SMB アクセスの Azure Files ID ベース認証オプションの概要Overview of Azure Files identity-based authentication options for SMB access

Azure Files では、オンプレミス Active Directory Domain Services (AD DS) Azure Active Directory Domain Services (Azure AD DS) を介した、サーバー メッセージ ブロック (SMB) 経由の ID ベースの認証がサポートされます。Azure Files supports identity-based authentication over Server Message Block (SMB) through on-premises Active Directory Domain Services (AD DS) and Azure Active Directory Domain Services (Azure AD DS). この記事では、Azure Files がオンプレミスまたは Azure のドメイン サービスを利用し、SMB 経由の Azure ファイル共有への ID ベースのアクセスをサポートする方法に焦点を当てています。This article focuses on how Azure file shares can use domain services, either on-premises or in Azure, to support identity-based access to Azure file shares over SMB. Azure ファイル共有のために ID ベースのアクセスを有効にすると、既存のディレクトリ サービスを置換することなく、既存のファイル サーバーを Azure ファイル共有に置換できます。共有への継ぎ目のないユーザー アクセスを維持できます。Enabling identity-based access for your Azure file shares allows you to replace existing file servers with Azure file shares without replacing your existing directory service, maintaining seamless user access to shares.

Azure Files では、共有とディレクトリ/ファイル レベルの両方へのユーザー アクセスで承認が適用されます。Azure Files enforces authorization on user access to both the share and the directory/file levels. 共有レベルのアクセス許可の割り当ては、Azure ロールベースのアクセス制御 (Azure RBAC) モデルを通して管理されている Azure Active Directory (Azure AD) ユーザーまたはグループに対して実行できます。Share-level permission assignment can be performed on Azure Active Directory (Azure AD) users or groups managed through the Azure role-based access control (Azure RBAC) model. RBAC では、ファイルへのアクセスに使用する資格情報を使用できるようにするか、Azure AD に同期する必要があります。With RBAC, the credentials you use for file access should be available or synced to Azure AD. Azure ファイル共有に読み取りアクセス権を付与するには、記憶域ファイル データの SMB 共有の閲覧者などの Azure の組み込みのロールを Azure AD のユーザーまたはグループに割り当てることができます。You can assign Azure built-in roles like Storage File Data SMB Share Reader to users or groups in Azure AD to grant read access to an Azure file share.

ディレクトリまたはファイル レベルでは、Azure Files は、Windows ファイル サーバーと同様に、Windows DACL の保持、継承、および適用をサポートしています。At the directory/file level, Azure Files supports preserving, inheriting, and enforcing Windows DACLs just like any Windows file servers. 既存のファイル共有と Azure ファイル共有の間で SMB 経由でデータをコピーするとき、Windows DACL を維持することを選択できます。You can choose to keep Windows DACLs when copying data over SMB between your existing file share and your Azure file shares. 承認を適用するかどうかにかかわらず、Azure ファイル共有を利用し、データと共に ACL をバックアップできます。Whether you plan to enforce authorization or not, you can use Azure file shares to back up ACLs along with your data.

Azure ファイル共有に対してオンプレミス Active Directory Domain Services 認証を有効にする方法については、「SMB を使用して Azure ファイル共有へのオンプレミスの Active Directory Domain Services 認証を有効にする」を参照してください。To learn how to enable on-premises Active Directory Domain Services authentication for Azure file shares, see Enable on-premises Active Directory Domain Services authentication over SMB for Azure file shares.

Azure ファイル共有に対して Azure AD DS 認証を有効にする方法については、「Azure Files に対する Azure Active Directory Domain Services 認証を有効にする」をご覧ください。To learn how to enable Azure AD DS authentication for Azure file shares, see Enable Azure Active Directory Domain Services authentication on Azure Files.

用語集Glossary

SMB を使用した Azure ファイル共有の Azure AD Domain Service 認証に関連するいくつかの重要な用語を理解することをお勧めします。It's helpful to understand some key terms relating to Azure AD Domain Service authentication over SMB for Azure file shares:

  • Kerberos 認証Kerberos authentication

    Kerberos は、ユーザーまたはホストの身元を確認するために使用される認証プロトコルです。Kerberos is an authentication protocol that is used to verify the identity of a user or host. Kerberos の詳細については、「Kerberos 認証の概要」を参照してください。For more information on Kerberos, see Kerberos Authentication Overview.

