SMB アクセスに対する Azure Files ID ベース認証サポートの概要Overview of Azure Files identity-based authentication support for SMB access

Azure Files では、オンプレミス Active Directory Domain Services (AD DS) (プレビュー) と Azure Active Directory Domain Services (Azure AD DS) を介した、サーバー メッセージ ブロック (SMB) 経由の ID ベースの認証がサポートされます。Azure Files supports identity-based authentication over Server Message Block (SMB) through on-premises Active Directory Domain Services (AD DS) (preview) and Azure Active Directory Domain Services (Azure AD DS). この記事では、Azure Files がオンプレミスまたは Azure のドメイン サービスを利用し、SMB 経由の Azure ファイル共有への ID ベースのアクセスをサポートする方法に焦点を当てています。This article focuses on how Azure file shares can use domain services, either on-premises or in Azure, to support identity-based access to Azure file shares over SMB. Azure ファイル共有のために ID ベースのアクセスを有効にすると、既存のディレクトリ サービスを置換することなく、既存のファイル サーバーを Azure ファイル共有に置換できます。共有への継ぎ目のないユーザー アクセスを維持できます。Enabling identity-based access for your Azure file shares allows you to replace existing file servers with Azure file shares without replacing your existing directory service, maintaining seamless user access to shares.

Azure Files では、共有とディレクトリ/ファイル レベルの両方へのユーザー アクセスで承認が適用されます。Azure Files enforces authorization on user access to both the share and the directory/file levels. 共有レベルのアクセス許可の割り当ては、ロールベースのアクセス制御 (RBAC) モデルを使用して管理されている Azure Active Directory (Azure AD) ユーザーまたはグループで実行できます。Share-level permission assignment can be performed on Azure Active Directory (Azure AD) users or groups managed through the role-based access control (RBAC) model. RBAC では、ファイルへのアクセスに使用する資格情報を使用できるようにするか、Azure AD に同期する必要があります。With RBAC, the credentials you use for file access should be available or synced to Azure AD. Azure ファイル共有に読み取りアクセス権を付与するには、記憶域ファイル データの SMB 共有の閲覧者などの組み込みの RBAC ロールを Azure AD のユーザーまたはグループに割り当てることができます。You can assign built-in RBAC roles like Storage File Data SMB Share Reader to users or groups in Azure AD to grant read access to an Azure file share.

ディレクトリまたはファイル レベルでは、Azure Files は、Windows ファイル サーバーと同様に、Windows DACL の保持、継承、および適用をサポートしています。At the directory/file level, Azure Files supports preserving, inheriting, and enforcing Windows DACLs just like any Windows file servers. 既存のファイル共有と Azure ファイル共有の間で SMB 経由でデータをコピーするとき、Windows DACL を維持することを選択できます。You can choose to keep Windows DACLs when copying data over SMB between your existing file share and your Azure file shares. 承認を適用するかどうかにかかわらず、Azure ファイル共有を利用し、データと共に ACL をバックアップできます。Whether you plan to enforce authorization or not, you can use Azure file shares to back up ACLs along with your data.

Azure ファイル共有 (プレビュー) に対してオンプレミス Active Directory Domain Services 認証を有効にする方法については、「SMB を使用して Azure ファイル共有へのオンプレミスの Active Directory Domain Services 認証を有効にする」を参照してください。To learn how to enable on-premises Active Directory Domain Services authentication for Azure file shares (preview), see Enable on-premises Active Directory Domain Services authentication over SMB for Azure file shares.

Azure ファイル共有に対して Azure AD DS 認証を有効にする方法については、「Azure Files に対する Azure Active Directory Domain Services 認証を有効にする」をご覧ください。To learn how to enable Azure AD DS authentication for Azure file shares, see Enable Azure Active Directory Domain Services authentication on Azure Files.

用語集Glossary

SMB を使用した Azure ファイル共有の Azure AD Domain Service 認証に関連するいくつかの重要な用語を理解することをお勧めします。It's helpful to understand some key terms relating to Azure AD Domain Service authentication over SMB for Azure file shares:

  • Kerberos 認証Kerberos authentication

    Kerberos は、ユーザーまたはホストの身元を確認するために使用される認証プロトコルです。Kerberos is an authentication protocol that is used to verify the identity of a user or host. Kerberos の詳細については、「Kerberos 認証の概要」を参照してください。For more information on Kerberos, see Kerberos Authentication Overview.

