Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Ondersteuning voor beheerde identiteit elimineert de noodzaak van gedeelde sleutels als verificatiemethode door gebruik te maken van een door het systeem toegewezen beheerde identiteit die wordt geleverd door Microsoft Entra ID.
Wanneer u deze configuratie inschakelt, worden de door het systeem toegewezen beheerde identiteiten gebruikt voor de volgende scenario's:
- Verificatie van opslagsynchronisatieservice voor Azure-bestandsdeling
- Geregistreerde serververificatie voor Azure-bestandsshare
- Geregistreerde serververificatie voor opslagsynchronisatieservice
Zie Beheerde identiteiten voor Azure-resources voor meer informatie over de voordelen van het gebruik van beheerde identiteiten.
Belangrijk
Topologieën tussen tenants worden niet ondersteund. De opslagsynchronisatieservice, de serverresource (server met Azure Arc of azure-VM), de beheerde identiteit en de RBAC-toewijzingen in het opslagaccount moeten allemaal zich in dezelfde Microsoft Entra-tenant bevinden. Cross-tenantconfiguraties mislukken tijdens authenticatie/autorisatie, en de server kan geen verbinding maken.
Als u uw Azure File Sync-implementatie wilt configureren voor het gebruik van door het systeem toegewezen beheerde identiteiten, volgt u de richtlijnen in de volgende secties.
Vereiste voorwaarden
Azure File Sync-agent versie 20.0.0.0 of hoger moet zijn geïnstalleerd op de geregistreerde server.
Voor uw opslagaccounts die worden gebruikt door Azure File Sync, moet u lid zijn van de rol Azure File Sync-beheerder of eigenaarbeheer of machtigingen voor 'Microsoft.Authorization/roleassignments/write' hebben.
Wanneer u de rol Azure File Sync-beheerder toewijst, volgt u deze stappen om de minimale bevoegdheden te garanderen.
Selecteer op het tabblad Voorwaarden de optie Toestaan dat gebruikers geselecteerde rollen toewijzen aan alleen geselecteerde principals (minder bevoegdheden).
Klik op Rollen en principals selecteren en selecteer vervolgens Actie toevoegen onder Voorwaarde 1.
Selecteer Roltoewijzing maken en klik vervolgens op Selecteren.
Selecteer Expressie toevoegen en selecteer Vervolgens Aanvraag.
Selecteer onder Kenmerkbron de roldefinitie-id onder Kenmerk en selecteer vervolgens ForAnyOfAnyValues:GuidEquals onder Operator.
Selecteer Rollen toevoegen. Voeg de rollen Lezer en Gegevenstoegang, Inzender voor opslagbestandsgegevens en Inzender voor opslagaccounts toe en selecteer Opslaan.
Regionale beschikbaarheid
Azure File Sync-ondersteuning voor door het systeem toegewezen beheerde identiteiten is beschikbaar in alle openbare Azure- en Gov-regio's die Ondersteuning bieden voor Azure File Sync.
Een door het systeem toegewezen beheerde identiteit inschakelen op uw geregistreerde servers
Voordat u Azure File Sync kunt configureren voor het gebruik van beheerde identiteiten, moeten uw geregistreerde servers een door het systeem toegewezen beheerde identiteit hebben die wordt gebruikt voor verificatie bij de Azure File Sync-service en Azure-bestandsshares.
Voer de volgende stappen uit om een door het systeem toegewezen beheerde identiteit in te schakelen op een geregistreerde server waarop de Azure File Sync v20-agent is geïnstalleerd:
- Als de server buiten Azure wordt gehost, moet deze een server met Azure Arc zijn om een door het systeem toegewezen beheerde identiteit te hebben. Zie voor meer informatie over servers met Azure Arc en het installeren van de Azure Connected Machine-agent: Overzicht van Servers met Azure Arc.
- Als de server een virtuele Azure-machine is, schakelt u de door het systeem toegewezen beheerde identiteit in op de VIRTUELE machine. Zie voor meer informatie: Beheerde identiteiten configureren op virtuele Azure-machines.
Notitie
Zodra de Opslagsynchronisatieservice is geconfigureerd voor het gebruik van beheerde identiteiten, blijven geregistreerde servers die geen door het systeem toegewezen beheerde identiteit hebben een gedeelde sleutel gebruiken om te verifiëren bij uw Azure-bestandsshares.
