Azure Files に対する Azure Active Directory Domain Services 認証を有効にするEnable Azure Active Directory Domain Services authentication on Azure Files

Azure Files  では、オンプレミスの Active Directory Domain Services (AD DS) と Azure Active Directory Domain Services (Azure AD DS) という 2 種類のドメイン サービスを介した、サーバー メッセージ ブロック (SMB) 経由の ID ベースの認証がサポートされます。「しくみ」セクションを参照して、認証用の適切なドメイン サービスを選択することを強くお勧めします。Azure Files supports identity-based authentication over Server Message Block (SMB) through two types of Domain Services: on-premises Active Directory Domain Services (AD DS) and Azure Active Directory Domain Services (Azure AD DS).We strongly recommend you to review the How it works section to select the right domain service for authentication. 設定は、選択するドメイン サービスによって異なります。The setup is different depending on the domain service you choose. この記事では、Azure ファイル共有での認証用に Azure AD DS を有効にして構成する方法に重点を置いて説明します。This article focuses on enabling and configuring Azure AD DS for authentication with Azure file shares.

Azure ファイル共有を初めて使用する場合は、次の一連の記事を読む前に、計画ガイドに目を通すことをお勧めします。If you are new to Azure file shares, we recommend reading our planning guide before reading the following series of articles.


Azure Files では、Azure AD DS と RC4-HMAC のみを使用した Kerberos 認証がサポートされています。Azure Files supports Kerberos authentication with Azure AD DS with RC4-HMAC only. AES Kerberos 暗号化はまだサポートされていません。AES Kerberos encryption is not yet supported. Azure Files では、Azure AD と完全に同期する Azure AD DS の認証がサポートされています。Azure Files supports authentication for Azure AD DS with full synchronization with Azure AD. Azure AD DS で範囲指定された同期を有効にし、Azure AD から限定された ID のセットのみを同期する場合、認証と承認はサポートされていません。If you have enabled scoped synchronization in Azure AD DS which only sync a limited set of identities from Azure AD, authentication and authorization is not supported.


Azure ファイル共有への SMB 経由の Azure AD を有効にする前に、次の前提条件を完了していることを確認してください。Before you enable Azure AD over SMB for Azure file shares, make sure you have completed the following prerequisites:

  1. Azure AD テナントを選択または作成します。Select or create an Azure AD tenant.

    SMB を使用した Azure AD 認証には、新規または既存のテナントを使用できます。You can use a new or existing tenant for Azure AD authentication over SMB. アクセスするテナントとファイル共有は、同じサブスクリプションに関連付けられている必要があります。The tenant and the file share that you want to access must be associated with the same subscription.

    新しく Azure AD テナントを作成するには、Azure AD テナントと Azure AD サブスクリプションを追加できます。To create a new Azure AD tenant, you can Add an Azure AD tenant and an Azure AD subscription. 既存の Azure AD テナントがあるが、Azure ファイル共有で使用するために新しいテナントを作成する場合は、Azure Active Directory テナントの作成に関する記事を参照してください。If you have an existing Azure AD tenant but want to create a new tenant for use with Azure file shares, see Create an Azure Active Directory tenant.

  2. Azure AD テナントで Azure AD Domain Services を有効にします。Enable Azure AD Domain Services on the Azure AD tenant.

    Azure AD 資格情報を使用した認証をサポートするには、Azure AD テナントの Azure AD Domain Services を有効にする必要があります。To support authentication with Azure AD credentials, you must enable Azure AD Domain Services for your Azure AD tenant. Azure AD テナントの管理者でない場合は、管理者に連絡し、Azure portal を使用した Azure Active Directory Domain Services の有効化に関する記事に書かれている手順を実行します。If you aren't the administrator of the Azure AD tenant, contact the administrator and follow the step-by-step guidance to Enable Azure Active Directory Domain Services using the Azure portal.

    通常、Azure AD DS のデプロイが完了するまでには 15 分ほどかかります。It typically takes about 15 minutes for an Azure AD DS deployment to complete. 次の手順に進む前に、Azure AD DS の正常性状態が 実行中 と表示されており、パスワード ハッシュ同期が有効になっていることを確認します。Verify that the health status of Azure AD DS shows Running, with password hash synchronization enabled, before proceeding to the next step.