  • サーバー メッセージ ブロック (SMB) プロトコルServer Message Block (SMB) protocol

    SMB は、業界標準のネットワーク ファイル共有プロトコルです。SMB is an industry-standard network file-sharing protocol. SMB は、Common Internet File System (CIFS) とも呼ばれます。SMB is also known as Common Internet File System or CIFS. SMB の詳細については、「Microsoft SMB プロトコルと CIFS プロトコルの概要」を参照してください。For more information on SMB, see Microsoft SMB Protocol and CIFS Protocol Overview.

  • Azure Active Directory (Azure AD)Azure Active Directory (Azure AD)

    Azure Active Directory (Azure AD) は、Microsoft のマルチテナント クラウド ベースのディレクトリおよび ID 管理サービスです。Azure Active Directory (Azure AD) is Microsoft's multi-tenant cloud-based directory and identity management service. Azure AD には、主要なディレクトリ サービス、アプリケーション アクセスの管理、ID 保護の機能が一つのソリューションとして統合されています。Azure AD combines core directory services, application access management, and identity protection into a single solution. Azure AD に参加している Windows 仮想マシン (VM) は、Azure AD 資格情報を使用して Azure ファイル共有にアクセスできます。Azure AD-joined Windows virtual machines (VMs) can access Azure file shares with your Azure AD credentials. 詳細については、「Azure Active Directory とは」を参照してください。For more information, see What is Azure Active Directory?

  • Azure Active Directory Domain Services (Azure AD DS)Azure Active Directory Domain Services (Azure AD DS)

    Azure AD DS は、マネージド ドメイン サービス (ドメイン参加、グループ ポリシー、LDAP、Kerberos/NTLM 認証など) を提供します。Azure AD DS provides managed domain services such as domain join, group policies, LDAP, and Kerberos/NTLM authentication. これらのサービスは、Active Directory Domain Services と完全に互換性があります。These services are fully compatible with Active Directory Domain Services. 詳細については、Azure Active Directory Domain Services に関する記事を参照してください。For more information, see Azure Active Directory Domain Services.

  • オンプレミス Active Directory Domain Services (AD DS)On-premises Active Directory Domain Services (AD DS)

    オンプレミス Active Directory Domain Services (AD DS) の Azure Files との統合 (プレビュー) により、ディレクトリ データをネットワークのユーザーと管理者が使用できるようにしながら、それを格納するための方法が提供されます。On-premises Active Directory Domain Services (AD DS) integration with Azure Files (preview) provides the methods for storing directory data while making it available to network users and administrators. AD DS のセキュリティは、ログオン認証とディレクトリ内のオブジェクトに対するアクセス制御によって実現されています。Security is integrated with AD DS through logon authentication and access control to objects in the directory. 管理者は、シングル ネットワーク ログオンで、ネットワーク全体のディレクトリ データおよび組織を管理できます。また、承認されたネットワーク ユーザーは、ネットワーク上の任意の場所にあるリソースにアクセスできます。With a single network logon, administrators can manage directory data and organization throughout their network, and authorized network users can access resources anywhere on the network. AD DS は、通常、オンプレミス環境の企業によって採用され、アクセス制御の ID として AD DS 資格情報が使用されます。AD DS is commonly adopted by enterprises in on-premises environments and AD DS credentials are used as the identity for access control. 詳細については、「Active Directory Domain Services の概要」を参照してください。For more information, see Active Directory Domain Services Overview.

  • Azure のロールベースのアクセス制御 (RBAC)Azure Role Based Access Control (RBAC)

    Azure のロールベースのアクセス制御 (RBAC) では、Azure のアクセス権の詳細な管理を実現します。Azure Role-Based Access Control (RBAC) enables fine-grained access management for Azure. RBAC を使用して業務遂行に必要な最小限の権限をユーザーに付与することで、リソースへのアクセスを管理できます。Using RBAC, you can manage access to resources by granting users the fewest permissions needed to perform their jobs. RBAC の詳細については、「Azure のロールベースのアクセス制御 (RBAC) とは」を参照してください。For more information on RBAC, see What is role-based access control (RBAC) in Azure?.

