Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La compatibilidad con Identidad administrada elimina la necesidad de claves compartidas como método de autenticación mediante la utilización de una identidad administrada asignada al sistema proporcionada por Microsoft Entra ID.
Al habilitar esta configuración, las identidades administradas asignadas por el sistema se usarán para los escenarios siguientes:
- Autenticación del servicio de sincronización de almacenamiento en un recurso compartido de archivos de Azure
- Autenticación de servidor registrada en el recurso compartido de archivos de Azure
- Autenticación de servidor registrada en el servicio de sincronización de almacenamiento
Para obtener más información sobre las ventajas de utilizar identidades administradas, consulte Identidades administradas para los recursos de Azure.
Importante
No se admiten topologías entre entidades. El servicio de sincronización de almacenamiento, el recurso de servidor (servidor habilitado para Azure Arc o máquina virtual de Azure), la identidad administrada y las asignaciones de RBAC en la cuenta de almacenamiento deben estar en el mismo inquilino de Microsoft Entra. Las configuraciones entre inquilinos producen un error de autenticación o autorización y el servidor no se puede conectar.
Para configurar la implementación de Azure File Sync para usar identidades administradas asignadas por el sistema, siga las instrucciones de las secciones posteriores.
Requisitos previos
El agente de Azure File Sync versión 20.0.0.0 o posterior debe estar instalado en el servidor registrado.
En las cuentas de almacenamiento usadas por Azure File Sync, debe ser miembro del rol de administrador de Azure File Sync o del rol de propietario o tener permisos "Microsoft.Authorization/roleassignments/write".
Al asignar el rol administrador de Azure File Sync, siga estos pasos para garantizar el privilegio mínimo.
En la pestaña Condiciones, seleccione Permitir a los usuarios asignar roles seleccionados solo a actores seleccionados (con menos privilegios).
Haga clic en Seleccionar roles y entidades de seguridad y, a continuación, seleccione Agregar acción en Condición n.º 1.
Seleccione Crear asignación de roles y, a continuación, haga clic en Seleccionar.
Seleccione Agregar expresión y, a continuación, seleccione Solicitar.
En Origen de atributo, seleccione Id. de definición de rol en Atributo y, a continuación, seleccione ForAnyOfAnyValues:GuidEquals en Operador.
Seleccione Agregar roles. Agregue Lector y Acceso a Datos, Colaborador con privilegios de Datos de Archivos de Almacenamiento, y Colaborador de la Cuenta de Almacenamiento, y luego seleccione Guardar.
Disponibilidad regional
La compatibilidad de Azure File Sync con identidades administradas asignadas por el sistema está disponible en todas las regiones públicas y gov de Azure que admiten Azure File Sync.
Habilite una identidad administrada asignada por el sistema en sus servidores registrados
Antes de poder configurar Azure File Sync para utilizar identidades administradas, los servidores registrados deben tener una identidad administrada asignada por el sistema que se utilizará para autenticarse en el servicio Azure File Sync y los recursos compartidos de archivos de Azure.
Para habilitar una identidad administrada asignada por el sistema en un servidor registrado que tenga instalado el agente de Azure File Sync v20, siga estos pasos:
- Si el servidor está alojado fuera de Azure, debe ser un servidor habilitado para Azure Arc para tener una identidad administrada asignada por el sistema. Para obtener más información sobre los servidores habilitados para Azure Arc y cómo instalar el agente Azure Connected Machine, consulte: información general de los servidores habilitados para Azure Arc.
- Si el servidor es una máquina virtual Azure, habilite la configuración de identidad administrada asignada por el sistema en la máquina virtual. Para obtener más información, consulte: configurar identidades administradas en máquinas virtuales Azure.
Nota:
Una vez configurado el servicio de sincronización de almacenamiento para usar identidades administradas, los servidores registrados que no tienen una identidad administrada asignada por el sistema seguirán usando una clave compartida para autenticarse en los recursos compartidos de archivos de Azure.
