Microsoft Entra 参加済み Windows 仮想マシンから SMB ボリュームにアクセスする

  • [アーティクル]

ハイブリッド認証管理モジュールで Microsoft Entra ID を使用して、ハイブリッド クラウドで資格情報を認証できます。 このソリューションにより、Microsoft Entra ID はクラウドとオンプレミスの両方の認証の信頼できるソースになり、Azure NetApp Files に接続するクライアントがオンプレミスの AD ドメインに参加する必要が回避されます。

Note

ハイブリッド ユーザー ID を認証するために Microsoft Entra ID を使用すると、Microsoft Entra ユーザーは Azure NetApp Files SMB 共有にアクセスできるようになります。 つまり、エンド ユーザーは、Microsoft Entra ハイブリッド参加済み VM と Microsoft Entra 参加済み VM から、ドメイン コントローラーへの通信経路を必要とすることなく、Azure NetApp Files SMB 共有にアクセスできます。 現在、クラウド専用 ID はサポートされていません。 詳細については、Active Directory Domain Services サイトの設計と計画に関するガイドラインに関する記事を参照してください。

Diagram of SMB volume joined to Microsoft Entra ID.

要件と考慮事項

  • Azure NetApp Files NFS ボリュームとデュアルプロトコル (NFSv4.1 および SMB) ボリュームはサポートされていません。

  • NTFS セキュリティ スタイルの NFSv3 ボリュームと SMB デュアルプロトコル ボリュームがサポートされています。

  • AD DS ユーザーを Microsoft Entra ID と同期させるには、Microsoft Entra Connect をインストールして構成しておく必要があります。 詳しくは、「簡単設定を使用した Microsoft Entra Connect の開始」をご覧ください。

    ハイブリッド ID が Microsoft Entra ユーザーと同期されていることを確認します。 Azure portal で、[Microsoft Entra ID][ユーザー] の順に移動します。 AD DS のユーザー アカウントが一覧表示され、[オンプレミスの同期が有効] プロパティが "はい" と表示されます。

    Note

    Microsoft Entra Connect の初期構成後、新しい AD DS ユーザーを追加するときに、管理者 PowerShell で Start-ADSyncSyncCycle コマンドを実行して、新しいユーザーを Microsoft Entra ID に同期するか、スケジュールされた同期が実行されるのを待つ必要があります。

  • Azure NetApp Files の SMB ボリュームを作成しておく必要があります。

  • Microsoft Entra ログインが有効になっている Windows 仮想マシン (VM) が必要です。 詳細については、「Microsoft Entra ID を使用して Azure の Windows VM にログインする」を参照してください。 必ず VM のロールの割り当てを構成して、VM にログインできるアカウントを決定してください。

  • クライアント VM が完全修飾ドメイン名 (FQDN) を介して Azure NetApp Files ボリュームにアクセスできるように、DNS を適切に構成する必要があります。

手順

構成には、5 つのプロセスがあります。

  • コンピューター アカウントに CIFS SPN を追加する
  • 新しい Microsoft Entra アプリケーションを登録する
  • AD DS からのパスワードを Microsoft Entra アプリケーション登録に同期する
  • Kerberos 認証を使用するように Microsoft Entra 参加済み VM を構成する
  • Azure NetApp Files SMB ボリュームをマウントする

コンピューター アカウントに CIFS SPN を追加する

  1. AD DS ドメイン コントローラーで、[Active Directory ユーザーとコンピューター] を開きます。
  2. [表示] メニューの [拡張機能] を選択します。
  3. [コンピューター] で、Azure NetApp Files ボリュームの一部として作成されたコンピューター アカウントを右クリックし、[プロパティ] を選択します。
  4. [属性エディター] で、servicePrincipalName を見つけます。 複数値の文字列エディターで、CIFS/FQDN 形式を使用して CIFS SPN 値を追加します。

Screenshot of multi-value string editor window.

新しい Microsoft Entra アプリケーションを登録する

  1. Azure portal で、[Microsoft Entra ID] に移動します。 [アプリの登録] を選択します。
  2. [+ 新規登録] を選択します。
  3. 名前を割り当てます。 [サポートされているアカウントの種類] で、[この組織ディレクトリのみに含まれるアカウント (シングル テナント)] を選択します。
  4. [登録] を選択します。

Screenshot to register application.

