Microsoft Entra ID（プレビュー）を使用して、マネージド ID で SMB Azure ファイル共有にアクセスする

Azure portalを使用して SMBOAuth プロパティを有効にして新しいstorage アカウントを作成するには、次の手順に従います。 [ 詳細設定 ] タブで、[ SMB のマネージド ID を有効にする ] チェック ボックスをオンにします。

または、storage アカウントに他の ID ソースが構成されていない限り、既存のstorage アカウントで SMBOAuth プロパティを有効にすることもできます。

storage アカウントに移動します。 サービス メニューの [設定] で [ 構成] を選択します。 [ SMB のマネージド ID] で 、[ 有効] を選択し、[保存] を選択 します。

次に、storage アカウントに SMB ファイル共有を作成します。

Azure PowerShellを使用してstorage アカウントで SMBOAuth プロパティを有効にするには、まず PowerShell 環境を準備します。

管理者として PowerShell を開き、次のコマンドを実行して PowerShell 実行ポリシーを設定します。

Set-ExecutionPolicy Unrestricted -Scope CurrentUser 

最新の PowerShellGet があることを確認します。

Install-Module PowerShellGet -Force -AllowClobber 

まだインストールされていない場合は、Az モジュールをインストールします。

Install-Module -Name Az -Repository PSGallery -Force 
Import-Module Az 

Azureにサインインします。

Connect-AzAccount

サブスクリプション ID を指定してサブスクリプションを選択します (推奨):

Set-AzContext -SubscriptionId "<subscription-ID>" 

サブスクリプション名を指定して、サブスクリプションを選択することもできます。

Set-AzContext -Subscription "<subscription-name>" 

storage アカウントを作成する

SMBOAuth を有効にして新しいstorage アカウントを作成するには、管理者として次の PowerShell コマンドを実行します。 <resource-group>、<storage-account-name>、および <region> を実際の値に置き換えます。 必要に応じて、別の SKU を指定できます。

New-AzStorageAccount -ResourceGroupName <resource-group> -Name <storage-account-name> -SkuName Standard_LRS -Location <region> -EnableSmbOAuth $true

既存のstorage アカウントで SMBOAuth を有効にするには、次の PowerShell コマンドを実行します。 <resource-group> と <storage-account-name> を実際の値に置き換えます。

Set-AzStorageAccount -ResourceGroupName <resource-group> -Name <storage-account-name> -EnableSmbOAuth $true

リソースがポリシーによって許可されていないことを示すエラーが表示された場合は、 Set-AzStorageAccountを許可しないポリシーがサブスクリプションに設定されている可能性があります。 この問題を回避するには、次のコマンドを使用して再試行します。

Set-AzStorageAccount -ResourceGroupName <resource-group> -Name <storage-account-name> -EnableSmbOAuth $true -AllowBlobPublicAccess $false

次に、storage アカウントに SMB ファイル共有を作成します。 <resource-group>、<storage-account-name>、および <file-share-name> を実際の値に置き換えます。

$storageAccount = Get-AzStorageAccount -ResourceGroupName <resource-group> -Name <storage-account-name>
New-AzStorageShare -Name <file-share-name> -Context $storageAccount.Context

これで、STORAGE アカウントとファイル共有を SMB OAuth 認証の準備ができました。 Azure portalで、storage アカウントとファイル共有が作成されたことを確認します。

ここで説明する有効化手順は、Azure VM 用です。 Azure以外の Windows マシン (オンプレミスまたは他のクラウド) でマネージド ID を有効にする場合は、マネージド ID をAzure Arcして割り当てにオンボードする必要があります。 VM または Windows デバイスでマネージド ID を使用する代わりに、アプリケーション ID を使用して認証することもできます。

Azure VM でマネージド ID を有効にする

Azure VM でマネージド ID を有効にするには、次の手順に従います。

1. Azure portalにサインインし、Windows VM を作成します。 VM は、サーバー バージョンまたは任意のWindowsクライアント バージョンに対して、Windows Server 2019以降を実行する必要があります。 Azure portalを参照してください。

2. VM でマネージド ID を有効にします。 システム割り当てまたはユーザー割り当てを指定できます。 VM にシステム割り当て ID とユーザー割り当て ID の両方がある場合、Azureは既定でシステム割り当て済みになります。 最適な結果を得るには、1 つだけ割り当てます。 VM の作成時に、[ 管理 ] タブでシステム割り当てマネージド ID を有効にすることができます。

