ストレージ アカウントでの ID ベースの認証 にどの ID ソースを選択するかに関係なく、承認とアクセス制御を構成する必要があります。 Azure Files では、共有レベルとディレクトリやファイル レベルの両方で、ユーザー アクセスに認可が適用されます。
Azure RBAC で管理されている Microsoft Entra ユーザーまたはグループに共有レベルのアクセス許可を割り当てることができます。 Azure RBAC では、ファイル アクセスに使用できる資格情報を使用可能にするか、または Microsoft Entra ID に同期する必要があります。 Microsoft Entra ID 内のユーザーまたはグループに記憶域ファイル データの SMB 共有の閲覧者などの Azure 組み込みロールを割り当てて、ファイル共有へのアクセスを許可できます。
ディレクトリやファイルのレベルでは、Azure Files は Windows ACL の維持、継承、適用をサポートしています。 既存のファイル共有と Azure ファイル共有の間で SMB 経由でデータをコピーするとき、Windows ACL を維持することを選択できます。 承認を適用するかどうかにかかわらず、Azure ファイル共有を利用し、データと共に ACL をバックアップできます。
共有レベルのアクセス許可を構成する
ストレージ アカウントで ID ソースを有効にした後、ファイル共有にアクセスするには、次のいずれかを行う必要があります。
- 認証されたすべてのユーザーとグループに適用される既定の共有レベルのアクセス許可を設定する
- 組み込みの Azure RBAC ロールをユーザーとグループに割り当てる。または
- Microsoft Entra ID のカスタム ロールを構成し、ストレージ アカウント内のファイル共有へのアクセス権を割り当てる。
割り当てられた共有レベルのアクセス許可では、付与された ID は共有のみにアクセスできます。それ以外には、ルート ディレクトリであってもアクセスできません。 その場合でも、ディレクトリとファイル レベルのアクセス許可を別に構成する必要があります。
注
コンピューター アカウントは Microsoft Entra ID 内の ID に同期できないため、Azure RBAC を使ってコンピューター アカウント (マシン アカウント) に共有レベルのアクセス許可を割り当てることはできません。 ID ベースの認証を使ってコンピューター アカウントから Azure ファイル共有へのアクセスを許可する場合は、既定の共有レベルのアクセス許可を使うか、代わりにサービス ログオン アカウントを使うことを検討してください。
ディレクトリとファイル レベルのアクセス許可を構成する
Azure ファイル共有では、ルート ディレクトリを含む、ディレクトリとファイルの両方のレベルで、標準の Windows ACL が適用されます。 ディレクトリ レベルまたはファイル レベルの権限の構成は、SMB 経由および REST 経由での構成がサポートされています。 VM 上で対象のファイル共有をマウントし、Windows のエクスプローラー、Windows の icacls または Set-ACL コマンドを使用して権限を構成します。
Azure Files にデータをインポートするときに、ディレクトリとファイルの ACL を維持する
Azure Files では、Azure ファイル共有にデータをコピーするときに、ディレクトリまたはファイル レベルの ACL の維持がサポートされています。 Azure File Sync または一般的なファイル移動ツールセットを使用して、ディレクトリまたはファイルの ACL を Azure ファイル共有にコピーできます。 たとえば、robocopy を /copy:s フラグと共に使用して、Azure ファイル共有にデータや ACL をコピーすることができます。 ACL は既定で保持されるので、ACL を保持するために、ストレージ アカウントで ID ベースの認証を有効にする必要はありません。
次のステップ
詳細については、以下を参照してください。