マネージド ID のサポートにより、Microsoft Entra ID によって提供されるシステム割り当てマネージド ID を利用することで、認証方法としての共有キーは不要になります。
この構成を有効にすると、システム割り当てマネージド ID が次のシナリオで使用されます。
- Azure ファイル共有に対するストレージ同期サービスの認証
- Azure ファイル共有に対する登録済みサーバーの認証
- ストレージ同期サービスに対する登録済みサーバーの認証
マネージド ID を使用する利点の詳細については、Azure リソース用マネージド ID に関する記事を参照してください。
システム割り当てマネージド ID を利用するように Azure File Sync デプロイを構成するには、以降のセクションのガイダンスに従います。
前提条件
Azure File Sync エージェント バージョン 20.0.0.0 以降 を登録済みサーバーにインストールする必要があります。
Azure File Sync によって使用される ストレージ アカウント では、 Azure File Sync 管理者または所有者管理ロールのメンバー であるか、"Microsoft.Authorization/roleassignments/write" アクセス許可を持っている必要があります。
リージョン別の提供状況
システム割り当てマネージド ID に対する Azure File Sync のサポートは、Azure File Sync をサポート するすべての Azure パブリック リージョンと Gov リージョン で利用できます。
登録サーバー上でシステム割り当てマネージド ID を有効にする
マネージド ID を使用するように Azure File Sync を構成するには、Azure File Sync サービスと Azure ファイル共有への認証に使用されるシステム割り当てマネージド ID が登録サーバーに割り当てられている必要です。
Azure File Sync v20 エージェントがインストールされている登録済みサーバーでシステム割り当てマネージド ID を有効にするには、次の手順を実行します。
- サーバーが Azure の外部でホストされている場合、システム割り当てマネージド ID を割り当てるには、Azure Arc 対応サーバーである必要があります。 Azure Arc 対応サーバーの詳細と Azure Connected Machine エージェントのインストール方法については、Azure Arc 対応サーバーの概要に関する記事を参照してください。
- サーバーが Azure 仮想マシンの場合は、VM 上でシステム割り当てマネージド ID 設定を有効にします。 詳細については、「Azure 仮想マシン上でマネージド ID を構成する」を参照してください。
メモ
マネージド ID を使用するようにストレージ同期サービスが構成されると、システム割り当てマネージド ID を持たない登録済みサーバーは、引き続き共有キーを使用して Azure ファイル共有に対する認証を行います。
登録サーバーにシステム割り当てマネージド ID が割り当てられているかどうかを確認する方法
登録済みサーバーにシステム割り当てマネージド ID があるかどうかを確認するには、Azure portal を使用して次の手順を実行します。
Azure portal で ストレージ同期サービス に移動し、[ 設定] を 展開して [ マネージド ID] を選択します。
[ 登録済みサーバー ] セクションで、[ マネージド ID を使用する準備完了 ] タイルを選択します。 このタイルには、システム割り当てマネージド ID を持つサーバーの一覧が表示されます。 サーバーが一覧にない場合は、登録済みサーバーで システム割り当てマネージド ID を有効にする手順を実行します。
システム割り当てマネージド ID を使用するように Azure File Sync デプロイを構成する
システム割り当てマネージド ID を使用するようにストレージ同期サービスと登録済みサーバーを構成するには、Azure portal で次の手順を実行します。
Azure portal で ストレージ同期サービス に移動し、[ 設定] を 展開して [ マネージド ID] を選択します。
[ マネージド ID を有効にする] を 選択してセットアップを開始します。
次の手順が実行され、完了するまでに数分 (または大規模なトポロジの場合は長くなります) かかります。
ストレージ同期サービス リソースのシステム割り当てマネージド ID を有効にします。
ストレージ同期サービスのシステム割り当てマネージド ID に、ストレージ アカウントへのアクセス権 (ストレージ アカウント共同作成者ロール) を付与します。
ストレージ同期サービスのシステム割り当てマネージド ID に、Azure ファイル共有へのアクセス権 (ストレージ ファイル データ特権共同作成者ロール) を付与します。
登録サーバーのシステム割り当てマネージド ID に、Azure ファイル共有へのアクセス権 (ストレージ ファイル データ特権共同作成者ロール) を付与します。
システム割り当てマネージド ID を使用するようにストレージ同期サービスを構成します。
システム割り当てマネージド ID を使用するように登録サーバーを構成します。
メモ
登録済みサーバーがシステム割り当てマネージド ID を使用するように構成されると、サーバーがシステム割り当てマネージド ID を使用してストレージ同期サービスとファイル共有に対する認証を行うまで最大 15 分かかることがあります。
ストレージ同期サービスがシステム割り当てマネージド ID を使用しているかどうかを確認する方法
ストレージ同期サービスがシステム割り当てマネージド ID を使用しているかどうかを確認するには、Azure portal で次の手順を実行します。
Azure portal で ストレージ同期サービス に移動し、[ 設定] を展開して、[ マネージド ID] を選択します。
[ 登録済みサーバー] セクションで、[ マネージド ID の使用 ] タイルに少なくとも 1 つのサーバーが一覧表示されている場合、サービスはマネージド ID を使用するように構成されます。
登録サーバーがシステム割り当てマネージド ID を使用するように構成されているかどうかを確認する方法
登録済みサーバーがシステム割り当てマネージド ID を使用するように構成されているかどうかを確認するには、Azure portal で次の手順を実行します。
Azure portal で ストレージ同期サービス に移動し、[ 設定] を展開して、[ マネージド ID] を選択します。
[ 登録済みサーバー ] セクションで、[ マネージド ID の使用 ] タイルを選択し、サーバーが一覧表示されていることを確認します。
詳細
ストレージ同期サービスと登録サーバーがシステム割り当てマネージド ID を使用するように構成された後:
- 作成される新しいエンドポイント (クラウドまたはサーバー) は、システム割り当てマネージド ID を使用して、Azure ファイル共有に対する認証を行います。
- マネージド ID を使用するように追加の登録済みサーバーを構成する必要がある場合は、ポータルの [マネージド ID] ブレードに移動し、[ マネージド ID を有効にする] を選択するか、
Set-AzStorageSyncServiceIdentityPowerShell コマンドレットを使用します。
問題が発生した場合は、「Azure File Sync マネージド ID の問題をトラブルシューティングする」を参照してください。