كيفية استخدام الهويات المدارة مع Azure File Sync

يلغي دعم الهوية المدارة الحاجة إلى المفاتيح المشتركة كطريقة للمصادقة باستخدام هوية مدارة معينة من قبل النظام يوفرها معرف Microsoft Entra.

عند تمكين هذا التكوين، سيتم استخدام الهويات المدارة المعينة من قبل النظام للسيناريوهات التالية:

• مصادقة Storage Sync Service لمشاركة ملف Azure
• مصادقة الخادم المسجلة لمشاركة ملف Azure
• مصادقة الخادم المسجلة لخدمة مزامنة التخزين

لمعرفة المزيد حول فوائد استخدام الهويات المدارة، راجع الهويات المدارة لموارد Azure.

هام

الطبولوجيا عبر المستأجرين غير مدعومة. يجب أن تكون خدمة مزامنة التخزينومورد الخادم (الخادم الذي يدعم Azure Arc أو جهاز Azure الظاهري) والهوية المدارةوتعيينات RBAC على حساب التخزين كلها في نفس مستأجر Microsoft Entra. تفشل الإعدادات عبر المستأجرين في المصادقة/التفويض، ولا يمكن للخادم الاتصال.

لتكوين توزيع Azure File Sync لاستخدام الهويات المدارة المعينة من قبل النظام، اتبع الإرشادات الموجودة في الأقسام اللاحقة.

المتطلبات الأساسية

بوابة

• يجب تثبيت الإصدار 20.0.0.0 أو أحدث من عامل Azure File Sync على الخادم المسجل.

• في حسابات التخزين التي تستخدمها Azure File Sync، يجب أن تكون عضوا في دور مسؤول مزامنة ملفات Azure أو دور إدارة المالك أو لديك أذونات "Microsoft.Authorization/roleassignments/write".

  عند تعيين دور مسؤول مزامنة ملفات Azure، اتبع هذه الخطوات لضمان أقل امتياز.

  1. ضمن علامة التبويب الشروط، حدد السماح للمستخدمين بتعيين أدوار محددة للمديرين المحددين فقط (امتيازات أقل).

  2. انقر فوق Select Roles and Principals ثم حدد Add Action ضمن Condition #1.

  3. حدد إنشاء تعيين دور، ثم انقر فوق تحديد.

  4. حدد إضافة تعبير، ثم حدد طلب.

  5. ضمن مصدر السمة، حدد معرف تعريف الدور ضمن السمة، ثم حدد ForAnyOfAnyValues:GuidEquals ضمن عامل التشغيل.

  6. حدد إضافة أدوار. أضف أدوار القارئ والوصول إلى البيانات والمساهم المتميز لبيانات ملف التخزين والمساهم في حساب التخزين ، ثم حدد حفظ.

بوويرشيل

• يجب تثبيت الإصدار 20.0.0.0 أو أحدث من عامل Azure File Sync على الخادم المسجل.

• في حسابات التخزين التي تستخدمها Azure File Sync، يجب أن تكون عضوا في دور مسؤول مزامنة ملفات Azure أو دور إدارة المالك أو لديك أذونات "Microsoft.Authorization/roleassignments/write".

  عند تعيين دور مسؤول مزامنة ملفات Azure، اتبع هذه الخطوات لضمان أقل امتياز.

  1. ضمن علامة التبويب الشروط، حدد السماح للمستخدمين بتعيين أدوار محددة للمديرين المحددين فقط (امتيازات أقل).

  2. انقر فوق Select Roles and Principals ثم حدد Add Action ضمن Condition #1.

  3. حدد إنشاء تعيين دور، ثم انقر فوق تحديد.

  4. حدد إضافة تعبير، ثم حدد طلب.

  5. ضمن مصدر السمة، حدد معرف تعريف الدور ضمن السمة، ثم حدد ForAnyOfAnyValues:GuidEquals ضمن عامل التشغيل.