  3. Azure AD DS を使用している Azure VM ドメインに参加します。Domain-join an Azure VM with Azure AD DS.

    VM から Azure AD の資格情報を使用してファイル共有にアクセスするには、VM が Azure AD DS のドメインに参加している必要があります。To access a file share by using Azure AD credentials from a VM, your VM must be domain-joined to Azure AD DS. VM のドメイン参加方法の詳細については、「Windows Server 仮想マシンのマネージド ドメインへの参加」を参照してください。For more information about how to domain-join a VM, see Join a Windows Server virtual machine to a managed domain.


    SMB を使用した Azure ファイル共有の Azure AD DS 認証は、Windows 7 または Windows Server 2008 R2 以降の OS バージョンで実行されている Azure VM でのみサポートされます。Azure AD DS authentication over SMB with Azure file shares is supported only on Azure VMs running on OS versions above Windows 7 or Windows Server 2008 R2.

  4. Azure ファイル共有を選択または作成します。Select or create an Azure file share.

    Azure AD テナントと同じサブスクリプションに関連付けられている新規または既存のファイル共有を選択します。Select a new or existing file share that's associated with the same subscription as your Azure AD tenant. 新しいファイル共有を作成する方法の詳細については、「Azure Files にファイル共有を作成する」を参照してください。For information about creating a new file share, see Create a file share in Azure Files. パフォーマンスを最適化するには、共有にアクセスする予定の VM と同じリージョンにファイル共有を配置することをお勧めします。For optimal performance, we recommend that your file share be in the same region as the VM from which you plan to access the share.

  5. ストレージ アカウント キーを使用して Azure ファイル共有をマウントすることにより、Azure Files の接続を確認します。Verify Azure Files connectivity by mounting Azure file shares using your storage account key.

    VM とファイル共有が正しく構成されていることを確認するには、ストレージ アカウント キーを使用してファイル共有をマウントします。To verify that your VM and file share are properly configured, try mounting the file share using your storage account key. 詳細については、「Windows で Azure ファイル共有をマウントして共有にアクセスする」を参照してください。For more information, see Mount an Azure file share and access the share in Windows.

リージョン別の提供状況Regional availability

Azure AD DS を使用した Azure Files 認証は、すべての Azure パブリック リージョン、Gov リージョン、および中国リージョンで利用できます。Azure Files authentication with Azure AD DS is available in all Azure Public, Gov, and China regions.

ワークフローの概要Overview of the workflow

SMB を使用した Azure ファイル共有への Azure AD DS 認証を有効にする前に、Azure AD と Azure Storage 環境が正しく構成されていることを確認してください。Before you enable Azure AD DS Authentication over SMB for Azure file shares, verify that your Azure AD and Azure Storage environments are properly configured. 前提条件を参照して、必要な手順をすべて完了したことを確認することをお勧めします。We recommend that you walk through the prerequisites to make sure you've completed all the required steps.

次に、以下の手順を実行して、Azure AD 資格情報を使用して Azure Files のリソースへのアクセス許可を付与します。Next, do the following things to grant access to Azure Files resources with Azure AD credentials:

  1. 関連付けられた Azure AD DS デプロイにストレージ アカウントを登録するため、SMB を使用した、ストレージ アカウントの Azure AD DS 認証を有効にします。Enable Azure AD DS authentication over SMB for your storage account to register the storage account with the associated Azure AD DS deployment.
  2. Azure AD の ID (ユーザー、グループ、またはサービス プリンシパル) に、共有のアクセス許可を割り当てます。Assign access permissions for a share to an Azure AD identity (a user, group, or service principal).
  3. SMB を使用したディレクトリおよびファイルへの NTFS アクセス許可を構成します。Configure NTFS permissions over SMB for directories and files.
  4. ドメインに参加している VM から Azure ファイル共有をマウントします。Mount an Azure file share from a domain-joined VM.

次の図は、SMB を使用して Azure Files への Azure AD DS 認証を有効にするためのエンドツーエンドのワークフローを示しています。The following diagram illustrates the end-to-end workflow for enabling Azure AD DS authentication over SMB for Azure Files.