  1. アプリケーションのアクセス許可を構成します。 [アプリの登録] で、[API のアクセス許可][アクセス許可の追加] の順に選択します。

  2. [Microsoft Graph][委任されたアクセス許可] の順に選択します。 [アクセス許可の選択] で、[OpenId アクセス許可] の下で [openid][profile] を選択します。

    Screenshot to register API permissions.

  3. アクセス許可の追加 を選択します。

  4. [API のアクセス許可] から、[... に管理者の同意を与えます] を選択します。

    Screenshot to grant API permissions.

  5. [認証][アプリ インスタンス プロパティのロック] に移動し、[構成] を選択してから、[Enable property lock]\(プロパティ ロックを有効にする\) というチェックボックスの選択を解除します。

    Screenshot of app registrations.

  6. [概要]アプリケーション (クライアント) ID を書き留めます。これは後で必要になります。

AD DS からのパスワードを Microsoft Entra アプリケーション登録に同期する

  1. AD DS ドメイン コントローラーから、PowerShell を開きます。

  2. パスワードを同期するためのハイブリッド認証管理モジュールをインストールします。

    Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber -Force

  3. 次の変数を定義します。

    • $servicePrincipalName: Azure NetApp Files ボリュームのマウントに関する SPN 詳細。 CIFS/FQDN 形式を使用します。 例: CIFS/NETBIOS-1234.CONTOSO.COM
    • $targetApplicationID: Microsoft Entra アプリケーションのアプリケーション (クライアント) ID。
    • $domainCred: Get-Credential を使用します (AD DS ドメイン管理者である必要があります)
    • $cloudCred: Get-Credential を使用します (Microsoft Entra グローバル管理者である必要があります)
    $servicePrincipalName = CIFS/NETBIOS-1234.CONTOSO.COM
$targetApplicationID = 0c94fc72-c3e9-4e4e-9126-2c74b45e66fe
$domainCred = Get-Credential
$cloudCred = Get-Credential

    Note

    Get-Credential コマンドを実行すると、資格情報を入力できるポップアップ ウィンドウが開始されます。

  4. CIFS の詳細を Microsoft Entra ID にインポートします。

    Import-AzureADKerberosOnPremServicePrincipal -Domain $domain -DomainCredential $domainCred -CloudCredential $cloudCred -ServicePrincipalName $servicePrincipalName -ApplicationId $targetApplicationId

Kerberos 認証を使用するように Microsoft Entra 参加済み VM を構成する

  1. 管理者権限を持つハイブリッド資格情報 (例: user@mydirectory.onmicrosoft.com) を使用して、Microsoft Entra 参加済み VM にログインします。

  2. VM を構成します。

    1. [グループ ポリシーの編集]>[コンピューターの構成]>[管理用テンプレート]>[システム]>[Kerberos] に移動します。
    2. [Allow retrieving the Microsoft Entra Kerberos Ticket Granting Ticket during logon]\(ログオン中に Microsoft Entra Kerberos チケットの取得を許可する\) を有効にします。
    3. [ホスト名から Kerberos 領域へのマッピングを定義する] を有効にします。 [表示] を選択し、ドメイン名の前にピリオドを付けて値の名前を指定します。 例:
      • 値の名前: KERBEROS.MICROSOFTONLINE.COM
      • 値: .contoso.com

    Screenshot to define how-name-to-Kerberos real mappings.

Azure NetApp Files SMB ボリュームをマウントする

  1. AD DS から同期されたハイブリッド ID アカウントを使用して、Microsoft Entra 参加済み VM にログインします。

  2. Azure portal で提供されている情報を使用して、Azure NetApp Files SMB ボリュームをマウントします。 詳細については、「Windows VM に SMB ボリュームをマウントする」を参照してください。

  3. マウントされたボリュームで NTLM 認証ではなく Kerberos 認証が使用されていることを確認します。 コマンド プロンプトを開き、klist コマンドを発行します。クラウド TGT (krbtgt) と CIFS サーバー チケット情報の出力を確認します。

    Screenshot of CLI output.

詳細情報