   

マネージド ID またはアプリケーション ID に組み込みの RBAC ロールを割り当てる

マネージド ID を有効にした後、Azure RBAC を通じて必要なすべてのアクセス許可を付与します。 ロールを割り当てるには、ロールを割り当てるスコープで、ロールの割り当て書き込みアクセス許可を持つユーザーとしてサインインします。

次の手順に従って、組み込みのAzure RBAC ロールStorageファイル データ SMB MI 管理者を割り当てます。これにより、Azure Files内のファイルとディレクトリのマネージド ID に対する管理者レベルのaccessが提供されます。

1. マネージド ID を使用してマウントするファイル共有を含むstorage アカウントに移動します。 サービス メニューから Access Control (IAM) を選択します。

2. このリソースへのアクセスで、ロールの割り当てを追加を選択します。

3. Role タブの ジョブ関数ロールで、ストレージ ファイル データ SMB MI 管理者を検索して選択し、次へ を選択します。

4. Members タブの assign access to で、VM またはAzure Arc ID に対して Managed identity を選択します。 アプリケーション ID の場合は、[ ユーザー、グループ、またはサービス プリンシパル] を選択します。

5. [ メンバー] で、[ + メンバーの選択] を選択します。

6. AZURE VM またはAzure Arc ID の場合は、VM または Windows デバイスのマネージド ID を選択します。 アプリケーション ID の場合は、アプリケーション ID を検索して選択します。 [選択] をクリックします。

7. これで、[ メンバー] の下にマネージド ID またはアプリケーション ID が表示されます。 次へを選択します。

8. Review + assign を選択して、ロールの割り当てをstorage アカウントに追加します。

Azureで実行されている Linux VM でマネージド ID を構成するには、次の手順に従います。 VM は Azure Linux 3.0、Ubuntu 22.04、もしくは Ubuntu 24.04 上で実行されている必要があります。

1. Azure portalにサインインし、ユーザー割り当てマネージド ID を作成します。

2. 先ほど作成したマネージド ID に移動し、 クライアント ID をコピーします。 この値はのちほど使用します。

3. マネージド ID を使用してマウントするファイル共有を含むstorage アカウントに移動します。 サービス メニューから Access Control (IAM) を選択します。

4. このリソースへのアクセスで、ロールの割り当てを追加を選択します。

5. Role タブの ジョブ関数ロールで、ストレージ ファイル データ SMB MI 管理者を検索して選択し、次へ を選択します。

6. [Members タブの Assign access to で、Managed identity を選択します。

7. [ メンバー] で、[ + メンバーの選択] を選択します。 [ マネージド ID の選択 ] ウィンドウが表示されます。

8. [ マネージド ID] で、作成したユーザー割り当てマネージド ID を選択し、[ 選択] をクリックします。

9. [ メンバー] の下にマネージド ID が表示されます。 次へを選択します。

10. Review + assign を選択して、ロールの割り当てをstorage アカウントに追加します。

11. VM に移動します。 サービス メニューの [ セキュリティ] で 、[ ID] を選択します。

12. [ ユーザー割り当て ] タブを選択し、[ ユーザー割り当てマネージド ID の追加] を選択します。 作成したユーザー割り当てマネージド ID を選択し、[ 追加] を選択します。

マネージド ID を使用して認証するようにクライアント VM またはWindows デバイスを準備するには、次の手順に従います。

1. マネージド ID が割り当てられている VM またはデバイスにサインインし、管理者として PowerShell ウィンドウを開きます。 PowerShell 5.1 以降または PowerShell 7 以降が必要です。

2. Azure Files SMB マネージド ID クライアント PowerShell モジュールをインストールしてインポートします。

   Install-Module AzFilesSmbMIClient 
   Import-Module AzFilesSmbMIClient 
   

3. 次のコマンドを実行して、現在の PowerShell 実行ポリシーを確認します。

   Get-ExecutionPolicy -List 
   

   CurrentUser の実行ポリシーが Restricted または Undefined の場合は、 RemoteSigned に変更します。 実行ポリシーが RemoteSigned、 Default、 AllSigned、 Bypass、または Unrestricted の場合は、この手順をスキップできます。

   Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser 
   

認証資格情報を更新する

マネージド ID を使用してファイル共有をマウントする前に、認証資格情報を更新し、storage アカウント エンドポイントを指定します。 storage アカウント URI をコピーするには、Azure portalのstorage アカウントに移動し、サービス メニューから Settings>Endpoints を選択します。 末尾のスラッシュを含む URI 全体をコピーしてください: https://<storage-account-name>.file.core.windows.net/

AzFilesSmbMIClient.exe refresh --uri https://<storage-account-name>.file.core.windows.net/

このコマンドは、OAuth トークンを取得し、Kerberos キャッシュに挿入します。 トークンの有効期限が近づくと、自動更新されます。 必要に応じて、 refreshを省略できます。

Windows VM にユーザー割り当てマネージド ID とシステム割り当てマネージド ID の両方が構成されている場合は、次のコマンドを使用して、ユーザー割り当てマネージド ID を指定します。 <client-id>をマネージド ID のクライアント ID に置き換えます。

AzFilesSmbMIClient.exe refresh --uri https://<storage-account-name>.file.core.windows.net/ --clientId <client-id> 

マネージド ID を使用して認証するように Linux VM を準備するには、次の手順に従います。

認証パッケージをダウンロードしてインストールする

パッケージの場所とインストール手順は、Linux ディストリビューションによって異なります。

Azure Linux 3.0

次のコマンドを実行して、Azure Linux 3.0 に azfilesauth をインストールします。

tdnf update 
tdnf install azfilesauth

Ubuntu 22.04

次のコマンドを実行して、Ubuntu 22.04 に azfilesauth をインストールします。

curl -sSL -O https://packages.microsoft.com/config/ubuntu/22.04/packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
rm packages-microsoft-prod.deb
# the above steps update the sources.list
sudo apt-get update
sudo apt-get install -y azfilesauth

Ubuntu 24.04

次のコマンドを実行して、Ubuntu 24.04 に azfilesauth をインストールします。

curl -sSL -O https://packages.microsoft.com/config/ubuntu/24.04/packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
rm packages-microsoft-prod.deb
# the above steps update the sources.list
sudo apt-get update
sudo apt-get install -y azfilesauth

認証を構成する

Linux で認証を構成するには、次の 2 つのオプションがあります。

• VM マネージド ID を使用します。 VM にユーザー割り当てマネージド ID が割り当てられている場合は、このオプションを選択します。
• OAuth トークンを直接指定する: OAuth トークンを自分で管理する場合は、このオプションを選択します。

オプション 1: VM マネージド ID を使用する

VM にユーザー割り当てマネージド ID がある場合は、次のコマンドを実行します。 <client-id>は、マネージド ID のクライアント ID に置き換えてください。 クライアント ID がない場合は、マネージド ID に移動し、クライアント ID をコピーします。

# Get a token from the Azure Instance Metadata Service (IMDS) and store it automatically
sudo azfilesauthmanager set https://<storage_account>.file.core.windows.net --imds-client-id <client-id>
# Verify the ticket was created properly
sudo azfilesauthmanager list

オプション 2: OAuth トークンを直接指定する

トークンを自分で管理している場合は、OAuth トークンを直接指定します。 トークンの aud (対象ユーザー) 値は、ファイル共有をマウントするためにhttps://storage.azure.comではなく、https://storage.azure.com/ (末尾のスラッシュなし) である必要があります。

次のコマンドを実行し、<storage-account-name> と <access-token> を実際の値に置き換えます。

# Insert the token into your credential cache
sudo azfilesauthmanager set https://<storage-account-name>.file.core.windows.net <access-token> 
# Verify the ticket is properly stored
sudo azfilesauthmanager list

Windows クライアントでは、次のパスを Windows File Explorerに入力することで、UNC パスを使用してAzure ファイル共有を直接accessできます。 <storage-account-name>をstorageアカウント名に置き換え、<file-share-name>をファイル共有名に置き換えます。

\\<storage-account-name>.file.core.windows.net\<file-share-name>

詳細については、「 Windows での SMB Azure ファイル共有のマウントを参照してください。

次のコマンドを実行して、推奨されるマウント オプションを使用してファイル共有をマウントします。 <storage-account-name>をstorageアカウント名に置き換え、<file-share-name>をファイル共有名に置き換えます。 資格情報 ID は、次の構成ファイルにあります。 cat /etc/azfilesauth/config.yaml

sudo mount -t cifs //<storage-account-name>.file.core.windows.net/<file-share-name> /mnt/smb -o sec=krb5,cruid=<credential-id>,dir_mode=0755,file_mode=0755,serverino,nosharesock,mfsymlinks,actimeo=30