SMB を使用した Azure Files への Azure AD ワークフローを示す図

アカウントへの Azure AD DS 認証を有効にするEnable Azure AD DS authentication for your account

Azure Files への SMB 経由の Azure AD DS 認証を有効にするには、Azure portal、Azure PowerShell、または Azure CLI を使用して、ストレージ アカウントでプロパティを設定できます。To enable Azure AD DS authentication over SMB for Azure Files, you can set a property on storage accounts by using the Azure portal, Azure PowerShell, or Azure CLI. このプロパティを設定すると、関連付けられている Azure AD DS のデプロイにより、ストレージ アカウントが暗黙的に "ドメイン参加" します。Setting this property implicitly "domain joins" the storage account with the associated Azure AD DS deployment. その後、ストレージ アカウント内のすべての新規および既存のファイル共有に対する、SMB を使用した Azure AD DS 認証が有効になります。Azure AD DS authentication over SMB is then enabled for all new and existing file shares in the storage account.

SMB を使用した Azure AD DS 認証を有効にするには、Azure AD テナントに Azure AD DS が正常にデプロイされている必要があることに注意してください。Keep in mind that you can enable Azure AD DS authentication over SMB only after you have successfully deployed Azure AD DS to your Azure AD tenant. 詳細については、前提条件を参照してください。For more information, see the prerequisites.

Azure portal を使用して SMB 経由の Azure AD DS 認証を有効にするには、次の手順に従います。To enable Azure AD DS authentication over SMB with the Azure portal, follow these steps:

  1. Azure portal で、既存のストレージ アカウントに移動するか、またはストレージ アカウントを作成します。In the Azure portal, go to your existing storage account, or create a storage account.
  2. [設定] セクションで、 [構成] を選択します。In the Settings section, select Configuration.
  3. [Identity-based access for file shares](ファイル共有への ID ベースのアクセス) で、 [Azure Active Directory Domain Service (AAD DS)] のトグルを [有効] に切り替えます。Under Identity-based access for file shares switch the toggle for Azure Active Directory Domain Service (AAD DS) to Enabled.
  4. [保存] を選択します。Select Save.

次の図は、ストレージ アカウントへの SMB 経由の Azure AD DS 認証を有効にする方法を示しています。The following image shows how to enable Azure AD DS authentication over SMB for your storage account.

ストレージ アカウントの [構成] ブレードのスクリーンショット。Azure Active Directory ドメイン サービスが有効になっています。

ID にアクセス許可を割り当てるAssign access permissions to an identity

ID ベースの認証を使用して Azure Files リソースにアクセスするには、ID (ユーザー、グループ、またはサービス プリンシパル) が共有レベルで必要なアクセス許可を持っている必要があります。To access Azure Files resources with identity based authentication, an identity (a user, group, or service principal) must have the necessary permissions at the share level. このプロセスは、ファイル共有に対し特定のユーザーが持っているアクセス権の種類を指定する、Windows 共有のアクセス許可の指定に似ています。This process is similar to specifying Windows share permissions, where you specify the type of access that a particular user has to a file share. このセクションのガイダンスでは、ID にファイル共有のための読み取り、書き込み、または削除のアクセス許可を割り当てる方法を示します。The guidance in this section demonstrates how to assign read, write, or delete permissions for a file share to an identity.

ユーザーに共有レベルのアクセス許可を付与するための、3 つの Azure 組み込みロールが導入されました。We have introduced three Azure built-in roles for granting share-level permissions to users:

  • ストレージ ファイル データ SMB 共有閲覧者 では、SMB 経由の Azure Storage ファイル共有での読み取りアクセスが許可されます。Storage File Data SMB Share Reader allows read access in Azure Storage file shares over SMB.
  • ストレージ ファイル データ SMB 共有共同作成者 では、SMB 経由の Azure Storage ファイル共有での読み取り、書き込み、削除アクセスが許可されます。Storage File Data SMB Share Contributor allows read, write, and delete access in Azure Storage file shares over SMB.
  • ストレージ ファイル データの SMB 共有の管理者特権共同作成者 では、SMB 経由の Azure Storage ファイル共有での NTFS アクセス許可の読み取り、書き込み、削除、および変更が許可されます。Storage File Data SMB Share Elevated Contributor allows read, write, delete and modify NTFS permissions in Azure Storage file shares over SMB.