  6. حدد إضافة أدوار. أضف أدوار القارئ والوصول إلى البيانات والمساهم المتميز لبيانات ملف التخزين والمساهم في حساب التخزين ، ثم حدد حفظ.

• يجب تثبيت الإصدار 2.5.0 أو أحدث من الوحدة النمطية Az.StorageSync PowerShell على الجهاز الذي سيتم استخدامه لتكوين Azure File Sync لاستخدام الهويات المدارة. لتثبيت أحدث وحدة نمطية Az.StorageSync PowerShell، قم بتشغيل الأمر التالي من نافذة PowerShell غير مقيدة:

  Install-Module Az.StorageSync -Force
  

التوفر الإقليمي

يتوفر دعم Azure File Sync للهويات المدارة المعينة من قبل النظام في جميع مناطق Azure Public وGov التي تدعم Azure File Sync.

تمكين هوية مدارة معينة من قبل النظام على الخوادم المسجلة

قبل أن تتمكن من تكوين Azure File Sync لاستخدام الهويات المدارة، يجب أن يكون للخوادم المسجلة هوية مدارة معينة من قبل النظام سيتم استخدامها للمصادقة على خدمة Azure File Sync ومشاركات ملفات Azure.

لتمكين هوية مدارة معينة من قبل النظام على خادم مسجل تم تثبيت عامل Azure File Sync v20 عليه، قم بتنفيذ الخطوات التالية:

• إذا تمت استضافة الخادم خارج Azure، فيجب أن يكون خادما يدعم Azure Arc للحصول على هوية مدارة معينة من قبل النظام. لمزيد من المعلومات حول الخوادم التي تدعم Azure Arc وكيفية تثبيت عامل Azure Connected Machine، راجع: نظرة عامة على الخوادم التي تدعم Azure Arc.
• إذا كان الخادم هو جهاز ظاهري Azure، فقم بتمكين إعداد الهوية المدارة المعينة من قبل النظام على الجهاز الظاهري. لمزيد من المعلومات، راجع: تكوين الهويات المدارة على أجهزة Azure الظاهرية.

إشعار

بمجرد تكوين Storage Sync Service لاستخدام الهويات المدارة، ستستمر الخوادم المسجلة التي لا تحتوي على هوية مدارة معينة من قبل النظام في استخدام مفتاح مشترك للمصادقة على مشاركات ملفات Azure.

كيفية التحقق مما إذا كانت الخوادم المسجلة لديها هوية مدارة معينة من قبل النظام

بوابة

للتحقق مما إذا كانت الخوادم المسجلة لديك لها هوية مدارة معينة من قبل النظام، قم بتنفيذ الخطوات التالية باستخدام مدخل Microsoft Azure:

1. انتقل إلى Storage Sync Service في مدخل Microsoft Azure، وقم بتوسيع Settings وحدد Managed identity.

2. في قسم Registered Servers ، حدد الإطار المتجانب Ready to use Managed ID . تعرض هذه اللوحة قائمة بالخوادم التي لها هوية مدارة معينة من قبل النظام. إذا لم يكن الخادم مدرجا، فقم بتنفيذ الخطوات لتمكين هوية مدارة معينة من قبل النظام على الخوادم المسجلة.

بوويرشيل

للتحقق مما إذا كانت الخوادم المسجلة لديك لها هوية مدارة معينة من قبل النظام، قم بتشغيل أمر PowerShell التالي:

Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>

تحقق من أن الخاصية LatestApplicationId تحتوي على GUID الذي يشير إلى أن الخادم لديه هوية مدارة معينة من قبل النظام ولكن لم يتم تكوينها حاليا لاستخدام الهوية المدارة.

إذا كانت قيمة الخاصية ActiveAuthType هي Certificate ولم يكن LatestApplicationId يحتوي على GUID، فلن يكون للخادم هوية مدارة معينة من قبل النظام وسيستخدم المفاتيح المشتركة للمصادقة على مشاركة ملف Azure.

إشعار

بمجرد تكوين الخادم لاستخدام الهوية المدارة المعينة من قبل النظام باتباع الخطوات الواردة في القسم التالي، لن يتم استخدام الخاصية LatestApplicationId (ستكون فارغة)، وسيتم تغيير قيمة الخاصية ActiveAuthType إلى ManagedIdentity، وسيكون للخاصية ApplicationId GUID وهو الهوية المدارة المعينة من قبل النظام.

تكوين توزيع Azure File Sync لاستخدام الهويات المدارة المعينة من قبل النظام

بوابة

لتكوين Storage Sync Service والخوادم المسجلة لاستخدام الهويات المدارة المعينة من قبل النظام، قم بتنفيذ الخطوات التالية في مدخل Microsoft Azure:

1. انتقل إلى Storage Sync Service في مدخل Microsoft Azure، وقم بتوسيع Settings وحدد Managed identity.

2. حدد تشغيل الهوية المدارة لبدء الإعداد.

يتم تنفيذ الخطوات التالية وستستغرق عدة دقائق (أو أطول للطوبولوجيا الكبيرة) لإكمالها:

• تمكين هوية مدارة معينة من قبل النظام لمورد Storage Sync Service.

• يمنح الوصول إلى الهوية المدارة المعينة من قبل نظام خدمة مزامنة التخزين إلى حسابات التخزين (دور مساهم حساب التخزين).

• يمنح الوصول إلى الهوية المدارة المعينة من قبل نظام خدمة مزامنة التخزين إلى مشاركات ملفات Azure (دور المساهم المتميز لبيانات ملف التخزين).

• يمنح الوصول إلى الهوية المدارة المعينة من قبل النظام للخادم (الخوادم) المسجلة إلى مشاركات ملفات Azure (دور المساهم المتميز لبيانات ملف التخزين).

• تكوين Storage Sync Service لاستخدام الهوية المدارة المعينة من قبل النظام.

• تكوين الخادم (الخوادم) المسجلة لاستخدام الهوية المدارة المعينة من قبل النظام.

إشعار

بمجرد تكوين الخادم (الخوادم) المسجلة لاستخدام هوية مدارة معينة من قبل النظام، قد يستغرق الأمر ما يصل إلى 15 دقيقة قبل أن يستخدم الخادم الهوية المدارة المعينة من قبل النظام للمصادقة على Storage Sync Service ومشاركات الملفات.

بوويرشيل

لتكوين Storage Sync Service والخوادم المسجلة لاستخدام الهويات المدارة المعينة من قبل النظام، قم بتشغيل الأمر التالي من نافذة PowerShell مرتفعة:

Set-AzStorageSyncServiceIdentity -ResourceGroupName <string> -StorageSyncServiceName <string> -Verbose

ينفذ الأمر cmdlet Set-AzStorageSyncServiceIdentity الخطوات التالية لك وسيستغرق عدة دقائق (أو أكثر للطوبولوجيا الكبيرة) لإكمالها:

• تمكين هوية مدارة معينة من قبل النظام لمورد Storage Sync Service.
• يمنح الوصول إلى الهوية المدارة المعينة من قبل نظام خدمة مزامنة التخزين إلى حسابات التخزين (دور مساهم حساب التخزين).
• يمنح الوصول إلى الهوية المدارة المعينة من قبل نظام خدمة مزامنة التخزين إلى مشاركات ملفات Azure (دور المساهم المتميز لبيانات ملف التخزين).
• يمنح الوصول إلى الهوية المدارة المعينة من قبل النظام للخادم (الخوادم) المسجلة إلى مشاركات ملفات Azure (دور المساهم المتميز لبيانات ملف التخزين).
• تكوين Storage Sync Service لاستخدام الهوية المدارة المعينة من قبل النظام.
• تكوين الخادم (الخوادم) المسجلة لاستخدام الهوية المدارة المعينة من قبل النظام.

استخدم الأمر Cmdlet Set-AzStorageSyncServiceIdentity في أي وقت تحتاج فيه إلى تكوين خوادم مسجلة إضافية لاستخدام الهويات المدارة.

