Azure Files でハイブリッド ID に対して Azure Active Directory Kerberos 認証を有効にする

  • [アーティクル]

この記事では、Azure AD に同期されるオンプレミス AD DS の ID であるハイブリッド ユーザー ID を認証するための Azure Active Directory (Azure AD) の有効化と構成を中心に説明します。 現在、クラウド専用 ID はサポートされていません。

この構成により、ハイブリッド ユーザーは Kerberos 認証を使用して Azure ファイル共有にアクセスでき、Azure AD を使用して、SMB プロトコルでファイル共有にアクセスするために必要な Kerberos チケットを発行できます。 つまり、エンド ユーザーは、ハイブリッド Azure AD 参加済みおよび Azure AD 参加済みクライアントからドメイン コントローラーへの通信を必要とせずに、インターネット経由で Azure ファイル共有にアクセスできます。 しかし、ユーザーまたはグループに対して Windows アクセス制御リスト (ACL)/ディレクトリおよびファイル レベルのアクセス許可を構成するには、オンプレミスのドメイン コントローラーへの通信経路が必要です。

サポートされているオプションと考慮事項の詳細については、「SMB アクセスの Azure Files ID ベース認証オプションの概要」を参照してください。 Azure AD Kerberos の詳細については、「詳細情報: Azure AD Kerberos のしくみ」を参照してください。

重要

Azure Files での ID ベースの認証に使用できる AD ソースは 1 つだけです。 ハイブリッド ID に対する Azure AD Kerberos 認証が要件に合わない場合は、代わりに オンプレミスの Active Directory Domain Service (AD DS) または Azure Active Directory Domain Services (Azure AD DS) を使用できる場合があります。 構成手順とサポートされるシナリオは方法ごとに異なります。

適用対象

ファイル共有の種類 SMB NFS
Standard ファイル共有 (GPv2)、LRS/ZRS はい いいえ
Standard ファイル共有 (GPv2)、GRS/GZRS はい いいえ
Premium ファイル共有 (FileStorage)、LRS/ZRS はい いいえ

前提条件

Azure ファイル共有に対して SMB 経由での Azure AD Kerberos 認証を有効にする前に、次の前提条件を満たしていることを確認してください。

注意

Azure ストレージ アカウントを、Azure AD と、AD DS や Azure AD DS などの 2 番目の方法の両方で認証することはできません。 ストレージ アカウントに対して別の AD ソースを既に選択している場合は、Azure AD Kerberos を有効にする前にそれを無効にする必要があります。

ハイブリッド ID 用の Azure AD Kerberos 機能は、次のオペレーティング システムでのみ使用できます。

Windows VM を作成して構成し、Azure AD ベースの認証を使用して ログインする方法については、「Azure AD を使用して Azure の Windows 仮想マシンにログインする」を参照してください。

クライアントは、Azure AD に参加しているか、Hybrid Azure AD に参加している必要があります。 Azure AD Kerberos は、Azure AD DS に参加しているクライアントまたは AD にのみ参加しているクライアントではサポートされていません。

現在、この機能では、Azure AD でのみ作成および管理するユーザー アカウントはサポートされていません。 ユーザー アカウントはハイブリッド ユーザー ID である必要があります。つまり、AD DS と、Azure AD Connect または Azure AD Connect クラウド同期も必要になります。Active Directory でこれらのアカウントを作成し、それらを Azure AD に同期する必要があります。 Azure ファイル共有の Azure ロールベース アクセス制御 (RBAC) アクセス許可をユーザー グループに割り当てるには、Active Directory でグループを作成し、それを Azure AD に同期する必要があります。

ストレージ アカウントを表す Azure AD アプリで多要素認証 (MFA) を無効にする必要があります。

Azure AD Kerberos 認証では、AES-256 暗号化の使用のみがサポートされています。

リージョン別の提供状況

Azure AD Kerberos を使用した Azure Files 認証は、China と Government クラウドを除く、すべての Azure リージョンの Azure パブリック クラウドで利用できます。

ハイブリッド ユーザー アカウントに対して Azure AD Kerberos 認証を有効にする

Azure portal、PowerShell、または Azure CLI を使用して、ハイブリッド ユーザー アカウントに対して Azure Files で Azure AD Kerberos 認証を有効にすることができます。

Azure portal を使用して Azure AD Kerberos 認証を有効にするには、これらの手順に従います。

  1. Azure portal にサインインし、Azure AD Kerberos 認証を有効にするストレージ アカウントを選択します。

  2. [データ ストレージ] で、[ファイル共有] を選択します。

  3. [Active Directory] の横にある構成状態 ([未構成] など) を選択します。

    ストレージ アカウントのファイル共有設定を示している Azure portal のスクリーンショット。Active Directory の構成設定が選択されています。

  4. [Azure AD Kerberos] で、[設定] を選択します。

  5. [Azure AD Kerberos] チェック ボックスをオンにします。

    ストレージ アカウントの Active Directory 構成設定を示している Azure portal のスクリーンショット。[Azure AD Kerberos] が選択されています。

  6. 省略可能: Windows エクスプローラーを使用してディレクトリとファイル レベルのアクセス許可を構成する場合は、オンプレミス AD のドメイン名とドメイン GUID を指定する必要があります。 この情報は、ドメイン管理者から取得することも、オンプレミスの AD 参加済みクライアントから Active Directory PowerShell コマンドレット Get-ADDomain を実行して取得することもできます。 ドメイン名は DNSRoot の下の出力に一覧表示され、ドメイン GUID は ObjectGUID の下に一覧表示されます。 icacls を使用してディレクトリとファイル レベルのアクセス許可を構成する場合は、この手順を省略できます。 ただし、icacls を使用する場合、クライアントはオンプレミス AD への通信が必要になります。

  7. [保存] を選択します。

警告

手動の制限付きプレビュー手順で Azure AD Kerberos 認証を以前に有効にして、Azure AD 参加 VM 用の FSLogix プロファイルを Azure Files に保存した場合、ストレージ アカウントのサービス プリンシパルのパスワードは 6 か月ごとに期限切れになるように設定されます。 パスワードの有効期限が切れると、ユーザーはファイル共有に対する Kerberos チケットを取得できなくなります。 これを軽減するには、「ハイブリッド ユーザーに対する Azure AD Kerberos 認証を有効にすると発生する可能性があるエラー」で「エラー - Azure AD でサービス プリンシパルのパスワードの有効期限が切れています」を参照してください。

Azure AD Kerberos 認証を有効にした後、構成を完了するには、Azure AD テナントに登録されている新しい Azure AD アプリケーションに管理者の同意を明示的に与える必要があります。 これらの手順に従って、Azure portal から API のアクセス許可を構成できます。

  1. Azure Active Directory を開きます。

  2. 左ペインで [アプリの登録] を選択します。

  3. [すべてのアプリケーション] を選択します。

    Azure portal のスクリーンショット。[Azure Active Directory] が開いており、左側のペインで [アプリの登録] が選択され、右側のペインで [すべてのアプリケーション] が強調表示されています。

  4. [ストレージ アカウント] <your-storage-account-name>.file.core.windows.net と一致する名前のアプリケーションを選択します。

  5. 左ウィンドウで [API のアクセス許可] を選択します。

  6. [管理者の同意の付与] を選択します。

  7. [はい] を選択して確定します。

重要

Azure AD Kerberos 認証を使用してプライベート エンドポイントまたはプライベート リンクを介してストレージ アカウントに接続する場合は、プライベート リンク FQDN をストレージ アカウントの Azure AD アプリケーションに追加する必要もあります。 手順については、トラブルシューティング ガイドのエントリを参照してください。

ストレージ アカウントで多要素認証を無効にする

Azure AD Kerberos では、MFA を使用して Azure AD Kerberos で構成済みの Azure ファイル共有にアクセスすることはできません。 すべてのアプリに適用される場合は、ストレージ アカウントを表す Azure AD アプリを MFA 条件付きアクセス ポリシーから除外する必要があります。

ストレージ アカウント アプリの名前は、条件付きアクセス除外リストのストレージ アカウントと同じである必要があります。 条件付きアクセス除外リストでストレージ アカウント アプリを検索する場合は、[ストレージ アカウント] <your-storage-account-name>.file.core.windows.net を検索します

忘れずに、<your-storage-account-name> を適切な値に置き換えてください。

重要

ストレージ アカウント アプリから MFA ポリシーを除外しない場合は、ファイル共有にアクセスできません。 net use を使用してファイル共有をマップしようとすると、"システム エラー 1327: アカウント制限によってこのユーザーのサインインが妨げられている" というエラー メッセージが表示されます。 たとえば、空白のパスワードは許可されない、サインイン時間が制限されている、ポリシーの制限が適用されたなどです。

MFA の無効化に関するガイダンスについては、次を参照してください。

共有レベルのアクセス許可を割り当てる

ID ベースのアクセスを有効にすると、特定の共有にアクセスできるユーザーとグループを共有ごとに設定できます。 ユーザーが共有へのアクセスを許されると、個々のファイルとディレクトリに対する Windows ACL (NTFS アクセス許可とも呼ばれます) が引き継がれます。 これにより、Windows サーバー上の SMB 共有と同様に、アクセス許可をきめ細かく制御できます。

共有レベルのアクセス許可を設定するには、「ID に共有レベルのアクセス許可を割り当てる」の手順に従います。

ディレクトリとファイル レベルのアクセス許可を構成する

共有レベルのアクセス許可が設定されたら、ディレクトリ/ファイル レベルのアクセス許可をユーザーまたはグループに割り当てることができます。 これには、オンプレミスの AD への通信経路を持つデバイスを使用する必要があります。 Windows エクスプローラーを使用するには、デバイスもドメインに参加している必要があります。

Azure AD Kerberos 認証を使用してディレクトリとファイル レベルのアクセス許可を構成するための 2 つのオプションがあります。

  • Windows エクスプローラー: このオプションを選んだ場合、クライアントはオンプレミスの AD にドメインに参加している必要があります。
  • icacls ユーティリティ: このオプションを選んだ場合、クライアントはドメインに参加している必要はありませんが、オンプレミス AD への通信が必要です。

Windows エクスプローラーを使用してディレクトリとファイル レベルのアクセス許可を構成するには、オンプレミス AD のドメイン名とドメイン GUID を指定する必要もあります。 この情報は、ドメイン管理者またはオンプレミスの AD 参加済みクライアントから取得できます。 icacls を使用して構成する場合は、この手順は必要ありません。

ディレクトリとファイル レベルのアクセス許可を構成するには、「SMB 経由でディレクトリとファイル レベルのアクセス許可を構成する」の手順に従います。

クライアントを構成して Kerberos チケットを取得する

Azure ファイル共有をマウントまたは使用するクライアント コンピューターで Azure AD Kerberos 機能を有効にします。 これは、Azure Files を使用するすべてのクライアントで行う必要があります。

次の 3 つの方法のいずれかを使用します。

  • この Intune ポリシー CSP を構成し、それをクライアントに適用します。Kerberos/CloudKerberosTicketRetrievalEnabled
  • クライアントで次のグループ ポリシーを構成します。Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon
  • クライアントに次のレジストリ値を作成します。reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1

変更はすぐには行われず、有効にするにはポリシーの更新または再起動が必要です。

重要

この変更が適用された後、Kerberos 領域マッピングを構成しないと、クライアントはオンプレミスの AD DS 統合用に構成されているストレージ アカウントに接続できなくなります。 クライアントが AD DS 用に構成されたストレージ アカウントと Azure AD Kerberos 用に構成されたストレージ アカウントに接続できるようにする場合は、「オンプレミスの AD DS を使用してストレージ アカウントとの共存を構成する」の手順に従います。

オンプレミスの AD DS を使用してストレージ アカウントとの共存を構成する

クライアント マシンが AD DS 用に構成されたストレージ アカウントと Azure AD Kerberos 用に構成されたストレージ アカウントに接続できるようにする場合は、これらの手順に従います。 Azure AD Kerberos のみを使用している場合は、このセクションをスキップしてください。

オンプレミスの AD DS 統合を使用するストレージ アカウントごとにエントリを追加します。 Kerberos 領域マッピングを構成するには、次の 3 つの方法のいずれかを使用します。

  • この Intune ポリシー CSP を構成し、それをクライアントに適用します: Kerberos/HostToRealm
  • クライアントで次のグループ ポリシーを構成します。Administrative Template\System\Kerberos\Define host name-to-Kerberos realm mappings
  • クライアントで次のレジストリ値を構成します: reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\domain_realm /v <DomainName> /d <StorageAccountEndPoint>
    • たとえば、reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\domain_realm /v contoso.local /d <your-storage-account-name>.file.core.windows.net のように指定します。

変更はすぐには行われず、有効にするにはポリシーの更新または再起動が必要です。

ストレージ アカウントで Azure AD 認証を無効にする

別の認証方法を使用する場合は、Azure portal、Azure PowerShell、または Azure CLI を使って、ストレージ アカウントに対する Azure AD 認証を無効にすることができます。

注意

この機能を無効にすると、Active Directory の構成を復帰させるために他の Active Directory ソースのいずれかを有効にするまで、ストレージ アカウントのファイル共有には Active Directory の構成が存在しないことになります。

Azure portal を使用してストレージ アカウントに対する Azure AD Kerberos 認証を無効にするには、これらの手順に従います。

  1. Azure portal にサインインし、Azure AD Kerberos 認証を無効にするストレージ アカウントを選択します。
  2. [データ ストレージ] で、[ファイル共有] を選択します。
  3. [Active Directory] の横にある構成状態を選択します。
  4. [Azure AD Kerberos] で、[構成] を選択します。
  5. [Azure AD Kerberos] チェック ボックスをオフにします。
  6. [保存] を選択します。

次のステップ

詳細については、次のリソースを参照してください。