ファイルの所有権を引き受ける機能を含めて、ファイル共有を完全に管理制御するには、ストレージ アカウント キーを使用する必要があります。Full administrative control of a file share, including the ability to take ownership of a file, requires using the storage account key. Azure AD 資格情報を使用した管理制御はサポートされていません。Administrative control is not supported with Azure AD credentials.

Azure portal、PowerShell、または Azure CLI を使用して、共有レベルのアクセス許可を付与するために、組み込みのロールをユーザーの Azure AD ID に割り当てることができます。You can use the Azure portal, PowerShell, or Azure CLI to assign the built-in roles to the Azure AD identity of a user for granting share-level permissions. 共有レベルの Azure ロールの割り当ては、有効になるまでに時間がかかる場合があることにご注意ください。Be aware that the share level Azure role assignment can take some time to be in effect.


認証にオンプレミス AD DS を使用する予定がある場合は、必ず AD DS の資格情報を Azure AD と同期してください。Remember to sync your AD DS credentials to Azure AD if you plan to use your on-premises AD DS for authentication. AD DS から Azure AD へのパスワード ハッシュ同期は省略可能です。Password hash sync from AD DS to Azure AD is optional. オンプレミスの AD DS から同期される Azure AD ID に共有レベルのアクセス許可が付与されます。Share level permission will be granted to the Azure AD identity that is synced from your on-premises AD DS.

一般的な推奨事項は、ユーザーと ID のグループを表す AD グループに対する高レベルのアクセス管理に共有レベルのアクセス許可を使用してから、ディレクトリおよびファイル レベルでのきめ細かいアクセス制御に NTFS アクセス許可を利用することです。The general recommendation is to use share level permission for high level access management to an AD group representing a group of users and identities, then leverage NTFS permissions for granular access control on directory/file level.

Azure ロールを AD ID を割り当てるAssign an Azure role to an AD identity

Azure portal を使用して Azure ロールを Azure AD ID に割り当てるには、これらの手順に従います。To assign an Azure role to an Azure AD identity, using the Azure portal, follow these steps:

  1. Azure portal でファイル共有に移動するか、ファイル共有を作成します。In the Azure portal, go to your file share, or Create a file share.
  2. [アクセス制御 (IAM)] を選択します。Select Access Control (IAM).
  3. [ロールの割り当てを追加する] を選択します。Select Add a role assignment
  4. [ロールの割り当ての追加] ブレードで、 [ロール] リストから適切な組み込みロール (ストレージ ファイル データ SMB 共有閲覧者、ストレージ ファイル データ SMB 共有共同作成者) を選択します。In the Add role assignment blade, select the appropriate built-in role (Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor) from the Role list. [アクセスの割り当て先] は既定の設定のままにしておきます。Azure AD のユーザー、グループ、サービス プリンシパルLeave Assign access to at the default setting: Azure AD user, group, or service principal. 名前またはメール アドレスで、ターゲット Azure AD ID を選択します。Select the target Azure AD identity by name or email address.
  5. [保存] を選択して、ロールの割り当て操作を完了します。Select Save to complete the role assignment operation.

SMB 経由の NTFS アクセス許可を構成するConfigure NTFS permissions over SMB

RBAC に共有レベルのアクセス許可を割り当てたら、ルート、ディレクトリ、またはファイル レベルに適切な NTFS アクセス許可を割り当てる必要があります。After you assign share-level permissions with RBAC, you must assign proper NTFS permissions at the root, directory, or file level. 共有レベルのアクセス許可は、ユーザーが共有にアクセスできるかどうかを決定する高レベルのゲートキーパーと考えてください。Think of share-level permissions as the high-level gatekeeper that determines whether a user can access the share. 一方、NTFS のアクセス許可は、さらに細かなレベルで動作し、ディレクトリまたはファイル レベルでユーザーが実行できる操作を決定します。Whereas NTFS permissions act at a more granular level to determine what operations the user can do at the directory or file level.

Azure Files では、NTFS の基本的なアクセス許可と詳細なアクセス許可で構成される完全なセットをサポートします。Azure Files supports the full set of NTFS basic and advanced permissions. Azure ファイル共有内のディレクトリとファイルの NTFS アクセス許可を表示および構成するには、共有をマウントしてから、Windows エクスプローラーを使用するか、Windows の icacls または Set-ACL コマンドを実行します。You can view and configure NTFS permissions on directories and files in an Azure file share by mounting the share and then using Windows File Explorer or running the Windows icacls or Set-ACL command.

スーパーユーザー アクセス許可を持つ NTFS を構成するには、ドメインに参加している VM からのストレージ アカウント キーを使って共有をマウントする必要があります。To configure NTFS with superuser permissions, you must mount the share by using your storage account key from your domain-joined VM. コマンド プロンプトから Azure ファイル共有をマウントし、それに応じて NTFS アクセス許可を構成するには、次のセクションの説明に従ってください。Follow the instructions in the next section to mount an Azure file share from the command prompt and to configure NTFS permissions accordingly.

ファイル共有のルート ディレクトリでは、次のアクセス許可セットがサポートされています。The following sets of permissions are supported on the root directory of a file share:

  • BUILTIN\Administrators:(OI)(CI)(F)BUILTIN\Administrators:(OI)(CI)(F)
  • BUILTIN\Users:(RX)BUILTIN\Users:(RX)
  • NT authority \authenticated Users:(OI)(CI)(M)NT AUTHORITY\Authenticated Users:(OI)(CI)(M)

コマンド プロンプトからファイル共有をマウントするMount a file share from the command prompt

Windows の net use コマンドを使用して Azure ファイル共有をマウントします。Use the Windows net use command to mount the Azure file share. 次の例では、プレースホルダーをお客様独自の値に置き換えてください。Remember to replace the placeholder values in the following example with your own values. ファイル共有のマウントの詳細については、「Windows で Azure ファイル共有を使用する」を参照してください。For more information about mounting file shares, see Use an Azure file share with Windows.

$connectTestResult = Test-NetConnection -ComputerName <storage-account-name> -Port 445
if ($connectTestResult.TcpTestSucceeded)
 net use <desired-drive letter>: \\<storage-account-name>\<fileshare-name>
 Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."

Azure Files への接続で問題が発生した場合は、Windows での Azure Files マウント エラーに対して発行したトラブルシューティング ツールを参照してください。If you experience issues in connecting to Azure Files, please refer to the troubleshooting tool we published for Azure Files mounting errors on Windows. また、ポート 445 がブロックされている場合のシナリオを回避するためのガイダンスも提供されています。We also provide guidance to work around scenarios when port 445 is blocked.

Windows エクスプローラーを使用して NTFS アクセス許可を構成するConfigure NTFS permissions with Windows File Explorer

Windows エクスプローラーを使用して、ルート ディレクトリを含む、ファイル共有下のすべてのディレクトリとファイル共有に完全なアクセス許可を付与します。Use Windows File Explorer to grant full permission to all directories and files under the file share, including the root directory.

  1. Windows エクスプローラーを開き、ファイルまたはディレクトリを右クリックし、 [プロパティ] を選択します。Open Windows File Explorer and right click on the file/directory and select Properties.
  2. [セキュリティ] タブをクリックします。Select the Security tab.
  3. [編集] を選択してSelect Edit.. アクセス許可を変更します。to change permissions.
  4. 既存のユーザーの権限を変更することや、 [追加] を選択して新しいユーザーにアクセス許可を付与することができます。You can change the permissions of existing users or select Add... to grant permissions to new users.
  5. 新しいユーザーを追加するためのプロンプト ウィンドウで、アクセス許可を付与するターゲット ユーザーの名前を [選択するオブジェクト名を入力してください] ボックスに入力し、 [名前の確認] を選択して、ターゲット ユーザーの完全な UPN 名を見つけます。In the prompt window for adding new users, enter the target user name you want to grant permission to in the Enter the object names to select box, and select Check Names to find the full UPN name of the target user.
  6. [OK] を選択します。Select OK.
  7. [セキュリティ] タブで、新しいユーザーに付与するすべてのアクセス許可を選択します。In the Security tab, select all permissions you want to grant your new user.
  8. [適用] を選択します。Select Apply.

