Azure Files での SMB アクセスに対する Azure Active Directory Domain Services (AAD DS) 認証の概要 (プレビュー)Overview of Azure Files Azure Active Directory Domain Service (AAD DS) Authentication Support for SMB Access (Preview)

Azure Files では、Azure Active Directory Domain Services (Azure AD) を使用した、SMB (Server Message Block) 上の ID ベースの認証がサポートされます。Azure Files supports identity-based authentication over Server Message Block (SMB) (preview) through Azure Active Directory Domain Services (AD DS). ドメインに参加している Windows 仮想マシン (VM) は、Azure Active Directory (Azure AD) の資格情報を使用して Azure ファイル共有にアクセスできます。Your domain-joined Windows virtual machines (VMs) can access Azure file shares by using Azure Active Directory (Azure AD) credentials.

Azure AD でロールベースのアクセス制御 (RBAC) を使用して、ユーザーやグループなどの ID に対する Azure Files 共有レベルのアクセスを管理できます。You can manage Azure Files share-level access to an identity such as a user or group in Azure AD by using role-based access control (RBAC). Azure Files へのアクセスに使用されるアクセス許可の共通セットを含むカスタムの RBAC ロールを定義することができます。You can define custom RBAC roles that include common sets of permissions used to access Azure Files. カスタムの RBAC ロールを Azure AD ID に割り当てると、その ID には、それらのアクセス許可に従って Azure ファイル共有へのアクセス権が与えられます。When you assign your custom RBAC role to an Azure AD identity, that identity is granted access to an Azure file share according to those permissions.

プレビューの一環として、Azure Files は、ファイル共有内のすべてのファイルとディレクトリに対する NTFS DACL の保持、継承、および適用もサポートしています。As part of the preview, Azure Files also supports preserving, inheriting, and enforcing NTFS DACLs on all files and directories in a file share. ファイル共有から Azure Files に (または逆方向に) データをコピーする場合、NTFS DACL が保持されるように指定することができます。If you copy data from a file share to Azure Files, or vice versa, you can specify that NTFS DACLs are maintained. このように、Azure Files を使用してバックアップ シナリオを実装し、オンプレミスのファイル共有とクラウドのファイル共有の間で NTFS DACLS を保持することができます。In this way you can implement backup scenarios by using Azure Files, preserving your NTFS DACLS between your on-premises file share and your cloud file share.

注意

  • Linux VM では、SMB (Server Message Block) アクセスに対する Azure AD DS 認証はサポートされていません。Azure AD DS authentication for Server Message Block (SMB) access is not supported for Linux VMs. サポートされているのは Windows VM のみです。Only Windows VMs are supported.
  • Active Directory ドメイン参加済みコンピューターでは、SMB アクセスに対する Azure AD DS 認証はサポートされていません。Azure AD DS authentication for SMB access is not supported for Active Directory domain-joined machines. 暫定的に、Azure File Sync を使用して、Azure Files へのデータの移行を開始し、オンプレミスの Active Directory ドメイン参加済みマシンから Active Directory 資格情報を使用して、アクセス制御の適用を続行することを検討してください。In the interim, consider using Azure File Sync to start migrating your data to Azure Files and to continue enforcing access control by using Active Directory credentials from your on-premises Active Directory domain-joined machines.
  • SMB アクセスに対する Azure AD DS 認証は、2018 年 9 月 24 日より後に作成されたストレージ アカウントでのみ利用できます。Azure AD DS authentication for SMB access is available only for storage accounts created after September 24, 2018.
  • Azure File Sync によって管理される Azure ファイル共有では、SMB アクセスに対する Azure AD DS 認証と NTFS DACL の永続化はサポートされません。Azure AD DS authentication for SMB access and NTFS DACL persistence is not supported on Azure file shares managed by Azure File Sync.

Azure Files に対して AAD DS 認証を有効にする方法については、「SMB を使用して Azure Files への Azure Active Directory Domain Services 認証を有効にする (プレビュー)」をご覧ください。To learn how to enable AAD DS authentication for Azure Files, see Enable Azure Active Directory Domain Service Authentication over SMB for Azure Files (Preview).

