Azure Files に対する Azure Active Directory Domain Services 認証を有効にするEnable Azure Active Directory Domain Services authentication on Azure Files

Azure Files では、オンプレミス Active Directory Domain Services (AD DS) Azure Active Directory Domain Services (Azure AD DS) を介した、サーバー メッセージ ブロック (SMB) 経由の ID ベースの認証がサポートされます。Azure Files supports identity-based authentication over Server Message Block (SMB) through on-premises Active Directory Domain Services (AD DS) and Azure Active Directory Domain Services (Azure AD DS). この記事では、Azure Files がオンプレミスまたは Azure のドメイン サービスを利用し、SMB 経由の Azure ファイル共有への ID ベースのアクセスをサポートする方法に焦点を当てています。This article focuses on how Azure file shares can use domain services, either on-premises or in Azure, to support identity-based access to Azure file shares over SMB. Azure ファイル共有のために ID ベースのアクセスを有効にすると、既存のディレクトリ サービスを置換することなく、既存のファイル サーバーを Azure ファイル共有に置換できます。共有への継ぎ目のないユーザー アクセスを維持できます。Enabling identity-based access for your Azure file shares allows you to replace existing file servers with Azure file shares without replacing your existing directory service, maintaining seamless user access to shares.

Azure Files では、共有とディレクトリ/ファイル レベルの両方へのユーザー アクセスで承認が適用されます。Azure Files enforces authorization on user access to both the share and the directory/file levels. 共有レベルのアクセス許可の割り当ては、ロールベースのアクセス制御 (RBAC) モデルを使用して管理されている Azure Active Directory (Azure AD) ユーザーまたはグループで実行できます。Share-level permission assignment can be performed on Azure Active Directory (Azure AD) users or groups managed through the role-based access control (RBAC) model. RBAC では、ファイルへのアクセスに使用する資格情報を使用できるようにするか、Azure AD に同期する必要があります。With RBAC, the credentials you use for file access should be available or synced to Azure AD. Azure ファイル共有に読み取りアクセス権を付与するには、記憶域ファイル データの SMB 共有の閲覧者などの組み込みの RBAC ロールを Azure AD のユーザーまたはグループに割り当てることができます。You can assign built-in RBAC roles like Storage File Data SMB Share Reader to users or groups in Azure AD to grant read access to an Azure file share.

ディレクトリまたはファイル レベルでは、Azure Files は、Windows ファイル サーバーと同様に、Windows DACL の保持、継承、および適用をサポートしています。At the directory/file level, Azure Files supports preserving, inheriting, and enforcing Windows DACLs just like any Windows file servers. 既存のファイル共有と Azure ファイル共有の間で SMB 経由でデータをコピーするとき、Windows DACL を維持することを選択できます。You can choose to keep Windows DACLs when copying data over SMB between your existing file share and your Azure file shares. 承認を適用するかどうかにかかわらず、Azure ファイル共有を利用し、データと共に ACL をバックアップできます。Whether you plan to enforce authorization or not, you can use Azure file shares to back up ACLs along with your data.

SMB を使用した Azure ファイル共有への Azure AD 認証の概要については、SMB を使用した Azure Files への Azure Active Directory 認証の概要に関する記事を参照してください。For an overview of Azure AD authentication over SMB for Azure file shares, see Overview of Azure Active Directory authentication over SMB for Azure Files. この記事では、Azure Files で Azure Active Directory Domain Services (Azure AD DS) を使用して認証を有効にする方法に焦点を当てています。This article is focused on how to enable authentication with Azure Active Directory Domain Services (Azure AD DS) on Azure Files.

注意

Azure Files では、Azure AD DS と RC4-HMAC 暗号化を使用した Kerberos 認証がサポートされています。Azure Files supports Kerberos authentication with Azure AD DS with RC4-HMAC encryption. AES Kerberos 暗号化はまだサポートされていません。AES Kerberos encryption is not yet supported. Azure Files では、Azure AD と完全に同期する Azure AD DS の認証がサポートされています。Azure Files supports authentication for Azure AD DS with full synchronization with Azure AD. Azure AD DS で範囲指定された同期を有効にし、Azure AD から限定された ID のセットのみを同期する場合、認証と承認はサポートされていません。If you have enabled scoped synchronization in Azure AD DS which only sync a limited set of identities from Azure AD, authentication and authorization is not supported.

