SMB Azure ファイル共有をマウントする

この記事で説明するプロセスでは、SMB ファイル共有とアクセス許可が正しく設定されていること、および SMB Azure ファイル共有をマウントできることを確認します。

適用対象

管理モデル	課金モデル	メディア レベル	冗長性	中小企業	ネットワークファイルシステム
Microsoft.Storage	プロビジョニング済み v2	HDD (標準)	ローカル (LRS)
Microsoft.Storage	プロビジョニング済み v2	HDD (標準)	ゾーン (ZRS)
Microsoft.Storage	プロビジョニング済み v2	HDD (標準)	geo (GRS)
Microsoft.Storage	プロビジョニング済み v2	HDD (標準)	ジオゾーン (GZRS)
Microsoft.Storage	プロビジョニング済み v1	SSD (プレミアム)	ローカル (LRS)
Microsoft.Storage	プロビジョニング済み v1	SSD (プレミアム)	ゾーン (ZRS)
Microsoft.Storage	従量課金制	HDD (標準)	ローカル (LRS)
Microsoft.Storage	従量課金制	HDD (標準)	ゾーン (ZRS)
Microsoft.Storage	従量課金制	HDD (標準)	geo (GRS)
Microsoft.Storage	従量課金制	HDD (標準)	ジオゾーン (GZRS)

マウントの前提条件

Azure ファイル共有をマウントする前に、次の前提条件を満たしていることを確認してください。

• 必ず共有レベルのアクセス許可を割り当て、ディレクトリとファイル レベルのアクセス許可を構成してください。 共有レベルのロールの割り当ては、有効になるまでに時間がかかる場合があることに注意してください。
• 以前にストレージ アカウント キーを使用してファイル共有に接続したクライアントからファイル共有をマウントする場合は、まず共有のマウントを解除し、ストレージ アカウント キーの永続的な資格情報を削除してください。 Active Directory Domain Services (AD DS) または Microsoft Entra の資格情報を使って新しい接続を初期化する前に、キャッシュされた資格情報を削除し、既存の SMB 接続を削除する方法については、FAQ のページにある 2 段階のプロセスに従います。
• AD ソースが AD DS または Microsoft Entra Kerberos の場合は、クライアントに AD DS への妨げられないネットワーク接続がある必要があります。 コンピューターまたは VM が AD DS によって管理されているネットワークの外部にある場合は、認証のために VPN を有効にして AD DS に接続する必要があります。
• アクセス許可を付与した AD DS または Microsoft Entra ID の資格情報を使用して、クライアントにサインインします。

ドメイン参加済みの VM からファイル共有をマウントする

次の PowerShell スクリプトを実行するか、 Azure portal を使用 して Azure ファイル共有を永続的にマウントし、Windows 上のドライブ Z: (または必要なマウント パス) にマップします。 既に認証されているため、ストレージ アカウント キーを指定する必要はありません。 このスクリプトは、このストレージ アカウントに TCP ポート 445 (SMB が使用するポート) を介してアクセスできるかどうかを確認します。 プレースホルダーをお客様独自の値に置き換えてください。 詳細については、Windows での Azure ファイル共有の使用に関する記事を参照してください。

カスタム ドメイン名を使用しない限り、共有のプライベート エンドポイントを設定した場合でも、サフィックス file.core.windows.net を使用して Azure ファイル共有をマウントする必要があります。

$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
    cmd.exe /C "cmdkey /add:`"<storage-account-name>.file.core.windows.net`" /user:`"localhost\<storage-account-name>`""
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\<file-share-name>" -Persist -Scope global
} else {
    Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}

Windows プロンプトから net use コマンドを使用して、ファイル共有をマウントすることもできます。 忘れずに、<YourStorageAccountName> と<FileShareName> を独自の値に置き換えてください。

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>

問題が発生した場合は、「AD 資格情報を使用して Azure ファイル共有をマウントできない」を参照してください。

ドメイン参加していない VM または別の AD ドメインに参加している VM からファイル共有をマウントする

AD ソースがオンプレミスの AD DS の場合、ドメインに参加していない VM またはストレージ アカウントとは異なる AD ドメインに参加している VM は、AD ドメイン コントローラーへのネットワーク接続が妨げられない場合に Azure ファイル共有にアクセスし、明示的な資格情報を指定できます。 ファイル共有にアクセスするユーザーは、ストレージ アカウントが参加している AD ドメインの ID と資格情報が必要です。

AD ソースが Microsoft Entra Domain Services の場合、クライアントは Microsoft Entra Domain Services のドメイン コントローラーに対して妨げのないネットワーク接続を確保する必要があり、そのためにはサイト間またはポイント対サイト VPN を設定する必要があります。 ファイル共有にアクセスしているユーザーは、Microsoft Entra Domain Services マネージド ドメインで、ID (Microsoft Entra ID から Microsoft Entra Domain Services に同期している Microsoft Entra の ID) を持っている必要があります。

ドメインに参加していない VM からファイル共有をマウントするには、domainFQDN が完全修飾ドメイン名であるusername@domainFQDN表記を使用して、クライアントがドメイン コントローラーに接続して Kerberos チケットを要求および受信できるようにします。 domainFQDN の値は、Active Directory PowerShell で (Get-ADDomain).Dnsroot を実行することによって取得できます。

次に例を示します。

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>

AD ソースが Microsoft Entra Domain サービスの場合、DOMAINNAME\username などの資格情報を指定することもできます。ここで、DOMAINNAME は Microsoft Entra Domain Services ドメインであり、username は Microsoft Entra Domain Services の ID のユーザー名です。

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<DOMAINNAME\username>

カスタム ドメイン名を使用してファイル共有をマウントする

サフィックス file.core.windows.net を使用して Azure ファイル共有をマウントしない場合は、Azure ファイル共有に関連付けられているストレージ アカウント名のサフィックスを変更してから、正規名 (CNAME) レコードを追加して、新しいサフィックスをストレージ アカウントのエンドポイントにルーティングできます。 次の手順は、単一フォレスト環境専用です。 2 つ以上のフォレストがある環境を構成する方法については、「複数の Active Directory フォレストで Azure Files を使用する」を参照してください。

この例では、Active Directory ドメイン onpremad1.com があり、SMB Azure ファイル共有を含む mystorageaccount というストレージ アカウントがあります。 まず、ストレージ アカウントの SPN サフィックスを変更して、mystorageaccount.onpremad1.com を mystorageaccount.file.core.windows.net にマップする必要があります。

net use \\mystorageaccount.onpremad1.com 内のクライアントは onpremad1.com を検索してそのストレージ アカウントの適切なリソースを見つけることがわかっているため、ファイル共有をでマウントできます。

この方法を使用するには、次の手順を実行します。

1. ID ベースの認証を設定していることを確認します。 AD ソースが AD DS または Microsoft Entra Kerberos の場合は、AD ユーザー アカウントを Microsoft Entra ID に同期していることを確認してください。

2. setspn ツールを使用して、ストレージ アカウントの SPN を変更します。 <DomainDnsRoot> を見つけるには、Active Directory PowerShell コマンド (Get-AdDomain).DnsRoot を実行します。

   setspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>
   

3. Active Directory DNS マネージャーを使用して CNAME エントリを追加します。 プライベート エンドポイントを使用している場合は、プライベート エンドポイント名にマップする CNAME エントリを追加します。

   1. Active Directory DNS マネージャーを開きます。
   2. ご自分のドメイン (たとえば、onpremad1.com) に移動します。
   3. [Forward Lookup Zones] (前方参照ゾーン) に移動する。
   4. ドメインの名前が付いたノード (onpremad1.com など) を選択し、[New Alias (CNAME)] (新しい別名 (CNAME)) を右クリックします。
   5. 別名には、ストレージ アカウント名を入力します。
   6. 完全修飾ドメイン名 (FQDN) には、「<storage-account-name>.<___domain-name>」 (例: mystorageaccount.onpremad1.com) を入力します。 FQDN のホスト名部分は、ストレージ アカウント名と一致する必要があります。 ホスト名がストレージ アカウント名と一致しない場合、マウントはアクセス拒否エラーで失敗します。
   7. ターゲット ホスト FQDN には、「<storage-account-name>.file.core.windows.net」と入力します
   8. [OK] を選択します。

これで、storageaccount.domainname.com を使用してファイル共有をマウントできるようになりました。 ストレージ アカウント キーを使用してファイル共有をマウントすることもできます。

次のステップ

ストレージ アカウントを表すために AD DS で作成した ID が、パスワードローテーションを強制するドメインまたは OU 内にある場合は、 AD DS のストレージ アカウント ID のパスワードを定期的に更新する必要があります。