用語集Glossary

SMB を使用した Azure Files の Azure AD Domain Service 認証に関連するいくつかの重要な用語を理解することをお勧めします。It's helpful to understand some key terms relating to Azure AD Domain Service authentication over SMB for Azure Files:

  • Azure Active Directory (Azure AD)Azure Active Directory (Azure AD)
    Azure Active Directory (Azure AD) は、マイクロソフトが提供する、マルチテナントに対応したクラウドベースのディレクトリおよび ID の管理サービスです。Azure Active Directory (Azure AD) is Microsoft’s multi-tenant cloud-based directory and identity management service. Azure AD には、主要なディレクトリ サービス、アプリケーション アクセスの管理、ID 保護の機能が一つのソリューションとして統合されています。Azure AD combines core directory services, application access management, and identity protection into a single solution. 詳細については、「Azure Active Directory とは」を参照してください。For more information, see What is Azure Active Directory?

  • Azure AD Domain ServicesAzure AD Domain Services
    Azure AD Domain Services では、マネージド ドメイン サービス (ドメイン参加、グループ ポリシー、LDAP、Kerberos/NTLM 認証) を提供します。Azure AD Domain Services provides managed domain services such as domain join, group policies, LDAP, and Kerberos/NTLM authentication. これらのサービスは、Windows Server Active Directory と完全に互換性があります。These services are fully compatible with Windows Server Active Directory. 詳細については、「 Azure Active Directory (AD) のドメイン サービス」を参照してください。For more information, see Azure Active Directory (AD) Domain Services.

  • Azure のロールベースのアクセス制御 (RBAC)Azure Role Based Access Control (RBAC)
    Azure のロールベースのアクセス制御 (RBAC) では、Azure のアクセス権の詳細な管理を実現します。Azure Role-Based Access Control (RBAC) enables fine-grained access management for Azure. RBAC を使用して業務遂行に必要な最小限の権限をユーザーに付与することで、リソースへのアクセスを管理できます。Using RBAC, you can manage access to resources by granting users the fewest permissions needed to perform their jobs. RBAC の詳細については、「Azure のロールベースのアクセス制御 (RBAC) とは」を参照してください。For more information on RBAC, see What is role-based access control (RBAC) in Azure?

  • Kerberos 認証Kerberos authentication

    Kerberos は、ユーザーまたはホストの身元を確認するために使用される認証プロトコルです。Kerberos is an authentication protocol that is used to verify the identity of a user or host. Kerberos の詳細については、「Kerberos 認証の概要」を参照してください。For more information on Kerberos, see Kerberos Authentication Overview.

  • サーバー メッセージ ブロック (SMB) プロトコルServer Message Block (SMB) protocol
    SMB は、業界標準のネットワーク ファイル共有プロトコルです。SMB is an industry-standard network file-sharing protocol. SMB は、Common Internet File System (CIFS) とも呼ばれます。SMB is also known as Common Internet File System or CIFS. SMB の詳細については、「Microsoft SMB プロトコルと CIFS プロトコルの概要」を参照してください。For more information on SMB, see Microsoft SMB Protocol and CIFS Protocol Overview.

Azure AD Domain Services 認証の利点Advantages of Azure AD Domain Service authentication

Azure Files に対する Azure AD Domain Services 認証には、共有キー認証と比較して、以下のようなさまざまな利点があります。Azure AD Domain Service authentication for Azure Files offers several benefits over using Shared Key authentication:

  • 従来の ID ベースのファイル共有アクセス エクスペリエンスを Azure AD と Azure AD Domain Services を使用してクラウド上に展開するExtend the traditional identity-based file share access experience to the cloud with Azure AD and Azure AD Domain Service
    従来のファイル サーバーを Azure Files に置き換えて、お使いのアプリケーションを "リフト アンド シフト" でクラウドに移行する場合は、アプリケーションによるファイル データへのアクセスを Azure AD 資格情報で認証することができます。If you plan to "lift and shift" your application to the cloud, replacing traditional file servers with Azure Files, then you may want your application to authenticate with Azure AD credentials to access file data. Azure Files では、AAD DS ドメイン参加済み Windows VM からの SMB を介した Azure Files へのアクセスでの Azure AD 資格情報の使用がサポートされています。Azure Files supports using Azure AD credentials to access Azure Files over SMB from AAD DS domain-joined Windows VMs. また、ユーザー名、パスワード、およびその他のグループ割り当てを保持するために、オンプレミスのすべての Active Directory オブジェクトを Azure AD と同期することも選択できます。You can also choose to sync all of your on-premises Active Directory objects to Azure AD to preserve usernames, passwords, and other group assignments.