Controleren of uw geregistreerde servers een door het systeem toegewezen beheerde identiteit hebben
Voer de volgende stappen uit met behulp van Azure Portal om te controleren of uw geregistreerde servers een door het systeem toegewezen beheerde identiteit hebben:
Ga naar uw opslagsynchronisatieservice in Azure Portal, vouw Instellingen uit en selecteer Beheerde identiteit.
Selecteer in de sectie Geregistreerde servers de tegel Gereed voor gebruik van beheerde ID. Op deze tegel wordt een lijst weergegeven met servers met een door het systeem toegewezen beheerde identiteit. Als uw server niet wordt vermeld, voert u de stappen uit om een door het systeem toegewezen beheerde identiteit in te schakelen op uw geregistreerde servers.
Uw Azure File Sync-implementatie configureren voor het gebruik van door het systeem toegewezen beheerde identiteiten
Voer de volgende stappen uit in Azure Portal om de opslagsynchronisatieservice en geregistreerde servers te configureren voor het gebruik van door het systeem toegewezen beheerde identiteiten:
Ga naar uw opslagsynchronisatieservice in Azure Portal, vouw Instellingen uit en selecteer Beheerde identiteit.
Selecteer Beheerde identiteit inschakelen om de installatie te starten.
De volgende stappen worden uitgevoerd en het duurt enkele minuten (of langer voordat grote topologieën zijn voltooid):
Hiermee schakelt u een door het systeem toegewezen beheerde identiteit in voor opslagsynchronisatieserviceresource.
Verleent de door de Opslagsynchronisatie Service systeem toegewezen beheerde identiteit toegang tot uw opslagaccounts (rol van Inzender voor opslagaccounts).
Verleent de door de opslagsynchronisatieservice toegewezen beheerde identiteit toegang tot uw Azure-bestandsshares (voorrechten bijdragegever rol voor opslagbestandsgegevens).
Verleent toegang tot de Azure-bestandsshares aan de door het systeem toegewezen beheerde identiteit van de geregistreerde server(s) (rol Bevoorrechte bijdrager voor opslagbestandsgegevens).
Hiermee configureert u de opslagsynchronisatieservice voor het gebruik van door het systeem toegewezen beheerde identiteit.
Hiermee configureert u geregistreerde server(s) voor het gebruik van door het systeem toegewezen beheerde identiteit.
Notitie
Zodra de geregistreerde server(s) zijn geconfigureerd voor het gebruik van een door het systeem toegewezen beheerde identiteit, kan het tot 15 minuten duren voordat de server de door het systeem toegewezen beheerde identiteit gebruikt om te verifiëren bij de opslagsynchronisatieservice en bestandsshares.
Controleren of de opslagsynchronisatieservice een door het systeem toegewezen beheerde identiteit gebruikt
Als u wilt controleren of de opslagsynchronisatieservice een door het systeem toegewezen beheerde identiteit gebruikt, voert u de volgende stappen uit in Azure Portal:
Ga naar uw opslagsynchronisatieservice in Azure Portal, vouw Instellingen uit en selecteer Beheerde identiteit.
Als u in de sectie Geregistreerde servers ten minste één server hebt die wordt vermeld in de tegel Beheerde id gebruiken, is uw service geconfigureerd voor het gebruik van beheerde identiteiten.
Controleren of een geregistreerde server is geconfigureerd voor het gebruik van een door het systeem toegewezen beheerde identiteit
Voer de volgende stappen uit in Azure Portal om te controleren of een geregistreerde server is geconfigureerd voor het gebruik van een door het systeem toegewezen beheerde identiteit:
Ga naar uw opslagsynchronisatieservice in Azure Portal, vouw Instellingen uit en selecteer Beheerde identiteit.
Selecteer in de sectie Geregistreerde servers de tegel Beheerde id gebruiken en controleer of de server wordt vermeld.
Meer informatie
Zodra de opslagsynchronisatieservice en geregistreerde servers zijn geconfigureerd voor het gebruik van een door het systeem toegewezen beheerde identiteit:
- Nieuwe eindpunten (cloud of server) die worden gemaakt, maken gebruik van een door het systeem toegewezen beheerde identiteit om te verifiëren bij de Azure-bestandsshare.
- Wanneer u extra geregistreerde servers moet configureren voor het gebruik van beheerde identiteiten, gaat u naar de blade Beheerde identiteit in de portal en selecteert u Beheerde identiteit inschakelen of gebruikt u de
Set-AzStorageSyncServiceIdentityPowerShell-cmdlet.
Als u problemen ondervindt, raadpleegt u: Problemen met beheerde identiteiten van Azure File Sync oplossen.