一般的なユース ケースCommon use cases

ID ベースの認証と Azure Files での Windows ACL のサポートは、次のユースケースに最適です。Identity-based authentication and support for Windows ACLs on Azure Files is best leveraged for the following use cases:

オンプレミスのファイル サーバーの置換Replace on-premises file servers

散在するオンプレミスのファイル サーバーの非推奨と置換は、すべての企業が IT の近代化において直面する一般的な問題です。Deprecating and replacing scattered on-premises file servers is a common problem that every enterprise encounters in their IT modernization journey. データを Azure Files に移行できる場合は、オンプレミス AD DS (プレビュー) 認証を使用した Azure ファイル共有が最適です。Azure file shares with on-premises AD DS (preview) authentication is the best fit here, when you can migrate the data to Azure Files. 移行が完了すると、高可用性とスケーラビリティの利点を活用できるだけでなく、クライアント側の変更を最小限に抑えることができます。A complete migration will allow you to take advantage of the high availability and scalability benefits while also minimizing the client-side changes. 既存のドメイン参加済みのマシンを使用して、同じ資格情報で引き続きデータにアクセスできるよう、エンド ユーザーにシームレスな移行エクスペリエンスが提供されます。It provides a seamless migration experience to end users, so they can continue to access their data with the same credentials using their existing domain joined machines.

Azure へのアプリケーションのリフト アンド シフトLift and shift applications to Azure

アプリケーションをクラウドにリフト アンド シフトする場合は、データに対して同じ認証モデルを維持する必要があります。When you lift and shift applications to the cloud, you want to keep the same authentication model for your data. ID ベースのアクセス制御エクスペリエンスを Azure ファイル共有に拡張すると、アプリケーションを最新の認証方法に変更し、迅速にクラウドを導入する必要がなくなります。As we extend the identity-based access control experience to Azure file shares, it eliminates the need to change your application to modern auth methods and expedite cloud adoption. Azure ファイル共有には、認証のために Azure AD DS またはオンプレミス AD DS (プレビュー) のいずれかと統合するオプションが用意されています。Azure file shares provide the option to integrate with either Azure AD DS or on-premises AD DS (preview) for authentication. 100% クラウド ネイティブを目指し、クラウド インフラストラクチャの管理作業を最小化することを計画している場合、Azure AD DS はフル マネージドのドメイン サービスとして、より適しています。If your plan is to be 100% cloud native and minimize the efforts managing cloud infrastructures, Azure AD DS would be a better fit as a fully managed domain service. AD DS 機能との完全な互換性が必要な場合は、VM 上の自己ホスト型ドメイン コントローラーによって AD DS 環境をクラウドに拡張することを検討してください。If you need full compatibility with AD DS capabilities, you may want to consider extending your AD DS environment to cloud by self-hosting domain controllers on VMs. どちらの方法でも、ビジネス ニーズに合ったドメイン サービスを柔軟に選択できます。Either way, we provide the flexibility to choose the domain services that suits your business needs.

バックアップとディザスター リカバリー (DR)Backup and disaster recovery (DR)

プライマリ ファイル ストレージをオンプレミスで保持している場合、Azure ファイル共有はバックアップや DR のための理想的なストレージとして機能し、ビジネス継続性を向上させることができます。If you are keeping your primary file storage on-premises, Azure file shares can serve as an ideal storage for backup or DR, to improve business continuity. Azure ファイル共有を使用すると、Windows DACL を維持したまま、既存のファイル サーバーからデータをバックアップできます。You can use Azure file shares to back up your data from existing file servers, while preserving Windows DACLs. DR シナリオでは、フェールオーバー時の適切なアクセス制御の適用をサポートする認証オプションを構成できます。For DR scenarios, you can configure an authentication option to support proper access control enforcement at failover.