前提条件Prerequisites

Azure ファイル共有への SMB 経由の Azure AD を有効にする前に、次の前提条件を完了していることを確認してください。Before you enable Azure AD over SMB for Azure file shares, make sure you have completed the following prerequisites:

  1. Azure AD テナントを選択または作成します。Select or create an Azure AD tenant.

    SMB を使用した Azure AD 認証には、新規または既存のテナントを使用できます。You can use a new or existing tenant for Azure AD authentication over SMB. アクセスするテナントとファイル共有は、同じサブスクリプションに関連付けられている必要があります。The tenant and the file share that you want to access must be associated with the same subscription.

    新しく Azure AD テナントを作成するには、Azure AD テナントと Azure AD サブスクリプションを追加できます。To create a new Azure AD tenant, you can Add an Azure AD tenant and an Azure AD subscription. 既存の Azure AD テナントがあるが、Azure ファイル共有で使用するために新しいテナントを作成する場合は、Azure Active Directory テナントの作成に関する記事を参照してください。If you have an existing Azure AD tenant but want to create a new tenant for use with Azure file shares, see Create an Azure Active Directory tenant.

  2. Azure AD テナントで Azure AD Domain Services を有効にします。Enable Azure AD Domain Services on the Azure AD tenant.

    Azure AD 資格情報を使用した認証をサポートするには、Azure AD テナントの Azure AD Domain Services を有効にする必要があります。To support authentication with Azure AD credentials, you must enable Azure AD Domain Services for your Azure AD tenant. Azure AD テナントの管理者でない場合は、管理者に連絡し、Azure portal を使用した Azure Active Directory Domain Services の有効化に関する記事に書かれている手順を実行します。If you aren't the administrator of the Azure AD tenant, contact the administrator and follow the step-by-step guidance to Enable Azure Active Directory Domain Services using the Azure portal.

    通常、Azure AD DS のデプロイが完了するまでには 15 分ほどかかります。It typically takes about 15 minutes for an Azure AD DS deployment to complete. 次の手順に進む前に、Azure AD DS の正常性状態が実行中と表示されており、パスワード ハッシュ同期が有効になっていることを確認します。Verify that the health status of Azure AD DS shows Running, with password hash synchronization enabled, before proceeding to the next step.

  3. Azure AD DS を使用している Azure VM ドメインに参加します。Domain-join an Azure VM with Azure AD DS.

    VM から Azure AD の資格情報を使用してファイル共有にアクセスするには、VM が Azure AD DS のドメインに参加している必要があります。To access a file share by using Azure AD credentials from a VM, your VM must be domain-joined to Azure AD DS. VM のドメイン参加方法の詳細については、「Windows Server 仮想マシンのマネージド ドメインへの参加」を参照してください。For more information about how to domain-join a VM, see Join a Windows Server virtual machine to a managed domain.

    注意

    SMB を使用した Azure ファイル共有の Azure AD DS 認証は、Windows 7 または Windows Server 2008 R2 以降の OS バージョンで実行されている Azure VM でのみサポートされます。Azure AD DS authentication over SMB with Azure file shares is supported only on Azure VMs running on OS versions above Windows 7 or Windows Server 2008 R2.

  4. Azure ファイル共有を選択または作成します。Select or create an Azure file share.

    Azure AD テナントと同じサブスクリプションに関連付けられている新規または既存のファイル共有を選択します。Select a new or existing file share that's associated with the same subscription as your Azure AD tenant. 新しいファイル共有を作成する方法の詳細については、「Azure Files にファイル共有を作成する」を参照してください。For information about creating a new file share, see Create a file share in Azure Files. パフォーマンスを最適化するには、共有にアクセスする予定の VM と同じリージョンにファイル共有を配置することをお勧めします。For optimal performance, we recommend that your file share be in the same region as the VM from which you plan to access the share.

  5. ストレージ アカウント キーを使用して Azure ファイル共有をマウントすることにより、Azure Files の接続を確認します。Verify Azure Files connectivity by mounting Azure file shares using your storage account key.

    VM とファイル共有が正しく構成されていることを確認するには、ストレージ アカウント キーを使用してファイル共有をマウントします。To verify that your VM and file share are properly configured, try mounting the file share using your storage account key. 詳細については、「Windows で Azure ファイル共有をマウントして共有にアクセスする」を参照してください。For more information, see Mount an Azure file share and access the share in Windows.

リージョン別の提供状況Regional availability

Azure AD DS を使用した Azure Files 認証は、すべての Azure パブリック リージョンで利用できます。Azure Files authentication with Azure AD DS is available in all Azure Public regions.

ワークフローの概要Overview of the workflow

SMB を使用した Azure ファイル共有への Azure AD DS 認証を有効にする前に、Azure AD と Azure Storage 環境が正しく構成されていることを確認してください。Before you enable Azure AD DS Authentication over SMB for Azure file shares, verify that your Azure AD and Azure Storage environments are properly configured. 前提条件を参照して、必要な手順をすべて完了したことを確認することをお勧めします。We recommend that you walk through the prerequisites to make sure you've completed all the required steps.

次に、以下の手順を実行して、Azure AD 資格情報を使用して Azure Files のリソースへのアクセス許可を付与します。Next, do the following things to grant access to Azure Files resources with Azure AD credentials:

  1. 関連付けられた Azure AD DS デプロイにストレージ アカウントを登録するため、SMB を使用した、ストレージ アカウントの Azure AD DS 認証を有効にします。Enable Azure AD DS authentication over SMB for your storage account to register the storage account with the associated Azure AD DS deployment.
  2. Azure AD の ID (ユーザー、グループ、またはサービス プリンシパル) に、共有のアクセス許可を割り当てます。Assign access permissions for a share to an Azure AD identity (a user, group, or service principal).
  3. SMB を使用したディレクトリおよびファイルへの NTFS アクセス許可を構成します。Configure NTFS permissions over SMB for directories and files.
  4. ドメインに参加している VM から Azure ファイル共有をマウントします。Mount an Azure file share from a domain-joined VM.

次の図は、SMB を使用して Azure Files への Azure AD DS 認証を有効にするためのエンドツーエンドのワークフローを示しています。The following diagram illustrates the end-to-end workflow for enabling Azure AD DS authentication over SMB for Azure Files.

SMB を使用した Azure Files への Azure AD ワークフローを示す図

1.アカウントへの Azure AD DS 認証を有効にする1. Enable Azure AD DS authentication for your account

Azure Files への SMB 経由の Azure AD DS 認証を有効にするには、Azure portal、Azure PowerShell、または Azure CLI を使用して、ストレージ アカウントでプロパティを設定できます。To enable Azure AD DS authentication over SMB for Azure Files, you can set a property on storage accounts by using the Azure portal, Azure PowerShell, or Azure CLI. このプロパティを設定すると、関連付けられている Azure AD DS のデプロイにより、ストレージ アカウントが暗黙的に "ドメイン参加" します。Setting this property implicitly "domain joins" the storage account with the associated Azure AD DS deployment. その後、ストレージ アカウント内のすべての新規および既存のファイル共有に対する、SMB を使用した Azure AD DS 認証が有効になります。Azure AD DS authentication over SMB is then enabled for all new and existing file shares in the storage account.

SMB を使用した Azure AD DS 認証を有効にするには、Azure AD テナントに Azure AD DS が正常にデプロイされている必要があることに注意してください。Keep in mind that you can enable Azure AD DS authentication over SMB only after you have successfully deployed Azure AD DS to your Azure AD tenant. 詳細については、前提条件を参照してください。For more information, see the prerequisites.