Cómo comprobar si sus servidores registrados tienen una identidad administrada asignada por el sistema
Para comprobar si los servidores registrados tienen una identidad administrada asignada por el sistema, siga estos pasos mediante Azure Portal:
Vaya al servicio de sincronización de almacenamiento en Azure Portal, expanda Configuración y seleccione Identidad administrada.
En la sección Servidores registrados , seleccione el icono Listo para usar el identificador administrado . Este icono muestra una lista de servidores que tienen una identidad administrada asignada por el sistema. Si el servidor no aparece en la lista, realice los pasos para habilitar una identidad administrada asignada por el sistema en los servidores registrados.
Configure su implementación de Azure File Sync para utilizar identidades administradas asignadas por el sistema
Para configurar el servicio de sincronización de almacenamiento y los servidores registrados para usar identidades administradas asignadas por el sistema, siga estos pasos en Azure Portal:
Vaya al servicio de sincronización de almacenamiento en Azure Portal, expanda Configuración y seleccione Identidad administrada.
Seleccione Activar identidad administrada para comenzar la instalación.
Los pasos siguientes se realizan y tardan varios minutos (o más tiempo en completarse las topologías grandes):
Habilita una identidad administrada asignada por el sistema para el recurso Servicio de sincronización de almacenamiento.
Concede al Servicio de Sincronización de almacenamiento acceso de identidad administrada asignado por el sistema a sus cuentas de almacenamiento (función de colaborador de cuentas de almacenamiento).
Concede acceso a la identidad administrada asignada por el sistema del servicio de sincronización de almacenamiento a los recursos compartidos de archivos de Azure (rol colaborador con privilegios de datos de archivos de almacenamiento).
Concede a los servidores registrados acceso de identidad administrada asignada por el sistema a los recursos compartidos de archivos de Azure (rol Colaborador con privilegios de datos de archivos de almacenamiento).
Configura el Servicio de sincronización de almacenamiento para que utilice la identidad administrada asignada por el sistema.
Configura los servidores registrados para que utilicen la identidad administrada asignada por el sistema.
Nota:
Una vez configurados los servidores registrados para usar una identidad administrada asignada por el sistema, el servidor puede tardar hasta 15 minutos en usar la identidad administrada asignada por el sistema para autenticarse en el servicio de sincronización de almacenamiento y los recursos compartidos de archivos.
Cómo comprobar si el Servicio de sincronización de almacenamiento utiliza una identidad administrada asignada por el sistema
Para comprobar si el servicio de sincronización de almacenamiento usa una identidad administrada asignada por el sistema, siga estos pasos en Azure Portal:
Vaya al servicio de sincronización de almacenamiento en Azure Portal, expanda Configuración y seleccione Identidad administrada.
En la sección Servidores registrados , si tiene al menos un servidor que aparece en el icono Using Managed ID (Usar identificador administrado ), el servicio está configurado para usar identidades administradas.
Cómo comprobar si un servidor registrado está configurado para utilizar una identidad administrada asignada por el sistema
Para comprobar si un servidor registrado está configurado para usar una identidad administrada asignada por el sistema, siga estos pasos en Azure Portal:
Vaya al servicio de sincronización de almacenamiento en Azure Portal, expanda Configuración y seleccione Identidad administrada.
En la sección Servidores registrados , seleccione el icono Using Managed ID (Usar identificador administrado ) y compruebe que aparece el servidor.
Más información
Una vez que el Servicio de sincronización de Almacenamiento y el servidor o servidores registrados están configurados para utilizar una identidad administrada asignada por el sistema:
- Los nuevos puntos de conexión (nube o servidor) que se creen utilizarán una identidad administrada asignada por el sistema para autenticarse en el recurso compartido de archivos de Azure.
- Cuando necesite configurar servidores registrados adicionales para usar identidades administradas, vaya a la hoja Identidad administrada en el portal y seleccione Activar identidad administrada o use el
Set-AzStorageSyncServiceIdentitycmdlet de PowerShell.
Si experimenta problemas, consulte Solución de problemas de identidad administrada de Azure File Sync.