  • サーバー メッセージ ブロック (SMB) プロトコルServer Message Block (SMB) protocol

    SMB は、業界標準のネットワーク ファイル共有プロトコルです。SMB is an industry-standard network file-sharing protocol. SMB は、Common Internet File System (CIFS) とも呼ばれます。SMB is also known as Common Internet File System or CIFS. SMB の詳細については、「Microsoft SMB プロトコルと CIFS プロトコルの概要」を参照してください。For more information on SMB, see Microsoft SMB Protocol and CIFS Protocol Overview.

  • Azure Active Directory (Azure AD)Azure Active Directory (Azure AD)

    Azure Active Directory (Azure AD) は、Microsoft のマルチテナント クラウド ベースのディレクトリおよび ID 管理サービスです。Azure Active Directory (Azure AD) is Microsoft's multi-tenant cloud-based directory and identity management service. Azure AD には、主要なディレクトリ サービス、アプリケーション アクセスの管理、ID 保護の機能が一つのソリューションとして統合されています。Azure AD combines core directory services, application access management, and identity protection into a single solution. Azure AD に参加している Windows 仮想マシン (VM) は、Azure AD 資格情報を使用して Azure ファイル共有にアクセスできません。Azure AD-joined Windows virtual machines (VMs) cannot access Azure file shares with your Azure AD credentials. 詳細については、「Azure Active Directory とは」を参照してください。For more information, see What is Azure Active Directory?

  • Azure Active Directory Domain Services (Azure AD DS)Azure Active Directory Domain Services (Azure AD DS)

    Azure AD DS は、マネージド ドメイン サービス (ドメイン参加、グループ ポリシー、LDAP、Kerberos/NTLM 認証など) を提供します。Azure AD DS provides managed domain services such as domain join, group policies, LDAP, and Kerberos/NTLM authentication. これらのサービスは、Active Directory Domain Services と完全に互換性があります。These services are fully compatible with Active Directory Domain Services. 詳細については、Azure Active Directory Domain Services に関する記事を参照してください。For more information, see Azure Active Directory Domain Services.

  • オンプレミス Active Directory Domain Services (AD DS)On-premises Active Directory Domain Services (AD DS)

    オンプレミス Active Directory Domain Services (AD DS) の Azure Files との統合により、ディレクトリ データをネットワークのユーザーと管理者が使用できるようにしながら、それを格納するための方法が提供されます。On-premises Active Directory Domain Services (AD DS) integration with Azure Files provides the methods for storing directory data while making it available to network users and administrators. AD DS のセキュリティは、ログオン認証とディレクトリ内のオブジェクトに対するアクセス制御によって実現されています。Security is integrated with AD DS through logon authentication and access control to objects in the directory. 管理者は、シングル ネットワーク ログオンで、ネットワーク全体のディレクトリ データおよび組織を管理できます。また、承認されたネットワーク ユーザーは、ネットワーク上の任意の場所にあるリソースにアクセスできます。With a single network logon, administrators can manage directory data and organization throughout their network, and authorized network users can access resources anywhere on the network. AD DS は、通常、オンプレミス環境の企業によって採用され、アクセス制御の ID として AD DS 資格情報が使用されます。AD DS is commonly adopted by enterprises in on-premises environments and AD DS credentials are used as the identity for access control. 詳細については、「Active Directory Domain Services の概要」を参照してください。For more information, see Active Directory Domain Services Overview.

  • Azure ロールベースのアクセス制御 (Azure RBAC)Azure role-based access control (Azure RBAC)

    Azure のロールベースのアクセス制御 (Azure RBAC) を使用すると、Azure のきめ細かなアクセス管理が可能になります。Azure role-based access control (Azure RBAC) enables fine-grained access management for Azure. Azure RBAC を使用して業務遂行に必要な最小限の権限をユーザーに付与することで、リソースへのアクセスを管理できます。Using Azure RBAC, you can manage access to resources by granting users the fewest permissions needed to perform their jobs. Azure RBAC の詳細については、「Azure ロールベースのアクセス制御 (Azure RBAC) とは」を参照してください。For more information on Azure RBAC, see What is Azure role-based access control (Azure RBAC)?.

