Azure Files では、次の方法で Kerberos 認証プロトコルを使用したサーバー メッセージ ブロック (SMB) 経由の Windows ファイル共有の ID ベース認証がサポートされています。
- オンプレミス Active Directory Domain Services (AD DS)
- Microsoft Entra Domain Services
- ハイブリッド ユーザー ID 用の Microsoft Entra Kerberos
認証のための適切な AD ソースを選択するために、「しくみ」のセクションを確認することを強くお勧めします。 設定は、選択するドメイン サービスによって異なります。 この記事では、Azure ファイル共有での認証用にオンプレミス AD DS を有効にして構成する方法に重点を置いて説明します。
Azure Files を初めて使用する場合は、計画ガイドに目を通すことをお勧めします。
適用対象
| 管理モデル | 課金モデル | メディア階層 | 冗長性 | 中小企業 | ネットワークファイルシステム(NFS) |
|---|---|---|---|---|---|
| Microsoft.Storage | プロビジョニング済み v2 | HDD (標準) | ローカル (LRS) |
|
|
| Microsoft.Storage | プロビジョニング済み v2 | HDD (標準) | ゾーン (ZRS) |
|
|
| Microsoft.Storage | プロビジョニング済み v2 | HDD (標準) | ジオ (GRS) |
|
|
| Microsoft.Storage | プロビジョニング済み v2 | HDD (標準) | ジオゾーン (GZRS) |
|
|
| Microsoft.Storage | プロビジョニング済み v1 | SSD (プレミアム) | ローカル (LRS) |
|
|
| Microsoft.Storage | プロビジョニング済み v1 | SSD (プレミアム) | ゾーン (ZRS) |
|
|
| Microsoft.Storage | 従量課金制 | HDD (標準) | ローカル (LRS) |
|
|
| Microsoft.Storage | 従量課金制 | HDD (標準) | ゾーン (ZRS) |
|
|
| Microsoft.Storage | 従量課金制 | HDD (標準) | ジオ (GRS) |
|
|
| Microsoft.Storage | 従量課金制 | HDD (標準) | ジオゾーン (GZRS) |
|
|
サポートされるシナリオと制限
- 特定のユーザーまたはグループに共有レベルの RBAC アクセス許可を割り当てるには、Entra Connect Sync を使用してオンプレミスの AD DS ID を Microsoft Entra ID に同期する必要があります。ID が同期されていない場合は、すべての認証済みユーザーに適用される 既定の共有レベルのアクセス許可を使用する必要があります。 たとえば、共有レベルで RBAC アクセス許可が構成されている場合、Microsoft Entra ID でのみ作成されたグループは機能しません。 ただし、グループにオンプレミスから同期されたユーザー アカウントが含まれている場合は、それらの ID を使用できます。 パスワード ハッシュ同期は必要ありません。
- クライアント OS の要件: Windows 8/Windows Server 2012 以降、または Ubuntu 18.04 以降と同等の RHEL/SLES ディストリビューションなどの Linux VM。
- Azure ファイル共有は、Azure File Sync を使用して管理できます。
- Active Directory では、 AES 256 暗号化 (推奨) と RC4-HMAC を使用して Kerberos 認証を使用できます。 AES 128 Kerberos 暗号化はまだサポートされていません。
- シングル サインオン (SSO) がサポートされています。
- 既定では、アクセスは、ストレージ アカウントが登録されている Active Directory フォレストに制限されます。 そのフォレスト内の任意のドメインのユーザーは、適切なアクセス許可があれば、ファイル共有の内容にアクセスできます。 追加のフォレストからのアクセスを有効にするには、フォレストの信頼を構成する必要があります。 詳細については、「複数の Active Directory フォレストで Azure Files を使用する」を参照してください。
- 現在、NFS ファイル共有では、ID ベースの認証はサポートされていません。
SMB 経由の Azure ファイル共有に対して AD DS を有効にすると、AD DS に参加しているマシンでは、既存の AD DS 資格情報を使用して Azure ファイル共有をマウントできます。 AD DS 環境は、オンプレミスまたは Azure の仮想マシン (VM) でホストできます。
ビデオ
一般的なユース ケースに対して ID ベースの認証を設定するために、次のシナリオのステップ バイ ステップ ガイダンスを含む 2 つのビデオを公開しました。 Azure Active Directory は Microsoft Entra ID になりましたので注意してください。 詳細については、Azure AD の新しい名前に関するページを参照してください。
| オンプレミスのファイル サーバーを Azure Files に置き換える (ファイルと AD 認証のプライベート リンクでのセットアップを含む) | Azure Virtual Desktop のプロファイル コンテナーとして Azure Files を使用する (AD 認証と FSLogix 構成のセットアップを含む) |
|---|---|
|
|
前提条件
Azure ファイル共有に対する AD DS 認証を有効にする前に、次の前提条件を完了していることを確認します。
AD DS 環境を選択または作成し、オンプレミスの Microsoft Entra Connect 同期アプリケーションまたは Microsoft Entra Connect クラウド同期 (Microsoft Entra 管理センターからインストールできる軽量エージェント) のいずれかを使用して Microsoft Entra ID に同期します。
新規または既存のオンプレミスの AD DS 環境で機能を有効にすることができます。 アクセスに使用される ID は、Microsoft Entra ID と同期されているか、既定の共有レベルのアクセス許可を使用している必要があります。 アクセスする Microsoft Entra テナントとファイル共有は、同じサブスクリプションに関連付けられている必要があります。
オンプレミス マシンまたは Azure VM をオンプレミスの AD DS にドメイン参加させます。 ドメインに参加させる方法については、「コンピューターをドメインに参加させる」を参照してください。
マシンがドメイン参加していない場合でも、マシンからオンプレミスの AD ドメイン コントローラーへのネットワーク接続が妨げられず、ユーザーが明示的な資格情報を提供している場合は、認証に AD DS を使用できます。 詳細については、「ドメイン参加していない VM または別の AD ドメインに参加している VM からファイル共有をマウントする」を参照してください。
Azure ストレージ アカウントを選択または作成します。 最適なパフォーマンスが得られるように、共有にアクセスする予定のクライアントと同じリージョンに、ストレージ アカウントをデプロイすることをお勧めします。 次に、ストレージ アカウント キーを使用して Azure ファイル共有をマウントし、接続を確認します。
ファイル共有を含むストレージ アカウントが、ID ベース認証用にまだ構成されていないことを確認します。 ストレージ アカウントで AD ソースが既に有効になっている場合、オンプレミス AD DS を有効にする前に無効にする必要があります。
Azure Files への接続で問題が発生した場合は、 Windows での Azure Files マウント エラーのトラブルシューティングを参照してください。
ファイル共有上でネットワーク構成を有効にする予定の場合は、AD DS 認証を有効にする前に、ネットワークの考慮事項に関する記事に目を通して、関連する構成を完了することをお勧めします。
リージョン別の提供状況
AD DS を使用した Azure Files 認証は、すべての Azure パブリック、China および Gov リージョンで利用できます。
概要
Azure ファイル共有の AD DS 認証を有効にすると、オンプレミスの AD DS の資格情報を使用して Azure ファイル共有に対する認証を行うことができます。 さらに、アクセス許可より適切に管理して、きめ細かいアクセス制御を行うことができます。 これを行うには、オンプレミスの Microsoft Entra Connect Sync アプリケーションまたは Microsoft Entra Connect クラウド同期 (Microsoft Entra Admin Center からインストールできる軽量エージェント) を使用して、オンプレミスの AD DS から Microsoft Entra ID に ID を 同期する必要があります。 Windows ACL を使用してファイルまたはディレクトリ レベルのアクセスを管理しながら、Microsoft Entra ID に同期されるハイブリッド ID に共有レベルのアクセス許可を割り当てます。
以下の手順に従って、AD DS 認証用に Azure Files を設定します。
次の図は、SMB を使用して Azure ファイル共有の AD DS 認証を有効にするためのエンドツーエンドのワークフローを示しています。
Azure ファイル共有へのアクセスに使用される ID は、Azure ロールベースのアクセス制御 (Azure RBAC) モデルを使用して共有レベルのファイル アクセス許可を適用するために、Microsoft Entra ID に同期する必要があります。 または、既定の共有レベルのアクセス許可を使用できます。 既存のファイル サーバーから引き継がれたファイルまたはディレクトリの Windows スタイルの DACL は保持され、適用されます。 これにより、エンタープライズ AD DS 環境とのシームレスな統合が提供されます。 オンプレミス ファイル サーバーを Azure ファイル共有に置き換えると、既存のユーザーは、使用されている資格情報を変更することなく、シングル サインオン エクスペリエンスで現在のクライアントから Azure ファイル共有にアクセスできるようになります。
次のステップ
開始するには、ストレージ アカウントの AD DS 認証を有効にする必要があります。