次の方法で共有

概要: SMB を使用した Azure ファイル共有へのオンプレミスの Active Directory Domain Services 認証

適用対象: ✔️ SMB Azure ファイル共有

Azure Files では、次の方法で Kerberos 認証プロトコルを使用したサーバー メッセージ ブロック (SMB) 経由の Windows ファイル共有の ID ベース認証がサポートされています。

  • オンプレミスの Active Directory Domain Services (AD DS)
  • Microsoft Entra Domain Services
  • ハイブリッド ユーザー ID 用の Microsoft Entra Kerberos

認証のための適切な AD ソースを選択するために、「しくみ」のセクションを確認することを強くお勧めします。 設定は、選択するドメイン サービスによって異なります。 この記事では、Azure ファイル共有での認証用にオンプレミス AD DS を有効にして構成する方法に重点を置いて説明します。

Azure Files を初めて使用する場合は、 計画ガイドをお読みください。

サポートされるシナリオと制限

  • Azure Files で ID ベースの認証を使用するには、共有レベルの RBAC アクセス許可を割り当てる必要があります。 これを行うには、次の 2 つの方法があります。
    • 既定の共有レベルのアクセス許可: このオプションは、すべての認証済みユーザーに対して共有レベルで RBAC を適用します。 この構成では、オンプレミスの AD DS ID を Microsoft Entra ID と同期する必要はありません。
    • 詳細な共有レベルのアクセス許可: 共有レベルの RBAC を特定のユーザーまたはグループに割り当てる場合は、Microsoft Entra Connect または Microsoft Entra Cloud Sync を使用して、対応する ID をオンプレミスの AD DS から Microsoft Entra ID に同期する必要があります。Microsoft Entra ID でのみ作成されたグループは、同期されたユーザー アカウントが含まれていない限り機能しません。 パスワード ハッシュ同期は必要ありません。
  • クライアント OS の要件: Windows 8/Windows Server 2012 以降、または Ubuntu 18.04 以降と同等の RHEL/SLES ディストリビューションなどの Linux VM。
  • Azure File Sync を使用して Azure ファイル共有を管理できます。
  • Active Directory では、 AES 256 暗号化 (推奨) と RC4-HMAC を使用して Kerberos 認証を使用できます。 AES 128 Kerberos 暗号化はまだサポートされていません。
  • シングル サインオン (SSO) がサポートされています。
  • 既定では、アクセスは、ストレージ アカウントが登録されている Active Directory フォレストに制限されます。 そのフォレスト内の任意のドメインのユーザーは、適切なアクセス許可があれば、ファイル共有の内容にアクセスできます。 追加のフォレストからのアクセスを有効にするには、フォレストの信頼を構成する必要があります。 詳細については、「複数の Active Directory フォレストで Azure Files を使用する」を参照してください。
  • 現在、NFS ファイル共有では、ID ベースの認証はサポートされていません。

SMB 経由の Azure ファイル共有に対して AD DS を有効にすると、AD DS に参加しているマシンでは、既存の AD DS 資格情報を使用して Azure ファイル共有をマウントできます。 AD DS 環境は、オンプレミスまたは Azure の仮想マシン (VM) でホストできます。

ビデオ

一般的なユース ケースに対して ID ベースの認証を設定するために、次のシナリオのステップ バイ ステップ ガイダンスを含む 2 つのビデオを公開しました。 Azure Active Directory は Microsoft Entra ID になりましたので注意してください。 詳細については、Azure AD の新しい名前に関するページを参照してください。

オンプレミスのファイル サーバーを Azure Files に置き換える (ファイルと AD 認証のプライベート リンクでのセットアップを含む) Azure Virtual Desktop のプロファイル コンテナーとして Azure Files を使用する (AD 認証と FSLogix 構成のセットアップを含む)
オンプレミスのファイル サーバーを置き換えるビデオのスクリーンショット - クリックして再生します。 Azure Files をプロファイル コンテナーとして使用するビデオのスクリーンショット - クリックして再生します。

前提条件

Azure ファイル共有に対して AD DS 認証を有効にする前に、次の前提条件を満たしていることを確認してください。

  • AD DS 環境を選択または作成し、オンプレミスの Microsoft Entra Connect Sync アプリケーションまたは Microsoft Entra Connect クラウド同期 (Microsoft Entra Admin Center からインストールできる軽量エージェント) を使用して Microsoft Entra ID に同期します。

    新規または既存のオンプレミスの AD DS 環境で機能を有効にすることができます。 アクセスに使用される ID は、Microsoft Entra ID と同期されているか、既定の共有レベルのアクセス許可を使用している必要があります。 アクセスする Microsoft Entra テナントとファイル共有は、同じサブスクリプションに関連付けられている必要があります。

  • オンプレミス マシンまたは Azure VM をオンプレミスの AD DS にドメイン参加させます。 ドメインに参加する方法の詳細については、「 コンピューターをドメインに参加させる」を参照してください。

    マシンがドメイン参加していない場合でも、マシンからオンプレミスの AD ドメイン コントローラーへのネットワーク接続が妨げられず、ユーザーが明示的な資格情報を提供している場合は、認証に AD DS を使用できます。 詳細については、「ドメイン参加していない VM または別の AD ドメインに参加している VM からファイル共有をマウントする」を参照してください。

  • Azure ストレージ アカウントを選択または作成します。 最適なパフォーマンスが得られるように、共有にアクセスする予定のクライアントと同じリージョンに、ストレージ アカウントをデプロイすることをお勧めします。

    ファイル共有を含むストレージ アカウントが、ID ベース認証用にまだ構成されていないことを確認します。 ストレージ アカウントで AD ソースが既に有効になっている場合、オンプレミス AD DS を有効にする前に無効にする必要があります。

    Azure Files への接続で問題が発生した場合は、 Windows での Azure Files マウント エラーのトラブルシューティングを参照してください。

  • ファイル共有上でネットワーク構成を有効にする予定の場合は、AD DS 認証を有効にする前に、ネットワークの考慮事項に関する記事に目を通して、関連する構成を完了することをお勧めします。

リージョン別の提供状況

すべての Azure パブリック リージョン、中国リージョン、Gov リージョンで AD DS で Azure Files 認証を使用できます。

概要

Azure ファイル共有に対して AD DS 認証を有効にすると、オンプレミスの AD DS 資格情報を使用して Azure ファイル共有に対する認証を行うことができます。 アクセス許可を管理して、詳細なアクセス制御を許可することもできます。 認証を設定するには、オンプレミスの Microsoft Entra Connect Sync アプリケーションまたは Microsoft Entra Connect クラウド同期 (Microsoft Entra Admin Center からインストールできる軽量エージェント) を使用して、オンプレミスの AD DS から Microsoft Entra ID に ID を同期します。 Microsoft Entra ID と同期されたハイブリッド ID に共有レベルのアクセス許可を割り当て、Windows ACL を使用してファイルレベルとディレクトリ レベルのアクセスを管理します。

以下の手順に従って、AD DS 認証用に Azure Files を設定します。

  1. ストレージ アカウントでの AD DS 認証を有効にする

  2. ターゲット AD ID と同期する Microsoft Entra ID (ユーザー、グループ、またはサービス プリンシパル) に共有レベルのアクセス許可を割り当てる

  3. SMB を使用してディレクトリとファイルに Windows ACL を構成する

  4. AD DS に参加している VM に Azure ファイル共有をマウントします

  5. AD DS のストレージ アカウント ID のパスワードを更新します

次の図は、SMB を使用して Azure ファイル共有の AD DS 認証を有効にするためのエンドツーエンドのワークフローを示しています。

Azure Files ワークフローでの SMB を使用したAD DS 認証を示す図。

Azure ロールベースのアクセス制御 (Azure RBAC) モデルを使用して共有レベルのファイルアクセス許可を適用するには、Azure ファイル共有へのアクセスに使用される ID を Microsoft Entra ID に同期する必要があります。 または、既定の共有レベルのアクセス許可を使用できます。 既存のファイル サーバーから引き継がれたファイルとディレクトリの Windows スタイルの DACL は保持され、適用されます。 このセットアップにより、エンタープライズ AD DS 環境とのシームレスな統合が提供されます。 オンプレミス ファイル サーバーを Azure ファイル共有に置き換えると、既存のユーザーは、使用されている資格情報を変更することなく、シングル サインオン エクスペリエンスで現在のクライアントから Azure ファイル共有にアクセスできるようになります。

次のステップ

開始するには、 ストレージ アカウントの AD DS 認証を有効にします

  • Last updated on