SMB アクセスの Azure Files ID ベース認証オプションの概要
この記事では、Azure ファイル共有でオンプレミスまたは Azure のドメイン サービスを使って、SMB 経由での Azure ファイル共有への ID ベースのアクセスをサポートする方法について説明します。 Azure ファイル共有のために ID ベースのアクセスを有効にすると、既存のディレクトリ サービスを置換することなく、既存のファイル サーバーを Azure ファイル共有に置換できます。共有への継ぎ目のないユーザー アクセスを維持できます。
適用対象
| ファイル共有の種類 | SMB | NFS |
|---|---|---|
| Standard ファイル共有 (GPv2)、LRS/ZRS |  |
 |
| Standard ファイル共有 (GPv2)、GRS/GZRS | |
|
| Premium ファイル共有 (FileStorage)、LRS/ZRS | |
|
用語集
Azure ファイル共有の ID ベース認証に関連するいくつかの重要な用語を理解することをお勧めします。
Kerberos 認証
Kerberos は、ユーザーまたはホストの身元を確認するために使用される認証プロトコルです。 Kerberos の詳細については、「Kerberos 認証の概要」を参照してください。
サーバー メッセージ ブロック (SMB) プロトコル
SMB は、業界標準のネットワーク ファイル共有プロトコルです。 SMB の詳細については、「Microsoft SMB プロトコルと CIFS プロトコルの概要」を参照してください。
Azure Active Directory (Azure AD)
Azure AD は、Microsoft が提供する、マルチテナントに対応したクラウド ベースのディレクトリと ID の管理サービスです。 Azure AD には、主要なディレクトリ サービス、アプリケーション アクセスの管理、ID 保護の機能が一つのソリューションとして統合されています。
Azure Active Directory Domain Services (Azure AD DS)
Azure AD DS は、マネージド ドメイン サービス (ドメイン参加、グループ ポリシー、LDAP、Kerberos/NTLM 認証など) を提供します。 これらのサービスは、Active Directory Domain Services と完全に互換性があります。 詳細については、Azure Active Directory Domain Services に関する記事を参照してください。
オンプレミス Active Directory Domain Services (AD DS)
オンプレミス Active Directory Domain Services (AD DS) の Azure Files との統合により、ディレクトリ データをネットワークのユーザーと管理者が使用できるようにしながら、それを格納するための方法が提供されます。 AD DS のセキュリティは、ログオン認証とディレクトリ内のオブジェクトに対するアクセス制御によって実現されています。 管理者は、シングル ネットワーク ログオンで、ネットワーク全体のディレクトリ データおよび組織を管理できます。また、承認されたネットワーク ユーザーは、ネットワーク上の任意の場所にあるリソースにアクセスできます。 AD DS は、通常、オンプレミス環境またはクラウドホステッド VM 環境の企業によって採用され、アクセス制御には AD DS 資格情報が使用されます。 詳細については、「Active Directory Domain Services の概要」を参照してください。
Azure ロールベースのアクセス制御 (Azure RBAC)
Azure RBAC を使用すると、Azure のきめ細かいアクセス管理が可能になります。 Azure RBAC を使用して業務遂行に必要な最小限の権限をユーザーに付与することで、リソースへのアクセスを管理できます。 詳細については、Azure ロールベースのアクセス制御に関するページを参照してください。
ハイブリッド ID
ハイブリッド ユーザー ID は、オンプレミスの Azure AD Connect 同期アプリケーションまたは Azure AD Connect クラウド同期 (Azure Active Directory 管理 センターからインストールできる軽量エージェント) のどちらかを使って Azure AD に同期される AD DS の ID です。
サポートされる認証シナリオ
Azure Files では、SMB による Windows ファイル共有への ID ベースの認証に対し、次の 3 つの方法がサポートされています。 使用できる方法はストレージ アカウントごとに 1 つだけです。
- オンプレミス AD DS 認証: オンプレミス AD DS に参加済みまたは Azure AD DS に参加済みの Windows マシンは、SMB 経由で Azure AD に同期されるオンプレミス Active Directory 資格情報を使用して Azure ファイル共有にアクセスできます。 クライアントには、AD DS への通信経路が必要です。 オンプレミスまたは Azure の VM に AD DS を既にセットアップしてあり、そこでデバイスが AD にドメイン参加済みである場合は、Azure ファイル共有の認証に AD DS を使う必要があります。
- Azure AD DS 認証: クラウドベースで Azure AD DS 参加済みの Windows VM は、Azure AD 資格情報を使って Azure ファイル共有にアクセスできます。 このソリューションでは、Azure AD は、お客様の代わりに従来の Windows Server AD ドメインを実行し、これはお客様の Azure AD テナントの子です。
- ハイブリッド ID 用の Azure AD Kerberos:ハイブリッド ユーザー ID を認証するために Azure AD を使用すると、Azure AD ユーザーは Kerberos 認証を使用して Azure ファイル共有にアクセスできます。 つまり、エンド ユーザーは、ハイブリッド Azure AD 参加済みおよび Azure AD 参加済み VM からドメイン コントローラーへの通信を必要とせずに、インターネット経由で Azure ファイル共有にアクセスできます。 現在、クラウド専用 ID はサポートされていません。
制限
- コンピューター アカウントを Azure AD の ID と同期させることはできないため、Azure RBAC を使用してコンピューター アカウント (マシン アカウント) に共有レベルのアクセス許可を割り当てることをサポートする認証方法はありません。 ID ベースの認証を使ってコンピューター アカウントから Azure ファイル共有へのアクセスを許可する場合は、既定の共有レベルのアクセス許可を使うか、代わりにサービス ログオン アカウントを使うことを検討してください。
- Azure AD 参加済みデバイスまたは Azure AD 登録済みデバイスに対しては、オンプレミス AD DS 認証も Azure AD DS 認証もサポートされていません。
- ネットワーク ファイル システム (NFS) 共有では、ID ベースの認証はサポートされていません。
一般的なユース ケース
Azure Files を使った ID ベースの認証は、さまざまなシナリオで役に立ちます。
オンプレミスのファイル サーバーの置換
散在するオンプレミスのファイル サーバーの非推奨と置換は、すべての企業が IT の近代化において直面する一般的な問題です。 データを Azure Files に移行できる場合は、オンプレミス AD DS 認証を使用した Azure ファイル共有が最適です。 移行が完了すると、高可用性とスケーラビリティの利点を活用できるだけでなく、クライアント側の変更を最小限に抑えることができます。 それによってシームレスな移行エクスペリエンスがエンド ユーザーに提供されるので、既存のドメイン参加済みマシンを使って、同じ資格情報で引き続きデータにアクセスできます。
Azure へのアプリケーションのリフト アンド シフト
アプリケーションをクラウドにリフト アンド シフトする場合は、データに対して同じ認証モデルを維持する必要があります。 ID ベースのアクセス制御エクスペリエンスを Azure ファイル共有に拡張すると、アプリケーションを最新の認証方法に変更し、迅速にクラウドを導入する必要がなくなります。 Azure ファイル共有には、認証のために Azure AD DS またはオンプレミス AD DS のいずれかと統合するオプションが用意されています。 100% クラウド ネイティブを目指し、クラウド インフラストラクチャの管理作業を最小化することを計画している場合、Azure AD DS はフル マネージド ドメイン サービスとして、より適しています。 AD DS 機能との完全な互換性が必要な場合は、VM 上の自己ホスト型ドメイン コントローラーによって AD DS 環境をクラウドに拡張することを検討してください。 どちらの方法でも、ビジネス ニーズに最適なドメイン サービスを柔軟に選択できます。
