Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Podpora spravované identity eliminuje potřebu sdílených klíčů jako metody ověřování pomocí spravované identity přiřazené systémem, kterou poskytuje Id Microsoft Entra.
Když tuto konfiguraci povolíte, budou spravované identity přiřazené systémem použity pro následující scénáře:
- Ověřování služby synchronizace úložiště pro sdílené soubory Azure
- Ověřování registrovaného serveru do sdíleného úložiště Azure
- Ověřování registrovaného serveru u služby synchronizace úložiště
Další informace o výhodách používání spravovaných identit najdete v tématu Spravované identity pro prostředky Azure.
Důležité
Topologie mezi tenanty nejsou podporovány. Služba synchronizace úložiště, prostředek serveru (server s podporou Azure Arc nebo virtuální počítač Azure), spravovaná identita a přiřazení RBAC v účtu úložiště musí být ve stejném tenantovi Microsoft Entra. Nastavení cross-tenant selhává při ověřování/autorizaci a server se nemůže připojit.
Pokud chcete nakonfigurovat nasazení Synchronizace souborů Azure tak, aby využívaly spravované identity přiřazené systémem, postupujte podle pokynů v následujících částech.
Požadavky
Na zaregistrovaný server musí být nainstalovaný agent Synchronizace souborů Azure verze 20.0.0.0 nebo novější.
U účtů úložiště používaných Synchronizací souborů Azure musíte být členem role správce synchronizace souborů Azure nebo vlastníka nebo mít oprávnění Microsoft.Authorization/roleassignments/write.
Při přiřazování role Správce synchronizace souborů Azure postupujte podle těchto kroků a ujistěte se, že máte nejnižší oprávnění.
Na kartě Podmínky vyberte Povolit uživatelům přiřazovat vybrané role pouze vybraným subjektům (méně oprávnění).
Klikněte na Vybrat role a objekty zabezpečení a potom v části Podmínka #1 vyberte Přidat akci .
Vyberte Vytvořit přiřazení role a klepněte na tlačítko Vybrat.
Vyberte Přidat výraz a pak vyberte Požadavek.
V části Zdroj atributů vyberte ID definice role v části Atribut a pak v části Operátor vyberte ForAnyOfAnyValues:GuidEquals.
Vyberte Přidat role. Přidejte role Čtenář a Přístup k datům, Přispěvatel s privilegovaným přístupem k datům souboru úložiště a Přispěvatel účtu úložiště a pak vyberte Uložit.
Regionální dostupnost
Podpora synchronizace souborů Azure pro spravované identity přiřazené systémem je dostupná ve všech veřejných a gov oblastech Azure , které podporují Synchronizaci souborů Azure.
Povolte systémem přiřazenou spravovanou identitu na registrovaných serverech
Než budete moct nakonfigurovat Synchronizace souborů Azure tak, aby používaly spravované identity, musí mít registrované servery spravovanou identitu přiřazenou systémem, která se použije k ověření ve službě Synchronizace souborů Azure a sdílených složkách Azure.
Pokud chcete povolit spravovanou identitu přiřazenou systémem na registrovaném serveru s nainstalovaným agentem Synchronizace souborů Azure v20, proveďte následující kroky:
- Pokud je server hostovaný mimo Azure, musí se jednat o server s podporou Azure Arc, aby měl spravovanou identitu přiřazenou systémem. Další informace o serverech s podporou Azure Arc a o tom, jak nainstalovat agenta Azure Connected Machine, najdete v tématu: Přehled serverů s podporou Azure Arc.
- Pokud je serverem virtuální počítač Azure, povolte na virtuálním počítači nastavení spravované identity přiřazené systémem. Další informace najdete v tématu: Konfigurace spravovaných identit na virtuálních počítačích Azure.
Poznámka:
Jakmile je služba synchronizace úložiště nakonfigurovaná tak, aby používala spravované identity, registrované servery, které nemají spravovanou identitu přiřazenou systémem, budou dál používat sdílený klíč k ověřování ve sdílených složkách Azure.
Postup kontroly, jestli vaše registrované servery mají spravovanou identitu přiřazenou systémem
Pokud chcete zkontrolovat, jestli vaše registrované servery mají spravovanou identitu přiřazenou systémem, proveďte následující kroky pomocí webu Azure Portal:
Na webu Azure Portal přejděte do synchronizační služby úložiště , rozbalte Nastavení a vyberte Spravovaná identita.
V části Registrované servery vyberte dlaždici Připraveno k použití spravovaného ID . Tato dlaždice zobrazí seznam serverů, které mají spravovanou identitu přiřazenou systémem. Pokud váš server není uvedený, proveďte kroky povolení spravované identity přiřazené systémem na registrovaných serverech.
Konfigurace nasazení služby Synchronizace souborů Azure pro použití spravovaných identit přiřazených systémem
Pokud chcete nakonfigurovat službu synchronizace úložiště a registrované servery tak, aby používaly spravované identity přiřazené systémem, proveďte na webu Azure Portal následující kroky:
Na webu Azure Portal přejděte do synchronizační služby úložiště , rozbalte Nastavení a vyberte Spravovaná identita.
Pokud chcete zahájit nastavení, vyberte Zapnout spravovanou identitu .
Provede se následující kroky a dokončení velkých topologií bude trvat několik minut (nebo déle):
Povolí systémem přiřazenou spravovanou identitu pro prostředek služby Synchronizace úložiště.
Udělí systémem přiřazené spravované identitě službou synchronizace úložiště přístup k vašim úložištním účtům (role Přispěvatel účtu úložiště).
Udělí systémem přiřazené spravované identitě služby synchronizace úložiště přístup k vašim sdíleným složkám Azure (role Přispěvatel privilegovaných dat souborů úložiště).
Umožňuje systémem přiřazeným spravovaným identitám registrovaných serverů přístup ke sdílením souborů Azure (role Privilegovaný přispěvatel dat úložiště souborů).
Nakonfiguruje službu synchronizace úložiště tak, aby používala spravovanou identitu přiřazenou systémem.
Konfiguruje registrované servery tak, aby používaly spravovanou identitu přiřazenou systémem.
Poznámka:
Jakmile jsou registrované servery nakonfigurované tak, aby používaly spravovanou identitu přiřazenou systémem, může trvat až 15 minut, než server použije spravovanou identitu přiřazenou systémem k ověření ve službě synchronizace úložiště a sdílených složkách.
Postup kontroly, jestli synchronizační služba úložiště používá spravovanou identitu přiřazenou systémem
Pokud chcete zkontrolovat, jestli služba synchronizace úložiště používá spravovanou identitu přiřazenou systémem, proveďte na webu Azure Portal následující kroky:
Na webu Azure Portal přejděte do synchronizační služby úložiště , rozbalte Nastavení a vyberte Spravovaná identita.
Pokud máte v části Registrované servery aspoň jeden server uvedený na dlaždici Používání spravovaného ID , je vaše služba nakonfigurovaná tak, aby používala spravované identity.
Postup kontroly, jestli je zaregistrovaný server nakonfigurovaný tak, aby používal spravovanou identitu přiřazenou systémem
Pokud chcete zkontrolovat, jestli je zaregistrovaný server nakonfigurovaný tak, aby používal spravovanou identitu přiřazenou systémem, proveďte na webu Azure Portal následující kroky:
Na webu Azure Portal přejděte do synchronizační služby úložiště , rozbalte Nastavení a vyberte Spravovaná identita.
V části Registrované servery vyberte dlaždici Using Managed ID a ověřte, že je server uvedený.
Více informací
Jakmile je služba synchronizace úložiště a zaregistrované servery nakonfigurované tak, aby používaly spravovanou identitu přiřazenou systémem:
- Nové koncové body (cloud nebo server), které se vytvoří, budou používat spravovanou identitu přiřazenou systémem k ověření sdílené složky Azure.
- Pokud potřebujete nakonfigurovat další registrované servery pro použití spravovaných identit, přejděte na portálu do okna Spravovaná identita a vyberte Zapnout spravovanou identitu nebo použijte rutinu PowerShellu
Set-AzStorageSyncServiceIdentity.
Pokud narazíte na problémy, přečtěte si téma: Řešení potíží se spravovanou identitou v Azure File Sync.