zodra de geregistreerde server(s) zijn geconfigureerd voor het gebruik van een door het systeem toegewezen beheerde identiteit, kan het maximaal één uur duren voordat de server de door het systeem toegewezen beheerde identiteit gebruikt om te verifiëren bij de opslagsynchronisatieservice en bestandsshares.

Controleren of de opslagsynchronisatieservice een door het systeem toegewezen beheerde identiteit gebruikt

Als u wilt controleren of de opslagsynchronisatieservice een door het systeem toegewezen beheerde identiteit gebruikt, voert u de volgende opdracht uit vanuit een PowerShell-venster met verhoogde bevoegdheid:

Get-AzStorageSyncService -ResourceGroupName <string> -StorageSyncServiceName <string>

Controleer of de waarde voor de eigenschap UseIdentity waar is. Als de waarde Onwaar is, gebruikt de opslagsynchronisatieservice gedeelde sleutels om te verifiëren bij de Azure-bestandsshares.

Controleren of een geregistreerde server is geconfigureerd voor het gebruik van een door het systeem toegewezen beheerde identiteit

Als u wilt controleren of een geregistreerde server is geconfigureerd voor het gebruik van een door het systeem toegewezen beheerde identiteit, voert u de volgende opdracht uit vanuit een PowerShell-venster met verhoogde bevoegdheid:

Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>

Controleer of de eigenschap ApplicationId een GUID heeft die aangeeft dat de server is geconfigureerd voor het gebruik van de beheerde identiteit. De waarde voor de eigenschap ActiveAuthType wordt bijgewerkt naar ManagedIdentity zodra de server de door het systeem toegewezen beheerde identiteit gebruikt.

Notitie

Zodra de geregistreerde server(s) zijn geconfigureerd voor het gebruik van een door het systeem toegewezen beheerde identiteit, kan het maximaal één uur duren voordat de server de door het systeem toegewezen beheerde identiteit gebruikt om te verifiëren bij de Opslagsynchronisatieservice en Azure-bestandsshares.

Meer informatie

Zodra de opslagsynchronisatieservice en geregistreerde servers zijn geconfigureerd voor het gebruik van een door het systeem toegewezen beheerde identiteit:

  • Nieuwe eindpunten (cloud of server) die worden gemaakt, maken gebruik van een door het systeem toegewezen beheerde identiteit om te verifiëren bij de Azure-bestandsshare.
  • Gebruik de cmdlet Set-AzStorageSyncServiceIdentity wanneer u extra geregistreerde servers moet configureren voor het gebruik van beheerde identiteiten.

Als u problemen ondervindt, raadpleegt u: Problemen met beheerde identiteiten van Azure File Sync oplossen.