適用対象: ✔️ SMB ファイル共有
ストレージ アカウントで ID ベースの認証 を選択する ID ソースに関係なく、承認とアクセス制御を構成する必要があります。 Azure Files では、共有レベルとディレクトリ/ファイル レベルの両方でユーザー アクセスに対する承認が適用されます。
Azure RBAC で管理されている Microsoft Entra ユーザーまたはグループに共有レベルのアクセス許可を割り当てることができます。 Azure RBAC では、ファイル アクセスに使用できる資格情報を使用可能にするか、または Microsoft Entra ID に同期する必要があります。 Microsoft Entra ID 内のユーザーまたはグループに記憶域ファイル データの SMB 共有の閲覧者などの Azure 組み込みロールを割り当てて、ファイル共有へのアクセスを許可できます。
ディレクトリとファイル レベルでは、Azure Files では Windows ACL の保持、継承、および適用がサポートされています。 既存のファイル共有と Azure ファイル共有の間で SMB 経由でデータをコピーするとき、Windows ACL を維持することを選択できます。 承認の適用を計画しているかどうかにかかわらず、Azure Files を使用して、データと共に ACL をバックアップできます。
共有レベルのアクセス許可を構成する
ストレージ アカウントで ID ソースを有効にした後、ファイル共有にアクセスするには、次のいずれかの操作を行う必要があります。
- 認証されたすべてのユーザーとグループに適用される 既定の共有レベルのアクセス許可 を設定します。
- 組み込みの Azure RBAC ロールをユーザーとグループに割り当てます。
- Entra ID のカスタム ロールを構成し、ストレージ アカウントのファイル共有にアクセス権を割り当てます。
割り当てられた共有レベルのアクセス許可は、ルート ディレクトリだけでなく、共有にのみ ID アクセスを許可します。それ以外のアクセス許可は付与されません。 その場合でも、ディレクトリとファイル レベルのアクセス許可を別に構成する必要があります。
詳細については、「 共有レベルのアクセス許可を割り当てる」を参照してください。
注
コンピューター アカウントは Microsoft Entra ID の ID と同期できないため、Azure RBAC を使用してコンピューター アカウント (マシン アカウント) に共有レベルのアクセス許可を割り当てることはできません。 コンピューター アカウントが ID ベースの認証を使用して Azure ファイル共有にアクセスできるようにする場合は、既定の 共有レベルのアクセス許可を使用 するか、代わりにサービス ログオン アカウントの使用を検討してください。
ディレクトリとファイル レベルのアクセス許可を構成する
Azure Files では、ルート ディレクトリを含め、ディレクトリレベルとファイル レベルの両方で標準の Windows ACL が適用されます。 SMB と REST の両方に対してディレクトリまたはファイル レベルのアクセス許可を構成できます。
詳細については、「 ディレクトリとファイル レベルのアクセス許可を構成する」を参照してください。
Azure Files にデータをインポートするときに、ディレクトリとファイルの ACL を維持する
Azure Files では、Azure ファイル共有にデータをコピーするときに、ディレクトリまたはファイル レベルの ACL の維持がサポートされています。 Azure File Sync または一般的なファイル移動ツールセットを使用して、ディレクトリまたはファイルの ACL を Azure ファイル共有にコピーできます。 たとえば、robocopy を /copy:s フラグと共に使用して、Azure ファイル共有にデータや ACL をコピーすることができます。 ACL は既定で保持されるので、ACL を保持するために、ストレージ アカウントで ID ベースの認証を有効にする必要はありません。
次のステップ
詳細については、以下を参照してください。