バックアップとディザスター リカバリー (DR)
プライマリ ファイル ストレージをオンプレミスで保持している場合、Azure ファイル共有はバックアップや DR のための理想的なストレージとして機能し、ビジネス継続性を向上させることができます。 Azure ファイル共有を使用すると、Windows 随意アクセス制御リスト (DACL) を維持したまま、既存のファイル サーバーからデータをバックアップできます。 DR シナリオでは、フェールオーバー時の適切なアクセス制御の適用をサポートする認証オプションを構成できます。
ID ベースの認証の利点
Azure Files に対する ID ベースの認証には、共有キー認証と比較して、以下のようなさまざまな利点があります。
従来の ID ベースのファイル共有アクセス エクスペリエンスをクラウドに拡張する
従来のファイル サーバーを Azure ファイル共有に置き換えて、アプリケーションをクラウドにリフト アンド シフトする場合は、アプリケーションによるファイル データへのアクセスを、オンプレミス AD DS または Azure AD DS 資格情報を使用して認証できます。 Azure Files では、オンプレミス AD DS または Azure AD DS の資格情報のいずれかを使用して、オンプレミス AD DS または Azure AD DS ドメイン参加済み VM のいずれかから SMB 経由で Azure ファイル共有にアクセスできます。Azure のファイル共有への詳細なアクセス制御の適用が可能
特定の ID に対して、ファイル共有、ディレクトリ、またはファイル レベルでアクセス許可を付与できます。 たとえば、プロジェクトのコラボレーションのために、複数のチームが 1 つの Azure ファイル共有を使用しているとします。 その場合、機密ではないディレクトリについてはすべてのチームにアクセス権限を付与し、機密の財務データが含まれるディレクトリについては財務チームのみにアクセス権限を付与できます。データと共に Windows ACL (NTFS アクセス許可とも呼ばれます) をバックアップする
Azure ファイル共有では、既存のオンプレミスのファイル共有をバックアップすることができます。 Azure Files では、SMB 経由で Azure ファイル共有に共有ファイルをバックアップすると、データと共に ACL も保持されます。
しくみ
Azure ファイル共有は、AD ソースとの認証に Kerberos プロトコルを使います。 クライアントで実行されているユーザーまたはアプリケーションに関連付けられている ID で Azure ファイル共有内のデータにアクセスしようとした場合、その要求は AD ソースに送信され、ID が認証されます。 認証が成功した場合、Kerberos トークンが返されます。 クライアントでは Kerberos トークンが含まれる要求を送信し、Azure ファイル共有ではそのトークンを使用して要求を承認します。 Azure ファイル共有は Kerberos トークンのみを受け取り、ユーザーのアクセス資格情報は受け取りません。
AD DS、Azure AD DS、Azure AD Kerberos (ハイブリッド ID のみ) の 3 つの AD ソースのいずれかを使用して、新規と既存のストレージ アカウントで ID ベースの認証を有効にできます。 ストレージ アカウントでのファイル アクセス認証に使用できる AD ソースは 1 つだけです。これは、アカウント内のすべてのファイル共有に適用されます。 ストレージ アカウントで ID ベースの認証を有効にする前に、まずドメイン環境を設定する必要があります。
AD DS
オンプレミスの AD DS 認証の場合は、AD ドメイン コントローラーを設定して、コンピューターまたは VM をドメイン参加させる必要があります。 ドメイン コントローラーは、Azure VM またはオンプレミスでホストできます。 どちらの場合も、ドメイン参加済みのクライアントは、ドメイン コントローラーへの通信経路を必要とするため、ドメイン サービスの企業ネットワークまたは仮想ネットワーク (VNET) 内に存在する必要があります。
次の図は、SMB 経由の Azure ファイル共有に対するオンプレミス AD DS 認証を示しています。 オンプレミスの AD DS は、Azure AD Connect 同期または Azure AD Connect クラウド同期を使用して Azure AD に同期する必要があります。オンプレミスの AD DS と Azure AD の両方に存在するハイブリッド ユーザー ID のみを、Azure ファイル共有アクセスに対して認証および認可できます。 これは、Azure AD 内に示されている ID に対して共有レベルのアクセス権が構成されているのに対して、ディレクトリ/ファイル レベルのアクセス権が AD DS 内の ID に適用されます。 同じハイブリッド ユーザーに対してアクセス許可を正しく構成するようにしてください。
AD DS 認証を有効にする方法については、最初に「概要 - SMB を使用した Azure ファイル共有へのオンプレミスの Active Directory Domain Services 認証」を読んだ後、「SMB を使用して Azure ファイル共有へのオンプレミスの Active Directory Domain Services 認証を有効にする」をご覧ください。
Azure AD DS
Azure AD DS 認証の場合、Azure AD DS を有効にし、ファイル データのアクセス元となる VM をドメイン参加させる必要があります。 ドメイン参加している VM は、Azure AD DS と同じ仮想ネットワーク (VNET) に存在する必要があります。
次の図は、SMB 経由の Azure ファイル共有に対する Azure AD DS 認証のワークフローを示しています。 これはオンプレミスの AD DS 認証と同様のパターンに従いますが、大きな違いが 2 つあります。
ストレージ アカウントを表すために Azure AD DS で ID を作成する必要はありません。 これは、バックグラウンドで有効化プロセスによって実行されます。
Azure AD に存在するすべてのユーザーを認証および認可できます。 ユーザーは、クラウドのみ、またはハイブリッドにすることができます。 Azure AD から Azure AD DS への同期は、ユーザー構成を必要とせずに、プラットフォームによって管理されます。 ただし、Azure AD DS でホストされているドメインにクライアントが参加している必要があります。 Azure AD に参加または登録することはできません。 Azure AD DS では、Azure AD DS でホストされたドメインにドメイン参加済みの非クラウド VM (ユーザー のノート PC、ワークステーション、他のクラウド内の VM など) はサポートされていません。
Azure AD DS 認証を有効にする方法については、「Azure Files に対する Azure Active Directory Domain Services 認証を有効にする」をご覧ください。
ハイブリッド ID 用の Azure AD Kerberos
ハイブリッド ユーザー ID を認証するために Azure AD を有効にして構成すると、Azure AD ユーザーは Kerberos 認証を使用して Azure ファイル共有にアクセスできます。 この構成では Azure AD を使用して、業界標準の SMB プロトコルでファイル共有にアクセスするために必要な Kerberos チケットを発行します。 つまり、エンド ユーザーは、ハイブリッド Azure AD 参加済みおよび Azure AD 参加済み VM からドメイン コントローラーへの通信を必要とせずに、インターネット経由で Azure ファイル共有にアクセスできます。 ただし、ユーザーとグループに対してディレクトリおよびファイル レベルのアクセス許可を構成するには、オンプレミスのドメイン コントローラーへの通信経路が必要です。
重要
Azure AD Kerberos 認証では、ハイブリッド ユーザー ID のみがサポートされます。クラウドのみの ID はサポートされていません。 従来の AD DS デプロイが必要です。これを、Azure AD Connect 同期または Azure AD Connect クラウド同期を使用して Azure AD と同期させる必要があります。クライアントを、Azure AD に参加させるか、ハイブリッド Azure AD に参加させる必要があります。 Azure AD Kerberos は、Azure AD DS に参加しているクライアントまたは AD にのみ参加しているクライアントではサポートされません。
ハイブリッド ID に対して Azure AD Kerberos 認証を有効にする方法については、「Azure Files でハイブリッド ID に対して Azure Active Directory Kerberos 認証を有効にする」をご覧ください。
また、この機能を使って、Azure AD 参加済み VM 用に対して Azure ファイル共有上の FSLogix プロファイルを格納することもできます。 詳細については、「Azure Files と Azure Active Directory を使用してプロファイル コンテナーを作成する」を参照してください。
アクセス制御
Azure Files では、共有レベルとディレクトリおよびファイル レベルの両方へのユーザー アクセスで認可が適用されます。 共有レベルのアクセス許可の割り当ては、Azure RBAC モデルを使用して管理されている Azure AD ユーザーまたはグループで実行できます。 Azure RBAC では、ファイルへのアクセスに使用する資格情報を使用できるようにするか、Azure AD に同期する必要があります。 Azure AD のユーザーまたはグループに記憶域ファイル データの SMB 共有の閲覧者などの Azure 組み込みロールを割り当てて、Azure ファイル共有へのアクセスを許可できます。
ディレクトリとファイルのレベルでは、Azure Files は、Windows ファイル サーバーと同様に、Windows ACL の保持、継承、適用をサポートしています。 既存のファイル共有と Azure ファイル共有の間で SMB 経由でデータをコピーするとき、Windows ACL を維持することを選択できます。 承認を適用するかどうかにかかわらず、Azure ファイル共有を利用し、データと共に ACL をバックアップできます。
Azure Files の共有レベルのアクセス権限を構成する
ストレージ アカウントで AD ソースを有効にした後、ファイル共有にアクセスするために、次のいずれかを行う必要があります。
- 認証されたすべてのユーザーとグループに適用される既定の共有レベルのアクセス許可を設定する
- 組み込みの Azure RBAC ロールをユーザーとグループに割り当てる。または
- Azure AD の ID 用にカスタム ロールを構成し、ストレージ アカウント内のファイル共有へのアクセス権を割り当てる。
割り当てられた共有レベルのアクセス許可では、付与された ID は共有のみにアクセスできます。それ以外には、ルート ディレクトリであってもアクセスできません。 その場合でも、ディレクトリとファイル レベルのアクセス許可を別に構成する必要があります。
Azure Files のディレクトリ レベルまたはファイル レベルの権限を構成する
Azure ファイル共有では、ルート ディレクトリを含む、ディレクトリとファイルの両方のレベルで、標準の Windows ACL が適用されます。 ディレクトリ レベルまたはファイル レベルの権限の構成は、SMB 経由および REST 経由での構成がサポートされています。 VM 上で対象のファイル共有をマウントし、Windows のエクスプローラー、Windows の icacls または Set-ACL コマンドを使用して権限を構成します。
スーパーユーザーの権限でストレージ アカウントのキーを使用する
ストレージ アカウント キーを保持するユーザーは、スーパー ユーザーの権限で Azure ファイル共有にアクセスできます。 スーパーユーザーのアクセス許可は、すべてのアクセス制御制限をバイパスします。
重要
推奨されるセキュリティのベスト プラクティスは、ストレージ アカウント キーを共有しないこと、および可能な限り ID ベースの認証を利用することです。
Azure ファイル共有にデータをインポートするときに、ディレクトリとファイル ACL を保持する
Azure Files では、Azure ファイル共有にデータをコピーする際、ディレクトリまたはファイル レベルの ACL の保持がサポートされています。 Azure File Sync または一般的なファイル移動ツールセットを使用して、ディレクトリまたはファイルの ACL を Azure ファイル共有にコピーできます。 たとえば、robocopy を /copy:s フラグと共に使用して、Azure ファイル共有にデータや ACL をコピーすることができます。 ACL は既定で保持されるので、ACL を保持するために、ストレージ アカウントで ID ベースの認証を有効にする必要はありません。
価格
ストレージ アカウントで SMB による ID ベースの認証を有効にしても、追加のサービス料金は発生しません。 価格の詳細については、「Azure Files の価格」と「Azure AD Domain Services の価格」を参照してください。
次のステップ
Azure Files や、SMB 経由の ID ベースの認証の詳細については、これらのリソースを参照してください。