マウントが成功したことを確認します。

ls -la /mnt/smb

詳細については、「 Linux クライアントでの SMB Azure ファイル共有のマウントを参照してください。

資格情報を更新する

ファイル共有を初めてマウントした後、更新サービスを開始して資格情報を最新の状態に保ちます。 資格情報を更新できるのは、VM にユーザー割り当てマネージド ID が割り当てられている場合のみです。 OAuth トークンを直接指定している場合、更新は機能しません。

sudo systemctl start azfilesauth

access中断を回避するには、資格情報を定期的に更新する必要があります。 「azfilesauthmanager set」の説明に従って コマンドを使用して資格情報を手動で更新することも、共有ライブラリ API を使用して更新を自動化することもできます。

Windowsにファイル共有をマウントするときに問題が発生した場合は、次の手順に従って詳細ログを有効にし、診断情報を収集します。

1. Windows クライアントでは、レジストリ エディターを使用して、verbosity の Data レベルを の場合は 0x00000004 (4) に設定します。

2. 共有をもう一度マウントして、エラーを再現してください。

3. これで、 AzFilesSmbMILog.logという名前のファイルが作成されます。 ログ ファイルを azurefilespm@microsoft.com に送信して支援を受けてください。

Linux でファイル共有をマウントするときに問題が発生した場合は、の SMB 診断手順に従ってください。

マネージド ID を Windows アプリケーションに統合する必要がある開発者は、アプリケーションのアーキテクチャと要件に応じて複数の実装方法を使用できます。

マネージド アセンブリ統合: NuGet パッケージ

.NET アプリケーションの場合、Microsoft.Azure。AzFilesSmbMI NuGet パッケージには、SMB OAuth 認証機能に直接accessを提供するマネージド アセンブリ (Microsoft.Azure.AzFilesSmbMI.dll) が含まれています。 このアプローチは、C# やその他の.NET ベースのアプリケーションに使用します。

インストール: Install-Package Microsoft.Azure.AzFilesSmbMI -version 1.2.3168.94

DLL のネイティブ統合

ダイレクト API accessを必要とするネイティブ アプリケーションの場合、AzFilesSmbMIClient は native DLL として使用できます。 このオプションは、下位レベルの統合を必要とする C/C++ アプリケーションまたはシステムに特に役立ちます。 Windows の実装および API リファレンス (ネイティブ ヘッダー ファイル) を参照してください。

ネイティブ API メソッド

ネイティブ DLL は、資格情報管理のために次の主要な方法をエクスポートします。

extern "C" AZFILESSMBMI_API HRESULT SmbSetCredential( 
    _In_  PCWSTR pwszFileEndpointUri, 
    _In_  PCWSTR pwszOauthToken, 
    _In_  PCWSTR pwszClientID, 
    _Out_ PDWORD pdwCredentialExpiresInSeconds 
); 
extern "C" AZFILESSMBMI_API HRESULT SmbRefreshCredential( 
    _In_ PCWSTR pwszFileEndpointUri, 
    _In_ PCWSTR pwszClientID 
); 
extern "C" AZFILESSMBMI_API HRESULT SmbClearCredential( 
    _In_ PCWSTR pwszFileEndpointUri 
); 

Linux 開発者は、azfilesauth パッケージと共に自動的にインストールされる共有ライブラリを使用できます。 CとC++アプリケーションで直接APIアクセスを行うために、ライブラリにリンクできます。

必ず public ヘッダーを含めます。

詳細については、AzFilesAuthenticator projectを参照してください。

共有ライブラリ API メソッド

共有ライブラリは、資格情報管理のために次の主要な方法をエクスポートします。

#ifdef __cplusplus
extern "C" {
#endif

int extern_smb_set_credential_oauth_token(char* file_endpoint_uri,
                                                char* auth_token,
                                                unsigned int* credential_expires_in_seconds);

int extern_smb_clear_credential(char* file_endpoint_uri);

int extern_smb_list_credential(bool is_json);

const char* extern_smb_version();

#ifdef __cplusplus
}
#endif

API の説明

次の表に、API コマンドとその使用方法を示します。 返される値は、標準の C 規則に従います (成功の場合は 0、エラーの場合は 0 以外)。