一般的なユース ケースCommon use cases

ID ベースの認証と Azure Files での Windows ACL のサポートは、次のユースケースに最適です。Identity-based authentication and support for Windows ACLs on Azure Files is best leveraged for the following use cases:

オンプレミスのファイル サーバーの置換Replace on-premises file servers

散在するオンプレミスのファイル サーバーの非推奨と置換は、すべての企業が IT の近代化において直面する一般的な問題です。Deprecating and replacing scattered on-premises file servers is a common problem that every enterprise encounters in their IT modernization journey. データを Azure Files に移行できる場合は、オンプレミス AD DS 認証を使用した Azure ファイル共有が最適です。Azure file shares with on-premises AD DS authentication is the best fit here, when you can migrate the data to Azure Files. 移行が完了すると、高可用性とスケーラビリティの利点を活用できるだけでなく、クライアント側の変更を最小限に抑えることができます。A complete migration will allow you to take advantage of the high availability and scalability benefits while also minimizing the client-side changes. 既存のドメイン参加済みのマシンを使用して、同じ資格情報で引き続きデータにアクセスできるよう、エンド ユーザーにシームレスな移行エクスペリエンスが提供されます。It provides a seamless migration experience to end users, so they can continue to access their data with the same credentials using their existing domain joined machines.

Azure へのアプリケーションのリフト アンド シフトLift and shift applications to Azure

アプリケーションをクラウドにリフト アンド シフトする場合は、データに対して同じ認証モデルを維持する必要があります。When you lift and shift applications to the cloud, you want to keep the same authentication model for your data. ID ベースのアクセス制御エクスペリエンスを Azure ファイル共有に拡張すると、アプリケーションを最新の認証方法に変更し、迅速にクラウドを導入する必要がなくなります。As we extend the identity-based access control experience to Azure file shares, it eliminates the need to change your application to modern auth methods and expedite cloud adoption. Azure ファイル共有には、認証のために Azure AD DS またはオンプレミス AD DS のいずれかと統合するオプションが用意されています。Azure file shares provide the option to integrate with either Azure AD DS or on-premises AD DS for authentication. 100% クラウド ネイティブを目指し、クラウド インフラストラクチャの管理作業を最小化することを計画している場合、Azure AD DS はフル マネージドのドメイン サービスとして、より適しています。If your plan is to be 100% cloud native and minimize the efforts managing cloud infrastructures, Azure AD DS would be a better fit as a fully managed domain service. AD DS 機能との完全な互換性が必要な場合は、VM 上の自己ホスト型ドメイン コントローラーによって AD DS 環境をクラウドに拡張することを検討してください。If you need full compatibility with AD DS capabilities, you may want to consider extending your AD DS environment to cloud by self-hosting domain controllers on VMs. どちらの方法でも、ビジネス ニーズに合ったドメイン サービスを柔軟に選択できます。Either way, we provide the flexibility to choose the domain services that suits your business needs.

バックアップとディザスター リカバリー (DR)Backup and disaster recovery (DR)

プライマリ ファイル ストレージをオンプレミスで保持している場合、Azure ファイル共有はバックアップや DR のための理想的なストレージとして機能し、ビジネス継続性を向上させることができます。If you are keeping your primary file storage on-premises, Azure file shares can serve as an ideal storage for backup or DR, to improve business continuity. Azure ファイル共有を使用すると、Windows DACL を維持したまま、既存のファイル サーバーからデータをバックアップできます。You can use Azure file shares to back up your data from existing file servers, while preserving Windows DACLs. DR シナリオでは、フェールオーバー時の適切なアクセス制御の適用をサポートする認証オプションを構成できます。For DR scenarios, you can configure an authentication option to support proper access control enforcement at failover.

サポートされるシナリオSupported scenarios

次の表は、Azure AD DS とオンプレミス AD DS でサポートされている Azure ファイル共有の認証シナリオをまとめたものです。The following table summarizes the supported Azure file shares authentication scenarios for Azure AD DS and on-premises AD DS. Azure Files との統合のために、クライアント環境に採用したドメイン サービスを選択することをお勧めします。We recommend selecting the domain service that you adopted for your client environment for integration with Azure Files. デバイスが AD にドメイン参加済みであるオンプレミスまたは Azure に AD DS を既にセットアップしている場合は、Azure ファイル共有認証に AD DS を利用する必要があります。If you have AD DS already setup on-premises or in Azure where your devices are domain joined to your AD, you should choose to leverage AD DS for Azure file shares authentication. 同様に、Azure AD DS を既に採用している場合は、それを Azure ファイル共有に対する認証に使用する必要があります。Similarly, if you've already adopted Azure AD DS, you should use that for authenticating to Azure file shares.

Azure AD DS 認証Azure AD DS authentication オンプレミス AD DS 認証On-premises AD DS authentication
Azure AD DS に参加済みの Windows マシンは、SMB 経由で Azure AD 資格情報を使用して Azure ファイル共有にアクセスできます。Azure AD DS-joined Windows machines can access Azure file shares with Azure AD credentials over SMB. オンプレミス AD DS に参加済みまたは Azure AD DS に参加済みの Windows マシンは、SMB 経由で Azure AD に同期されるオンプレミス Active Directory 資格情報を使用して Azure ファイル共有にアクセスできます。On-premises AD DS-joined or Azure AD DS-joined Windows machines can access Azure file shares with on-premises Active Directory credentials that are synched to Azure AD over SMB. クライアントには、AD DS への通信経路が必要です。Your client must have line of sight to your AD DS.

制限Restrictions

  • Azure AD DS とオンプレミス AD DS の認証では、コンピューター アカウントに対する認証はサポートされていません。Azure AD DS and on-premises AD DS authentication do not support authentication against computer accounts. 代わりに、サービス ログオン アカウントを使用することを検討してください。You can consider using a service logon account instead.
  • Azure AD 参加済みデバイスまたは Azure AD 登録済みデバイスに対しては、Azure AD DS 認証もオンプレミス AD DS 認証もサポートされていません。Neither Azure AD DS authentication nor on-premises AD DS authentication is supported against Azure AD-joined devices or Azure AD-registered devices.
  • Azure ファイル共有では、Azure Active Directory Domain Services (Azure AD DS) またはオンプレミスの Active Directory Domain Services (AD DS) のいずれか 1 つのドメイン サービスに対する ID ベースの認証のみがサポートされます。Azure file shares only support identity-based authentication against one of the following domain services, either Azure Active Directory Domain Services (Azure AD DS) or on-premises Active Directory Domain Services (AD DS).
  • Network File System (NFS) はプレビュー段階なので、どちらの ID ベースの認証方法もサポートしていません。Neither identity-based authentication method is supported with Network File System (NFS), which is in preview.

ID ベースの認証の利点Advantages of identity-based authentication

Azure Files に対する ID ベースの認証には、共有キー認証と比較して、以下のようなさまざまな利点があります。Identity-based authentication for Azure Files offers several benefits over using Shared Key authentication:

  • オンプレミス AD DS と Azure AD DS を使用して、従来の ID ベースのファイル共有アクセス エクスペリエンスをクラウドに拡張するExtend the traditional identity-based file share access experience to the cloud with on-premises AD DS and Azure AD DS
    従来のファイル サーバーを Azure ファイル共有に置き換えて、アプリケーションをクラウドにリフト アンド シフトする場合は、アプリケーションによるファイル データへのアクセスをオンプレミス AD DS または Azure AD DS 資格情報を使用して認証することができます。If you plan to lift and shift your application to the cloud, replacing traditional file servers with Azure file shares, then you may want your application to authenticate with either on-premises AD DS or Azure AD DS credentials to access file data. Azure Files では、オンプレミス AD DS または Azure AD DS 資格情報の両方を使用して、オンプレミス AD DS または Azure AD DS ドメイン参加済み VM のいずれかから SMB 経由で Azure ファイル共有にアクセスできます。Azure Files supports using both on-premises AD DS or Azure AD DS credentials to access Azure file shares over SMB from either on-premises AD DS or Azure AD DS domain-joined VMs.

