Felügyelt identitások használata az Azure File Sync használatával

A felügyelt identitás támogatása kiküszöböli a megosztott kulcsok mint hitelesítési módszer szükségességét a Microsoft Entra ID által biztosított rendszer által hozzárendelt felügyelt identitás használatával.

Ha engedélyezi ezt a konfigurációt, a rendszer által hozzárendelt felügyelt identitások a következő forgatókönyvekhez lesznek használva:

  • Storage Sync Service-hitelesítés az Azure-fájlmegosztáshoz
  • Regisztrált kiszolgálói hitelesítés az Azure-fájlmegosztáshoz
  • Regisztrált kiszolgálói hitelesítés a Storage Sync Service-be

A felügyelt identitások használatának előnyeiről további információt az Azure-erőforrások felügyelt identitásai című témakörben talál.

Fontos

A bérlők közötti topológiák nem támogatottak. A Storage Sync Szolgáltatásnak, a kiszolgálói erőforrásnak (Azure Arc-kompatibilis kiszolgálónak vagy Azure-beli virtuális gépnek), a felügyelt identitásnak és a tárfiók RBAC-hozzárendeléseinekmind ugyanabban a Microsoft Entra-bérlőben kell lenniük. A bérlők közötti konfigurációk sikertelen hitelesítést/engedélyezést eredményeznek, és a szerver nem tud csatlakozni.

Ha az Azure File Sync üzembe helyezését a rendszer által hozzárendelt felügyelt identitások használatára szeretné konfigurálni, kövesse a következő szakaszokban található útmutatást.

Előfeltételek

  • Az Azure File Sync-ügynök 20.0.0.0-s vagy újabb verzióját telepíteni kell a regisztrált kiszolgálón.

  • Az Azure File Sync által használt tárfiókokonaz Azure File Sync rendszergazdájának vagy tulajdonosának felügyeleti szerepkör tagjának kell lennie, vagy "Microsoft.Authorization/roleassignments/write" engedélyekkel kell rendelkeznie.

    Az Azure File Sync-rendszergazdai szerepkör hozzárendelésekor kövesse az alábbi lépéseket a minimális jogosultság biztosítása érdekében.

    1. A Feltételek lapon válassza a Kijelölt szerepkörök hozzárendelésének engedélyezése a felhasználók számára csak a kijelölt tagokhoz (kevesebb jogosultság) lehetőséget.

    2. Kattintson a Szerepkörök és tagok kijelölése elemre, majd az 1. feltétel alatt válassza a Művelet hozzáadása lehetőséget.

    3. Válassza a Szerepkör-hozzárendelés létrehozása lehetőséget, majd kattintson a Kijelölés gombra.

    4. Válassza a Kifejezés hozzáadása, majd a Kérés lehetőséget.

    5. Az Attribútumforrás területen válassza a Szerepkördefiníció azonosítója lehetőségetaz Attribútum területen, majd válassza a ForAnyOfAnyValues:GuidEquals lehetőséget az Operátor alatt.

    6. Válassza a Szerepkörök hozzáadása lehetőséget. Adjon hozzá olvasó- és adathozzáférést, tárfájladatok kiemelt közreműködői és tárfiók-közreműködői szerepköröket, majd válassza a Mentés lehetőséget.

Regionális elérhetőség

A rendszer által hozzárendelt felügyelt identitások Azure File Sync-támogatása az Azure File Syncet támogató összes Nyilvános és Gov-régióban elérhető.

Rendszer által hozzárendelt felügyelt identitás engedélyezése a regisztrált kiszolgálókon

Mielőtt konfigurálhatja az Azure File Syncet felügyelt identitások használatára, a regisztrált kiszolgálóknak rendelkezniük kell egy rendszer által hozzárendelt felügyelt identitással, amely az Azure File Sync szolgáltatásban és az Azure-fájlmegosztásokban való hitelesítéshez lesz használva.

Ha olyan regisztrált kiszolgálón szeretné engedélyezni a rendszer által hozzárendelt felügyelt identitást, amelyen telepítve van az Azure File Sync v20-ügynök, hajtsa végre a következő lépéseket:

  • Ha a kiszolgáló az Azure-on kívül van üzemeltetve, akkor az Azure Arc-kompatibilis kiszolgálónak kell lennie, hogy rendszer által hozzárendelt felügyelt identitással rendelkezzen. Az Azure Arc-kompatibilis kiszolgálókról és az Azure Connected Machine-ügynök telepítéséről további információt az Azure Arc-kompatibilis kiszolgálók áttekintése című témakörben talál.
  • Ha a kiszolgáló Azure-beli virtuális gép, engedélyezze a rendszer által hozzárendelt felügyelt identitás beállítást a virtuális gépen. További információ: Felügyelt identitások konfigurálása Azure-beli virtuális gépeken.

Megjegyzés:

Miután a Társzinkronizálási szolgáltatás konfigurálva lett a felügyelt identitások használatára, a rendszer által hozzárendelt felügyelt identitással nem rendelkező regisztrált kiszolgálók továbbra is megosztott kulccsal hitelesítik az Azure-fájlmegosztásokat.

