次の方法で共有

Azure portal でファイルデータへのアクセスを承認する方法を選択する

適用対象: ✔️ SMB ファイル共有

Azure portal を使用してファイル データをaccessすると、ポータルはバックグラウンドでAzure Files サービスに要求を行います。 これらの要求は、Microsoft Entra アカウント (推奨) または storage アカウント access キー (安全性が低い) のいずれかを使用して承認できます。 ポータルには、使用している方法が表示され、適切なアクセス許可がある場合は、2 つの方法を切り替えることができます。 既定では、ポータルでは、すべてのファイル共有を承認するために既に使用している方法が使用されますが、個々のファイル共有操作に対してこの設定を変更できます。

重要

この記事では、Azure portal内のファイルデータへのアクセスを承認する方法について説明します。 エンド ユーザーのファイル共有に対して ID ベースの認証を設定する方法については説明しません。 ID ベースの認証の詳細については、「Azure Files ID ベースの認証の概要」を参照>。

Warnung

storageアカウント キーを使用してファイル共有にアクセスすると、固有のセキュリティ リスクがあります。 可能であれば、Microsoft Entra を使用して常に認証を行います。 キーを保護および管理する方法については、「Manage storage account access keys」を参照>。

ファイルデータにアクセスするために必要なアクセス権限

Azure portalでファイル データへのアクセスを承認する方法に応じて、特定の権限が必要です。 ほとんどの場合、これらのアクセス許可は、Azure ロールベースのaccess control (Azure RBAC) を使用して取得します。

Entra アカウントを使用してAzure portalからファイル データをaccessするには、次のステートメントの両方が true である必要があります。

  • 組み込みのロールまたはカスタムロールが割り当てられ、ファイルデータへのアクセス権が与えられます。
  • Azure Resource Manager Reader ロールが、最低でもストレージ アカウントのレベルまたはそれ以上の範囲で割り当てられています。 Reader ロールは、最も制限されたアクセス許可を付与しますが、storageアカウント管理リソースにaccessを付与する別のAzure Resource Manager ロールも許容されます。

Azure Resource Manager Reader ロールは、ユーザーにストレージ アカウント リソースを表示することを許可しますが、変更することはできません。 Azure Storage内のデータに対する読み取りアクセス許可は提供されませんが、アカウント管理リソースに対してのみアクセスできます。 ユーザーがAzure portalのファイル共有に移動できるようにするには、Reader ロールが必要です。

2 つの組み込みロールには、OAuth を使用してファイル データをaccessするために必要なアクセス許可があります。

ファイル データへのアクセスをサポートする組み込みロールの詳細については、Microsoft Entra ID を使用して Azure Files OAuth で REST を通じて Azure ファイル共有にアクセスする方法を参照してください。

Storage ファイル データ特権付き共同作成者 ロールには、Azure ファイル共有内のファイルとディレクトリに対する ACL/NTFS アクセス許可の読み取り、書き込み、削除、および変更を行う権限があります。 AZURE PORTALでは、ACL/NTFS アクセス許可の変更はサポートされていません。

カスタム ロールは、組み込みロールによって提供される同じアクセス許可のさまざまな組み合わせをサポートできます。 詳細については、「Azureカスタム ロールおよびAzure リソースのロール定義の管理を参照してください。

ストレージ アカウント アクセス キーを使用してファイル データにアクセスするには、Microsoft.Storage/storageAccounts/listkeys/action Azure RBAC アクションを含む Azure ロールが割り当てられている必要があります。 このAzureロールには、組み込みロールまたはカスタム ロールを指定できます。 Microsoft をサポートする組み込みロール。Storage/storageAccounts/listkeys/actionには、次の内容が含まれます。アクセス許可が最小から最大の順に表示されます。

Azure ポータルでファイル データにアクセスしようとする際、ポータルはまず、Microsoft.Storage/storageAccounts/listkeys/action の権限を持つロールがあるかどうかを確認します。 このアクションを持つロールがある場合、ポータルはファイル データにアクセスするために storage アカウント キーを使用します。 このアクションに関連する役割がない場合、ポータルは Entra アカウントを使用してデータへのアクセスを試みます。

重要

Resource Manager ReadOnly ロックを使用してstorage アカウントをロックする場合、そのstorage アカウントに対して List Keys 操作を実行することはできません。 キーの一覧表示は POST 操作であり、アカウントに対して ReadOnly ロックが構成されている場合、すべての POST 操作が禁止されます。 このため、ReadOnly ロックを使用してアカウントをロックする場合は、Entra の資格情報を用いてポータルでファイル データにアクセスする必要があります。 Microsoft Entra IDを使用してAzure portal内のファイル データにアクセスする方法については、「 Microsoft Entra アカウントの使用」を参照してください。

従来のサブスクリプション管理者ロールService Administrator および Co-Administrator には、Azure Resource Manager Owner ロールと同等のものが含まれます。 Owner ロールには、Microsoft.Storage/storageAccounts/listkeys/action アクションを含むすべてのアクションが含まれているため、これらの管理者ロールのいずれかを持つユーザーは、ストレージ アカウント キーを使用してファイル データにアクセスすることもできます。 詳細については、「Azure ロール、Microsoft Entra ロール、クラシック サブスクリプション管理者ロールを参照してください。

特定のファイル共有に対する操作を承認する方法を指定する

個々のファイル共有の認証方法を変更できます。 既定では、ポータルは現在の認証方法を使用します。 現在の認証方法を確認するには、次の手順に従います。

  1. Azure portalでstorage アカウントに移動します。
  2. サービス メニューの Data storage で、File shares を選択します。
  3. ファイル共有を選択します。
  4. を選択し、を参照します。
  5. Authentication メソッドは、ファイル共有操作の認証と承認に、ストレージ アカウントのアクセスキーまたはEntra アカウントのどちらを使用しているかを示します。 現在、storage アカウントのaccess キーを使用して認証を行っている場合は、次の図に示すように、認証方法として Access Key が指定されています。 Entra アカウントを使用して認証を行っている場合は、代わりに Microsoft Entra ユーザー アカウント が指定されていることがわかります。

認証方法がアクセスキーに設定されていることを示すスクリーンショット

Entra アカウントの使用に切り替えるには、 Microsoft Entra ユーザー アカウントに切り替えるという画像で強調表示されているリンクを選択します。 割り当てられているAzureロールを通じて適切なアクセス許可がある場合は、続行できます。 ただし、必要なアクセス許可がない場合は、Entra ID を持つユーザー アカウントを使用してデータを一覧表示するアクセス許可がないことを示すエラー メッセージが表示されます。

Entra アカウントを使用するには、次の 2 つの追加の RBAC アクセス許可が必要です。

  • Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
  • Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action

Entra アカウントに表示する権限がない場合、一覧にファイル共有が表示されません。

アカウントアクセスキーの使用に切り替えるには、Switch to access key.というリンクを選択します。ストレージアカウントキーにアクセスできる場合は、続行できます。 ただし、アカウント キーにaccessがない場合は、access キーを使用してデータを一覧表示するアクセス許可がないことを示すエラー メッセージが表示されます。

storage アカウントのaccess キーにaccessがない場合、ファイル共有は一覧に表示されません。

Azure ポータルでの Microsoft Entra 認証のデフォルト設定

新しいstorage アカウントを作成するときに、ユーザーがファイル データに移動したときに、Azure portalが既定で Entra ID による承認に設定されることを指定できます。 既存のstorage アカウントに対してこの設定を構成することもできます。 この設定では、既定の承認方法のみを指定します。 ユーザーはこの設定を上書きし、ストレージ アカウント キーを使用してデータアクセスを許可することを選択できます。

ストレージ アカウントを作成するときに、データ アクセスに対してポータルで既定で Entra 承認を使用するよう指定するには、次の手順を実行します。

  1. storage アカウントの作成の手順に従って、新しいstorage アカウントを作成します。

  2. Advanced タブの Security セクションで、Azure ポータルで Microsoft Entra 承認を既定にする の横にあるチェック ボックスをオンにします。

    新しいアカウントのAzure portalで既定の Microsoft Entra 承認を構成する方法を示すスクリーンショット。

  3. Review + create を選択して検証を実行し、storage アカウントを作成します。

既存のstorage アカウントのこの設定を更新するには、次の手順に従います。

  1. Azure portalのstorage アカウントの概要に移動します。
  2. [設定] の下で [構成] を選択します。
  3. Microsoft Entra 承認を Azure ポータルでDefault に設定し、Enabled に設定します。

関連項目

  • Last updated on