  • Azure のファイル共有への詳細なアクセス制御の適用が可能Enforce granular access control on Azure file shares
    特定の ID に対して、ファイル共有、ディレクトリ、またはファイル レベルでアクセス許可を付与できます。You can grant permissions to a specific identity at the share, directory, or file level. たとえば、プロジェクトのコラボレーションのために、複数のチームが 1 つの Azure ファイル共有を使用しているとします。For example, suppose that you have several teams using a single Azure file share for project collaboration. その場合、機密ではないディレクトリについてはすべてのチームにアクセス権限を付与し、機密の財務データが含まれるディレクトリについては財務チームのみにアクセス権限を付与できます。You can grant all teams access to non-sensitive directories, while limiting access to directories containing sensitive financial data to your Finance team only.

  • データと共に Windows ACL (NTFS とも呼ばれます) をバックアップするBack up Windows ACLs (also known as NTFS) along with your data
    Azure ファイル共有では、既存のオンプレミスのファイル共有をバックアップすることができます。You can use Azure file shares to back up your existing on-premises file shares. Azure Files では、SMB 経由で Azure ファイル共有に共有ファイルをバックアップすると、データと共に ACL も保持されます。Azure Files preserves your ACLs along with your data when you back up a file share to Azure file shares over SMB.

しくみHow it works

Azure ファイル共有では、オンプレミスの AD DS または Azure AD DS での認証に Kerberos プロトコルが利用されます。Azure file shares leverages Kerberos protocol for authenticating with either on-premises AD DS or Azure AD DS. クライアントで実行されているユーザーまたはアプリケーションに関連付けられている ID が Azure ファイル共有内のデータにアクセスしようとした場合、その要求はドメイン サービス (AD DS または Azure AD DS) に送信され、ID が認証されます。When an identity associated with a user or application running on a client attempts to access data in Azure file shares, the request is sent to the domain service, either AD DS or Azure AD DS, to authenticate the identity. 認証が成功した場合、Kerberos トークンが返されます。If authentication is successful, it returns a Kerberos token. クライアントは Kerberos トークンが含まれる要求を送信し、Azure ファイル共有はそのトークンを使用して要求を承認します。The client sends a request that includes the Kerberos token and Azure file shares use that token to authorize the request. Azure ファイル共有は、アクセス資格情報ではなく、Kerberos トークンのみを受信します。Azure file shares only receive the Kerberos token, not access credentials.

Azure ファイル共有で ID ベースの認証を有効にする前に、まずドメイン環境を設定する必要があります。Before you can enable identity-based authentication on Azure file shares, you must first set up your domain environment.

AD DSAD DS

オンプレミス AD DS 認証の場合は、AD ドメイン コントローラーを設定し、マシンまたは VM をドメイン参加させる必要があります。For on-premises AD DS authentication, you must set up your AD domain controllers and domain join your machines or VMs. ドメイン コントローラーは、Azure VM またはオンプレミスでホストできます。You can host your domain controllers on Azure VMs or on-premises. どちらの場合も、ドメインに参加しているクライアントは、ドメイン サービスへの通信経路を必要とするため、ドメイン サービスの企業ネットワークまたは仮想ネットワーク (VNET) 内に存在する必要があります。Either way, your domain joined clients must have line of sight to the domain service, so they must be within the corporate network or virtual network (VNET) of your domain service.

