Azure Files での SMB ファイル共有

Azure Files には、Azure ファイル共有のマウント用に、サーバー メッセージ ブロック (SMB) プロトコルとネットワーク ファイル システム (NFS) プロトコルの 2 つの業界標準プロトコルが用意されています。 Azure Files を使用すると、ワークロードに最適なファイル システム プロトコルを選択できます。 Azure ファイル共有では、SMB と NFS の両方のプロトコルを使用した個々の Azure ファイル共有へのアクセスはサポートされませんが、同じストレージ アカウント内に SMB と NFS のファイル共有を作成することはできます。 すべてのファイル共有に対し、Azure Files により、ストレージのニーズに合わせたスケールアップが可能で、数千ものクライアントによって同時にアクセスできる、エンタープライズ レベルのファイル共有が提供されます。

この記事では、SMB Azure ファイル共有について説明します。 NFS の Azure ファイル共有の詳細については、「Azure Files での NFS ファイル共有」を参照してください。

一般的なシナリオ

SMB ファイル共有は、エンドユーザー ファイル共有や、データベースやアプリケーションをバックアップするファイル共有など、さまざまなアプリケーションに使用されます。 SMB ファイル共有は、多くの場合、次のシナリオで使用されます。

  • エンドユーザー ファイル共有 (チーム共有、ホーム ディレクトリなど)。
  • Windows ベースのアプリケーション (SQL Server データベースや Win32 または .NET ローカル ファイル システム API 用に作成された基幹業務アプリケーションなど) 向けのバックアップ用ストレージ。
  • 新しいアプリケーションとサービスの開発 (特に、そのアプリケーションまたはサービスにランダム IO と階層ストレージの要件がある場合)。

機能

Azure Files では、SMB ファイル共有の運用環境へのデプロイに必要な SMB と Azure の主な機能がサポートされています。

  • AD ドメイン参加と随意アクセス制御リスト (DACL)。
  • Azure Backup と統合されたサーバーレス バックアップ。
  • Azure のプライベート エンドポイントを使用したネットワークの分離。
  • SMB マルチチャネルを使用した高いネットワーク スループット (Premium ファイル共有のみ)。
  • AES-256-GCM、AES-128-GCM、および AES-128-CCM を含む SMB チャネルの暗号化。
  • VSS 統合共有スナップショットを使用した以前のバージョンのサポート。
  • 誤って削除されないようにするための、Azure ファイル共有での自動論理的な削除。
  • 必要に応じて、インターネットでも安全に使用できる SMB 3.0 以降を使用した、インターネットにアクセス可能なファイル共有。

SMB ファイル共有は、オンプレミスに直接マウントすることも、Azure File Sync を使用してオンプレミスでキャッシュすることもできます。

セキュリティ

Azure Files に格納されるすべてのデータは、Azure Storage Service Encryption (SSE) を使用して保存時に暗号化されます。 Storage Service Encryption は Windows の BitLocker と同様に機能し、データはファイル システム レベルで暗号化されます。 データは Azure ファイル共有のファイル システムで暗号化されるため、ディスクにエンコードされた場合、Azure ファイル共有を読み書きするために、基になるクライアント上のキーにアクセスできる必要はありません。 保存時の暗号化は、SMB と NFS の両方のプロトコルに適用されます。

既定では、すべての Azure ストレージ アカウントで転送中の暗号化が有効になっています。 つまり、SMB 経由でファイル共有をマウントする (または FileREST プロトコル経由でアクセスする) と、Azure Files では、暗号化または HTTPS を使用する SMB 3.x で作成された接続のみが許可されます。 SMB チャネル暗号化を備えた SMB 3.x をサポートしていないクライアントは、転送中の暗号化が有効になっている場合は Azure ファイル共有をマウントできません。

Windows Server 2022 または Windows 11 と共に使用する場合、Azure Files では、SMB 3.1.1 を使用した AES-256-GCM がサポートされます。 SMB 3.1.1 では、AES-128-GCM もサポートされており、SMB 3.0 では AES-128-CCM がサポートされます。 パフォーマンス上の理由から Windows 10 バージョン 21H1 では、AES-128-GCM が既定でネゴシエートされます。

Azure ストレージ アカウントでの転送中の暗号化を無効にすることができます。 暗号化が無効になっている場合、Azure Files では、SMB 2.1 および暗号化なしの SMB 3.x も許可されます。 転送中の暗号化を無効にする主な理由は、古いオペレーティング システム (Windows Server 2008 R2 や古い Linux ディストリビューションなど) 上で実行する必要のあるレガシ アプリケーションをサポートするためです。 Azure Files では、Azure ファイル共有と同じ Azure リージョン内の SMB 2.1 接続のみが許可されます。Azure ファイル共有の Azure リージョンの外部 (オンプレミスまたは異なる Azure リージョン内など) の SMB 2.1 クライアントは、ファイル共有にアクセスできません。

SMB プロトコル設定

Azure Files には、SMB プロトコルの動作、パフォーマンス、およびセキュリティに影響する複数の設定があります。 これらは、ストレージ アカウント内のすべての Azure ファイル共有に対して構成されます。

SMB マルチチャネル

SMB マルチチャネルでは、SMB 3.x クライアントが SMB ファイル共有に複数のネットワーク接続を確立できます。 Azure Files では、プレミアム ファイル共有で SMB マルチチャネルがサポートされています (FileStorage ストレージ アカウントの種類のファイル共有)。 Azure Files で SMB マルチチャネルを有効にしても追加料金は発生しません。 SMB マルチチャネルは既定で無効になっています。

SMB マルチチャネルのステータスを表示するには、Premium ファイル共有を含むストレージ アカウントに移動し、ストレージ アカウントの目次にある [データ ストレージ] 見出しの [ファイル共有] を選択します。 SMB マルチチャネルのステータスは、 [ファイル共有の設定] セクションで確認できます。

A screenshot of the file shares section with in the storage account highlighting the SMB Multichannel setting

SMB マルチチャネルを有効または無効にするには、現在のステータスを選択します (ステータスに応じて [有効] または [無効] )。 表示されるダイアログでは、SMB マルチチャネルを有効または無効に切り替えることができます。 目的の状態を選択し、 [保存] を選択します。

A screenshot of the dialog to enable/disable the SMB Multichannel feature.

SMB セキュリティ設定

Azure Files は、組織の要件に応じて、SMB プロトコルの互換性またはセキュリティを強化する設定を公開します。 既定では、Azure Files は最大限の互換性を持つように構成されているため、これらの設定を制限すると、一部のクライアントが接続できなくなる可能性があることに注意してください。

Azure Files では、以下の設定が公開されています。

  • SMB バージョン: 許可される SMB バージョンを指定します。 サポートされているプロトコルのバージョンは、SMB 3.1.1、SMB 3.0、および SMB 2.1 です。 既定では、すべての SMB バージョンが許可されていますが、 "安全な転送を必須にする" が有効になっている場合、SMB 2.1 は許可されません。SMB 2.1 は転送中の暗号化をサポートしていないためです。
  • 認証方法: 許可される SMB 認証方法を指定します。 サポートされている認証方法は、NTLMv2 (ストレージ アカウント キーのみ) と Kerberos です。 既定では、すべての認証方法が許可されています。 NTLMv2 を削除すると、ストレージ アカウント キーを使用して Azure ファイル共有をマウントすることができなくなります。 Azure Files は、ドメイン資格情報で NTLM 認証の使用をサポートしていません。
  • Kerberos チケットの暗号化: 許可される暗号化アルゴリズムを指定します。 サポートされている暗号化アルゴリズムは、AES-256(推奨)、RC4-HMACです。
  • SMB チャネル暗号化: 許可される SMB チャネル暗号化アルゴリズムを指定します。 サポートされている暗号化アルゴリズムは、AES-256-GCM、AES-128-GCM、および AES-128-CCM です。 AES-256-GCM のみを選んだ場合は、各クライアント上で管理者として PowerShell ターミナルを開き、Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false を実行することで、接続しているクライアントにそれを使うように指示する必要があります。 AES-256-GCM の使用は、Windows 11/Windows Server 2022 より以前の Windows クライアント上ではサポートされていません。

SMB セキュリティ設定は、Azure portal、PowerShell、または CLI を使用して表示および変更できます。 目的のタブを選択して、SMB セキュリティ設定を取得および設定する方法の手順を確認します。

Azure portal を使用して SMB セキュリティ設定を表示または変更するには、次の手順に従います。

  1. ストレージ アカウントを検索し、セキュリティ設定を表示するストレージ アカウントを選択します。

  2. [データ ストレージ] > [ファイル共有] の順に選択します。

  3. [ファイル共有の設定] で、[セキュリティ] に関連付けられている値を選択します。 セキュリティ設定を変更していない場合、この値の既定値は [最大の互換性] になります。

    A screenshot showing where to change SMB security settings.

  4. [プロファイル] で、[最大の互換性]、[最大のセキュリティ]、[カスタム] のいずれかを選択します。 [カスタム] を選択すると、SMB プロトコル バージョン、SMB チャネル暗号化、認証メカニズム、および Kerberos チケット暗号化について、カスタム プロファイルを作成できます。

    A screenshot showing the dialog to change the SMB security settings for SMB protocol versions, SMB channel encryption, authentication mechanisms, and Kerberos ticket encryption.

必要なセキュリティ設定を入力したら、[保存] を選択します。

制限事項

Azure Files の SMB ファイル共有では、SMB プロトコルおよび NTFS ファイル システムでサポートされている機能のサブセットがサポートされています。 ほとんどのユース ケースとアプリケーションにはこれらの機能は必要ありませんが、一部のアプリケーションは、サポートされていない機能に依存している場合、Azure Files で正常に動作しないことがあります。 次の機能はサポートされていません:

リージョン別の提供状況

SMB Azure ファイル共有は、すべてのパブリックとソブリンのリージョンを含む、すべての Azure リージョンで利用できます。 Premium SMB ファイル共有は、リージョンのサブセットで利用できます。

次のステップ