Partilhar via

Mover recursos de sincronização de ficheiros do Azure para um grupo de recursos diferente, subscrição ou para um locatário do Microsoft Entra

Este artigo descreve como fazer alterações no grupo de recursos, na subscrição ou no tenant do Microsoft Entra para os recursos de nuvem do Azure File Sync e contas de armazenamento do Azure.

Ao planejar fazer alterações nos recursos de nuvem do Azure File Sync, é importante considerar os recursos de armazenamento ao mesmo tempo. Existem os seguintes recursos:

Recursos do Azure File Sync (em ordem hierárquica)

  • Serviço de sincronização de armazenamento
    • Servidor registado
    • Grupo de sincronização
      • Ponto de extremidade na nuvem
      • Ponto de extremidade do servidor

Na Sincronização de Arquivos do Azure, o único recurso capaz de se mover é o recurso do Serviço de Sincronização de Armazenamento. Todos os subrecursos estão vinculados ao seu recurso principal e não podem ser transferidos para um outro Serviço de Armazenamento em Sincronização.

Recursos de armazenamento do Azure (em ordem hierárquica)

  • Conta de armazenamento
    • Partilha de ficheiros

O único recurso capaz de se mover é a conta de armazenamento. Um compartilhamento de arquivos do Azure, como um subrecurso, não pode ser movido para uma conta de armazenamento diferente.

Combinações suportadas

Ao planejar uma movimentação de recursos, a conta de armazenamento e o recurso de nível superior do Azure File Sync, chamado Serviço de Sincronização de Armazenamento, precisam ser considerados juntos.

Como prática recomendada, o Serviço de Sincronização de Armazenamento e as contas de armazenamento com compartilhamentos de arquivos de sincronização devem sempre residir na mesma assinatura. Estas combinações são suportadas:

  • O Serviço de Sincronização de Armazenamento e as contas de armazenamento estão localizados em grupos de recursos diferentes (mesmo locatário do Azure)
  • O Serviço de Sincronização de Armazenamento e as contas de armazenamento encontram-se em assinaturas diferentes (mesmo tenant Azure)

Importante

Por meio de diferentes combinações de movimentos, um Serviço de Sincronização de Armazenamento e contas de armazenamento podem acabar em assinaturas diferentes, governadas por diferentes locatários do Microsoft Entra. A sincronização até parece estar funcionando, mas essa não é uma configuração suportada. A sincronização pode parar no futuro, sem capacidade de voltar a um estado funcional.

Ao planejar sua movimentação de recursos, há considerações diferentes para mover dentro do mesmo locatário do Microsoft Entra e passar para um locatário diferente do Microsoft Entra. Ao mover locatários do Microsoft Entra, sempre mova os recursos de sincronização e armazenamento juntos.

Mover dentro do mesmo locatário do Microsoft Entra

Uma imagem mostrando o portal do Azure para um recurso do Serviço de Sincronização de Armazenamento, com o comando Mover expandido. Ele mostra as opções de movimentação do grupo de recursos e movimentação de assinatura.

Uma maneira conveniente de mover um recurso do Serviço de Sincronização de Armazenamento é usar o portal do Azure. Navegue até o Serviço de Sincronização de Armazenamento que deseja mover e selecione Mover na barra de comandos. As mesmas etapas se aplicam à movimentação de uma conta de armazenamento. Você também pode mover todos os recursos em um grupo de recursos dessa maneira. Mover um grupo de recursos inteiro é recomendado quando você tem o Serviço de Sincronização de Armazenamento e todas as suas contas de armazenamento usadas nesse grupo de recursos.

Advertência

Quando você move um recurso de conta de armazenamento, a sincronização será interrompida imediatamente. Você precisa autorizar manualmente a sincronização para acessar as contas de armazenamento relevantes na nova assinatura. A seção de autorização de acesso ao armazenamento do Azure File Sync fornecerá as etapas necessárias.

Mover para um novo tenant do Microsoft Entra

Recursos individuais, como um Serviço de Sincronização de Armazenamento ou uma conta de armazenamento, não podem ser movidos sozinhos para um locatário diferente do Microsoft Entra. Apenas as subscrições do Azure podem ser transferidas entre tenants do Microsoft Entra. Pense na estrutura da sua subscrição no novo hospedeiro do Microsoft Entra. Você pode usar uma assinatura dedicada para o Azure File Sync.

  1. Crie uma assinatura do Azure (ou determine uma existente no locatário antigo que deve ser movida).
  2. Execute uma movimentação de assinatura dentro do mesmo locatário do Microsoft Entra do seu Serviço de Sincronização de Armazenamento e de todas as contas de armazenamento associadas.
  3. A sincronização será interrompida. Conclua a movimentação do locatário imediatamente ou restaure a capacidade da sincronização de acessar as contas de armazenamento que foram movidas. Em seguida, poderás mover-te para o novo inquilino do Microsoft Entra mais tarde.

Depois de alocar todos os recursos relacionados do Azure File Sync na sua própria assinatura, você estará pronto para mover a assinatura inteira para o locatário de destino do Microsoft Entra. O guia de subscrição de transferência permite-lhe planear e executar essa transferência.

Advertência

Quando você transfere uma assinatura de um locatário para outro, a sincronização é interrompida imediatamente. Você precisa autorizar manualmente a sincronização para acessar as contas de armazenamento relevantes na nova assinatura. A seção de autorização de acesso ao armazenamento do Azure File Sync fornecerá as etapas necessárias.

Uma imagem mostrando o portal do Azure, folha Visão Geral da Assinatura, destacando o comando Alterar barra de ferramentas do diretório no centro, na parte superior da página.

Você estará pronto para iniciar a migração assim que tiver um plano e as permissões necessárias:

  1. No portal do Azure, navegue até o painel Visão geral da sua subscrição.
  2. Selecione Alterar diretório.
  3. Siga as etapas do assistente para atribuir a nova instância do Microsoft Entra.

Restaurando o acesso para topologia de identidade gerenciada

Se as Identidades Gerenciadas estiverem habilitadas e os recursos de armazenamento forem movidos para um locatário diferente, a sincronização será interrompida. As identidades gerenciadas e as funções RBAC não são transferidas. Quando a transferência de recursos estiver concluída, você poderá reativar as Identidades Gerenciadas e, em seguida, reatribuir as funções RBAC.

Importante

Mesmo quando você move recursos dentro do mesmo tenant do Microsoft Entra, as atribuições de função RBAC não acompanham os recursos. Você deve recriá-los manualmente após a mudança para restaurar o acesso de sincronização. Embora o sistema remova automaticamente as atribuições de função órfãs, recomendamos que você as remova antes da mudança para manter uma configuração limpa.

Depois de mover o Serviço de Sincronização de Armazenamento, você pode executar o seguinte com o PowerShell para atribuir novas identidades gerenciadas.

Set-AzStorageSyncService -ResourceGroupName <ResourceGroupName> -Name <ManagedIdentityName> -IdentityType <IdentityType>

Ao ver o novo SPN, pode navegar até ao portal para criar atribuições de funções em Contas de Armazenamento e Partilhas de Ficheiros das Contas de Armazenamento.

Para saber mais sobre como gerenciar atribuições de função, consulte Listar atribuições de função do Azure e Atribuir funções do Azure.

Autorização de acesso ao armazenamento do Azure File Sync

Quando as contas de armazenamento são movidas para uma nova assinatura ou são movidas dentro de uma assinatura para um novo locatário do Microsoft Entra, a sincronização será interrompida. O RBAC (controle de acesso baseado em função) é usado para autorizar o Azure File Sync a acessar uma conta de armazenamento, e essas atribuições de função não são migradas com os recursos.

Entidade de serviço do Azure File Sync

Uma imagem mostrando o portal do Azure, gerenciamento de assinaturas, provedores de recursos registrados.

O principal de serviço do Azure File Sync deve existir no seu inquilino do Microsoft Entra antes que você possa autorizar o acesso de sincronização com uma conta de armazenamento.

Quando você cria uma nova assinatura do Azure hoje, o provedor de recursos do Azure File Sync Microsoft.StorageSync é registrado automaticamente com sua assinatura. O registo do provedor de recursos fará uma entidade de serviço disponível para sincronização no locatário do Microsoft Entra que gere a subscrição. Um principal de serviço é semelhante a uma conta de utilizador no Microsoft Entra ID. Você pode usar o principal de serviço do Azure File Sync para autorizar o acesso a recursos por meio do controle de acesso baseado em função (RBAC). Os únicos recursos que a sincronização precisa acessar são suas contas de armazenamento que contêm os compartilhamentos de arquivos que devem ser sincronizados. Microsoft.StorageSync deve ser atribuído à função interna Leitor e Acesso a dados na conta de armazenamento.

Essa atribuição é feita automaticamente por meio do contexto de usuário do usuário conectado quando você adiciona um compartilhamento de arquivos a um grupo de sincronização ou, em outras palavras, cria um ponto de extremidade na nuvem. Quando uma conta de armazenamento é movida para uma nova assinatura ou locatário do Microsoft Entra, essa atribuição de função é perdida e deve ser restabelecida manualmente.

Importante

Se a assinatura do Azure de destino não tiver sido criada recentemente, verifique se o provedor de recursos Microsoft.StorageSync está registrado com a assinatura. Se não estiver, adicione-o manualmente na mesma folha do portal.

Estabelecer acesso de sincronização a uma conta de armazenamento

A entidade de serviço do Azure File Sync deve ser usada para autorizar o acesso a uma conta de armazenamento por meio do RBAC (controle de acesso baseado em função). Microsoft.StorageSync deve ser atribuído à função interna Leitor e Acesso a dados na conta de armazenamento.

Essa atribuição geralmente é feita automaticamente por meio do contexto de usuário do usuário conectado quando você adiciona um compartilhamento de arquivos a um grupo de sincronização ou, em outras palavras, cria um ponto de extremidade na nuvem. No entanto, quando uma conta de armazenamento é movida para uma nova subscrição ou locatário do Microsoft Entra, essa atribuição de função perde-se e deve ser restabelecida manualmente.

Uma imagem exibindo o principal de serviço Microsoft.StorageSync atribuído à função Leitor e Acesso a Dados numa conta de armazenamento.

  1. Entre no portal do Azure e navegue até a conta de armazenamento à qual você precisa reautorizar o acesso de sincronização.
  2. Selecione Controle de acesso (IAM) no sumário à esquerda.
  3. Selecione a guia Atribuições de função para listar os usuários e aplicativos (entidades de serviço) que têm acesso à sua conta de armazenamento.
  4. Selecione Adicionar.
  5. Na guia Função , pesquise e selecione a função Leitor e Acesso a Dados .
  6. Na guia Membros , tenha Acesso atribuído a selecionado como Usuário, grupo ou entidade de serviço, clique em Selecionar membros e, no campo Selecionar, digite Microsoft.StorageSync. Selecione a função e selecione Salvar. Se a entidade de serviço Microsoft.StorageSync não for encontrada, digite Serviço de Sincronização de Arquivos Híbridos (nome da entidade de serviço antiga), selecione a função e selecione Salvar.

Mover para uma região diferente do Azure

O recurso de Sincronização de Ficheiros do Azure Storage Sync Service e as contas de armazenamento que contêm partilhas de ficheiros que estão a sincronizar têm uma região do Azure onde estão implantados. Você determina essa região ao criar um recurso. A região do Serviço de Sincronização de Armazenamento e os recursos da conta de armazenamento devem corresponder. Essas regiões não podem ser alteradas em nenhum dos tipos de recursos após sua criação.

A atribuição de uma região diferente a um recurso é diferente de um failover de região, que pode ser suportado dependendo da configuração de redundância da conta de armazenamento.

Alternância de região

O Azure Files oferece opções de redundância geográfica para contas de armazenamento. Essas opções de redundância podem representar problemas para contas de armazenamento usadas com o Azure File Sync. O principal motivo é que a replicação entre regiões geograficamente distantes não é executada pela Sincronização de Arquivos do Azure, mas por uma tecnologia de replicação de armazenamento interna ao subsistema de armazenamento no Azure. Não é possível compreender o estado do aplicativo e o Azure File Sync é um aplicativo que sincroniza arquivos de e para compartilhamentos de arquivos do Azure a qualquer momento. Se você optar por qualquer uma dessas opções de redundância de armazenamento desembolsadas geograficamente, não perderá todos os seus dados em um desastre em grande escala. No entanto, você precisa levar em conta possíveis perdas de dados e inconsistências.

Atenção

O failover nunca é uma alternativa apropriada para o aprovisionamento dos seus recursos na região correta do Azure. Se seus recursos estiverem na região "errada", você precisará considerar interromper a sincronização e configurar a sincronização novamente para novos compartilhamentos de arquivos do Azure implantados na região desejada.

Um failover regional pode ser iniciado pela Microsoft em um evento catastrófico que tornará os data centers em uma região do Azure incapacitados por um longo período de tempo. A definição de tempo de inatividade que sua empresa pode suportar pode ser menor do que o tempo que a Microsoft está preparada para deixar passar antes de iniciar um failover regional. Para uma situação como essa, os failovers também podem ser iniciados pelos clientes.

Importante

No caso de um failover, você precisa registrar um pedido de suporte para que os serviços Storage Sync afetados voltem a funcionar.

Ver também