إشعار

بمجرد تكوين الخادم (الخوادم) المسجلة لاستخدام هوية مدارة معينة من قبل النظام، قد يستغرق الأمر ما يصل إلى 15 دقيقة قبل أن يستخدم الخادم الهوية المدارة المعينة من قبل النظام للمصادقة على Storage Sync Service ومشاركات الملفات.

كيفية التحقق مما إذا كانت Storage Sync Service تستخدم هوية مدارة معينة من قبل النظام

بوابة

للتحقق مما إذا كانت Storage Sync Service تستخدم هوية مدارة معينة من قبل النظام، قم بتنفيذ الخطوات التالية في مدخل Microsoft Azure:

1. انتقل إلى Storage Sync Service في مدخل Microsoft Azure، وقم بتوسيع Settings، وحدد Managed identity.

2. في قسم الخوادم المسجلة ، إذا كان لديك خادم واحد على الأقل مدرج في تجانب استخدام المعرف المدار ، يتم تكوين الخدمة لاستخدام الهويات المدارة.

بوويرشيل

للتحقق مما إذا كانت Storage Sync Service تستخدم هوية مدارة معينة من قبل النظام، قم بتشغيل الأمر التالي من نافذة PowerShell مرتفعة:

Get-AzStorageSyncService -ResourceGroupName <string> -StorageSyncServiceName <string>

تحقق من أن قيمة الخاصية UseIdentity هي True. إذا كانت القيمة False، فإن Storage Sync Service تستخدم مفاتيح مشتركة للمصادقة على مشاركات ملفات Azure.

كيفية التحقق مما إذا تم تكوين خادم مسجل لاستخدام هوية مدارة معينة من قبل النظام

بوابة

للتحقق مما إذا تم تكوين خادم مسجل لاستخدام هوية مدارة معينة من قبل النظام، قم بتنفيذ الخطوات التالية في مدخل Microsoft Azure:

1. انتقل إلى Storage Sync Service في مدخل Microsoft Azure، وقم بتوسيع Settings، وحدد Managed identity.

2. في قسم Registered Servers ، حدد الإطار المتجانب Using Managed ID وتحقق من إدراج الخادم.

بوويرشيل

للتحقق مما إذا تم تكوين خادم مسجل لاستخدام هوية مدارة معينة من قبل النظام، قم بتشغيل الأمر التالي من نافذة PowerShell مرتفعة:

Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>

تحقق من أن الخاصية ApplicationId تحتوي على GUID الذي يشير إلى تكوين الخادم لاستخدام الهوية المدارة. سيتم تحديث قيمة الخاصية ActiveAuthType إلى ManagedIdentity بمجرد أن يستخدم الخادم الهوية المدارة المعينة من قبل النظام.

إشعار

بمجرد تكوين الخادم (الخوادم) المسجلة لاستخدام هوية مدارة معينة من قبل النظام، قد يستغرق الأمر ما يصل إلى 15 دقيقة قبل أن يستخدم الخادم الهوية المدارة المعينة من قبل النظام للمصادقة على Storage Sync Service ومشاركات ملفات Azure.

مزيد من المعلومات

بمجرد تكوين Storage Sync Service والخادم (الخوادم) المسجلة لاستخدام هوية مدارة معينة من قبل النظام:

• ستستخدم نقاط النهاية الجديدة (السحابة أو الخادم) التي تم إنشاؤها هوية مدارة معينة من قبل النظام للمصادقة على مشاركة ملف Azure.
• عندما تحتاج إلى تكوين خوادم مسجلة إضافية لاستخدام الهويات المدارة، انتقل إلى شفرة الهوية المدارة في المدخل وحدد تشغيل الهوية المدارة، أو استخدم Set-AzStorageSyncServiceIdentity PowerShell cmdlet.

إذا واجهت مشكلات، فراجع: استكشاف مشكلات الهوية المدارة ل Azure File Sync وإصلاحها.