Azure portalAzure portal

Azure portal を使用して SMB 経由の Azure AD DS 認証を有効にするには、次の手順に従います。To enable Azure AD DS authentication over SMB with the Azure portal, follow these steps:

  1. Azure portal で、既存のストレージ アカウントに移動するか、またはストレージ アカウントを作成します。In the Azure portal, go to your existing storage account, or create a storage account.
  2. [設定] セクションで、 [構成] を選択します。In the Settings section, select Configuration.
  3. [Identity-based access for file shares](ファイル共有への ID ベースのアクセス) で、 [Azure Active Directory Domain Service (AAD DS)] のトグルを [有効] に切り替えます。Under Identity-based access for file shares switch the toggle for Azure Active Directory Domain Service (AAD DS) to Enabled.
  4. [保存] を選択します。Select Save.

次の図は、ストレージ アカウントへの SMB 経由の Azure AD DS 認証を有効にする方法を示しています。The following image shows how to enable Azure AD DS authentication over SMB for your storage account.

Azure portal で SMB 経由の Azure AD DS 認証を有効にする

PowerShellPowerShell

Azure PowerShell を使用して SMB 経由で Azure AD DS 認証を有効にするには、最新の Az モジュール (2.4 以降) または Az.Storage モジュール (1.5 以降) をインストールします。To enable Azure AD DS authentication over SMB with Azure PowerShell, install the latest Az module (2.4 or newer) or the Az.Storage module (1.5 or newer). PowerShell のインストールの詳細については、PowerShellGet を使用した Windows への Azure PowerShell のインストールに関する記事を参照してください。For more information about installing PowerShell, see Install Azure PowerShell on Windows with PowerShellGet.

新しいストレージ アカウントを作成するには、New-AzStorageAccount を呼び出し、EnableAzureActiveDirectoryDomainServicesForFile パラメーターを true に設定します。To create a new storage account, call New-AzStorageAccount, and then set the EnableAzureActiveDirectoryDomainServicesForFile parameter to true. 以下の例のプレースホルダーをお客様独自の値に置き換えてください。In the following example, remember to replace the placeholder values with your own values. (以前のプレビュー モジュールを使用していた場合、機能を有効にするためのパラメーターは EnableAzureFilesAadIntegrationForSMB です。)(If you were using the previous preview module, the parameter for feature enablement is EnableAzureFilesAadIntegrationForSMB.)

# Create a new storage account
New-AzStorageAccount -ResourceGroupName "<resource-group-name>" `
    -Name "<storage-account-name>" `
    -Location "<azure-region>" `
    -SkuName Standard_LRS `
    -Kind StorageV2 `
    -EnableAzureActiveDirectoryDomainServicesForFile $true

既存のストレージ アカウントでこの機能を有効にするには、次のコマンドを使用します。To enable this feature on existing storage accounts, use the following command:

# Update a storage account
Set-AzStorageAccount -ResourceGroupName "<resource-group-name>" `
    -Name "<storage-account-name>" `
    -EnableAzureActiveDirectoryDomainServicesForFile $true

Azure CLIAzure CLI

Azure CLI を使用して SMB 経由の Azure AD 認証を有効にするには、最新バージョンの CLI (バージョン2.0.70 以降) をインストールします。To enable Azure AD authentication over SMB with Azure CLI, install the latest CLI version (Version 2.0.70 or newer). Azure CLI のインストール方法については、「Azure CLI のインストール」を参照してください。For more information about installing Azure CLI, see Install the Azure CLI.

新しいストレージ アカウントを作成するには、az storage account create を呼び出し、--enable-files-aadds プロパティを true に設定します。To create a new storage account, call az storage account create, and set the --enable-files-aadds property to true. 以下の例のプレースホルダーをお客様独自の値に置き換えてください。In the following example, remember to replace the placeholder values with your own values. (以前のプレビュー モジュールを使用していた場合、機能を有効にするためのパラメーターは file-aad です)。(If you were using the previous preview module, the parameter for feature enablement is file-aad.)

# Create a new storage account
az storage account create -n <storage-account-name> -g <resource-group-name> --enable-files-aadds $true

既存のストレージ アカウントでこの機能を有効にするには、次のコマンドを使用します。To enable this feature on existing storage accounts, use the following command:

# Update a new storage account
az storage account update -n <storage-account-name> -g <resource-group-name> --enable-files-aadds $true

2. ID にアクセス許可を割り当てる2 Assign access permissions to an identity

ID ベースの認証を使用して Azure Files リソースにアクセスするには、ID (ユーザー、グループ、またはサービス プリンシパル) が共有レベルで必要なアクセス許可を持っている必要があります。To access Azure Files resources with identity based authentication, an identity (a user, group, or service principal) must have the necessary permissions at the share level. このプロセスは、ファイル共有に対し特定のユーザーが持っているアクセス権の種類を指定する、Windows 共有のアクセス許可の指定に似ています。This process is similar to specifying Windows share permissions, where you specify the type of access that a particular user has to a file share. このセクションのガイダンスでは、ID にファイル共有のための読み取り、書き込み、または削除のアクセス許可を割り当てる方法を示します。The guidance in this section demonstrates how to assign read, write, or delete permissions for a file share to an identity.

ユーザーに共有レベルのアクセス許可を付与するための、3 つの Azure 組み込みロールが導入されました。We have introduced three Azure built-in roles for granting share-level permissions to users:

  • ストレージ ファイル データ SMB 共有閲覧者では、SMB 経由の Azure Storage ファイル共有での読み取りアクセスが許可されます。Storage File Data SMB Share Reader allows read access in Azure Storage file shares over SMB.
  • ストレージ ファイル データ SMB 共有共同作成者では、SMB 経由の Azure Storage ファイル共有での読み取り、書き込み、削除アクセスが許可されます。Storage File Data SMB Share Contributor allows read, write, and delete access in Azure Storage file shares over SMB.
  • ストレージ ファイル データの SMB 共有の管理者特権共同作成者では、SMB 経由の Azure Storage ファイル共有での NTFS アクセス許可の読み取り、書き込み、削除、および変更が許可されます。Storage File Data SMB Share Elevated Contributor allows read, write, delete and modify NTFS permissions in Azure Storage file shares over SMB.

重要

ファイルの所有権を引き受ける機能を含めて、ファイル共有を完全に管理制御するには、ストレージ アカウント キーを使用する必要があります。Full administrative control of a file share, including the ability to take ownership of a file, requires using the storage account key. Azure AD 資格情報を使用した管理制御はサポートされていません。Administrative control is not supported with Azure AD credentials.

Azure portal、PowerShell、または Azure CLI を使用して、共有レベルのアクセス許可を付与するために、組み込みのロールをユーザーの Azure AD ID に割り当てることができます。You can use the Azure portal, PowerShell, or Azure CLI to assign the built-in roles to the Azure AD identity of a user for granting share-level permissions. 共有レベルの RBAC ロールの割り当ては、有効になるまでに時間がかかる場合があることに注意してください。Be aware that the share level RBAC role assignment can take some time to be in effect.

注意

認証にオンプレミス AD DS を使用する予定がある場合は、必ず AD DS の資格情報を Azure AD と同期してください。Remember to sync your AD DS credentials to Azure AD if you plan to use your on-premises AD DS for authentication. AD DS から Azure AD へのパスワード ハッシュ同期は省略可能です。Password hash sync from AD DS to Azure AD is optional. オンプレミスの AD DS から同期される Azure AD ID に共有レベルのアクセス許可が付与されます。Share level permission will be granted to the Azure AD identity that is synced from your on-premises AD DS.

一般的な推奨事項は、ユーザーと ID のグループを表す AD グループに対する高レベルのアクセス管理に共有レベルのアクセス許可を使用してから、ディレクトリおよびファイル レベルでのきめ細かいアクセス制御に NTFS アクセス許可を利用することです。The general recommendation is to use share level permission for high level access management to an AD group representing a group of users and identities, then leverage NTFS permissions for granular access control on directory/file level.