icacls を使用して NTFS アクセス許可を構成するConfigure NTFS permissions with icacls

ルート ディレクトリを含む、ファイル共有下のすべてのディレクトリとファイル共有に完全なアクセス許可を付与するには、次の Windows コマンドを使用します。Use the following Windows command to grant full permissions to all directories and files under the file share, including the root directory. 例中のプレースホルダーを独自の値に置き換えてください。Remember to replace the placeholder values in the example with your own values.

icacls <mounted-drive-letter>: /grant <user-email>:(f)

icacls を使用して NTFS アクセス許可を設定する方法や、サポートされるさまざまな種類のアクセス許可の詳細については、コマンド ライン リファレンスの icacls に関する記事を参照してください。For more information on how to use icacls to set NTFS permissions and on the different types of supported permissions, see the command-line reference for icacls.

ドメインに参加している VM からファイル共有をマウントするMount a file share from a domain-joined VM

次のプロセスでは、ファイル共有とアクセス許可が正しく設定されていることと、ドメインに参加している VM から Azure ファイル共有にアクセスできることを確認します。The following process verifies that your file share and access permissions were set up correctly and that you can access an Azure File share from a domain-joined VM. 共有レベルの Azure ロールの割り当ては、有効になるまでに時間がかかる場合があることにご注意ください。Be aware that the share level Azure role assignment can take some time to be in effect.

次の図のように、アクセス許可を付与した Azure AD の ID を使用して VM にサインインします。Sign in to the VM by using the Azure AD identity to which you have granted permissions, as shown in the following image. Azure Files にオンプレミスの AD DS 認証を有効にしている場合は、AD DS 資格情報を使用します。If you have enabled on-premises AD DS authentication for Azure Files, use your AD DS credentials. Azure AD DS 認証の場合、Azure AD の資格情報を使用してサインインします。For Azure AD DS authentication, sign in with Azure AD credentials.

ユーザー認証のための Azure AD サインイン画面を示すスクリーン ショット

以下のコマンドを使用して Azure ファイル共有をマウントします。Use the following command to mount the Azure file share. プレースホルダー値をお客様独自の値に置き換えてください。Remember to replace the placeholder values with your own values. 認証済みなので、ストレージ アカウント キー、オンプレミスの AD DS の資格情報、または Azure AD DS の資格情報を指定する必要はありません。Because you've been authenticated, you don't need to provide the storage account key, the on-premises AD DS credentials, or the Azure AD DS credentials. オンプレミスの AD DS または Azure AD DS のいずれかを使用した認証では、シングル サインオン エクスペリエンスがサポートされています。Single sign-on experience is supported for authentication with either on-premises AD DS or Azure AD DS. AD DS の資格情報を使用したマウントで問題が発生した場合は、「Windows での Azure Files に関する問題のトラブルシューティング」を参照してください。If you run into issues mounting with AD DS credentials, refer to Troubleshoot Azure Files problems in Windows for guidance.

$connectTestResult = Test-NetConnection -ComputerName <storage-account-name> -Port 445
if ($connectTestResult.TcpTestSucceeded)
 net use <desired-drive letter>: \\<storage-account-name>\<fileshare-name>
 Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."

これで、SMB を使用した Azure AD DS 認証が有効になり、Azure ファイル共有へのアクセスを提供するカスタム ロールが Azure AD の ID に割り当てられました。You have now successfully enabled Azure AD DS authentication over SMB and assigned a custom role that provides access to an Azure file share with an Azure AD identity. ファイル共有へのアクセスを他のユーザーに許可する場合は、ID を使用するためのアクセス許可の割り当てに関する指示と、「SMB 経由の NTFS アクセス許可を構成する」のセクションの手順に従ってください。To grant additional users access to your file share, follow the instructions in the Assign access permissions to use an identity and Configure NTFS permissions over SMB sections.

次のステップNext steps

Azure Files や、SMB 経由で Azure AD を使用する方法の詳細については、これらのリソースを参照してください。For more information about Azure Files and how to use Azure AD over SMB, see these resources: