Azure Files に対する Azure Active Directory Domain Services 認証を有効にする

Azure Files  では、オンプレミスの Active Directory Domain Services (AD DS) と Azure Active Directory Domain Services (Azure AD DS) という 2 種類のドメイン サービスを介した、サーバー メッセージ ブロック (SMB) 経由の ID ベースの認証がサポートされます。「しくみ」セクションを参照して、認証用の適切なドメイン サービスを選択することを強くお勧めします。 設定は、選択するドメイン サービスによって異なります。 この記事では、Azure ファイル共有での認証用に Azure AD DS を有効にして構成する方法に重点を置いて説明します。

Azure ファイル共有を初めて使用する場合は、次の一連の記事を読む前に、計画ガイドに目を通すことをお勧めします。

注意

Azure Files では、Azure AD DS と RC4-HMAC のみを使用した Kerberos 認証がサポートされています。 AES Kerberos 暗号化はまだサポートされていません。 Azure Files では、Azure AD と完全に同期する Azure AD DS の認証がサポートされています。 Azure AD DS で範囲指定された同期を有効にし、Azure AD から限定された ID のセットのみを同期する場合、認証と承認はサポートされていません。

前提条件

Azure ファイル共有への SMB 経由の Azure AD を有効にする前に、次の前提条件を完了していることを確認してください。

  1. Azure AD テナントを選択または作成します。

    SMB を使用した Azure AD 認証には、新規または既存のテナントを使用できます。 アクセスするテナントとファイル共有は、同じサブスクリプションに関連付けられている必要があります。

    新しく Azure AD テナントを作成するには、Azure AD テナントと Azure AD サブスクリプションを追加できます。 既存の Azure AD テナントがあるが、Azure ファイル共有で使用するために新しいテナントを作成する場合は、Azure Active Directory テナントの作成に関する記事を参照してください。

  2. Azure AD テナントで Azure AD Domain Services を有効にします。

    Azure AD 資格情報を使用した認証をサポートするには、Azure AD テナントの Azure AD Domain Services を有効にする必要があります。 Azure AD テナントの管理者でない場合は、管理者に連絡し、Azure portal を使用した Azure Active Directory Domain Services の有効化に関する記事に書かれている手順を実行します。

    通常、Azure AD DS のデプロイが完了するまでには 15 分ほどかかります。 次の手順に進む前に、Azure AD DS の正常性状態が 実行中 と表示されており、パスワード ハッシュ同期が有効になっていることを確認します。

  3. Azure AD DS を使用している Azure VM ドメインに参加します。

    VM から Azure AD の資格情報を使用してファイル共有にアクセスするには、VM が Azure AD DS のドメインに参加している必要があります。 VM のドメイン参加方法の詳細については、「Windows Server 仮想マシンのマネージド ドメインへの参加」を参照してください。

    注意

    SMB を使用した Azure ファイル共有の Azure AD DS 認証は、Windows 7 または Windows Server 2008 R2 以降の OS バージョンで実行されている Azure VM でのみサポートされます。

  4. Azure ファイル共有を選択または作成します。

    Azure AD テナントと同じサブスクリプションに関連付けられている新規または既存のファイル共有を選択します。 新しいファイル共有を作成する方法の詳細については、「Azure Files にファイル共有を作成する」を参照してください。 パフォーマンスを最適化するには、共有にアクセスする予定の VM と同じリージョンにファイル共有を配置することをお勧めします。

  5. ストレージ アカウント キーを使用して Azure ファイル共有をマウントすることにより、Azure Files の接続を確認します。

    VM とファイル共有が正しく構成されていることを確認するには、ストレージ アカウント キーを使用してファイル共有をマウントします。 詳細については、「Windows で Azure ファイル共有をマウントして共有にアクセスする」を参照してください。

リージョン別の提供状況

Azure AD DS を使用した Azure Files 認証は、すべての Azure パブリック リージョン、Gov リージョン、および中国リージョンで利用できます。

