Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O suporte das identidades gerenciadas elimina a necessidade de chaves compartilhadas como um método de autenticação utilizando uma identidade gerenciada atribuída pelo sistema fornecida pelo Microsoft Entra ID.
Quando você habilita esta configuração, as identidades gerenciadas atribuídas pelo sistema serão usadas para os seguintes cenários:
- Autenticação do Serviço de Sincronização de Armazenamento para o compartilhamento de arquivos do Azure
- Autenticação de servidor registrada no compartilhamento de arquivos do Azure
- Autenticação de servidor registrada no Serviço de Sincronização de Armazenamento
Para saber mais sobre os benefícios de usar identidades gerenciadas, confira Identidades gerenciadas para recursos do Azure.
Importante
Não há suporte para topologias entre locatários. O Serviço de Sincronização de Armazenamento, o recurso de servidor (servidor habilitado para Azure Arc ou VM do Azure), a identidade gerenciada e as atribuições de RBAC na conta de armazenamento devem estar todos no mesmo locatário do Microsoft Entra. As configurações entre locatários falham na autenticação/autorização e o servidor não pode se conectar.
Para configurar a implantação da Sincronização de Arquivos do Azure para utilizar identidades gerenciadas atribuídas pelo sistema, siga as diretrizes nas seções subsequentes.
Pré-requisitos
O agente de Sincronização de Arquivos do Azure versão 20.0.0.0 ou posterior deve ser instalado no servidor registrado.
Em suas contas de armazenamento usadas pela Sincronização de Arquivos do Azure, você deve ser membro da função de gerenciamento de Proprietário ou Administrador de Sincronização de Arquivos do Azure ou ter permissões de "Microsoft.Authorization/roleassignments/write".
Ao atribuir a função de Administrador de Sincronização de Arquivos do Azure, siga estas etapas para garantir privilégios mínimos.
Na guia Condições, selecione Permitir que os usuários atribuam funções selecionadas apenas a principais selecionados (com menos privilégios).
Clique em Selecionar Funções e Entidades e então selecione Adicionar Ação na Condição #1.
Selecione Criar atribuição de função e clique em Selecionar.
Selecione Adicionar expressão e, em seguida, selecione Solicitação.
Em Origem do Atributo, selecione ID de Definição de Função em Atributoe, em seguida, selecione ForAnyOfAnyValues:GuidEquals em Operador.
Selecione Adicionar Funções. Adicione as funções Leitor e Acesso a Dados, Colaborador Privilegiado de Dados de Arquivo de Armazenamento e Colaborador da Conta de Armazenamento e, em seguida, selecione Salvar.
Disponibilidade regional
O suporte à Sincronização de Arquivos do Azure para identidades gerenciadas atribuídas pelo sistema está disponível em todas as regiões pública e gov do Azure que dão suporte à Sincronização de Arquivos do Azure.
Habilitar uma identidade gerenciada atribuída pelo sistema em seus servidores registrados
Antes de conseguir configurar a Sincronização de Arquivos do Azure para usar identidades gerenciadas, seus servidores registrados devem ter uma identidade gerenciada atribuída pelo sistema que será usada para autenticar o serviço Sincronização de Arquivos do Azure e os compartilhamentos de arquivos do Azure.
Para habilitar uma identidade gerenciada atribuída pelo sistema em um servidor registrado que tenha o agente de Sincronização de Arquivos do Azure v20 instalado, execute as seguintes etapas:
- Se o servidor estiver hospedado fora do Azure, ele deve ser um servidor habilitado para Azure Arc para ter uma identidade gerenciada atribuída pelo sistema. Para ter mais informações sobre os servidores habilitados para Azure Arc e como Instalar o agente do Azure Connected Machine, consulte: Visão geral dos servidores habilitados para Azure Arc.
- Se o servidor for uma máquina virtual do Azure, habilite a configuração da identidade gerenciada atribuída pelo sistema na VM. Para obter mais informações, consulte Configurar identidades gerenciadas nas máquinas virtuais do Azure.
Observação
Depois que o Serviço de Sincronização de Armazenamento estiver configurado para usar identidades gerenciadas, os servidores registrados que não tiverem uma identidade gerenciada atribuída pelo sistema continuarão a usar uma chave compartilhada para autenticar em seus compartilhamentos de arquivos do Azure.
Como verificar se seus servidores registrados têm uma identidade gerenciada atribuída pelo sistema
Para verificar se os servidores registrados têm uma identidade gerenciada atribuída pelo sistema, execute as seguintes etapas usando o portal do Azure:
Acesse o Serviço de Sincronização de Armazenamento no portal do Azure, expanda Configurações e selecione Identidade Gerenciada.
Na seção Servidores Registrados , selecione o bloco Pronto para usar a ID Gerenciada . Esse bloco exibe uma lista de servidores que têm uma identidade gerenciada atribuída pelo sistema. Se o servidor não estiver listado, execute as etapas para habilitar uma identidade gerenciada atribuída pelo sistema em seus servidores registrados.
Configurar a implantação da Sincronização de Arquivos do Azure para usar as identidades gerenciadas atribuídas pelo sistema
Para configurar o Serviço de Sincronização de Armazenamento e servidores registrados para usar identidades gerenciadas atribuídas pelo sistema, execute as seguintes etapas no portal do Azure:
Acesse o Serviço de Sincronização de Armazenamento no portal do Azure, expanda Configurações e selecione Identidade Gerenciada.
Selecione Ativar Identidade Gerenciada para iniciar a instalação.
As etapas a seguir são executadas e levarão vários minutos (ou mais para topologias grandes) para serem concluídas.
Habilita uma identidade gerenciada atribuída pelo sistema para o recurso Serviço de sincronização de armazenamentos.
Concede o acesso da identidade gerenciada atribuída pelo sistema do Serviço de sincronização de armazenamentos às Contas de armazenamento (função Colaborador da conta de armazenamento).
Concede o acesso da identidade gerenciada atribuída pelo sistema do Serviço de sincronização de armazenamentos aos compartilhamentos de arquivos do Azure (função Colaborador privilegiado dos dados dos arquivos de armazenamento).
Concede o acesso da identidade gerenciada atribuída pelo sistema do(s) servidor(es) aos compartilhamentos de arquivos do Azure (função Colaborador privilegiado dos dados dos arquivos de armazenamento).
Configura o Serviço de sincronização de armazenamentos para usar a identidade gerenciada atribuída pelo sistema.
Configura o(s) servidor(es) registrado(s) para usar a identidade gerenciada atribuída pelo sistema.
Observação
Depois que os servidores registrados são configurados para usar uma identidade gerenciada atribuída pelo sistema, pode levar até 15 minutos até que o servidor use a identidade gerenciada atribuída pelo sistema para autenticar no Serviço de Sincronização de Armazenamento e compartilhamentos de arquivos.
Como verificar se o Serviço de sincronização de armazenamentos está usando uma identidade gerenciada atribuída pelo sistema
Para verificar se o Serviço de Sincronização de Armazenamento está usando uma identidade gerenciada atribuída pelo sistema, execute as seguintes etapas no portal do Azure:
Acesse o Serviço de Sincronização de Armazenamento no portal do Azure, expanda Configurações e selecione Identidade Gerenciada.
Na seção Servidores Registrados , se você tiver pelo menos um servidor listado no bloco Usando ID Gerenciada , seu serviço será configurado para usar identidades gerenciadas.
Como verificar se um servidor registrado está configurado para usar uma identidade gerenciada atribuída pelo sistema
Para verificar se um servidor registrado está configurado para usar uma identidade gerenciada atribuída pelo sistema, execute as seguintes etapas no portal do Azure:
Acesse o Serviço de Sincronização de Armazenamento no portal do Azure, expanda Configurações e selecione Identidade Gerenciada.
Na seção Servidores Registrados , selecione o bloco Usando ID Gerenciada e verifique se o servidor está listado.
Mais informações
Quando o Serviço de sincronização de armazenamentos e o(s) servidor(es) registrado(s) estiverem configurados para usar uma identidade gerenciada atribuída pelo sistema:
- Os novos pontos de extremidade (nuvem ou servidor) criados usarão uma Identidade gerenciada atribuída pelo sistema para autenticar o compartilhamento de arquivos do Azure.
- Quando precisar configurar servidores registrados adicionais para usar identidades gerenciadas, acesse a folha Identidade Gerenciada no portal e selecione Ativar Identidade Gerenciada ou use o cmdlet do
Set-AzStorageSyncServiceIdentityPowerShell.
Se você tiver problemas, consulte: Solucionar problemas de identidade gerenciada da Sincronização de Arquivos do Azure.