サポートされるシナリオSupported scenarios

次の表は、Azure AD DS とオンプレミス AD DS (プレビュー) でサポートされている Azure ファイル共有の認証シナリオをまとめたものです。The following table summarizes the supported Azure file shares authentication scenarios for Azure AD DS and on-premises AD DS (preview). Azure Files との統合のために、クライアント環境に採用したドメイン サービスを選択することをお勧めします。We recommend selecting the domain service that you adopted for your client environment for integration with Azure Files. AD DS (プレビュー) が、デバイスが AD にドメイン参加済みのオンプレミスまたは Azure に既にセットアップされている場合は、Azure ファイル共有認証に AD DS (プレビュー) を利用する必要があります。If you have AD DS (preview) already setup on-premises or in Azure where your devices are domain joined to your AD, you should choose to leverage AD DS (preview) for Azure file shares authentication. 同様に、Azure AD DS (GA) を既に採用している場合は、それを Azure ファイル共有の認証に使用する必要があります。Similarly, if you've already adopted Azure AD DS (GA), you should use that for Azure file shares authentication.

Azure AD DS 認証Azure AD DS authentication オンプレミス AD DS (プレビュー) 認証on-premises AD DS (preview) authentication
Azure AD DS に参加済みの Windows マシンは、SMB 経由で Azure AD 資格情報を使用して Azure ファイル共有にアクセスできます。Azure AD DS-joined Windows machines can access Azure file shares with Azure AD credentials over SMB. オンプレミス AD DS に参加済みの Windows マシンは、SMB 経由で Azure AD に同期されるオンプレミス Active Directory 資格情報を使用して Azure ファイル共有にアクセスできます。On-premises AD DS-joined Windows machines can access Azure file shares with on-premises Active Directory credentials that are synched to Azure AD over SMB.

サポートされていないシナリオUnsupported scenarios

  • Azure AD DS とオンプレミス AD DS の認証では、コンピューター アカウントに対する認証はサポートされていません。Azure AD DS and on-premises AD DS authentication do not support authentication against computer accounts. 代わりに、サービス ログオン アカウントを使用することを検討してください。You can consider using a service logon account instead.
  • Azure AD DS 認証では、Azure AD に参加済みのデバイスに対する認証はサポートされていません。Azure AD DS authentication does not support authentication against Azure AD-joined devices.

ID ベースの認証の利点Advantages of identity-based authentication

Azure Files に対する ID ベースの認証には、共有キー認証と比較して、以下のようなさまざまな利点があります。Identity-based authentication for Azure Files offers several benefits over using Shared Key authentication:

  • オンプレミス AD DS と Azure AD DS を使用して、従来の ID ベースのファイル共有アクセス エクスペリエンスをクラウドに拡張するExtend the traditional identity-based file share access experience to the cloud with on-premises AD DS and Azure AD DS
    従来のファイル サーバーを Azure ファイル共有に置き換えて、アプリケーションをクラウドにリフト アンド シフトする場合は、アプリケーションによるファイル データへのアクセスをオンプレミス AD DS または Azure AD DS 資格情報を使用して認証することができます。If you plan to lift and shift your application to the cloud, replacing traditional file servers with Azure file shares, then you may want your application to authenticate with either on-premises AD DS or Azure AD DS credentials to access file data. Azure Files では、オンプレミス AD DS または Azure AD DS 資格情報の両方を使用して、オンプレミス AD DS または Azure AD DS ドメイン参加済み VM のいずれかから SMB 経由で Azure ファイル共有にアクセスできます。Azure Files supports using both on-premises AD DS or Azure AD DS credentials to access Azure file shares over SMB from either on-premises AD DS or Azure AD DS domain-joined VMs.

  • Azure のファイル共有への詳細なアクセス制御の適用が可能Enforce granular access control on Azure file shares
    特定の ID に対して、ファイル共有、ディレクトリ、またはファイル レベルでアクセス許可を付与できます。You can grant permissions to a specific identity at the share, directory, or file level. たとえば、プロジェクトのコラボレーションのために、複数のチームが 1 つの Azure ファイル共有を使用しているとします。For example, suppose that you have several teams using a single Azure file share for project collaboration. その場合、機密ではないディレクトリについてはすべてのチームにアクセス権限を付与し、機密の財務データが含まれるディレクトリについては財務チームのみにアクセス権限を付与できます。You can grant all teams access to non-sensitive directories, while limiting access to directories containing sensitive financial data to your Finance team only.

