適用対象: ✔️ SMB ファイル共有
この記事では、オンプレミスまたはAzureで ID ベースの認証を使用して、サーバー メッセージ ブロック (SMB) プロトコル経由のAzure Filesへの ID ベースのアクセスを有効にする方法について説明します。 Windowsファイル サーバーと同様に、共有、ディレクトリ、またはファイル レベルで ID にアクセス許可を付与できます。 ストレージ アカウントで ID ベースの認証を有効にするための追加のサービス料金はありません。
Azure Filesでは、Windows、
重要
セキュリティ上の理由から、ID ベースの認証を使用して、ストレージ アカウント キーではなくファイル共有にアクセスします。 ストレージ アカウント キーを共有しないでください。
しくみ
Azure Filesは、Kerberos プロトコルを使用して ID ソースで認証します。 クライアントで実行されているユーザーまたはアプリケーションに関連付けられている ID がAzure Files内のデータにアクセスしようとすると、ID を認証するための要求が ID ソースに送信されます。 認証が成功した場合、ID ソースは Kerberos チケットを返します。 その後、クライアントは Kerberos チケットを含む要求を送信し、Azure Filesはそのチケットを使用して要求を承認します。 Azure Files サービスは Kerberos チケットのみを受け取り、ユーザーのアクセス資格情報は受け取りません。
一般的なユース ケース
SMB Azure ファイル共有を使用した ID ベースの認証は、さまざまなシナリオで役立ちます。
オンプレミスのファイル サーバーの置換
オンプレミスの分散したファイル サーバーの置き換えは、IT の最新化の過程で組織が直面する課題です。 Azure Filesで ID ベースの認証を使用すると、シームレスな移行エクスペリエンスが提供され、エンド ユーザーは同じ資格情報でデータに引き続きアクセスできます。
アプリケーションをAzureにリフトアンドシフトする
アプリケーションをクラウドにリフトアンドシフトするときは、ファイル共有アクセスに同じ認証モデルを維持することが必要な場合があります。 ID ベースの認証を使うと、ディレクトリ サービスを変更する必要がなくなり、クラウドを迅速に導入できます。
バックアップとディザスター リカバリー (DR)
プライマリ ファイル ストレージをオンプレミスに保持する場合、Azure Filesは、ビジネス継続性を向上させるためのバックアップと DR に最適なソリューションです。 Azureファイル共有を使用すると、任意のアクセス制御リスト (DACL) を保持しながらWindowsファイル サーバーをバックアップできます。 DR シナリオでは、フェールオーバー時の適切なアクセス制御の適用をサポートする認証オプションを構成できます。
ストレージ アカウントの ID ソースを選択する
ストレージ アカウントで ID ベースの認証を有効にする前に、使用する ID ソースを決定します。 ほとんどの企業や組織では、何らかの種類のドメイン環境が構成されているため、既に構成されている可能性があります。 確認するには、Active Directory (AD) または IT 管理者に問い合わせてください。 ID ソースがまだない場合は、ID ベースの認証を有効にする前に、ID ソースを構成する必要があります。
サポートされる認証シナリオ
SMB 経由の ID ベースの認証を有効にするには、オンプレミス Active Directory Domain Services (AD DS)、Microsoft Entra Domain Services、または Microsoft Entra Kerberos のいずれかの ID ソースを使用します。 ストレージ アカウントごとにファイル アクセス認証に使用できる ID ソースは 1 つだけで、アカウント内のすべてのファイル共有に適用されます。
オンプレミス AD DS: ストレージ アカウントは、オンプレミスの AD DS に参加します。 AD DS の ID は、ドメインに参加しているクライアントまたはドメイン コントローラーへの接続が中断されないクライアントから SMB Azure ファイル共有に安全にアクセスできます。 オンプレミスの AD DS 環境は、Microsoft Entra Connect アプリケーションまたは Microsoft Entra Connect クラウド同期 を使用して Microsoft Entra ID に同期する必要があります。Microsoft Entra Connect クラウド同期 は、Microsoft Entra管理センターからインストール可能な軽量エージェントです。 すべての前提条件の一覧をご覧ください。
Microsoft Entra Kerberos: Microsoft Entra ID を使用して hybrid またはクラウド専用 ID (プレビュー) を認証し、エンド ユーザーがAzureファイル共有にアクセスできるようにします。 ハイブリッド ID を認証する場合は、既存の AD DS 展開が必要です。その後、Microsoft Entra テナントと同期します。 前提条件を参照してください。
Microsoft Entra Domain Services: Microsoft Entra Domain Services に参加しているクラウドベースの VM は、Microsoft Entra資格情報Azureファイル共有にアクセスできます。 このソリューションでは、Microsoft Entra IDは、顧客のMicrosoft Entra テナントの子である従来の Windows Server AD ドメインを実行します。 前提条件を参照してください。
次のガイドラインを使って、選ぶ ID ソースを決めてください。
組織に既にon-premises Active Directoryがあり、ID をクラウドに移動する準備ができていない場合、クライアント、VM、アプリケーションがドメインに参加しているか、ドメイン コントローラーへのネットワーク接続が妨げられていない場合は、AD DS を選択します。
一部またはすべてのクライアントが AD DS へのネットワーク接続に制限がある場合、または Microsoft Entra に参加している VM に対して Azure ファイル共有に FSLogix プロファイルを格納している場合は、Microsoft Entra 用 Kerberos を選択します。
既存のon-premises Active Directoryがあるが、アプリケーションをクラウドに移行する予定で、ID をオンプレミスとクラウド (ハイブリッド) の両方に存在させる場合は、Kerberos Microsoft Entra選択します。
ドメイン コントローラーを使用せずにクラウド専用 ID を認証する場合は、Kerberos Microsoft Entra選択します。 現在、この機能はプレビュー段階にあります。
既に Microsoft Entra Domain Services を使用している場合は、ID ソースとして Microsoft Entra Domain Services を選択します。
ID ソースを有効にする
ID ソースを選択したら、ストレージ アカウントで有効にします。
AD DS
AD DS 認証では、AZURE VM またはオンプレミスで AD ドメイン コントローラーをホストできます。 いずれの場合も、クライアントはドメイン コントローラーへのネットワーク接続を妨げないようにする必要があります。そのため、クライアントはドメイン サービスの企業ネットワークまたは仮想ネットワーク (VNET) 内に存在する必要があります。 ユーザーが共有にアクセスするたびに明示的な資格情報を指定する必要がないように、クライアント コンピューターまたは VM をドメイン参加することをお勧めします。
次の図は、SMB 経由で Azure ファイル共有へのオンプレミスの AD DS 認証を表しています。 オンプレミスの AD DS は、Microsoft Entra Connect Sync または Microsoft Entra Connect クラウド同期を使用してMicrosoft Entra IDに同期する必要があります。オンプレミスの AD DS とMicrosoft Entra IDの両方に存在するhybrid ユーザー ID のみを認証し、Azureファイル共有アクセスを承認できます。 これは、共有レベルのアクセス許可が Microsoft Entra ID で表される ID に対して構成されているのに対し、ディレクトリ/ファイル レベルのアクセス許可は AD DS で適用されるためです。 同じハイブリッド ユーザーに対してアクセス許可を正しく構成するようにしてください。
AD DS 認証を有効にするには、最初に Overview - Azure ファイル共有に対する SMB 経由のオンプレミスのActive Directory Domain Services認証を読み取り、 Azure ファイル共有に対する AD DS 認証を有効にする> を参照してください。
Microsoft Entra Kerberos
Entra ID を有効にして、hybrid またはクラウド専用 ID (プレビュー) を認証するように構成することで、Entra ユーザーは Kerberos 認証を使用してAzureファイル共有にアクセスできます。 この構成では、Entra ID を使用して Kerberos チケットを発行し、業界標準の SMB プロトコルを使用してファイル共有にアクセスします。 つまり、エンド ユーザーは、ドメイン コントローラーへのネットワーク接続を必要とせずに、Azureファイル共有にアクセスできます。
重要
Entra Kerberos を使用してハイブリッド ID を認証するには、従来の AD DS デプロイが必要です。 Microsoft Entra Connect Sync または Microsoft Entra Connect クラウド同期を使用して、Entra ID に同期する必要があります。クライアントは、Entra 参加済みまたは Microsoft Entra ハイブリッド参加済みである必要があります。
次の図は、SMB 経由のハイブリッド (つまり、クラウド専用ではない) ID に対する Entra Kerberos 認証のワークフローを示しています。
詳細については、「Azure Files 上で Microsoft Entra Kerberos 認証を有効にする」を参照してください。
この機能を使用して、Entra 参加済み VM のAzureファイル共有にFSLogixプロファイルを格納することもできます。 詳細については、Microsoft Entra ID を使用した Azure Files 上の FSLogix プロファイル コンテナーの保存を参照してください。
Microsoft Entra Domain Services
Microsoft Entra Domain Services 認証の場合は、Microsoft Entra Domain Services を有効にし、Kerberos 認証を使用して Azure ファイル共有機能にアクセスする仮想マシンをドメインに参加させる必要があります。 これらの仮想マシンには、Microsoft Entra Domain Services マネージド ドメインへのネットワーク接続が必要です。
認証フローはオンプレミスの AD DS 認証に似ていますが、次の違いがあります。
- このプロセスでは、有効化中にストレージ アカウント ID が自動的に作成されます。
- すべての Entra ID ユーザーは、認証と承認を受けることができます。 ユーザーは、クラウドのみでもハイブリッドでもかまいません。 プラットフォームは、Entra ID から Domain Services へのユーザー同期を管理します。
Microsoft Entra Domain Services のアクセス要件
ドメイン サービス認証を使用して認証するには、クライアントが次の要件を満たしている必要があります。
- Kerberos 認証では、クライアントが Domain Services マネージド ドメインにドメインに参加している必要があります。
- Azure以外のクライアントは、Domain Services マネージド ドメインにドメイン参加できません。
- ドメインに参加していないクライアントは、明示的な資格情報を使用してAzureファイル共有に引き続きアクセスできます。これは、クライアントがドメイン サービス ドメイン コントローラー (VPN やその他のサポートされている接続など) へのネットワーク接続が妨げられていない場合のみです。
詳細については、「Azure Files での