Azure portalAzure portal

Azure portal を使用して RBAC ロールを Azure AD ID に割り当てるには、次の手順に従います。To assign an RBAC role to an Azure AD identity, using the Azure portal, follow these steps:

  1. Azure portal でファイル共有に移動するか、ファイル共有を作成します。In the Azure portal, go to your file share, or Create a file share.
  2. [アクセス制御 (IAM)] を選択します。Select Access Control (IAM).
  3. [ロールの割り当てを追加する] を選択します。Select Add a role assignment
  4. [ロールの割り当ての追加] ブレードで、 [ロール] リストから適切な組み込みロール (ストレージ ファイル データ SMB 共有閲覧者、ストレージ ファイル データ SMB 共有共同作成者) を選択します。In the Add role assignment blade, select the appropriate built-in role (Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor) from the Role list. [アクセスの割り当て先] は既定の設定のままにしておきます。Azure AD のユーザー、グループ、サービス プリンシパルLeave Assign access to at the default setting: Azure AD user, group, or service principal. 名前またはメール アドレスで、ターゲット Azure AD ID を選択します。Select the target Azure AD identity by name or email address.
  5. [保存] を選択して、ロールの割り当て操作を完了します。Select Save to complete the role assignment operation.

PowerShellPowerShell

次の PowerShell サンプルは、RBAC ロールをサインイン名に基づいて Azure AD ID に割り当てる方法を示しています。The following PowerShell sample shows how to assign an RBAC role to an Azure AD identity, based on sign-in name. PowerShell を使用した RBAC ロールの割り当ての詳細については、「RBAC と Azure PowerShell を使用してアクセスを管理する」を参照してください。For more information about assigning RBAC roles with PowerShell, see Manage access using RBAC and Azure PowerShell.

次のサンプル スクリプトを実行する前に、プレースホルダー値 (かっこを含む) を独自の値に置き換えることを忘れないでください。Before you run the following sample script, remember to replace placeholder values, including brackets, with your own values.

#Get the name of the custom role
$FileShareContributorRole = Get-AzRoleDefinition "<role-name>" #Use one of the built-in roles: Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor, Storage File Data SMB Share Elevated Contributor
#Constrain the scope to the target file share
$scope = "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/fileServices/default/fileshares/<share-name>"
#Assign the custom role to the target identity with the specified scope.
New-AzRoleAssignment -SignInName <user-principal-name> -RoleDefinitionName $FileShareContributorRole.Name -Scope $scope

CLICLI

次の CLI 2.0 コマンドでは、RBAC ロールをサインイン名に基づいて Azure AD ID に割り当てる方法が示されています。The following CLI 2.0 command shows how to assign an RBAC role to an Azure AD identity, based on sign-in name. Azure CLI を使用した RBAC ロールの割り当ての詳細については、「RBAC と Azure CLI を使用してアクセスを管理する」を参照してください。For more information about assigning RBAC roles with Azure CLI, see Manage access by using RBAC and Azure CLI.

次のサンプル スクリプトを実行する前に、プレースホルダー値 (かっこを含む) を独自の値に置き換えることを忘れないでください。Before you run the following sample script, remember to replace placeholder values, including brackets, with your own values.

#Assign the built-in role to the target identity: Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor, Storage File Data SMB Share Elevated Contributor
az role assignment create --role "<role-name>" --assignee <user-principal-name> --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/fileServices/default/fileshares/<share-name>"

3. SMB 経由の NTFS アクセス許可を構成する3 Configure NTFS permissions over SMB

RBAC に共有レベルのアクセス許可を割り当てたら、ルート、ディレクトリ、またはファイル レベルに適切な NTFS アクセス許可を割り当てる必要があります。After you assign share-level permissions with RBAC, you must assign proper NTFS permissions at the root, directory, or file level. 共有レベルのアクセス許可は、ユーザーが共有にアクセスできるかどうかを決定する高レベルのゲートキーパーと考えてください。Think of share-level permissions as the high-level gatekeeper that determines whether a user can access the share. 一方、NTFS のアクセス許可は、さらに細かなレベルで動作し、ディレクトリまたはファイル レベルでユーザーが実行できる操作を決定します。Whereas NTFS permissions act at a more granular level to determine what operations the user can do at the directory or file level.

Azure Files では、NTFS の基本的なアクセス許可と詳細なアクセス許可で構成される完全なセットをサポートします。Azure Files supports the full set of NTFS basic and advanced permissions. Azure ファイル共有内のディレクトリとファイルの NTFS アクセス許可を表示および構成するには、共有をマウントしてから、Windows エクスプローラーを使用するか、Windows の icacls または Set-ACL コマンドを実行します。You can view and configure NTFS permissions on directories and files in an Azure file share by mounting the share and then using Windows File Explorer or running the Windows icacls or Set-ACL command.

スーパーユーザー アクセス許可を持つ NTFS を構成するには、ドメインに参加している VM からのストレージ アカウント キーを使って共有をマウントする必要があります。To configure NTFS with superuser permissions, you must mount the share by using your storage account key from your domain-joined VM. コマンド プロンプトから Azure ファイル共有をマウントし、それに応じて NTFS アクセス許可を構成するには、次のセクションの説明に従ってください。Follow the instructions in the next section to mount an Azure file share from the command prompt and to configure NTFS permissions accordingly.

ファイル共有のルート ディレクトリでは、次のアクセス許可セットがサポートされています。The following sets of permissions are supported on the root directory of a file share:

  • BUILTIN\Administrators:(OI)(CI)(F)BUILTIN\Administrators:(OI)(CI)(F)
  • NT AUTHORITY\SYSTEM:(OI)(CI)(F)NT AUTHORITY\SYSTEM:(OI)(CI)(F)
  • BUILTIN\Users:(RX)BUILTIN\Users:(RX)
  • BUILTIN\Users:(OI)(CI)(IO)(GR,GE)BUILTIN\Users:(OI)(CI)(IO)(GR,GE)
  • NT authority \authenticated Users:(OI)(CI)(M)NT AUTHORITY\Authenticated Users:(OI)(CI)(M)
  • NT AUTHORITY\SYSTEM:(F)NT AUTHORITY\SYSTEM:(F)
  • CREATOR OWNER:(OI)(CI)(IO)(F)CREATOR OWNER:(OI)(CI)(IO)(F)

コマンド プロンプトからファイル共有をマウントするMount a file share from the command prompt

Windows の net use コマンドを使用して Azure ファイル共有をマウントします。Use the Windows net use command to mount the Azure file share. 次の例では、プレースホルダーをお客様独自の値に置き換えてください。Remember to replace the placeholder values in the following example with your own values. ファイル共有のマウントの詳細については、「Windows で Azure ファイル共有を使用する」を参照してください。For more information about mounting file shares, see Use an Azure file share with Windows.

$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded)
{
 net use <desired-drive letter>: \\<storage-account-name>.file.core.windows.net\<fileshare-name>
} 
else 
{
 Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}

Azure Files への接続で問題が発生した場合は、Windows での Azure Files マウント エラーに対して発行したトラブルシューティング ツールを参照してください。If you experience issues in connecting to Azure Files, please refer to the troubleshooting tool we published for Azure Files mounting errors on Windows. また、ポート 445 がブロックされている場合のシナリオを回避するためのガイダンスも提供されています。We also provide guidance to work around scenarios when port 445 is blocked.

Windows エクスプローラーを使用して NTFS アクセス許可を構成するConfigure NTFS permissions with Windows File Explorer

Windows エクスプローラーを使用して、ルート ディレクトリを含む、ファイル共有下のすべてのディレクトリとファイル共有に完全なアクセス許可を付与します。Use Windows File Explorer to grant full permission to all directories and files under the file share, including the root directory.

  1. Windows エクスプローラーを開き、ファイルまたはディレクトリを右クリックし、 [プロパティ] を選択します。Open Windows File Explorer and right click on the file/directory and select Properties.
  2. [セキュリティ] タブをクリックします。Select the Security tab.
  3. [編集] を選択してSelect Edit.. アクセス許可を変更します。to change permissions.
  4. 既存のユーザーの権限を変更することや、 [追加] を選択して新しいユーザーにアクセス許可を付与することができます。You can change the permissions of existing users or select Add... to grant permissions to new users.
  5. 新しいユーザーを追加するためのプロンプト ウィンドウで、アクセス許可を付与するターゲット ユーザーの名前を [選択するオブジェクト名を入力してください] ボックスに入力し、 [名前の確認] を選択して、ターゲット ユーザーの完全な UPN 名を見つけます。In the prompt window for adding new users, enter the target user name you want to grant permission to in the Enter the object names to select box, and select Check Names to find the full UPN name of the target user.
  6. [OK] を選択します。Select OK.
  7. [セキュリティ] タブで、新しいユーザーに付与するすべてのアクセス許可を選択します。In the Security tab, select all permissions you want to grant your new user.
  8. [適用] を選択します。Select Apply.

