SMB を使用した Azure Files の Azure Active Directory 認証の概要 (プレビュー)Overview of Azure Active Directory authentication over SMB for Azure Files (preview)

Azure Files は、Azure Active Directory (Azure AD) Domain Services を使用した、SMB (Server Message Block) 上の ID ベースの認証をサポートします。Azure Files supports identity-based authentication over SMB (Server Message Block) (preview) through Azure Active Directory (Azure AD) Domain Services. ドメインに参加している Windows 仮想マシン (VM) は、Azure AD の資格情報を使用して Azure ファイル共有にアクセスできます。Your domain-joined Windows virtual machines (VMs) can access Azure file shares using Azure AD credentials.

Azure AD は、ロールベースのアクセス制御 (RBAC) を使用して、ユーザー、グループ、サービス プリンシパルなどの ID を認証します。Azure AD authenticates an identity such as a user, group, or service principal with role-based access control (RBAC). Azure Files へのアクセスに使用されるアクセス許可の共通セットを含むカスタムの RBAC ロールを定義することができます。You can define custom RBAC roles that encompass common sets of permissions used to access Azure Files. カスタムの RBAC ロールを Azure AD ID に割り当てると、その ID には、それらのアクセス許可に従って Azure ファイル共有へのアクセス権が与えられます。When you assign your custom RBAC role to an Azure AD identity, that identity is granted access to an Azure file share according to those permissions.

プレビューの一環として、Azure Files は、ファイル共有内のすべてのファイルとディレクトリに対する NTFS DACL の保持、継承、および適用もサポートしています。As part of the preview, Azure Files also supports preserving, inheriting, and enforcing NTFS DACLs on all files and directories in a file share. ファイル共有から Azure Files に (または逆方向に) データをコピーする場合、NTFS DACL が保持されるように指定することができます。If you copy data from a file share to Azure Files, or vice versa, you can specify that NTFS DACLs are maintained. このように、Azure Files を使用してバックアップ シナリオを実装し、オンプレミスのファイル共有とクラウドのファイル共有の間で NTFS DACLS を保持することができます。In this way you can implement backup scenarios using Azure Files, preserving your NTFS DACLS between your on-premises file share and your cloud file share.

注意

  • SMB 経由の Azure AD 認証は、プレビュー リリースの Linux VM ではサポートされていません。Azure AD authentication over SMB is not supported for Linux VMs for the preview release. サポートされているのは Windows Server VM のみです。Only Windows Server VMs are supported.
  • SMB 経由の Azure AD 認証は、Azure Files にアクセスするオンプレミスのマシンではサポートされません。Azure AD authentication over SMB is not supported for on-premises machines accessing Azure Files.
  • Azure AD 認証は、2018 年 9 月 24 日よりも後に作成されたストレージ アカウントにのみ使用できます。Azure AD authentication is available only for storage accounts created after September 24, 2018.
  • SMB と永続的 NTFS ACL 経由の Azure AD 認証は、Azure File Sync サービスによって管理されている Azure ファイル共有でサポートされていません。Azure AD authentication over SMB and NTFS ACL persistent is not supported on Azure file shares managed by Azure File Sync Service.

SMB を使用した Azure Files の Azure AD 認証を有効にする方法については、「SMB を使用した Azure Files の Azure Active Directory 認証 (プレビュー) を有効にする」をご覧ください。To learn how to enable Azure AD authentication over SMB for Azure Files, see Enable Azure Active Directory authentication over SMB for Azure Files (Preview).

用語集Glossary

SMB を使用した Azure Files の Azure AD 認証に関連するいくつかの重要な用語を理解することをお勧めします。It's helpful to understand some key terms relating to Azure AD authentication over SMB for Azure Files:

  • Azure Active Directory (Azure AD)Azure Active Directory (Azure AD)
    Azure Active Directory (Azure AD) は、マイクロソフトが提供する、マルチテナントに対応したクラウドベースのディレクトリおよび ID の管理サービスです。Azure Active Directory (Azure AD) is Microsoft’s multi-tenant cloud-based directory and identity management service. Azure AD には、主要なディレクトリ サービス、アプリケーション アクセスの管理、ID 保護の機能が一つのソリューションとして統合されています。Azure AD combines core directory services, application access management, and identity protection into a single solution. 詳細については、「Azure Active Directory とは」を参照してください。For more information, see What is Azure Active Directory?

  • Azure AD Domain ServicesAzure AD Domain Services
    Azure AD Domain Services では、マネージド ドメイン サービス (ドメイン参加、グループ ポリシー、LDAP、Kerberos/NTLM 認証) を提供します。Azure AD Domain Services provides managed domain services such as domain join, group policies, LDAP, and Kerberos/NTLM authentication. これらのサービスは、Windows Server Active Directory と完全に互換性があります。These services are fully compatible with Windows Server Active Directory. 詳細については、「 Azure Active Directory (AD) のドメイン サービス」を参照してください。For more information, see Azure Active Directory (AD) Domain Services.

  • Azure のロールベースのアクセス制御 (RBAC)Azure Role Based Access Control (RBAC)
    Azure のロールベースのアクセス制御 (RBAC) では、Azure のアクセス権の詳細な管理を実現します。Azure Role-Based Access Control (RBAC) enables fine-grained access management for Azure. RBAC を使用して業務遂行に必要な最小限の権限をユーザーに付与することで、リソースへのアクセスを管理できます。Using RBAC, you can manage access to resources by granting users the fewest permissions needed to perform their jobs. RBAC の詳細については、「Azure のロールベースのアクセス制御 (RBAC) とは」を参照してください。For more information on RBAC, see What is role-based access control (RBAC) in Azure?

  • Kerberos 認証Kerberos authentication

    Kerberos は、ユーザーまたはホストの身元を確認するために使用される認証プロトコルです。Kerberos is an authentication protocol that is used to verify the identity of a user or host. Kerberos の詳細については、「Kerberos 認証の概要」を参照してください。For more information on Kerberos, see Kerberos Authentication Overview.

  • サーバー メッセージ ブロック (SMB) プロトコルServer Message Block (SMB) protocol
    SMB は、業界標準のネットワーク ファイル共有プロトコルです。SMB is an industry-standard network file-sharing protocol. SMB は、Common Internet File System (CIFS) とも呼ばれます。SMB is also known as Common Internet File System or CIFS. SMB の詳細については、「Microsoft SMB プロトコルと CIFS プロトコルの概要」を参照してください。For more information on SMB, see Microsoft SMB Protocol and CIFS Protocol Overview.

Azure AD 認証の利点Advantages of Azure AD authentication

SMB を使用した Azure Files の Azure AD 認証では、共有キー認証と比較して、以下のようにいくつかの利点があります。Azure AD over SMB for Azure Files offers several benefits over using Shared Key authentication:

  • Azure AD でも、従来の ID を使用した共有ファイルへのアクセスのユーザー エクスペリエンスをExtend the traditional identity-based file share access experience to the cloud with Azure AD
    従来のファイル サーバーを Azure Files で置き換え、使用するアプリケーションを「リフト アンド シフト」でクラウドに移行する場合は、アプリケーションがファイル データへのアクセスを Azure AD で認証するようにした方がよい場合があります。If you plan to "lift and shift" your application to the cloud, replacing traditional file servers with Azure Files, then you may want your application to authenticate with Azure AD to access file data. Azure Files は、ドメインに参加している VM から得た Azure AD の資格情報を使用した、 SMB 経由のファイル共有、ディレクトリまたはファイルへのアクセスをサポートしています。Azure Files supports using Azure AD credentials from domain-joined VMs over SMB to access file shares, directories, or files. また、ユーザー名、パスワード、およびその他のグループ割り当てを保持するために、オンプレミスのすべての Active Directory オブジェクトを Azure AD と同期することも選択できます。You can also choose to sync all of your on-premises Active Directory objects to Azure AD to preserve usernames, passwords, and other group assignments.

  • Azure のファイル共有への詳細なアクセス制御の適用が可能Enforce granular access control on Azure file shares
    SMB を使用した Azure AD 認証では、特定の ID に対して、ファイル共有、ディレクトリおよびファイル レベルで権限を付与できます。With Azure AD authentication over SMB, you can grant permissions to a specific identity at the share, directory, or file level. たとえば、プロジェクトのコラボレーションのために、複数のチームが 1 つの Azure ファイル共有を使用しているとします。For example, suppose that you have several teams using a single Azure file share for project collaboration. その場合、機密ではないディレクトリについてはすべてのチームにアクセス権限を付与し、機密の財務データが含まれるディレクトリについては財務チームのみにアクセス権限を付与できます。You can grant all teams access to non-sensitive directories, while limiting access to directories containing sensitive financial data to your Finance team only.

  • データだけでなく、ACL のバックアップも可能Back up ACLs along with your data
    Azure Files では、既存のオンプレミスのファイル共有をバックアップすることができます。You can use Azure Files to back up your existing on-premises file shares. Azure Files では、SMB 経由で Azure Files に共有ファイルをバックアップすると、データと共に ACL も保持されます。Azure Files preserves your ACLs along with your data when you back up a file share to Azure Files over SMB.

動作のしくみHow it works

Azure Files は、ドメインに参加している VM から得た Azure AD の資格情報で Kerberos 認証をすることをサポートするために、Azure AD Domain Services を使用しています。Azure Files uses Azure AD Domain Services to support Kerberos authentication with Azure AD credentials from domain-joined VMs. Azure Files で Azure AD を使用するには、まず Azure Active Directory Domain Services を有効にして、ファイル データにアクセスしようとする元の VM からドメインに参加する必要があります。Before you can use Azure AD with Azure Files, you must first enable Azure AD Domain Services and join the domain from the VMs from which you plan to access file data. ドメインに参加している VM は、Azure AD Domain Services と同じ仮想ネットワーク (VNET) 内に存在する必要があります。Your domain-joined VM must reside in the same virtual network (VNET) as Azure AD Domain Services.

VM 上で実行されているアプリケーションに関連付けられている ID が Azure Files のデータにアクセスしようとした場合、その要求は Azure AD Domain Services に送信され、ID が認証されます。When an identity associated with an application running on a VM attempts to access data in Azure Files, the request is sent to Azure AD Domain Services to authenticate the identity. 認証が成功した場合、Azure AD Domain Services は Kerberos トークンを返します。If authentication is successful, Azure AD Domain Services returns a Kerberos token. アプリケーションは Kerberos トークンが含まれる要求を送信し、Azure Files はそのトークンを使用して要求を承認します。The application sends a request that includes the Kerberos token, and Azure Files uses that token to authorize the request. Azure Files はトークンのみを受け取ります。Azure AD の資格情報は保持しません。Azure Files receives the token only and does not persist Azure AD credentials.

SMB 経由の Azure AD 認証のスクリーン ショット

SMB 経由の Azure AD 認証を有効にするEnable Azure AD authentication over SMB

2018 年 9 月 24 日より後に作成された、Azure Files の新規および既存のストレージ アカウントでは、SMB 経由の Azure AD 認証を有効にできます。You can enable Azure AD authentication over SMB for Azure Files on your new and existing storage accounts created after September 24, 2018.

SMB 経由の Azure AD 認証を有効にする場合は、ストレージ アカウントが関連付けられているプライマリ Azure AD テナントのために、Azure AD Domain Services がデプロイされていることを事前に確認します。Before enabling Azure AD authentication over SMB, verify that Azure AD Domain Services has been deployed for the primary Azure AD tenant with which your storage account is associated. Azure AD Domain Services の設定がまだ完了していない場合は、「Azure portal を使用して Azure Active Directory Domain Services を有効にする」に記載の手順に従ってください。If you have not yet set up Azure AD Domain Services, follow the step-by-step guidance provided in Enable Azure Active Directory Domain Services using the Azure portal.

Azure AD Domain Services のデプロイは、通常 10~15 分要します。Azure AD Domain Services deployment generally takes 10 to 15 minutes. Azure AD Domain Services のデプロイが完了後、SMB 経由で Azure Files の Azure AD 認証を有効にできます。After Azure AD Domain Services has been deployed, you can enable Azure AD authentication over SMB for Azure Files. 詳細については、「SMB 経由で Azure files の Azure Active Directory 認証を有効にする認証 (プレビュー)」を参照してください。For more information, see Enable Azure Active Directory authentication over SMB for Azure Files (Preview).

Azure Files の共有レベルのアクセス権限を構成するConfigure share-level permissions for Azure Files

Azure AD 認証が有効の場合、Azure AD の ID のカスタム RBAC ロールを構成して、ストレージ アカウント内の任意のファイル共有へのアクセス権を割り当てることができます。Once Azure AD authentication has been enabled, you can configure custom RBAC roles for Azure AD identities and assign access rights to any file shares in the storage account.

ドメインに参加している VM 上で実行されているアプリケーションが Azure のファイル共有をマウントしようとしたり、ディレクトリまたはファイルにアクセスしようとしたりした場合、そのアプリケーションの Azure AD 資格情報について、適切な共有レベルの権限と NTFS 権限があることが確認されます。When an application running on a domain-joined VM tries to mount an Azure file share or access a directory or file, the application's Azure AD credentials are verified to ensure the proper share-level permissions and NTFS permissions. 共有レベルの権限の構成の詳細については、「SMB 経由でAzure Active Directory 認証を有効にする (プレビュー)」を参照してください。For information about configuring share-level permissions, see Enable Azure Active Directory authentication over SMB (Preview).

Azure Files のディレクトリレベルまたはファイルレベルの権限を構成するConfigure directory- or file-level permissions for Azure Files

Azure Files は、ルート ディレクトリを含め、ディレクトリレベルおよびファイルレベルで標準の NTFS ファイル権限を適用します。Azure Files enforces standard NTFS file permissions at the directory and file level, including at the root directory. ディレクトリレベルまたはファイルレベルの権限の構成は、SMB 経由の構成のみがサポートされています。Configuration of directory- or file-level permissions is supported over SMB only. VM 上で対象のファイル共有をマウントし、Windows の icacls または SET-ACL コマンドを使用して権限を構成します。Mount the target file share from your VM and configure permissions using the Windows icacls or Set-ACL command.

注意

Windows のファイルエクスプローラー経由の NTFS 権限の構成は、プレビューではサポートされていません。Configuring NTFS permissions through Windows File Explorer is not supported in the preview.

スーパーユーザーの権限でストレージ アカウントのキーを使用するUse the storage account key for superuser permissions

ストレージ アカウント キーを保持するユーザーは、スーパー ユーザーの権限で Azure Files にアクセスできます。A user possessing the storage account key can access Azure Files with superuser permissions. スーパー ユーザーの権限は、RBAC の共有レベルで構成され、Azure AD によって適用されたすべてのアクセス制御の制限を超えることができます。Superuser permissions surpass all access control restrictions configured at the share level with RBAC and enforced by Azure AD. Azure のファイル共有をマウントするには、スーパー ユーザーの権限が必要です。Superuser permissions are required to mount an Azure file share.

重要

セキュリティのベスト プラクティスの一貫として、ストレージ アカウント キーの共有や、Azure AD の権限の利用は、可能な限り避けてください。As part of best practices for security, avoid sharing your storage account keys, and leverage Azure AD permissions whenever possible.

Azure のファイル共有にディレクトリとファイルのデータ インポート用の ACL を保持するPreserve directory and file ACLs for data import to Azure file shares

SMB 経由の Azure AD 認証は、Azure のファイル共有にデータをコピーする際、ディレクトリまたはファイルの ACL を保持することをサポートしています。Azure AD authentication over SMB supports preserving directory or file ACLs when you copy data to Azure file shares. プレビューのリリースにおいては、ディレクトリまたはファイルの ACL を Azure Files にコピーできます。In the preview release, you can copy the ACLs on a directory or file to Azure Files. たとえば、robocopy を使用し、/copy:s のフラグを設定することで、データと ACL の両方を Azure のファイル共有にコピーすることができます。For example, you can use robocopy with flag /copy:s to copy both data and ACLs to an Azure file share.

価格Pricing

お使いのストレージアカウントで SMB 経由の Azure AD 認証を有効にする場合、追加のサービス料金は発生しません。There is no additional service charge to enable Azure AD authentication over SMB on your storage account. 価格の詳細については、「Azure Files の価格」と「Azure AD Domain Services の価格」のページを参照してください。For more information on pricing, see Azure Files pricing and Azure AD Domain Services pricing pages.

次の手順Next Steps

Azure Files や、SMB 経由の Azure AD 認証の詳細については、これらのリソースを参照してください。For more information about Azure Files and Azure AD authentication over SMB, see these resources: