SMB ストレージのアクセス許可を構成する

FSLogix は SMB ストレージ システムと連携して、プロファイルまたは ODFC コンテナーを格納します。 SMB ストレージは、VHDLocations が記憶域の場所への UNC パスを保持する標準構成で使用されます。 SMB ストレージ プロバイダーは、VHDLocations の代わりに CCDLocations が使用されるクラウド キャッシュ構成でも使用できます。

SMB ストレージのアクセス許可は、保存されているデータの適切なセキュリティを確保するために、ファイルまたはフォルダー レベルで適用される従来の NTFS Access Control リスト (ACL) に依存します。 Azure Filesで使用する場合は、Active Directory (AD) ソースを有効にしてから、リソースに共有レベルのアクセス許可を割り当てる必要があります。 共有レベルのアクセス許可を割り当てる方法は 2 つあります。 それらは特定の Azure AD ユーザーやグループに割り当てることができるほか、既定の共有レベルのアクセス許可として、すべての認証済み ID に割り当てることができます。

開始する前に

SMB ストレージのアクセス許可を構成する前に、まず SMB ストレージ プロバイダーを作成し、organizationとストレージ プロバイダーの種類に適した ID 機関に適切に関連付けられている必要があります。

重要

環境内の SMB ストレージにAzure FilesまたはAzure NetApp Filesを使用するために必要なプロセスを理解する必要があります。

Azure Files

このアウトラインでは、SMB ストレージ プロバイダーとしてAzure Filesを使用するときに必要な初期概念を示します。 選択した Active Directory 構成に関係なく、すべての認証済み ID に割り当てられるストレージ ファイル データ SMB 共有共同作成者を使用して、既定の共有レベルのアクセス許可を構成することをお勧めします。 Windows ACL を設定するには、ストレージ ファイル データ SMB 共有管理者特権共同作成者ロールを持つ特定の Azure AD ユーザーまたはグループに共有レベルのアクセス許可を割り当て、SMB に対するディレクトリとファイル レベルのアクセス許可の構成に関するページを確認してください。

1. SMB Azure ファイル共有を作成します。
   • Azure ファイル共有の AD DS 認証を有効にする
   • Azure Files に対する Azure Active Directory Domain Services 認証を有効にする
   • Azure Files でハイブリッド ID に対して Azure Active Directory Kerberos 認証を有効にする

Azure NetApp Files

Azure NetApp Filesは、Windows ACL のみに依存します。

1. NetApp アカウントを作成します。
2. Active Directory Domain Servicesサイトの設計とAzure NetApp Filesの計画に関するガイドラインについて説明します。
3. Azure NetApp Files用の容量プールを作成します。
4. Azure NetApp Files 用に SMB ボリュームを作成します。

Windows ACL を構成する

Windows ACL は、ユーザー (CREATOR OWNER) のみが自分のプロファイル ディレクトリまたは VHD(x) ファイルにアクセスできるように、正しく構成することが重要です。 さらに、運用上の観点から、他の管理グループに "フル コントロール" があることを確認する必要があります。 この概念はユーザーベースのアクセスと呼ばれ、推奨される構成です。

SMB ファイル共有には、ACL の既定のセットがあります。 これらの例は、3 つの最も一般的な種類の SMB ファイル共有とその既定の ACL です。

ファイル サーバー ACL	Azure Files共有 ACL	Azure NetApp Files ACL

重要

Azure ファイル共有に ACL を適用するには、次の 2 つの方法のうち 1 つが必要な場合があります。

1. ストレージ アカウントまたはファイル共有Access Control (IAM) で、ストレージ ファイル データ SMB 共有管理者特権共同作成者ロールを持つユーザーまたはグループを指定します。
2. ストレージ アカウント キーを使用してファイル共有をマウントします。

アクセス チェックは 2 つのレベル (共有レベルとファイル/ディレクトリ レベル) で行われるため、ACL の適用は 制限されます。 ストレージ ファイル データ SMB 共有管理者特権共同作成者ロールを持つユーザーのみが、ストレージ アカウント キーを使用せずに、ファイル共有ルートまたは他のファイルまたはディレクトリに対するアクセス許可を割り当てることができます。 その他のファイルまたはディレクトリのアクセス許可の割り当てはすべて、最初にストレージ アカウント キーを使用して共有に接続する必要があります。

推奨される ACL

次の表は、構成する推奨 ACL の概要を示しています。

プリンシパル	Access	適用対象	説明
CREATOR OWNER	Modify (読み取り/書き込み)	サブフォルダーとファイルのみ	ユーザーが作成したプロファイル ディレクトリに、そのユーザーに対してのみ正しいアクセス許可があることを確認します。
CONTOSO\Domain Admins	フル コントロール	このフォルダー、サブフォルダー、およびファイル	を管理目的で使用する組織グループに置き換えます。
CONTOSO\Domain Users	Modify (読み取り/書き込み)	このフォルダーのみ	承認されたユーザーが自分のプロファイル ディレクトリを作成できるようにします。 を、プロファイルの作成にアクセスする必要がある組織ユーザーに置き換えます。

icacls を使用して Windows ACL を適用する

次の Windows コマンドを使用して、ルート ディレクトリを含む、ファイル共有のすべてのディレクトリとファイルに 対して推奨される アクセス許可を設定します。

Note

例中のプレースホルダーをお客様独自の値に置き換えてください。

icacls \\contosoanf-1408.contoso.com\fsl-profiles /inheritance:r
icacls \\contosoanf-1408.contoso.com\fsl-profiles /grant:r "CREATOR OWNER":(OI)(CI)(IO)(M)
icacls \\contosoanf-1408.contoso.com\fsl-profiles /grant:r "CONTOSO\Domain Admins":(OI)(CI)(F)
icacls \\contosoanf-1408.contoso.com\fsl-profiles /grant:r "CONTOSO\Domain Users":(M)

icacls を使用して Windows ACL を設定する方法と、サポートされているさまざまな種類のアクセス許可の詳細については、 icacls のコマンド ライン リファレンスを参照してください。

Windows エクスプローラーを使用して Windows ACL を適用する

Windows エクスプローラーを使用して、ルート ディレクトリを含め、ファイル共有のすべてのディレクトリとファイルに推奨されるアクセス許可を適用します。

1. ファイル共有のルートにある Windows エクスプローラーを開きます。

2. 右側のウィンドウで 開いている領域 を右クリックし、[プロパティ] を選択 します。

3. [ セキュリティ] タブを選択します。

4. [詳細] を選択します。

5. [ 継承を無効にする] を選択します。

   Note

   メッセージが表示されたら、コピーの代わりに継承されたアクセス許可を削除しました

6. [追加] を選択します。

7. [プリンシパルの選択] を選択します。

8. 「CREATOR OWNER」と入力し、[ 名前の確認]、[ OK] の順に選択します。

9. [適用対象]: [サブフォルダーとファイルのみ] を選択します。

10. [基本的なアクセス許可]: [変更] を選択します。

11. [OK] を選択します。

12. 推奨される ACL に基づいて、手順 6 から 11 を繰り返します。

13. [ OK] を選択 し、もう一度 [OK] を 選択して、アクセス許可の適用を完了します。

    

SIDDirSDDL 構成を使用して Windows ACL を適用する

または、FSLogix は、作成プロセス中にディレクトリに Windows ACL を設定する構成設定を提供します。 SIDDirSDDL 構成設定は、作成時にディレクトリに適用する ACL を定義する SDDL 文字列を受け入れます。

SDDL 文字列を作成する

1. SMB ファイル共有に 'Test' フォルダーを作成します。

   

2. organizationに合わせてアクセス許可を変更します。

   

3. PowerShell ターミナルを開きます。

4. 「Get-Acl -Path \\contosoanf-1408.contoso.com\fsl-profiles\Test | Select-Object Sddl.

   

5. 出力をメモ帳にコピーします。

6. を にO:%sid%置き換えます O:BAG (ユーザーの SID をフォルダー所有者として設定します)。

7. を に(A;OICIIO;0x1301bf;;;%sid%)置き換えます (A;OICIIO;0x1301bf;;;CO) (すべてのアイテムに対するユーザーの SID 変更権限を付与します)。

8. FSLogix 構成で、SIDDirSDDL 設定を適用します。

   • 値の名前: SIDDirSDDL
   • 値の種類: Reg_sz
   • 値:O:%sid%:DUD:PAI(A;OICIIO;0x1301bf;;;%sid%)(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-3260294598-3507968424-1365985680-2602)

9. ユーザーが初めてサインインすると、これらのアクセス許可を使用してディレクトリが作成されます。