次の図は、SMB 経由の Azure ファイル共有に対するオンプレミス AD DS 認証を示しています。The following diagram depicts on-premises AD DS authentication to Azure file shares over SMB. オンプレミスの AD DS は、Azure AD Connect 同期を使用して Azure AD に同期する必要があります。オンプレミスの AD DS と Azure AD の両方に存在するハイブリッド ユーザーのみを、Azure ファイル共有アクセスに対して認証および承認できます。The on-prem AD DS must be synced to Azure AD using Azure AD Connect sync. Only hybrid users that exist in both on-premises AD DS and Azure AD can be authenticated and authorized for Azure file share access. これは、Azure AD ではAD DS 内の ID に対してディレクトリ/ファイル レベルのアクセス許可が 適用されており、Azure AD 内に示されている ID に対しては共有レベルのアクセス許可が構成されているためです。This is because the share level permission is configured against the identity represented in Azure AD where the directory/file level permission is enforced with that in AD DS. 同じハイブリッド ユーザーに対してアクセス許可を正しく構成するようにしてください。Make sure that you configure the permissions correctly against the same hybrid user.

SMB 経由の Azure ファイル共有に対するオンプレミスの AD DS 認証を示す図。

Azure AD DSAzure AD DS

Azure AD DS 認証の場合、Azure AD Domain Services を有効にし、ファイル データのアクセス元となる VM をドメイン参加させる必要があります。For Azure AD DS authentication, you should enable Azure AD Domain Services and domain join the VMs you plan to access file data from. ドメイン参加している VM は、Azure AD DS と同じ仮想ネットワーク (VNET) に存在する必要があります。Your domain-joined VM must reside in the same virtual network (VNET) as your Azure AD DS.

次の図は、SMB 経由の Azure ファイル共有に対する Azure AD DS 認証のワークフローを示しています。The following diagram represents the workflow for Azure AD DS authentication to Azure file shares over SMB. これは、Azure ファイル共有に対するオンプレミスの AD DS 認証と同様のパターンをたどります。It follows a similar pattern to on-prem AD DS authentication to Azure file shares. 次の 2 つの大きな違いがあります。There are two major differences:

  • まず、ストレージ アカウントを表すために Azure AD DS で ID を作成する必要はありません。First, you don’t need to create the identity in Azure AD DS to represent the storage account. これは、バックグラウンドで有効化プロセスによって実行されます。This is performed by the enablement process in the background.

  • 2 つ目に、Azure AD に存在するすべてのユーザーを、認証および認可できます。Second, all users that exist in Azure AD can be authenticated and authorized. ユーザーは、クラウドのみまたはハイブリッドにすることができます。The user can be cloud only or hybrid. Azure AD から Azure AD DS への同期は、ユーザー構成を必要とせずに、プラットフォームによって管理されます。The sync from Azure AD to Azure AD DS is managed by the platform without requiring any user configuration. ただし、クライアントは Azure AD DS にドメイン参加している必要があり、Azure AD に参加も登録もできません。However, the client must be domain joined to Azure AD DS, it cannot be Azure AD joined or registered.

Diagram (ダイアグラム)

ID ベースの認証を有効にするEnable identity-based authentication

新規および既存のストレージ アカウントで、Azure ファイル共有に対して Azure AD DS またはオンプレミスの AD DS のいずれかを使用して ID ベースの認証を有効にすることができます。You can enable identity-based authentication with either Azure AD DS or on-premises AD DS for Azure file shares on your new and existing storage accounts. ストレージ アカウントでのファイル アクセス認証に使用できるドメイン サービスは 1 つだけです。これは、アカウント内のすべてのファイル共有に適用されます。Only one domain service can be used for file access authentication on the storage account, which applies to all file shares in the account. Azure AD DS での認証を目的とするファイル共有の設定に関する詳細なガイダンスについては、「Azure Files に対する Azure Active Directory Domain Services 認証を有効にする」という記事を、オンプレミス AD DS のガイダンスについては、「SMB を使用して Azure ファイル共有へのオンプレミスの Active Directory Domain Services 認証を有効にする」という他の記事を参照してください。Detailed guidance on setting up your file shares for authentication with Azure AD DS in our article Enable Azure Active Directory Domain Services authentication on Azure Files and guidance for on-premises AD DS in our other article, Enable on-premises Active Directory Domain Services authentication over SMB for Azure file shares.

Azure Files の共有レベルのアクセス権限を構成するConfigure share-level permissions for Azure Files

Azure AD DS またはオンプレミス AD DS 認証のいずれかを有効にすると、Azure の組み込みロールを使用したり、Azure AD ID のカスタム ロールを構成したり、ストレージ アカウント内の任意のファイル共有にアクセス権を割り当てたりすることができます。Once either Azure AD DS or on-premises AD DS authentication is enabled, you can use Azure built-in roles or configure custom roles for Azure AD identities and assign access rights to any file shares in your storage accounts. 割り当てられたアクセス許可により、付与された ID は共有のみにアクセスできます。それ以外には、ルート ディレクトリであってもアクセスできません。The assigned permission allows the granted identity to get access to the share only, nothing else, not even the root directory. その場合でも、Azure ファイル共有に対してディレクトリまたはファイル レベルのアクセス許可を個別に構成する必要があります。You still need to separately configure directory or file-level permissions for Azure file shares.

Azure Files のディレクトリ レベルまたはファイル レベルの権限を構成するConfigure directory or file-level permissions for Azure Files

Azure ファイル共有では、ルート ディレクトリを含む、ディレクトリとファイルの両方のレベルで標準の Windows ファイルのアクセス許可が適用されます。Azure file shares enforce standard Windows file permissions at both the directory and file level, including the root directory. ディレクトリ レベルまたはファイル レベルの権限の構成は、SMB 経由および REST 経由での構成がサポートされています。Configuration of directory or file-level permissions is supported over both SMB and REST. VM 上で対象のファイル共有をマウントし、Windows のエクスプローラー、Windows の icacls または Set-ACL コマンドを使用して権限を構成します。Mount the target file share from your VM and configure permissions using Windows File Explorer, Windows icacls, or the Set-ACL command.

スーパーユーザーの権限でストレージ アカウントのキーを使用するUse the storage account key for superuser permissions

ストレージ アカウント キーを保持するユーザーは、スーパー ユーザーの権限で Azure ファイル共有にアクセスできます。A user with the storage account key can access Azure file shares with superuser permissions. スーパーユーザーのアクセス許可は、すべてのアクセス制御制限をバイパスします。Superuser permissions bypass all access control restrictions.

重要

推奨されるセキュリティのベスト プラクティスは、ストレージ アカウント キーを共有しないこと、および可能な限り ID ベースの認証を利用することです。Our recommended security best practice is to avoid sharing your storage account keys and leverage identity-based authentication whenever possible.

Azure ファイル共有にデータをインポートするときに、ディレクトリとファイル ACL を保持するPreserve directory and file ACLs when importing data to Azure file shares

Azure Files では、Azure ファイル共有にデータをコピーする際、ディレクトリまたはファイル レベルの ACL の保持がサポートされています。Azure Files supports preserving directory or file level ACLs when copying data to Azure file shares. Azure File Sync または一般的なファイル移動ツールセットを使用して、ディレクトリまたはファイルの ACL を Azure ファイル共有にコピーできます。You can copy ACLs on a directory or file to Azure file shares using either Azure File Sync or common file movement toolsets. たとえば、robocopy/copy:s フラグと共に使用して、Azure ファイル共有にデータや ACL をコピーすることができます。For example, you can use robocopy with the /copy:s flag to copy data as well as ACLs to an Azure file share. ACL は既定で保持されます。ACL を維持するために、ストレージ アカウントで ID ベースの認証を有効にする必要はありません。ACLs are preserved by default, you are not required to enable identity-based authentication on your storage account to preserve ACLs.

価格Pricing

お使いのストレージ アカウントで SMB 経由の ID ベースの認証を有効にする場合、追加のサービス料金は発生しません。There is no additional service charge to enable identity-based authentication over SMB on your storage account. 価格の詳細については、「Azure Files の価格」と「Azure AD Domain Services の価格」を参照してください。For more information on pricing, see Azure Files pricing and Azure AD Domain Services pricing.

次のステップNext steps

Azure Files や、SMB 経由の ID ベースの認証の詳細については、これらのリソースを参照してください。For more information about Azure Files and identity-based authentication over SMB, see these resources: