Configuration des points de terminaison réseau Azure File SyncConfiguring Azure File Sync network endpoints

Azure Files et Azure File Sync fournissent deux principaux types de points de terminaison pour l’accès aux partages de fichiers Azure :Azure Files and Azure File Sync provide two main types of endpoints for accessing Azure file shares:

  • Les points de terminaison publics, qui ont une adresse IP publique et sont accessibles partout dans le monde.Public endpoints, which have a public IP address and can be accessed from anywhere in the world.
  • Les points de terminaison privés, qui existent au sein d’un réseau virtuel et ont une adresse IP privée comprise dans l’espace d’adressage de ce réseau virtuel.Private endpoints, which exist within a virtual network and have a private IP address from within the address space of that virtual network.

Pour Azure Files et Azure File Sync, les objets de gestion Azure, le compte de stockage et le service de synchronisation du stockage, respectivement, contrôlent les points de terminaison publics et privés.For both Azure Files and Azure File Sync, the Azure management objects, the storage account and the Storage Sync Service respectively, control both the public and private endpoints. Le compte de stockage est une construction de gestion qui représente un pool de stockage partagé dans lequel vous pouvez déployer plusieurs partages de fichiers, ainsi que d’autres ressources de stockage, telles que des conteneurs d’objets blob ou des files d’attente.The storage account is a management construct that represents a shared pool of storage in which you can deploy multiple file shares, as well as other storage resources, such as blob containers or queues. Le service de synchronisation de stockage est une construction de gestion qui représente les serveurs inscrits, qui sont des serveurs de fichiers Windows avec une relation d’approbation établie avec Azure File Sync, ainsi que des groupes de synchronisation, qui définissent la topologie de la relation de synchronisation.The Storage Sync Service is a management construct that represents registered servers, which are Windows file servers with an established trust relationship with Azure File Sync, and sync groups, which define the topology of the sync relationship.

Cet article se concentre sur la configuration des points de terminaison réseau pour Azure Files et Azure File Sync. Pour en savoir plus sur la configuration des points de terminaison réseau pour accéder directement aux partages de fichiers Azure, plutôt que d’effectuer une mise en cache locale avec Azure File Sync, consultez Configuration des points de terminaison réseau Azure Files.This article focuses on how to configure the networking endpoints for both Azure Files and Azure File Sync. To learn more about how to configure networking endpoints for accessing Azure file shares directly, rather than caching on-premises with Azure File Sync, see Configuring Azure Files network endpoints.

Avant de lire le présent guide, nous vous recommandons de lire Considérations relatives aux réseaux Azure File Sync.We recommend reading Azure File Sync networking considerations prior to reading this how to guide.

PrérequisPrerequisites

Cet article suppose que vous avez :This article assumes that:

  • Vous avez un abonnement Azure.You have an Azure subscription. Si vous n’avez pas d’abonnement, vous pouvez créer un compte gratuit avant de commencer.If you don't already have a subscription, then create a free account before you begin.
  • Vous avez déjà créé un partage de fichiers Azure dans un compte de stockage auquel vous souhaitez vous connecter à partir d’un emplacement local.You have already created an Azure file share in a storage account which you would like to connect to from on-premises. Pour savoir comment créer un partage de fichiers Azure, consultez Créer un partage de fichiers Azure.To learn how to create an Azure file share, see Create an Azure file share.
  • Vous avez déjà créé un service de synchronisation de stockage et vous l’avez inscrit auprès de votre serveur de fichiers Windows.You have already created a Storage Sync Service and registered your Windows file server with it. Pour savoir comment déployer Azure File Sync, consultez Déploiement d’Azure File Sync.To learn how to deploy Azure File Sync, see Deploying Azure File Sync.

De plus :Additionally:

Créer les points de terminaison privésCreate the private endpoints

Lorsque vous créez un point de terminaison privé pour une ressource Azure, les ressources suivantes sont déployées :When you creating a private endpoint for an Azure resource, the following resources are deployed:

  • Un point de terminaison privé : Ressource Azure représentant le point de terminaison privé pour le compte de stockage ou le service de synchronisation de stockage.A private endpoint: An Azure resource representing either the private endpoint for the storage account or the Storage Sync Service. Vous pouvez la voir comme une ressource qui connecte votre ressource Azure à une interface réseau.You can think of this as a resource that connects your Azure resource and a network interface.
  • Une interface réseau (NIC)  : interface réseau qui gère une adresse IP privée au sein du réseau virtuel ou du sous-réseau spécifié.A network interface (NIC): The network interface that maintains a private IP address within the specified virtual network/subnet. Il s’agit de la même ressource que celle déployée lors du déploiement d’une machine virtuelle. Toutefois, au lieu d’être attribuée à une machine virtuelle, elle est détenue par le point de terminaison privé.This is the exact same resource that gets deployed when you deploy a virtual machine, however instead of being assigned to a VM, it's owned by the private endpoint.
  • Une zone DNS privée : si vous n’avez jamais déployé de point de terminaison privé pour ce réseau virtuel, une nouvelle zone DNS privée sera déployée pour votre réseau virtuel.A private DNS zone: If you've never deployed a private endpoint for this virtual network before, a new private DNS zone will be deployed for your virtual network. Un enregistrement DNS A est également créé pour la ressource Azure dans cette zone DNS.A DNS A record will also be created for Azure resource in this DNS zone. Si vous avez déjà déployé un point de terminaison privé dans ce réseau virtuel, un nouvel enregistrement A est ajouté à la zone DNS existante pour la ressource Azure.If you've already deployed a private endpoint in this virtual network, a new A record for Azure resource will be added to the existing DNS zone. Le déploiement d’une zone DNS est facultatif, mais il est fortement recommandé pour simplifier la gestion DNS requise.Deploying a DNS zone is optional, however highly recommended to simplify the DNS management required.

Notes

Cet article utilise les suffixes DNS pour les régions publiques Azure, core.windows.net pour les comptes de stockage et afs.azure.net pour les services de synchronisation de stockage.This article uses the DNS suffixes for the Azure Public regions, core.windows.net for storage accounts and afs.azure.net for Storage Sync Services. Ce commentaire vaut aussi pour les clouds souverains Azure que sont notamment le cloud Azure US Government (il vous suffit de remplacer les suffixes appropriés pour votre environnement).This commentary also applies to Azure Sovereign clouds such as the Azure US Government cloud - just substitute the the appropriate suffixes for your environment.

Créer le point de terminaison privé du compte de stockageCreate the storage account private endpoint

Accédez au compte de stockage pour lequel vous souhaitez créer un point de terminaison privé.Navigate to the storage account for which you would like to create a private endpoint. Dans la table des matières du compte de stockage, sélectionnez Connexion de point de terminaison privé, puis + Point de terminaison privé pour créer un point de terminaison privé.In the table of contents for the storage account, select Private endpoint connections, and then + Private endpoint to create a new private endpoint.

Capture d’écran de l’élément Connexions de point de terminaison privé dans la table des matières du compte de stockageA screenshot of the private endpoint connections item in the storage account table of contents

L’Assistant obtenu comprend plusieurs pages dont vous devez suivre les instructions.The resulting wizard has multiple pages to complete.

Dans le panneau De base, sélectionnez le groupe de ressources, le nom et la région souhaités pour votre point de terminaison privé.In the Basics blade, select the desired resource group, name, and region for your private endpoint. Vous pouvez choisir ceux que vous voulez. Ils ne doivent pas nécessairement correspondre au compte de stockage. Vous devez simplement créer le point de terminaison privé dans la même région que le réseau virtuel dans lequel vous souhaitez créer le point de terminaison privé.These can be whatever you want, they don't have to match the storage account in any way, although you must create the private endpoint in the same region as the virtual network you wish to create the private endpoint in.

Capture d’écran de la section De base de la fenêtre Créer un point de terminaison privé

Dans le panneau Ressource, activez la case d’option Se connecter à une ressource Azure de mon annuaire.In the Resource blade, select the radio button for Connect to an Azure resource in my directory. Sous Type de ressource, sélectionnez Microsoft.Storage/storageAccounts pour le type de ressource.Under Resource type, select Microsoft.Storage/storageAccounts for the resource type. Le champ Ressource est le compte de stockage contenant le partage de fichiers Azure auquel vous souhaitez vous connecter.The Resource field is the storage account with the Azure file share you wish to connect to. La sous-ressource cible est fichier, car elle est destinée à Azure Files.Target sub-resource is file, since this is for Azure Files.

Le panneau Configuration vous permet de sélectionner le réseau virtuel et le sous-réseau auxquels vous souhaitez ajouter votre point de terminaison privé.The Configuration blade allows you to select the specific virtual network and subnet you would like to add your private endpoint to. Vous devez sélectionner un sous-réseau distinct du sous-réseau auquel vous avez ajouté votre point de terminaison de service ci-dessus.You must select a distinct subnet from the subnet you added your service endpoint to above. Le panneau Configuration contient également les informations relatives à la création et à la mise à jour de la zone DNS privée.The Configuration blade also contains the information for creating/update the private DNS zone. Nous vous recommandons d’utiliser la zone privatelink.file.core.windows.net par défaut.We recommend using the default privatelink.file.core.windows.net zone.

Capture d’écran de la section Configuration

Cliquez sur Vérifier + créer pour créer le point de terminaison privé.Click Review + create to create the private endpoint.

Si vous disposez d’une machine virtuelle dans votre réseau virtuel, ou si vous avez configuré le transfert DNS comme décrit dans Configuration du transfert DNS pour Azure Files, vous pouvez vérifier que votre point de terminaison privé a été correctement configuré en exécutant les commandes suivantes à partir de PowerShell, de la ligne de commande ou du terminal (fonctionne sur Windows, Linux et macOS).If you have a virtual machine inside of your virtual network, or you've configured DNS forwarding as described in Configuring DNS forwarding for Azure Files, you can test that your private endpoint has been set up correctly by running the following commands from PowerShell, the command line, or the terminal (works for Windows, Linux, or macOS). Vous devez remplacer <storage-account-name> par le nom du compte de stockage approprié :You must replace <storage-account-name> with the appropriate storage account name:

nslookup <storage-account-name>.file.core.windows.net

Si tout a fonctionné correctement, vous devriez voir la sortie suivante, où 192.168.0.5 correspond à l’adresse IP privée du point de terminaison privé de votre réseau virtuel (sortie affichée pour Windows) :If everything has worked successfully, you should see the following output, where 192.168.0.5 is the private IP address of the private endpoint in your virtual network (output shown for Windows):

Server:  UnKnown
Address:  10.2.4.4

Non-authoritative answer:
Name:    storageaccount.privatelink.file.core.windows.net
Address:  192.168.0.5
Aliases:  storageaccount.file.core.windows.net

Créer le point de terminaison privé du service de synchronisation de stockageCreate the Storage Sync Service private endpoint

Important

Pour pouvoir utiliser des points de terminaison privés sur la ressource de service de synchronisation de stockage, vous devez utiliser l’agent Azure File Sync version 10.1 ou ultérieure.In order to use private endpoints on the Storage Sync Service resource, you must use Azure File Sync agent version 10.1 or greater. Les versions d’agent antérieures à 10.1 ne prennent pas en charge les points de terminaison privés sur le service de synchronisation de stockage.Agent versions prior to 10.1 do not support private endpoints on the Storage Sync Service. Toutes les versions antérieures de l’agent prennent en charge les points de terminaison privés sur la ressource du compte de stockage.All prior agent versions support private endpoints on the storage account resource.

Accédez au Centre de liaisons privées en tapant Liaison privée dans la barre de recherche en haut du portail Azure.Navigate to the Private Link Center by typing Private Link into the search bar at the top of the Azure portal. Dans la table des matières du Centre de liaisons privées, sélectionnez Points de terminaison privés, puis + Ajouter pour créer un point de terminaison privé.In the table of contents for the Private Link Center, select Private endpoints, and then + Add to create a new private endpoint.

Capture d’écran du Centre de liaisons privéesA screenshot of the private link center

L’Assistant obtenu comprend plusieurs pages dont vous devez suivre les instructions.The resulting wizard has multiple pages to complete.

Dans le panneau De base, sélectionnez le groupe de ressources, le nom et la région souhaités pour votre point de terminaison privé.In the Basics blade, select the desired resource group, name, and region for your private endpoint. Vous pouvez choisir ceux que vous voulez. Ils ne doivent pas nécessairement correspondre au service de synchronisation du stockage. Vous devez simplement créer le point de terminaison privé dans la même région que le réseau virtuel dans lequel vous souhaitez créer le point de terminaison privé.These can be whatever you want, they don't have to match the Storage Sync Service in any way, although you must create the private endpoint in the same region as the virtual network you wish to create the private endpoint in.

Capture d’écran de la section De base de la fenêtre Créer un point de terminaison privé

Dans le panneau Ressource, activez la case d’option Se connecter à une ressource Azure de mon annuaire.In the Resource blade, select the radio button for Connect to an Azure resource in my directory. Sous Type de ressource, sélectionnez Microsoft.StorageSync/storageSyncServices pour le type de ressource.Under the Resource type, select Microsoft.StorageSync/storageSyncServices for the resource type.

Le panneau Configuration vous permet de sélectionner le réseau virtuel et le sous-réseau auxquels vous souhaitez ajouter votre point de terminaison privé.The Configuration blade allows you to select the specific virtual network and subnet you would like to add your private endpoint to. Sélectionnez le même réseau virtuel que celui que vous avez utilisé pour le compte de stockage ci-dessus.Select the same virtual network as the one you used for the storage account above. Le panneau Configuration contient également les informations relatives à la création et à la mise à jour de la zone DNS privée.The Configuration blade also contains the information for creating/updating the private DNS zone.

Cliquez sur Vérifier + créer pour créer le point de terminaison privé.Click Review + create to create the private endpoint.

Vous pouvez vérifier que votre point de terminaison privé a été correctement configuré en exécutant les commandes suivantes à partir de PowerShell.You can test that your private endpoint has been setup correctly by running the following commands from PowerShell.

$privateEndpointResourceGroupName = "<your-private-endpoint-resource-group>"
$privateEndpointName = "<your-private-endpoint-name>"

Get-AzPrivateEndpoint `
        -ResourceGroupName $privateEndpointResourceGroupName `
        -Name $privateEndpointName `
        -ErrorAction Stop | `
    Select-Object -ExpandProperty NetworkInterfaces | `
    Select-Object -ExpandProperty Id | `
    ForEach-Object { Get-AzNetworkInterface -ResourceId $_ } | `
    Select-Object -ExpandProperty IpConfigurations | `
    Select-Object -ExpandProperty PrivateLinkConnectionProperties | `
    Select-Object -ExpandProperty Fqdns | `
    ForEach-Object { Resolve-DnsName -Name $_ } | `
    Format-List

Si tout fonctionne correctement, vous devez voir la sortie suivante, où 192.168.1.4, 192.168.1.5, 192.168.1.6 et 192.168.1.7 sont les adresses IP privées attribuées au point de terminaison privé :If everything has worked correctly, you should see the following output where 192.168.1.4, 192.168.1.5, 192.168.1.6, and 192.168.1.7 are the private IP addresses assigned to the private endpoint:

Name     : mysssmanagement.westus2.afs.azure.net
Type     : CNAME
TTL      : 60
Section  : Answer
NameHost : mysssmanagement.westus2.privatelink.afs.azure.net


Name       : mysssmanagement.westus2.privatelink.afs.azure.net
QueryType  : A
TTL        : 60
Section    : Answer
IP4Address : 192.168.1.4

Name     : myssssyncp.westus2.afs.azure.net
Type     : CNAME
TTL      : 60
Section  : Answer
NameHost : myssssyncp.westus2.privatelink.afs.azure.net


Name       : myssssyncp.westus2.privatelink.afs.azure.net
QueryType  : A
TTL        : 60
Section    : Answer
IP4Address : 192.168.1.5

Name     : myssssyncs.westus2.afs.azure.net
Type     : CNAME
TTL      : 60
Section  : Answer
NameHost : myssssyncs.westus2.privatelink.afs.azure.net


Name       : myssssyncs.westus2.privatelink.afs.azure.net
QueryType  : A
TTL        : 60
Section    : Answer
IP4Address : 192.168.1.6

Name     : mysssmonitoring.westus2.afs.azure.net
Type     : CNAME
TTL      : 60
Section  : Answer
NameHost : mysssmonitoring.westus2.privatelink.afs.azure.net


Name       : mysssmonitoring.westus2.privatelink.afs.azure.net
QueryType  : A
TTL        : 60
Section    : Answer
IP4Address : 192.168.1.7

Limiter l’accès aux points de terminaison publicsRestrict access to the public endpoints

Vous pouvez restreindre l’accès aux points de terminaison publics du compte de stockage et du service de synchronisation du stockage.You can restrict access to the public endpoints of both the storage account and the Storage Sync Services. Restreindre l’accès au point de terminaison public fournit une sécurité supplémentaire en garantissant que les paquets réseau sont uniquement acceptés à partir des emplacements approuvés.Restrict access to the public endpoint provides additional security by ensuring that network packets are only accepted from approved locations.

Restreindre l’accès au point de terminaison public du compte de stockageRestrict access to the storage account public endpoint

Les restrictions d’accès au point de terminaison public s’effectuent à l’aide des paramètres de pare-feu du compte de stockage.Access restriction to the public endpoint is done using the storage account firewall settings. En général, la plupart des stratégies de pare-feu d’un compte de stockage limitent l’accès réseau à un ou plusieurs réseaux virtuels.In general, most firewall policies for a storage account will restrict networking access to one or more virtual networks. Il existe deux approches pour limiter l’accès d’un compte de stockage à un réseau virtuel :There are two approaches to restricting access to a storage account to a virtual network:

  • Créer un ou plusieurs points de terminaison privés pour le compte de stockage et désactiver l’accès au point de terminaison public.Create one or more private endpoints for the storage account and disable access to the public endpoint. Seul le trafic en provenance des réseaux virtuels souhaités accède alors aux partages de fichiers Azure du compte de stockage.This ensures that only traffic originating from within the desired virtual networks can access the Azure file shares within the storage account.
  • Limiter le point de terminaison public à un ou plusieurs réseaux virtuels.Restrict the public endpoint to one or more virtual networks. Cette approche s’appuie sur une fonctionnalité du réseau virtuel appelée points de terminaison de service.This works by using a capability of the virtual network called service endpoints. Quand vous limitez le trafic à un compte de stockage via un point de terminaison de service, vous continuez d’accéder au compte de stockage via l’adresse IP publique.When you restrict the traffic to a storage account via a service endpoint, you are still accessing the storage account via the public IP address.

Désactiver l’accès au point de terminaison public du compte de stockageDisable access to the storage account public endpoint

Lorsque l’accès au point de terminaison public est désactivé, le compte de stockage reste accessible via ses points de terminaison privés.When access to the public endpoint is disabled, the storage account can still be accessed through its private endpoints. Si ce n’est pas le cas, les requêtes valides envoyées au point de terminaison public du compte de stockage seront rejetées.Otherwise valid requests to the storage account's public endpoint will be rejected.

Accédez au compte de stockage pour lequel vous souhaitez limiter tous les accès au point de terminaison public.Navigate to the storage account for which you would like to restrict all access to the public endpoint. Dans la table des matières du compte de stockage, sélectionnez Réseaux.In the table of contents for the storage account, select Networking.

En haut de la page, activez la case d’option Réseaux sélectionnés.At the top of the page, select the Selected networks radio button. Cela aura pour effet d’afficher un certain nombre de paramètres permettant de contrôler la restriction du point de terminaison public.This will un-hide a number of settings for controlling the restriction of the public endpoint. Cochez la case Autoriser les services Microsoft approuvés à accéder à ce compte de service pour autoriser les services Microsoft tiers approuvés, comme Azure File Sync, à accéder au compte de stockage.Check Allow trusted Microsoft services to access this service account to allow trusted first party Microsoft services such as Azure File Sync to access the storage account.

Capture d’écran du panneau Réseaux montrant les restrictions nécessaires configuréesScreenshot of the Networking blade with the appropriate restricts in place

Limiter l’accès au point de terminaison public du compte de stockage à certains réseaux virtuelsRestrict access to the storage account public endpoint to specific virtual networks

Lorsque vous limitez l’accès au compte de stockage à certains réseaux virtuels, vous autorisez les requêtes à être envoyées au point de terminaison public à partir des réseaux virtuels spécifiés.When you restrict the storage account to specific virtual networks, you are allowing requests to the public endpoint from within the specified virtual networks. Cette approche s’appuie sur une fonctionnalité du réseau virtuel appelée points de terminaison de service.This works by using a capability of the virtual network called service endpoints. Cela peut être utilisé avec ou sans points de terminaison privés.This can be used with or without private endpoints.

Accédez au compte de stockage dont le point de terminaison public ne doit être accessible qu’à certains réseaux virtuels.Navigate to the storage account for which you would like to restrict the public endpoint to specific virtual networks. Dans la table des matières du compte de stockage, sélectionnez Réseaux.In the table of contents for the storage account, select Networking.

En haut de la page, activez la case d’option Réseaux sélectionnés.At the top of the page, select the Selected networks radio button. Cela aura pour effet d’afficher un certain nombre de paramètres permettant de contrôler la restriction du point de terminaison public.This will un-hide a number of settings for controlling the restriction of the public endpoint. Cliquez sur + Ajouter un réseau virtuel existant pour sélectionner le réseau virtuel qui doit être autorisé à accéder au compte de stockage via le point de terminaison public.Click +Add existing virtual network to select the specific virtual network that should be allowed to access the storage account via the public endpoint. Pour cela, vous devez sélectionner un réseau virtuel et un sous-réseau de ce réseau virtuel.This will require selecting a virtual network and a subnet for that virtual network.

Cochez la case Autoriser les services Microsoft approuvés à accéder à ce compte de service pour autoriser les services Microsoft tiers approuvés, comme Azure File Sync, à accéder au compte de stockage.Check Allow trusted Microsoft services to access this service account to allow trusted first party Microsoft services such as Azure File Sync to access the storage account.

Capture d’écran du panneau Réseaux, montrant un réseau virtuel autorisé à accéder au compte de stockage via le point de terminaison publicScreenshot of the Networking blade with a specific virtual network allowed to access the storage account via the public endpoint

Désactiver l’accès au point de terminaison public du service de synchronisation du stockageDisable access to the Storage Sync Service public endpoint

Azure File Sync vous permet de restreindre l’accès à des réseaux virtuels spécifiques par le biais de points de terminaison privés uniquement. Azure File Sync ne prend pas en charge les points de terminaison de service pour restreindre l’accès au point de terminaison public à des réseaux virtuels spécifiques.Azure File Sync enables you to restrict access to specific virtual networks through private endpoints only; Azure File Sync does not support service endpoints for restricting access to the public endpoint to specific virtual networks. Cela signifie que les deux états pour le point de terminaison public du service de synchronisation du stockage sont Activé et Désactivé.This means that the two states for the Storage Sync Service's public endpoint are enabled and disabled.

Cela n’est pas possible via le portail Azure.This is not possible through the Azure portal. Sélectionnez l’onglet Azure PowerShell pour obtenir des instructions sur la façon de désactiver le point de terminaison public du service de synchronisation du stockage.Please select the Azure PowerShell tab to get instructions on how to disable the Storage Sync Service public endpoint.

Azure PolicyAzure Policy

Azure Policy permet d’appliquer les normes de l’organisation et d’évaluer la conformité par rapport à ces normes à grande échelle.Azure Policy helps enforce organization standards and assess compliance against those standards at scale. Azure Files et Azure File Sync exposent plusieurs stratégies réseau d’audit et de correction utiles qui vous aident à superviser et à automatiser votre déploiement.Azure Files and Azure File Sync expose several useful audit and remediation network policies that help you monitor and automate your deployment.

Les stratégies auditent votre environnement et vous alertent si vos comptes de stockage ou services de synchronisation de stockage divergent du comportement défini,Policies audit your environment and alert you if your storage accounts or Storage Sync Services diverge from the defined behavior. par exemple si un point de terminaison public est activé alors que votre stratégie a été définie de façon à ce que les points de terminaison publics soient désactivés.For example, if a public endpoint is enabled when your policy was set to have the public endpoints disabled. Les stratégies de modification/déploiement vont au-delà et permettent de modifier de manière proactive une ressource (telle que le service de synchronisation de stockage) ou de déployer des ressources (telles que des points de terminaison privés) afin d’être en adéquation avec les stratégies.Modify/deploy policies take things a step further and proactively modify a resource (such as the Storage Sync Service) or deploy resources (such as private endpoints), to align with the policies.

Les stratégies prédéfinies suivantes sont disponibles pour Azure Files et Azure File Sync :The following pre-defined policies are available for Azure Files and Azure File Sync:

ActionAction ServiceService ConditionCondition Nom de stratégiePolicy name
AuditAudit Azure FilesAzure Files Le point de terminaison public du compte de stockage est activé.The storage account's public endpoint is enabled. Pour plus d’informations, consultez Désactiver l’accès au point de terminaison public du compte de stockage.See Disable access to the storage account public endpoint for more information. Les comptes de stockage doivent limiter l’accès réseauStorage accounts should restrict network access
AuditAudit Azure File SyncAzure File Sync Le point de terminaison public du service de synchronisation de stockage est activé.The Storage Sync Service's public endpoint is enabled. Pour plus d’informations, consultez Désactiver l’accès au point de terminaison public du service de synchronisation de stockage.See Disable access to the Storage Sync Service public endpoint for more information. L’accès au réseau public doit être désactivé pour Azure File SyncPublic network access should be disabled for Azure File Sync
AuditAudit Azure FilesAzure Files Le compte de stockage a besoin d’au moins un point de terminaison privé.The storage account needs at least one private endpoint. Pour plus d’informations, consultez Créer le point de terminaison privé du compte de stockage.See Create the storage account private endpoint for more information. Le compte de stockage doit utiliser une connexion de liaison privéeStorage account should use a private link connection
AuditAudit Azure File SyncAzure File Sync Le service de synchronisation de stockage a besoin d’au moins un point de terminaison privé.The Storage Sync Service needs at least one private endpoint. Pour plus d’informations, consultez Créer le point de terminaison privé du service de synchronisation de stockage.See Create the Storage Sync Service private endpoint for more information. Azure File Sync doit utiliser une liaison privéeAzure File Sync should use private link
ModifierModify Azure File SyncAzure File Sync Désactiver le point de terminaison public du service de synchronisation de stockage.Disable the Storage Sync Service's public endpoint. Modifier - Configurer Azure File Sync pour désactiver l’accès au réseau publicModify - Configure Azure File Sync to disable public network access
DéployerDeploy Azure File SyncAzure File Sync Déployer un point de terminaison privé pour le service de synchronisation de stockage.Deploy a private endpoint for the Storage Sync Service. Configurer Azure File Sync avec des points de terminaison privésConfigure Azure File Sync with private endpoints
DéployerDeploy Azure File SyncAzure File Sync Déployer un enregistrement A dans la zone DNS privatelink.afs.azure.net.Deploy an A record to privatelink.afs.azure.net DNS zone. Configurer Azure File Sync pour utiliser des zones DNS privéesConfigure Azure File Sync to use private DNS zones

Configurer une stratégie de déploiement de points de terminaison privéSet up a private endpoint deployment policy

Pour configurer une stratégie de déploiement de points de terminaison privé, accédez au portail Azure et recherchez Stratégie.To set up a private endpoint deployment policy, go to the Azure portal, and search for Policy. Le centre Azure Policy doit être l’un des premiers résultats.The Azure Policy center should be a top result. Accédez à Création > Définitions dans la table des matières du centre de stratégie.Navigate to Authoring > Definitions in the Policy center's table of contents. Le volet Définitions qui s’affiche contient les stratégies prédéfinies pour tous les services Azure.The resulting Definitions pane contains the pre-defined policies across all Azure services. Pour trouver la stratégie spécifique, sélectionnez la catégorie Stockage dans le filtre de catégorie, ou recherchez Configurer Azure File Sync avec des points de terminaison privés.To find the specific policy, select the Storage category in the category filter, or search for Configure Azure File Sync with private endpoints. Sélectionnez ... et Attribuer pour créer une nouvelle stratégie à partir de la définition.Select ... and Assign to create a new policy from the definition.

Le panneau Informations de base de l’Assistant Attribuer la stratégie vous permet de définir une étendue, une liste d’exclusion de ressource ou de groupe de ressources, et de donner à votre stratégie un nom convivial pour vous aider à la distinguer.The Basics blade of the Assign policy wizard enables you to set a scope, resource or resource group exclusion list, and to give your policy a friendly name to help you distinguish it. Vous n’avez pas besoin de modifier ces éléments pour que la stratégie fonctionne, mais vous pouvez le faire si vous souhaitez apporter des modifications.You don't need to modify these for the policy to work, but you can if you want to make modifications. Sélectionnez Suivant pour accéder à la page Paramètres.Select Next to advance to the Parameters page.

Dans le panneau Paramètres, sélectionnez ... en regard de la liste déroulante privateEndpointSubnetId pour sélectionner le réseau virtuel et le sous-réseau où les points de terminaison privés pour vos ressources de service de synchronisation de stockage doivent être déployés.On the Parameters blade, select the ... next to the privateEndpointSubnetId drop down list to select the virtual network and subnet where the private endpoints for your Storage Sync Service resources should be deployed. L’Assistant peut mettre plusieurs secondes à charger les réseaux virtuels disponibles dans votre abonnement.The resulting wizard may take several seconds to load the available virtual networks in your subscription. Sélectionnez le réseau/sous-réseau virtuel approprié pour votre environnement, puis cliquez sur Sélectionner.Select the appropriate virtual network/subnet for your environment and click Select. Sélectionnez Suivant pour accéder au panneau Correction.Select Next to advance to the Remediation blade.

Pour que le point de terminaison privé soit déployé quand un service de synchronisation de stockage sans point de terminaison privé est identifié, vous devez sélectionner la tâche Créer une correction dans la page Correction.In order for the private endpoint to be deployed when a Storage Sync Service without a private endpoint is identified, you must select the Create a remediation task on the Remediation page. Pour finir, sélectionnez Vérifier + créer pour passer en revue l’attribution de stratégie et Créer pour la créer.Finally, select Review + create to review the policy assignment and Create to create it.

L’attribution de stratégie résultante sera exécutée régulièrement, et risque de ne pas être exécutée immédiatement après sa création.The resulting policy assignment will be executed on a periodic basis and may not run immediately after being created.

Voir aussiSee also