  • Azure のファイル共有への詳細なアクセス制御の適用が可能Enforce granular access control on Azure file shares
    特定の ID に対して、ファイル共有、ディレクトリ、またはファイル レベルでアクセス許可を付与できます。You can grant permissions to a specific identity at the share, directory, or file level. たとえば、プロジェクトのコラボレーションのために、複数のチームが 1 つの Azure ファイル共有を使用しているとします。For example, suppose that you have several teams using a single Azure file share for project collaboration. その場合、機密ではないディレクトリについてはすべてのチームにアクセス権限を付与し、機密の財務データが含まれるディレクトリについては財務チームのみにアクセス権限を付与できます。You can grant all teams access to non-sensitive directories, while limiting access to directories containing sensitive financial data to your Finance team only.

  • データだけでなく、ACL のバックアップも可能Back up ACLs along with your data
    Azure Files では、既存のオンプレミスのファイル共有をバックアップすることができます。You can use Azure Files to back up your existing on-premises file shares. Azure Files では、SMB 経由で Azure Files に共有ファイルをバックアップすると、データと共に ACL も保持されます。Azure Files preserves your ACLs along with your data when you back up a file share to Azure Files over SMB.

動作のしくみHow it works

Azure Files は、ドメインに参加している VM から得た Azure AD の資格情報で Kerberos 認証をすることをサポートするために、Azure AD Domain Services を使用しています。Azure Files uses Azure AD Domain Services to support Kerberos authentication with Azure AD credentials from domain-joined VMs. Azure Files で Azure AD を使用するには、まず Azure Active Directory Domain Services を有効にして、ファイル データにアクセスしようとする元の VM からドメインに参加する必要があります。Before you can use Azure AD with Azure Files, you must first enable Azure AD Domain Services and join the domain from the VMs from which you plan to access file data. ドメインに参加している VM は、Azure AD Domain Services と同じ仮想ネットワーク (VNET) 内に存在する必要があります。Your domain-joined VM must reside in the same virtual network (VNET) as Azure AD Domain Services.

VM 上で実行されているアプリケーションに関連付けられている ID が Azure Files のデータにアクセスしようとした場合、その要求は Azure AD Domain Services に送信され、ID が認証されます。When an identity associated with an application running on a VM attempts to access data in Azure Files, the request is sent to Azure AD Domain Services to authenticate the identity. 認証が成功した場合、Azure AD Domain Services は Kerberos トークンを返します。If authentication is successful, Azure AD Domain Services returns a Kerberos token. アプリケーションは Kerberos トークンが含まれる要求を送信し、Azure Files はそのトークンを使用して要求を承認します。The application sends a request that includes the Kerberos token, and Azure Files uses that token to authorize the request. Azure Files はトークンのみを受け取ります。Azure AD の資格情報は保持しません。Azure Files receives the token only and does not persist Azure AD credentials.

SMB 経由の Azure AD 認証のスクリーン ショット

SMB アクセスに対する Azure AD Domain Services 認証を有効にするEnable Azure AD Domain Service authentication for SMB access

2018 年 9 月 24 日より後に作成された新しいまたは既存のストレージ アカウントに対して、Azure Files 用の Azure AD Domain Services 認証を有効にできます。You can enable Azure AD Domain Service authentication for Azure Files on your new and existing storage accounts created after September 24, 2018.

この機能を有効にする前に、ストレージ アカウントが関連付けられているプライマリ Azure AD テナントに、Azure AD Domain Services がデプロイされていることを確認します。Before enabling this feature, verify that Azure AD Domain Services has been deployed for the primary Azure AD tenant with which your storage account is associated. Azure AD Domain Services の設定がまだ完了していない場合は、「Azure portal を使用して Azure Active Directory Domain Services を有効にする」に記載の手順に従ってください。If you have not yet set up Azure AD Domain Services, follow the step-by-step guidance provided in Enable Azure Active Directory Domain Services using the Azure portal.

Azure AD Domain Services のデプロイは、通常 10~15 分要します。Azure AD Domain Services deployment generally takes 10 to 15 minutes. Azure AD Domain Services のデプロイが完了後、SMB 経由で Azure Files の Azure AD 認証を有効にできます。After Azure AD Domain Services has been deployed, you can enable Azure AD authentication over SMB for Azure Files. 詳細については、「SMB を使用して Azure Files への Azure Active Directory Domain Services 認証を有効にする (プレビュー)」を参照してください。For more information, see Enable Azure Active Directory Domain Service authentication over SMB for Azure Files (Preview).

Azure Files の共有レベルのアクセス権限を構成するConfigure share-level permissions for Azure Files

Azure AD Domain Services 認証を有効にした後、Azure AD の ID のカスタム RBAC ロールを構成し、ストレージ アカウント内の任意のファイル共有へのアクセス権を割り当てることができます。Once Azure AD Domain Service authentication has been enabled, you can configure custom RBAC roles for Azure AD identities and assign access rights to any file shares in the storage account.

ドメインに参加している VM 上で実行されているアプリケーションが Azure のファイル共有をマウントしようとしたり、ディレクトリまたはファイルにアクセスしようとしたりした場合、そのアプリケーションの Azure AD 資格情報について、適切な共有レベルの権限と NTFS 権限があることが確認されます。When an application running on a domain-joined VM tries to mount an Azure file share or access a directory or file, the application's Azure AD credentials are verified to ensure the proper share-level permissions and NTFS permissions. 共有レベルのアクセス許可の構成の詳細については、「SMB を使用して Azure Files への Azure Active Directory 認証を有効にする (プレビュー)」を参照してください。For information about configuring share-level permissions, see Enable Azure Active Directory Domain Service authentication over SMB (Preview).

Azure Files のディレクトリレベルまたはファイルレベルの権限を構成するConfigure directory- or file-level permissions for Azure Files

Azure Files は、ルート ディレクトリを含め、ディレクトリレベルおよびファイルレベルで標準の NTFS ファイル権限を適用します。Azure Files enforces standard NTFS file permissions at the directory and file level, including at the root directory. ディレクトリレベルまたはファイルレベルの権限の構成は、SMB 経由の構成のみがサポートされています。Configuration of directory- or file-level permissions is supported over SMB only. VM 上で対象のファイル共有をマウントし、Windows の icacls または SET-ACL コマンドを使用して権限を構成します。Mount the target file share from your VM and configure permissions using the Windows icacls or Set-ACL command.

注意

Windows のファイルエクスプローラー経由の NTFS 権限の構成は、プレビューではサポートされていません。Configuring NTFS permissions through Windows File Explorer is not supported in the preview.

スーパーユーザーの権限でストレージ アカウントのキーを使用するUse the storage account key for superuser permissions

ストレージ アカウント キーを保持するユーザーは、スーパー ユーザーの権限で Azure Files にアクセスできます。A user possessing the storage account key can access Azure Files with superuser permissions. スーパー ユーザーの権限は、RBAC の共有レベルで構成され、Azure AD によって適用されたすべてのアクセス制御の制限を超えることができます。Superuser permissions surpass all access control restrictions configured at the share level with RBAC and enforced by Azure AD. Azure のファイル共有をマウントするには、スーパー ユーザーの権限が必要です。Superuser permissions are required to mount an Azure file share.

重要

セキュリティのベスト プラクティスの一貫として、ストレージ アカウント キーの共有や、Azure AD の権限の利用は、可能な限り避けてください。As part of best practices for security, avoid sharing your storage account keys, and leverage Azure AD permissions whenever possible.

Azure のファイル共有にディレクトリとファイルのデータ インポート用の ACL を保持するPreserve directory and file ACLs for data import to Azure file shares

Azure Files では、Azure ファイル共有にデータをコピーするときに、ディレクトリまたはファイルの ACL の保持をサポートするようになりました。Azure Files now supports preserving directory or file ACLs when you copy data to Azure file shares. ディレクトリまたはファイルの ACL を Azure Files にコピーできます。You can copy the ACLs on a directory or file to Azure Files. たとえば、robocopy を使用し、/copy:s のフラグを設定することで、データと ACL の両方を Azure のファイル共有にコピーすることができます。For example, you can use robocopy with flag /copy:s to copy both data and ACLs to an Azure file share. ACL の保持は既定でオンになっており、ストレージ アカウントに関する Azure AD Domain Services 認証機能を明示的に有効にする必要はありません。ACL preservation is on by default and you don't need to explicitly enable Azure AD Domain Service authentication feature on your storage account.

価格Pricing

お使いのストレージアカウントで SMB 経由の Azure AD 認証を有効にする場合、追加のサービス料金は発生しません。There is no additional service charge to enable Azure AD authentication over SMB on your storage account. 価格の詳細については、「Azure Files の価格」と「Azure AD Domain Services の価格」のページを参照してください。For more information on pricing, see Azure Files pricing and Azure AD Domain Services pricing pages.

次の手順Next Steps

Azure Files や、SMB 経由の Azure AD 認証の詳細については、これらのリソースを参照してください。For more information about Azure Files and Azure AD authentication over SMB, see these resources: