Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O suporte a Identidade Gerenciada elimina a necessidade de chaves compartilhadas como método de autenticação utilizando uma identidade gerenciada atribuída pelo sistema fornecida pelo Microsoft Entra ID.
Quando você habilitar essa configuração, as identidades gerenciadas atribuídas ao sistema serão usadas para os seguintes cenários:
- Autenticação do Serviço de Sincronização de Armazenamento para compartilhamento de arquivos do Azure
- Autenticação de servidor registrado para compartilhamento de arquivos do Azure
- Autenticação do servidor registrado no Storage Sync Service
Para saber mais sobre os benefícios do uso de identidades gerenciadas, consulte Identidades gerenciadas para recursos do Azure.
Importante
Não há suporte para topologias entre domínios. O Serviço de Sincronização de Armazenamento, o recurso de servidor (servidor habilitado para Azure Arc ou VM do Azure), a identidade gerenciada e as atribuições RBAC na conta de armazenamento devem estar todos no mesmo locatário do Microsoft Entra. As configurações entre locatários falham na autenticação/autorização e o servidor não consegue se conectar.
Para configurar sua implantação do Azure File Sync para utilizar identidades gerenciadas atribuídas pelo sistema, siga as orientações nas seções subsequentes.
Pré-requisitos
O agente do Azure File Sync versão 20.0.0.0 ou posterior deve ser instalado no servidor registrado.
Nas suas contas de armazenamento utilizadas pela Sincronização de Ficheiros do Azure, tem de ser membro da função de gestão de Administrador ou Proprietário da Sincronização de Ficheiros do Azure ou ter permissões "Microsoft.Authorization/roleassignments/write".
Ao atribuir a função de Administrador de Sincronização de Arquivos do Azure, siga estas etapas para garantir o menor privilégio.
Na guia Condições, selecione Permitir que os usuários atribuam funções selecionadas apenas a entidades selecionadas (menos privilégios).
Clique em Selecionar Funções e Principais e, em seguida, selecione Adicionar Ação na Condição #1.
Selecione Criar atribuição de função e clique em Selecionar.
Selecione Adicionar expressão e, em seguida, selecione Solicitar.
Em Origem do Atributo, selecione ID da Definição de Função em Atributo e, em seguida, selecione ForAnyOfAnyValues:GuidEquals em Operador.
Selecione Adicionar funções. Adicione as funções Leitor e Acesso a Dados, Colaborador Privilegiado de Dados de Arquivo de Armazenamento e Colaborador de Conta de Armazenamento e selecione Salvar.
Disponibilidade regional
O suporte da Sincronização de Ficheiros do Azure para identidades geridas atribuídas pelo sistema está disponível em todas as regiões Públicas e Gov do Azure que suportam a Sincronização de Ficheiros do Azure.
Habilite uma identidade gerenciada atribuída ao sistema em seus servidores registrados
Antes de configurar o Azure File Sync para usar identidades gerenciadas, seus servidores registrados devem ter uma identidade gerenciada atribuída ao sistema que será usada para autenticar o serviço de Sincronização de Arquivos do Azure e os compartilhamentos de arquivos do Azure.
Para habilitar uma identidade gerenciada atribuída ao sistema em um servidor registrado que tenha o agente do Azure File Sync v20 instalado, execute as seguintes etapas:
- Se o servidor estiver hospedado fora do Azure, ele deverá ser um servidor habilitado para Azure Arc para ter uma identidade gerenciada atribuída ao sistema. Para obter mais informações sobre servidores habilitados para Azure Arc e como instalar o agente Azure Connected Machine, consulte: Visão geral dos servidores habilitados para Azure Arc.
- Se o servidor for uma máquina virtual do Azure, habilite a configuração de identidade gerenciada atribuída ao sistema na VM. Para obter mais informações, consulte: Configurar identidades gerenciadas em máquinas virtuais do Azure.
Nota
Depois que o Serviço de Sincronização de Armazenamento estiver configurado para usar identidades gerenciadas, os servidores registrados que não têm uma identidade gerenciada atribuída pelo sistema continuarão a usar uma chave compartilhada para autenticar seus compartilhamentos de arquivos do Azure.
Como verificar se os seus servidores registados têm uma identidade gerida atribuída pelo sistema
Para verificar se seus servidores registrados têm uma identidade gerenciada atribuída ao sistema, execute as seguintes etapas usando o portal do Azure:
Vá para o Serviço de Sincronização de Armazenamento no portal do Azure, expanda Configurações e selecione Identidade gerenciada.
Na seção Servidores Registrados , selecione o bloco Pronto para usar ID gerenciado . Esse bloco exibe uma lista de servidores que têm uma identidade gerenciada atribuída ao sistema. Se o servidor não estiver listado, execute as etapas para Habilitar uma identidade gerenciada atribuída pelo sistema em seus servidores registrados.
Configurar sua implantação do Azure File Sync para usar identidades gerenciadas atribuídas ao sistema
Para configurar o Serviço de Sincronização de Armazenamento e os servidores registrados para usar identidades gerenciadas atribuídas pelo sistema, execute as seguintes etapas no portal do Azure:
Vá para o Serviço de Sincronização de Armazenamento no portal do Azure, expanda Configurações e selecione Identidade gerenciada.
Selecione Ativar identidade gerenciada para iniciar a configuração.
As etapas a seguir são executadas e levarão vários minutos (ou mais para topologias grandes) para serem concluídas:
Habilita uma identidade gerenciada atribuída pelo sistema para o recurso do Serviço de Sincronização de Armazenamento.
Concede ao Storage Sync Service acesso de identidade gerenciada atribuída pelo sistema às suas Contas de Armazenamento (função de Colaborador da Conta de Armazenamento).
Concede ao Serviço de Sincronização de Armazenamento acesso de identidade gerenciada atribuída pelo sistema aos seus compartilhamentos de arquivos do Azure (função de Colaborador Privilegiado de Dados do Arquivo de Armazenamento).
Concede ao(s) servidor(es) registrado(s) atribuído pelo sistema acesso de identidade gerenciada aos compartilhamentos de arquivos do Azure (função de Colaborador Privilegiado de Dados de Arquivo de Armazenamento).
Configura o Serviço de Sincronização de Armazenamento para usar a identidade gerenciada atribuída ao sistema.
Configura o(s) servidor(es) registrado(s) para usar a identidade gerenciada atribuída ao sistema.
Nota
Depois que o(s) servidor(es) registrado(s) estiver configurado(s) para usar uma identidade gerenciada atribuída ao sistema, pode levar até 15 minutos até que o servidor use a identidade gerenciada atribuída pelo sistema para se autenticar no Serviço de Sincronização de Armazenamento e nos compartilhamentos de arquivos.
Como verificar se o Serviço de Sincronização de Armazenamento está usando uma identidade gerenciada atribuída ao sistema
Para verificar se o Serviço de Sincronização de Armazenamento está usando uma identidade gerenciada atribuída ao sistema, execute as seguintes etapas no portal do Azure:
Vá para o Serviço de Sincronização de Armazenamento no portal do Azure, expanda Configurações e selecione Identidade gerenciada.
Na seção Servidores Registrados , se você tiver pelo menos um servidor listado no bloco Usando ID Gerenciado , seu serviço será configurado para usar identidades gerenciadas.
Como verificar se um servidor registrado está configurado para usar uma identidade gerenciada atribuída ao sistema
Para verificar se um servidor registrado está configurado para usar uma identidade gerenciada atribuída ao sistema, execute as seguintes etapas no portal do Azure:
Vá para o Serviço de Sincronização de Armazenamento no portal do Azure, expanda Configurações e selecione Identidade gerenciada.
Na seção Servidores Registrados , selecione o bloco Usando ID Gerenciado e verifique se o servidor está listado.
Mais informações
Depois que o Serviço de Sincronização de Armazenamento e o(s) servidor(es) registrado(s) estiverem configurados para usar uma identidade gerenciada atribuída ao sistema:
- Os novos pontos de extremidade (nuvem ou servidor) criados usarão uma identidade gerida atribuída pelo sistema para autenticar no ponto de partilha de ficheiros do Azure.
- Quando precisar configurar servidores registrados adicionais para usar identidades gerenciadas, vá para a folha Identidade gerenciada no portal e selecione Ativar identidade gerenciada ou use o
Set-AzStorageSyncServiceIdentitycmdlet PowerShell.
Se você tiver problemas, consulte: Solucionar problemas de identidade gerenciada do Azure File Sync.