ワークフローの概要

SMB を使用した Azure ファイル共有への Azure AD DS 認証を有効にする前に、Azure AD と Azure Storage 環境が正しく構成されていることを確認してください。 前提条件を参照して、必要な手順をすべて完了したことを確認することをお勧めします。

次に、以下の手順を実行して、Azure AD 資格情報を使用して Azure Files のリソースへのアクセス許可を付与します。

  1. 関連付けられた Azure AD DS デプロイにストレージ アカウントを登録するため、SMB を使用した、ストレージ アカウントの Azure AD DS 認証を有効にします。
  2. Azure AD の ID (ユーザー、グループ、またはサービス プリンシパル) に、共有のアクセス許可を割り当てます。
  3. SMB を使用したディレクトリおよびファイルへの NTFS アクセス許可を構成します。
  4. ドメインに参加している VM から Azure ファイル共有をマウントします。

次の図は、SMB を使用して Azure Files への Azure AD DS 認証を有効にするためのエンドツーエンドのワークフローを示しています。

SMB を使用した Azure Files への Azure AD ワークフローを示す図

アカウントへの Azure AD DS 認証を有効にする

Azure Files への SMB 経由の Azure AD DS 認証を有効にするには、Azure portal、Azure PowerShell、または Azure CLI を使用して、ストレージ アカウントでプロパティを設定できます。 このプロパティを設定すると、関連付けられている Azure AD DS のデプロイにより、ストレージ アカウントが暗黙的に "ドメイン参加" します。 その後、ストレージ アカウント内のすべての新規および既存のファイル共有に対する、SMB を使用した Azure AD DS 認証が有効になります。

SMB を使用した Azure AD DS 認証を有効にするには、Azure AD テナントに Azure AD DS が正常にデプロイされている必要があることに注意してください。 詳細については、前提条件を参照してください。

Azure portal を使用して SMB 経由の Azure AD DS 認証を有効にするには、次の手順に従います。

  1. Azure portal で、既存のストレージ アカウントに移動するか、またはストレージ アカウントを作成します。
  2. [設定] セクションで、 [構成] を選択します。
  3. [Identity-based access for file shares](ファイル共有への ID ベースのアクセス) で、 [Azure Active Directory Domain Service (AAD DS)] のトグルを [有効] に切り替えます。
  4. [保存] を選択します。

次の図は、ストレージ アカウントへの SMB 経由の Azure AD DS 認証を有効にする方法を示しています。

ストレージ アカウントの [構成] ブレードのスクリーンショット。Azure Active Directory ドメイン サービスが有効になっています。

ID にアクセス許可を割り当てる

ID ベースの認証を使用して Azure Files リソースにアクセスするには、ID (ユーザー、グループ、またはサービス プリンシパル) が共有レベルで必要なアクセス許可を持っている必要があります。 このプロセスは、ファイル共有に対し特定のユーザーが持っているアクセス権の種類を指定する、Windows 共有のアクセス許可の指定に似ています。 このセクションのガイダンスでは、ID にファイル共有のための読み取り、書き込み、または削除のアクセス許可を割り当てる方法を示します。

ユーザーに共有レベルのアクセス許可を付与するための、3 つの Azure 組み込みロールが導入されました。

  • ストレージ ファイル データ SMB 共有閲覧者 では、SMB 経由の Azure Storage ファイル共有での読み取りアクセスが許可されます。
  • ストレージ ファイル データ SMB 共有共同作成者 では、SMB 経由の Azure Storage ファイル共有での読み取り、書き込み、削除アクセスが許可されます。
  • ストレージ ファイル データの SMB 共有の管理者特権共同作成者 では、SMB 経由の Azure Storage ファイル共有での NTFS アクセス許可の読み取り、書き込み、削除、および変更が許可されます。

重要

ファイルの所有権を引き受ける機能を含めて、ファイル共有を完全に管理制御するには、ストレージ アカウント キーを使用する必要があります。 Azure AD 資格情報を使用した管理制御はサポートされていません。

Azure portal、PowerShell、または Azure CLI を使用して、共有レベルのアクセス許可を付与するために、組み込みのロールをユーザーの Azure AD ID に割り当てることができます。 共有レベルの Azure ロールの割り当ては、有効になるまでに時間がかかる場合があることにご注意ください。

注意

認証にオンプレミス AD DS を使用する予定がある場合は、必ず AD DS の資格情報を Azure AD と同期してください。 AD DS から Azure AD へのパスワード ハッシュ同期は省略可能です。 オンプレミスの AD DS から同期される Azure AD ID に共有レベルのアクセス許可が付与されます。

一般的な推奨事項は、ユーザーと ID のグループを表す AD グループに対する高レベルのアクセス管理に共有レベルのアクセス許可を使用してから、ディレクトリおよびファイル レベルでのきめ細かいアクセス制御に NTFS アクセス許可を利用することです。

Azure ロールを AD ID を割り当てる

Azure portal を使用して Azure ロールを Azure AD ID に割り当てるには、これらの手順に従います。

  1. Azure portal でファイル共有に移動するか、ファイル共有を作成します。
  2. [アクセス制御 (IAM)] を選択します。
  3. [ロールの割り当てを追加する] を選択します。
  4. [ロールの割り当ての追加] ブレードで、 [ロール] リストから適切な組み込みロール (ストレージ ファイル データ SMB 共有閲覧者、ストレージ ファイル データ SMB 共有共同作成者) を選択します。 [アクセスの割り当て先] は既定の設定のままにしておきます。Azure AD のユーザー、グループ、サービス プリンシパル。 名前またはメール アドレスで、ターゲット Azure AD ID を選択します。
  5. [保存] を選択して、ロールの割り当て操作を完了します。

SMB 経由の NTFS アクセス許可を構成する

RBAC に共有レベルのアクセス許可を割り当てたら、ルート、ディレクトリ、またはファイル レベルに適切な NTFS アクセス許可を割り当てる必要があります。 共有レベルのアクセス許可は、ユーザーが共有にアクセスできるかどうかを決定する高レベルのゲートキーパーと考えてください。 一方、NTFS のアクセス許可は、さらに細かなレベルで動作し、ディレクトリまたはファイル レベルでユーザーが実行できる操作を決定します。

Azure Files では、NTFS の基本的なアクセス許可と詳細なアクセス許可で構成される完全なセットをサポートします。 Azure ファイル共有内のディレクトリとファイルの NTFS アクセス許可を表示および構成するには、共有をマウントしてから、Windows エクスプローラーを使用するか、Windows の icacls または Set-ACL コマンドを実行します。

スーパーユーザー アクセス許可を持つ NTFS を構成するには、ドメインに参加している VM からのストレージ アカウント キーを使って共有をマウントする必要があります。 コマンド プロンプトから Azure ファイル共有をマウントし、それに応じて NTFS アクセス許可を構成するには、次のセクションの説明に従ってください。

ファイル共有のルート ディレクトリでは、次のアクセス許可セットがサポートされています。

  • BUILTIN\Administrators:(OI)(CI)(F)
  • NT AUTHORITY\SYSTEM:(OI)(CI)(F)
  • BUILTIN\Users:(RX)
  • BUILTIN\Users:(OI)(CI)(IO)(GR,GE)
  • NT authority \authenticated Users:(OI)(CI)(M)
  • NT AUTHORITY\SYSTEM:(F)
  • CREATOR OWNER:(OI)(CI)(IO)(F)

コマンド プロンプトからファイル共有をマウントする

Windows の net use コマンドを使用して Azure ファイル共有をマウントします。 次の例では、プレースホルダーをお客様独自の値に置き換えてください。 ファイル共有のマウントの詳細については、「Windows で Azure ファイル共有を使用する」を参照してください。

$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded)
{
 net use <desired-drive letter>: \\<storage-account-name>.file.core.windows.net\<fileshare-name>
} 
else 
{
 Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}

Azure Files への接続で問題が発生した場合は、Windows での Azure Files マウント エラーに対して発行したトラブルシューティング ツールを参照してください。 また、ポート 445 がブロックされている場合のシナリオを回避するためのガイダンスも提供されています。

Windows エクスプローラーを使用して NTFS アクセス許可を構成する

Windows エクスプローラーを使用して、ルート ディレクトリを含む、ファイル共有下のすべてのディレクトリとファイル共有に完全なアクセス許可を付与します。

  1. Windows エクスプローラーを開き、ファイルまたはディレクトリを右クリックし、 [プロパティ] を選択します。
  2. [セキュリティ] タブをクリックします。
  3. [編集] を選択して アクセス許可を変更します。
  4. 既存のユーザーの権限を変更することや、 [追加] を選択して新しいユーザーにアクセス許可を付与することができます。
  5. 新しいユーザーを追加するためのプロンプト ウィンドウで、アクセス許可を付与するターゲット ユーザーの名前を [選択するオブジェクト名を入力してください] ボックスに入力し、 [名前の確認] を選択して、ターゲット ユーザーの完全な UPN 名を見つけます。
  6. [OK] を選択します。
  7. [セキュリティ] タブで、新しいユーザーに付与するすべてのアクセス許可を選択します。
  8. [適用] を選択します。

icacls を使用して NTFS アクセス許可を構成する

ルート ディレクトリを含む、ファイル共有下のすべてのディレクトリとファイル共有に完全なアクセス許可を付与するには、次の Windows コマンドを使用します。 例中のプレースホルダーを独自の値に置き換えてください。

icacls <mounted-drive-letter>: /grant <user-email>:(f)

icacls を使用して NTFS アクセス許可を設定する方法や、サポートされるさまざまな種類のアクセス許可の詳細については、コマンド ライン リファレンスの icacls に関する記事を参照してください。

ドメインに参加している VM からファイル共有をマウントする

次のプロセスでは、ファイル共有とアクセス許可が正しく設定されていることと、ドメインに参加している VM から Azure ファイル共有にアクセスできることを確認します。 共有レベルの Azure ロールの割り当ては、有効になるまでに時間がかかる場合があることにご注意ください。

次の図のように、アクセス許可を付与した Azure AD の ID を使用して VM にサインインします。 Azure Files にオンプレミスの AD DS 認証を有効にしている場合は、AD DS 資格情報を使用します。 Azure AD DS 認証の場合、Azure AD の資格情報を使用してサインインします。

ユーザー認証のための Azure AD サインイン画面を示すスクリーン ショット

以下のコマンドを使用して Azure ファイル共有をマウントします。 プレースホルダー値をお客様独自の値に置き換えてください。 認証済みなので、ストレージ アカウント キー、オンプレミスの AD DS の資格情報、または Azure AD DS の資格情報を指定する必要はありません。 オンプレミスの AD DS または Azure AD DS のいずれかを使用した認証では、シングル サインオン エクスペリエンスがサポートされています。 AD DS の資格情報を使用したマウントで問題が発生した場合は、「Windows での Azure Files に関する問題のトラブルシューティング」を参照してください。

$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded)
{
 net use <desired-drive letter>: \\<storage-account-name>.file.core.windows.net\<fileshare-name>
} 
else 
{
 Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}

これで、SMB を使用した Azure AD DS 認証が有効になり、Azure ファイル共有へのアクセスを提供するカスタム ロールが Azure AD の ID に割り当てられました。 ファイル共有へのアクセスを他のユーザーに許可する場合は、ID を使用するためのアクセス許可の割り当てに関する指示と、「SMB 経由の NTFS アクセス許可を構成する」のセクションの手順に従ってください。

次のステップ

Azure Files や、SMB 経由で Azure AD を使用する方法の詳細については、これらのリソースを参照してください。