icacls を使用して NTFS アクセス許可を構成するConfigure NTFS permissions with icacls

ルート ディレクトリを含む、ファイル共有下のすべてのディレクトリとファイル共有に完全なアクセス許可を付与するには、次の Windows コマンドを使用します。Use the following Windows command to grant full permissions to all directories and files under the file share, including the root directory. 例中のプレースホルダーをお客様独自の値に置き換えてください。Remember to replace the placeholder values in the example with your own values.

icacls <mounted-drive-letter>: /grant <user-email>:(f)

icacls を使用して NTFS アクセス許可を設定する方法や、サポートされるさまざまな種類のアクセス許可の詳細については、コマンド ライン リファレンスの icacls に関する記事を参照してください。For more information on how to use icacls to set NTFS permissions and on the different types of supported permissions, see the command-line reference for icacls.

4. ドメインに参加している VM からファイル共有をマウントする4 Mount a file share from a domain-joined VM

次のプロセスでは、ファイル共有とアクセス許可が正しく設定されていることと、ドメインに参加している VM から Azure ファイル共有にアクセスできることを確認します。The following process verifies that your file share and access permissions were set up correctly and that you can access an Azure File share from a domain-joined VM. 共有レベルの RBAC ロールの割り当ては、有効になるまでに時間がかかる場合があることに注意してください。Be aware that the share level RBAC role assignment can take some time to be in effect.

次の図のように、アクセス許可を付与した Azure AD の ID を使用して VM にサインインします。Sign in to the VM by using the Azure AD identity to which you have granted permissions, as shown in the following image. Azure Files にオンプレミスの AD DS 認証を有効にしている場合は、AD DS 資格情報を使用します。If you have enabled on-premises AD DS authentication for Azure Files, use your AD DS credentials. Azure AD DS 認証の場合、Azure AD の資格情報を使用してサインインします。For Azure AD DS authentication, sign in with Azure AD credentials.

ユーザー認証のための Azure AD サインイン画面を示すスクリーン ショット

以下のコマンドを使用して Azure ファイル共有をマウントします。Use the following command to mount the Azure file share. プレースホルダーをお客様独自の値に置き換えてください。Remember to replace the placeholder values with your own values. 認証済みなので、ストレージ アカウント キー、オンプレミスの AD DS の資格情報、または Azure AD DS の資格情報を指定する必要はありません。Because you've been authenticated, you don't need to provide the storage account key, the on-premises AD DS credentials, or the Azure AD DS credentials. オンプレミスの AD DS または Azure AD DS のいずれかを使用した認証では、シングル サインオン エクスペリエンスがサポートされています。Single sign-on experience is supported for authentication with either on-premises AD DS or Azure AD DS. AD DS の資格情報を使用したマウントで問題が発生した場合は、「Windows での Azure Files に関する問題のトラブルシューティング」を参照してください。If you run into issues mounting with AD DS credentials, refer to Troubleshoot Azure Files problems in Windows for guidance.

$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded)
{
 net use <desired-drive letter>: \\<storage-account-name>.file.core.windows.net\<fileshare-name>
} 
else 
{
 Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}

これで、SMB を使用した Azure AD DS 認証が有効になり、Azure ファイル共有へのアクセスを提供するカスタム ロールが Azure AD の ID に割り当てられました。You have now successfully enabled Azure AD DS authentication over SMB and assigned a custom role that provides access to an Azure file share with an Azure AD identity. ファイル共有へのアクセスを他のユーザーに許可する場合は、ID を使用するためのアクセス許可の割り当てに関する指示と、「SMB 経由の NTFS アクセス許可を構成する」のセクションの手順に従ってください。To grant additional users access to your file share, follow the instructions in the Assign access permissions to use an identity and Configure NTFS permissions over SMB sections.

次のステップNext steps

Azure Files や、SMB 経由で Azure AD を使用する方法の詳細については、これらのリソースを参照してください。For more information about Azure Files and how to use Azure AD over SMB, see these resources: