托管标识支持通过利用 Microsoft Entra ID 提供的系统分配的托管标识,消除对使用共享密钥作为身份验证方法的需求。
启用此配置时,系统分配的托管标识将用于以下场景:
- 存储同步服务向 Azure 文件共享进行身份验证
- Azure 文件共享的注册服务器身份验证
- 已注册的服务器向存储同步服务进行身份验证
若要详细了解使用托管标识的好处,请参阅 Azure 资源的托管标识。
若要配置 Azure 文件同步部署以利用系统分配的托管标识,请遵循后续部分中的指南。
必须在已注册的服务器上安装 Azure 文件同步代理版本 20.0.0.0 或更高版本。
在 Azure 文件同步使用的 存储帐户 上,必须是 所有者管理角色的成员 或具有
Microsoft.Authorization/roleassignments/write权限。
支持系统分配的托管标识的 Azure 文件同步支持可在支持 Azure 文件同步的所有区域中使用。
在将 Azure 文件同步配置为使用托管标识之前,已注册的服务器必须具有系统分配的托管标识,该标识将用于对 Azure 文件同步服务和 Azure 文件共享进行身份验证。
若要在安装了 Azure 文件同步 v20 代理的已注册服务器上启用系统分配的托管标识,请执行以下步骤:
- 如果服务器托管在 Azure 外部,则它必须是“已启用 Azure Arc 的服务器”才能具有系统分配的托管标识。 有关已启用 Azure Arc 的服务器以及如何安装 Azure Connected Machine 代理的详细信息,请参阅:已启用 Azure Arc 的服务器概述。
- 如果服务器是 Azure 虚拟机,请在 VM 上启用系统分配的托管标识设置。 有关详细信息,请参阅:在 Azure 虚拟机上配置托管标识。
注意
将存储同步服务配置为使用托管标识后,没有系统分配托管标识的已注册服务器将继续使用共享密钥向 Azure 文件共享进行身份验证。
若要检查已注册的服务器是否具有系统分配的托管标识,请使用 Azure 门户执行以下步骤:
在 Azure 门户中转到 存储同步服务 ,展开 “设置” 并选择“ 托管标识”。
在“已注册服务器”部分,选择“已准备好使用托管 ID”磁贴。 此磁贴显示具有系统分配托管标识的服务器列表。 如果未列出服务器,请执行以下步骤,在 已注册的服务器上启用系统分配的托管标识。
若要配置存储同步服务和已注册的服务器以使用系统分配的托管标识,请在 Azure 门户中执行以下步骤:
在 Azure 门户中转到 存储同步服务 ,展开 “设置” 并选择“ 托管标识”。
选择 “启用托管身份”以开始设置。
执行以下步骤,需要几分钟(或更长时间)才能完成大型拓扑:
为存储同步服务资源启用系统分配的托管标识。
授予存储同步服务系统分配的托管标识对存储帐户的访问权限(存储帐户参与者角色)。
授予存储同步服务系统分配的托管标识对 Azure 文件共享的访问权限(存储文件数据特权参与者角色)。
授予已注册服务器系统分配的托管标识对 Azure 文件共享的访问权限(存储文件数据特权参与者角色)。
将存储同步服务配置为使用系统分配的托管标识。
将已注册服务器配置为使用系统分配的托管标识。
注意
将已注册的服务器配置为使用系统分配的托管标识后,服务器使用系统分配的托管标识对存储同步服务和文件共享进行身份验证可能需要长达 15 分钟的时间。
若要检查存储同步服务是否使用系统分配的托管标识,请在 Azure 门户中执行以下步骤:
在 Azure 门户中转到 存储同步服务 ,展开 “设置”,然后选择“ 托管标识”。
在“ 已注册的服务器 ”部分中,如果至少有一台服务器列在 “使用托管 ID ”磁贴中,则服务配置为使用托管标识。
若要检查已注册的服务器是否已配置为使用系统分配的托管标识,请在 Azure 门户中执行以下步骤:
在 Azure 门户中转到 存储同步服务 ,展开 “设置”,然后选择“ 托管标识”。
在“已注册服务器”部分,选择“使用托管 ID”磁贴并验证该服务器是否已列出。
将存储同步服务和已注册服务器配置为使用系统分配的托管标识后:
- 创建的新终结点(云或服务器)将使用系统分配的托管标识对 Azure 文件共享进行身份验证。
- 如果需要配置其他已注册的服务器以使用托管标识,请转到门户中的“托管标识”边栏选项卡,然后选择 “启用托管标识”或使用
Set-AzStorageSyncServiceIdentityPowerShell cmdlet。
如果遇到问题,请参阅:解决 Azure 文件同步托管标识问题。