Annak ellenőrzése, hogy a regisztrált kiszolgálók rendelkeznek-e rendszer által hozzárendelt felügyelt identitással

Annak ellenőrzéséhez, hogy a regisztrált kiszolgálók rendelkeznek-e rendszer által hozzárendelt felügyelt identitással, hajtsa végre az alábbi lépéseket az Azure Portalon:

  1. Nyissa meg a Storage Sync szolgáltatást az Azure Portalon, bontsa ki a Beállítások elemet , és válassza a Felügyelt identitás lehetőséget.

  2. A Regisztrált kiszolgálók szakaszban válassza a Használatra kész felügyelt azonosító csempét. Ez a csempe a rendszer által hozzárendelt felügyelt identitással rendelkező kiszolgálók listáját jeleníti meg. Ha a kiszolgáló nem szerepel a listában, hajtsa végre a rendszer által hozzárendelt felügyelt identitás engedélyezésének lépéseit a regisztrált kiszolgálókon.

Az Azure File Sync üzembe helyezésének konfigurálása rendszer által hozzárendelt felügyelt identitások használatára

A Storage Sync Service és a regisztrált kiszolgálók rendszer által hozzárendelt felügyelt identitások használatára való konfigurálásához hajtsa végre az alábbi lépéseket az Azure Portalon:

  1. Nyissa meg a Storage Sync szolgáltatást az Azure Portalon, bontsa ki a Beállítások elemet , és válassza a Felügyelt identitás lehetőséget.

  2. A telepítés megkezdéséhez válassza a Felügyelt identitás bekapcsolása lehetőséget.

A következő lépések végrehajtása több percet vesz igénybe (vagy hosszabb időt vesz igénybe a nagy topológiák esetében):

  • Engedélyezi a rendszer által hozzárendelt felügyelt identitást a Storage Sync Service-erőforráshoz.

  • Hozzáférést biztosít a Storage Sync Szolgáltatásnak a rendszer által hozzárendelt felügyelt identitáshoz a tárfiókokhoz (tárfiók közreműködői szerepköréhez).

  • Hozzáférést biztosít a Storage Sync Szolgáltatás számára rendszerszintű felügyelt azonosítóval az Azure-fájlmegosztásokhoz (storage file data privileged közreműködői szerepkör).

  • Hozzáférést biztosít a regisztrált kiszolgáló(ok)nak a rendszer által hozzárendelt felügyelt identitásokhoz az Azure-fájlmegosztásokhoz (Storage File Data Privileged Közreműködői szerepkör).

  • Konfigurálja a Storage Sync szolgáltatást a rendszer által hozzárendelt felügyelt identitás használatára.

  • A regisztrált kiszolgálókat a rendszer által hozzárendelt felügyelt identitás használatára konfigurálja.

Megjegyzés:

Miután a regisztrált kiszolgáló(ok) konfigurálva lettek a rendszer által hozzárendelt felügyelt identitás használatára, akár 15 percet is igénybe vehet, amíg a kiszolgáló a rendszer által hozzárendelt felügyelt identitással hitelesíti a Társzinkronizálási szolgáltatást és a fájlmegosztásokat.

Annak ellenőrzése, hogy a Társzinkronizálási szolgáltatás rendszer által hozzárendelt felügyelt identitást használ-e

Annak ellenőrzéséhez, hogy a Társzinkronizálási szolgáltatás rendszer által hozzárendelt felügyelt identitást használ-e, hajtsa végre a következő lépéseket az Azure Portalon:

  1. Nyissa meg a Storage Sync szolgáltatást az Azure Portalon, bontsa ki a Beállítások elemet, és válassza a Felügyelt identitás lehetőséget.

  2. A Regisztrált kiszolgálók szakaszban, ha legalább egy kiszolgáló szerepel a Felügyelt azonosító használata csempén, a szolgáltatás felügyelt identitások használatára van konfigurálva.

Annak ellenőrzése, hogy egy regisztrált kiszolgáló rendszer által hozzárendelt felügyelt identitás használatára van-e konfigurálva

Annak ellenőrzéséhez, hogy egy regisztrált kiszolgáló rendszer által hozzárendelt felügyelt identitás használatára van-e konfigurálva, hajtsa végre az alábbi lépéseket az Azure Portalon:

  1. Nyissa meg a Storage Sync szolgáltatást az Azure Portalon, bontsa ki a Beállítások elemet, és válassza a Felügyelt identitás lehetőséget.

  2. A Regisztrált kiszolgálók szakaszban válassza a Felügyelt azonosító használata csempét, és ellenőrizze, hogy a kiszolgáló szerepel-e a listában.

További információ

Miután a Társzinkronizálási szolgáltatás és a regisztrált kiszolgáló(ok) konfigurálva lettek a rendszer által hozzárendelt felügyelt identitás használatára:

  • A létrehozott új végpontok (felhő vagy kiszolgáló) rendszer által hozzárendelt felügyelt identitást használnak az Azure-fájlmegosztás hitelesítéséhez.
  • Ha további regisztrált kiszolgálókat kell konfigurálnia a felügyelt identitások használatára, lépjen a felügyelt identitás panelre a portálon, és válassza a Felügyelt identitás bekapcsolása lehetőséget, vagy használja a Set-AzStorageSyncServiceIdentity PowerShell-parancsmagot.

Ha problémákat tapasztal, tekintse meg az Azure File Sync felügyelt identitásproblémáinak hibaelhárítását.

  • Last updated on