  • データと共に Windows ACL (NTFS とも呼ばれます) をバックアップするBack up Windows ACLs (also known as NTFS) along with your data
    Azure ファイル共有では、既存のオンプレミスのファイル共有をバックアップすることができます。You can use Azure file shares to back up your existing on-premises file shares. Azure Files では、SMB 経由で Azure ファイル共有に共有ファイルをバックアップすると、データと共に ACL も保持されます。Azure Files preserves your ACLs along with your data when you back up a file share to Azure file shares over SMB.

しくみHow it works

Azure ファイル共有では、Azure AD DS またはオンプレミス AD DS (プレビュー) と統合するための Kerberos 認証がサポートされています。Azure file shares supports Kerberos authentication for integration with either Azure AD DS or on-premises AD DS (preview). Azure ファイル共有で認証を有効にする前に、まずドメイン環境を設定する必要があります。Before you can enable authentication on Azure file shares, you must first set up your domain environment. Azure AD DS 認証の場合、Azure AD Domain Services を有効にし、ファイル データのアクセス元となる VM をドメイン参加させる必要があります。For Azure AD DS authentication, you should enable Azure AD Domain Services and domain join the VMs you plan to access file data from. ドメイン参加している VM は、Azure AD DS と同じ仮想ネットワーク (VNET) に存在する必要があります。Your domain-joined VM must reside in the same virtual network (VNET) as your Azure AD DS. 同様に、オンプレミス AD DS (プレビュー) 認証の場合は、ドメイン コントローラーを設定し、マシンまたは VM をドメイン参加させる必要があります。Similarly, for on-premises AD DS (preview) authentication, you need to set up your domain controller and domain join your machines or VMs.

VM 上で実行されているアプリケーションに関連付けられている ID が Azure ファイル共有のデータにアクセスしようとした場合、その要求は Azure AD DS に送信され、ID が認証されます。When an identity associated with an application running on a VM attempts to access data in Azure file shares, the request is sent to Azure AD DS to authenticate the identity. 認証が成功した場合、Azure AD DS は Kerberos トークンを返します。If authentication is successful, Azure AD DS returns a Kerberos token. アプリケーションは Kerberos トークンが含まれる要求を送信し、Azure ファイル共有はそのトークンを使用して要求を承認します。The application sends a request that includes the Kerberos token, and Azure file shares use that token to authorize the request. Azure ファイル共有はトークンのみを受け取り、Azure AD DS 資格情報は保持しません。Azure file shares receive the token only and does not persist Azure AD DS credentials. オンプレミス AD DS 認証は、AD DS が Kerberos トークンを提供する場合と同様の方法で動作します。On-premises AD DS authentication works in a similar fashion, where your AD DS provides the Kerberos token.

SMB 経由の Azure AD 認証のスクリーン ショット

ID ベースの認証を有効にするEnable identity-based authentication

新規および既存のストレージ アカウントで、Azure ファイル共有の Azure AD DS またはオンプレミス AD DS (プレビュー) のいずれかを使用して ID ベースの認証を有効にできます。You can enable identity-based authentication with either Azure AD DS or on-premises AD DS (preview) for Azure file shares on your new and existing storage accounts. ストレージ アカウントでのファイル アクセス認証に使用できるドメイン サービスは 1 つだけです。これは、アカウント内のすべてのファイル共有に適用されます。Only one domain service can be used for file access authentication on the storage account, which applies to all file shares in the account. Azure AD DS での認証用のファイル共有の設定に関する詳細なガイダンスについては、「Azure Files に対する Azure Active Directory Domain Services 認証を有効にする」という記事を、オンプレミス AD DS (プレビュー) のガイダンスについては、「SMB を使用して Azure ファイル共有へのオンプレミスの Active Directory Domain Services 認証を有効にする」という他の記事を参照してください。Detailed guidance on setting up your file shares for authentication with Azure AD DS in our article Enable Azure Active Directory Domain Services authentication on Azure Files and guidance for on-premises AD DS (preview) in our other article, Enable on-premises Active Directory Domain Services authentication over SMB for Azure file shares.

Azure Files の共有レベルのアクセス権限を構成するConfigure share-level permissions for Azure Files

Azure AD DS またはオンプレミス AD DS (プレビュー) 認証のいずれかを有効にすると、組み込みの RBAC ロールを使用したり、Azure AD ID のカスタム ロールを構成したり、ストレージ アカウント内の任意のファイル共有にアクセス権を割り当てたりすることができます。Once either Azure AD DS or on-premises AD DS (preview) authentication is enabled, you can use built-in RBAC roles or configure custom roles for Azure AD identities and assign access rights to any file shares in your storage accounts. 割り当てられたアクセス許可により、付与された ID は共有のみにアクセスできます。それ以外には、ルート ディレクトリであってもアクセスできません。The assigned permission allows the granted identity to get access to the share only, nothing else, not even the root directory. その場合でも、Azure ファイル共有に対してディレクトリまたはファイル レベルのアクセス許可を個別に構成する必要があります。You still need to separately configure directory or file-level permissions for Azure file shares.

Azure Files のディレクトリ レベルまたはファイル レベルの権限を構成するConfigure directory or file-level permissions for Azure Files

Azure ファイル共有では、ルート ディレクトリを含む、ディレクトリとファイルの両方のレベルで標準の Windows ファイルのアクセス許可が適用されます。Azure file shares enforce standard Windows file permissions at both the directory and file level, including the root directory. ディレクトリ レベルまたはファイル レベルの権限の構成は、SMB 経由および REST 経由での構成がサポートされています。Configuration of directory or file-level permissions is supported over both SMB and REST. VM 上で対象のファイル共有をマウントし、Windows のエクスプローラー、Windows の icacls または Set-ACL コマンドを使用して権限を構成します。Mount the target file share from your VM and configure permissions using Windows File Explorer, Windows icacls, or the Set-ACL command.

スーパーユーザーの権限でストレージ アカウントのキーを使用するUse the storage account key for superuser permissions

ストレージ アカウント キーを保持するユーザーは、スーパー ユーザーの権限で Azure ファイル共有にアクセスできます。A user with the storage account key can access Azure file shares with superuser permissions. スーパーユーザーのアクセス許可は、すべてのアクセス制御制限をバイパスします。Superuser permissions bypass all access control restrictions.

重要

推奨されるセキュリティのベスト プラクティスは、ストレージ アカウント キーを共有しないこと、および可能な限り ID ベースの認証を利用することです。Our recommended security best practice is to avoid sharing your storage account keys and leverage identity-based authentication whenever possible.

Azure ファイル共有にデータをインポートするときに、ディレクトリとファイル ACL を保持するPreserve directory and file ACLs when importing data to Azure file shares

Azure Files では、Azure ファイル共有にデータをコピーする際、ディレクトリまたはファイル レベルの ACL の保持がサポートされています。Azure Files supports preserving directory or file level ACLs when copying data to Azure file shares. Azure File Sync または一般的なファイル移動ツールセットを使用して、ディレクトリまたはファイルの ACL を Azure ファイル共有にコピーできます。You can copy ACLs on a directory or file to Azure file shares using either Azure File Sync or common file movement toolsets. たとえば、robocopy/copy:s フラグと共に使用して、Azure ファイル共有にデータや ACL をコピーすることができます。For example, you can use robocopy with the /copy:s flag to copy data as well as ACLs to an Azure file share. ACL は既定で保持されます。ACL を維持するために、ストレージ アカウントで ID ベースの認証を有効にする必要はありません。ACLs are preserved by default, you are not required to enable identity-based authentication on your storage account to preserve ACLs.

価格Pricing

お使いのストレージ アカウントで SMB 経由の ID ベースの認証を有効にする場合、追加のサービス料金は発生しません。There is no additional service charge to enable identity-based authentication over SMB on your storage account. 価格の詳細については、「Azure Files の価格」と「Azure AD Domain Services の価格」を参照してください。For more information on pricing, see Azure Files pricing and Azure AD Domain Services pricing.

次のステップNext steps

Azure Files や、SMB 経由の ID ベースの認証の詳細については、これらのリソースを参照してください。For more information about Azure Files and identity-based authentication over SMB, see these resources: