Windows で Azure ファイル共有を使用するUse an Azure file share with Windows

Azure Files は、Microsoft の使いやすいクラウド ファイル システムです。Azure Files is Microsoft's easy-to-use cloud file system. Azure ファイル共有は、Windows と Windows Server でシームレスに使うことができます。Azure file shares can be seamlessly used in Windows and Windows Server. この記事では、Windows と Windows Server で Azure ファイル共有を使う際の注意点について取り上げます。This article discusses the considerations for using an Azure file share with Windows and Windows Server.

Azure ファイル共有がホストされている Azure リージョンの外の Azure ファイル共有 (オンプレミスの共有、他の Azure リージョン内の共有など) を使用するために、OS は SMB 3.0 をサポートする必要があります。In order to use an Azure file share outside of the Azure region it is hosted in, such as on-premises or in a different Azure region, the OS must support SMB 3.0.

Azure ファイル共有は、Azure VM とオンプレミスのどちらかで実行されている Windows インストール済み環境で使用できます。You can use Azure file shares on a Windows installation that is running either in an Azure VM or on-premises. 次の表は、ファイル共有へのアクセスがサポートされる環境を OS バージョンごとに示したものです。The following table illustrates which OS versions support accessing file shares in which environment:

Windows のバージョンWindows version SMB のバージョンSMB version Azure VM でマウント可能Mountable in Azure VM オンプレミスでマウント可能Mountable on-premises
Windows Server 2019Windows Server 2019 SMB 3.0SMB 3.0 はいYes はいYes
Windows 101Windows 101 SMB 3.0SMB 3.0 はいYes はいYes
Windows Server 半期チャネル2Windows Server semi-annual channel2 SMB 3.0SMB 3.0 はいYes はいYes
Windows Server 2016Windows Server 2016 SMB 3.0SMB 3.0 はいYes はいYes
Windows 8.1Windows 8.1 SMB 3.0SMB 3.0 はいYes はいYes
Windows Server 2012 R2Windows Server 2012 R2 SMB 3.0SMB 3.0 はいYes はいYes
Windows Server 2012Windows Server 2012 SMB 3.0SMB 3.0 はいYes はいYes
Windows 73Windows 73 SMB 2.1SMB 2.1 はいYes いいえNo
Windows Server 2008 R23Windows Server 2008 R23 SMB 2.1SMB 2.1 はいYes いいえNo

1Windows 10 バージョン 1507、1607、1709、1803、1809、1903、および 1909。1Windows 10, versions 1507, 1607, 1709, 1803, 1809, 1903, and 1909.
2Windows Server バージョン 1809、1903、および 1909。2Windows Server, versions 1809, 1903, and 1909.
3Windows 7 および Windows Server 2008 R2 に対する Microsoft の通常のサポートは終了しました。3Regular Microsoft support for Windows 7 and Windows Server 2008 R2 has ended. 拡張セキュリティ更新 (ESU) プログラムを介してのみ、セキュリティ更新プログラムの追加サポートを購入できます。It is possible to purchase additional support for security updates only through the Extended Security Update (ESU) program. これらのオペレーティング システムから移行することを強くお勧めします。We strongly recommend migrating off of these operating systems.

注意

常に、各 Windows バージョンの最新のサポート技術情報を参照することをお勧めします。We always recommend taking the most recent KB for your version of Windows.

前提条件Prerequisites

ポート 445 が開いていることを確認します。SMB プロトコルでは、TCP ポート 445 が開いている必要があります。ポート 445 がブロックされている場合は、接続が失敗します。Ensure port 445 is open: The SMB protocol requires TCP port 445 to be open; connections will fail if port 445 is blocked. ポート 445 がファイアウォールでブロックされているかどうかは、Test-NetConnection コマンドレットで確認できます。You can check if your firewall is blocking port 445 with the Test-NetConnection cmdlet. ブロックされた 445 ポートを回避する方法については、「原因 1:ポート 445 がブロックされている」セクション (Windows トラブルシューティング ガイド) を参照してください。To learn about ways to work around a blocked 445 port, see the Cause 1: Port 445 is blocked section of our Windows troubleshooting guide.

Windows で Azure ファイル共有を使用するUsing an Azure file share with Windows

Windows で Azure ファイル共有を使用するには、Azure ファイル共有にドライブ文字 (マウント ポイントのパス) を割り当ててマウントするか、または対応する UNC パス経由でアクセスする必要があります。To use an Azure file share with Windows, you must either mount it, which means assigning it a drive letter or mount point path, or access it via its UNC path.

この記事では、ストレージ アカウント キーを使用してファイル共有にアクセスします。This article uses the storage account key to access the file share. ストレージ アカウント キーは、アクセスするファイル共有内のファイルとフォルダーすべてに対する管理者アクセス許可を含んだストレージ アカウントの管理者キーであると共に、ストレージ アカウントに格納されているすべてのファイル共有および他のストレージ リソース (BLOB、キュー、テーブルなど) の管理者キーでもあります。A storage account key is an administrator key for a storage account, including administrator permissions to all files and folders within the file share you're accessing, and for all file shares and other storage resources (blobs, queues, tables, etc.) contained within your storage account. それで対応できないワークロードについては、Azure File Sync または SMB 経由の ID ベースの認証を使用できます。If this is not sufficient for your workload, Azure File Sync may be used, or you may use identity-based authentication over SMB.

SMB ファイル共有が想定されている基幹業務 (LOB) アプリケーションを Azure にリフトアンドシフトする一般的なパターンは、専用の Windows ファイル サーバーを Azure VM で実行する代わりとして Azure ファイル共有を使うことです。A common pattern for lifting and shifting line-of-business (LOB) applications that expect an SMB file share to Azure is to use an Azure file share as an alternative for running a dedicated Windows file server in an Azure VM. 基幹業務アプリケーションで Azure ファイル共有を使うための移行に関して、その作業を成功させるうえで重要な考慮事項があります。多くの基幹業務アプリケーションは、VM の管理者アカウントではなく、制限されたシステム アクセス許可を与えられた専用のサービス アカウントのコンテキストで実行されるということです。One important consideration for successfully migrating a line-of-business application to use an Azure file share is that many line-of-business applications run under the context of a dedicated service account with limited system permissions rather than the VM's administrative account. そのため、Azure ファイル共有の資格情報をマウント/保存する際は、自分の管理者アカウントからではなく、必ずサービス アカウントのコンテキストから行う必要があります。Therefore, you must ensure that you mount/save the credentials for the Azure file share from the context of the service account rather than your administrative account.

Azure ファイル共有をマウントするMount the Azure file share

Azure portal には、ファイル共有をホストに直接マウントするために使用できるスクリプトが用意されています。The Azure portal provides you with a script that you can use to mount your file share directly to a host. この用意されているスクリプトを使用することをお勧めします。We recommend using this provided script.

このスクリプトを入手するには:To get this script:

  1. Azure portal にサインインします。Sign in to the Azure portal.

  2. マウントするファイル共有が含まれているストレージ アカウントに移動します。Navigate to the storage account that contains the file share you'd like to mount.

  3. [ファイル共有] を選択します。Select File shares.

  4. マウントするファイル共有を選択します。Select the file share you'd like to mount.

    例

  5. [接続] を選択します。Select Connect.

    ファイル共有の接続アイコンのスクリーンショット。

  6. 共有のマウント先のドライブ文字を選択します。Select the drive letter to mount the share to.

  7. 表示されたスクリプトをコピーします。Copy the provided script.

    テキストの例

  8. ファイル共有をマウントするホスト上のシェルにスクリプトを貼り付けて実行します。Paste the script into a shell on the host you'd like to mount the file share to, and run it.

これで、Azure ファイル共有がマウントされました。You have now mounted your Azure file share.

エクスプローラーを使用した Azure ファイル共有のマウントMount the Azure file share with File Explorer

注意

以下の手順は Windows 10 で操作する場合であり、それ以前のリリースでは少し異なることがある点に注意してください。Note that the following instructions are shown on Windows 10 and may differ slightly on older releases.

  1. エクスプローラーを開きます。Open File Explorer. [スタート] メニューから開くことも、Windows + E キーを押すショートカットで開くこともできます。This can be done by opening from the Start Menu, or by pressing Win+E shortcut.

  2. ウィンドウの左側の [PC] に移動します。Navigate to This PC on the left-hand side of the window. これで、リボンで使用できるメニューが変更されます。This will change the menus available in the ribbon. [コンピューター] メニューの [ネットワーク ドライブの割り当て] を選択します。Under the Computer menu, select Map network drive.

    [ネットワーク ドライブの割り当て] ドロップダウン メニューのスクリーンショット

  3. ドライブ文字を選択し、UNC パスを入力します。UNC パスの形式は \\<storageAccountName>.file.core.windows.net\<fileShareName> ですSelect the drive letter and enter the UNC path, the UNC path format is \\<storageAccountName>.file.core.windows.net\<fileShareName>. (例: \\anexampleaccountname.file.core.windows.net\example-share-name)。For example: \\anexampleaccountname.file.core.windows.net\example-share-name.

    [ネットワーク ドライブの割り当て] ダイアログのスクリーンショット

  4. ユーザー名として先頭に AZURE\ を付けたストレージ アカウント名を使用し、パスワードとしてストレージ アカウント キーを使用します。Use the storage account name prepended with AZURE\ as the username and a storage account key as the password.

    ネットワーク資格情報ダイアログのスクリーンショット

  5. Azure ファイル共有を自由に使用します。Use Azure file share as desired.

    Azure ファイル共有がマウントされました

  6. Azure ファイル共有をマウント解除することになったら、エクスプローラーの [ネットワークの場所] の下にある共有のエントリを右クリックし、 [切断] を選択します。When you are ready to dismount the Azure file share, you can do so by right-clicking on the entry for the share under the Network locations in File Explorer and selecting Disconnect.

Windows から共有スナップショットへのアクセスAccessing share snapshots from Windows

手動で、またはスクリプトや Azure Backup のようなサービスを通じて自動で共有スナップショットを取得した場合、Windows のファイル共有内にある以前のバージョンの共有、ディレクトリ、または特定のファイルを表示することができます。If you have taken a share snapshot, either manually or automatically through a script or service like Azure Backup, you can view previous versions of a share, a directory, or a particular file from file share on Windows. 共有スナップショットは、Azure PowerShellAzure CLI、または Azure portal を使用して取得できます。You can take a share snapshot using Azure PowerShell, Azure CLI, or the Azure portal.

以前のバージョンを一覧表示するList previous versions

復元が必要な項目または親項目を参照します。Browse to the item or parent item that needs to be restored. ダブルクリックして、目的のディレクトリに移動します。Double-click to go to the desired directory. 右クリックして、メニューから [プロパティ] を選択します。Right-click and select Properties from the menu.

選択したディレクトリの右クリック メニュー

[以前のバージョン] を選択して、このディレクトリの共有スナップショットの一覧を表示します。Select Previous Versions to see the list of share snapshots for this directory. ネットワークの速度とディレクトリ内の共有のスナップショットの数に応じて、一覧の読み込みに数秒かかる場合があります。The list might take a few seconds to load, depending on the network speed and the number of share snapshots in the directory.

[以前のバージョン] タブ

[開く] を選択して、特定のスナップショットを開くことができます。You can select Open to open a particular snapshot.

開かれたスナップショット

以前のバージョンから復元するRestore from a previous version

共有スナップショット作成時のディレクトリ全体の内容を元の場所に再帰的にコピーするには、 [復元] を選択します。Select Restore to copy the contents of the entire directory recursively at the share snapshot creation time to the original location.

警告メッセージ内の [復元] ボタン

Windows/Windows Server のセキュリティ保護Securing Windows/Windows Server

Windows で Azure ファイル共有をマウントするには、ポート 445 がアクセス可能な状態になっている必要があります。In order to mount an Azure file share on Windows, port 445 must be accessible. ポート 445 は、SMB 1 に固有のセキュリティ リスクから、多くの組織でブロックされています。Many organizations block port 445 because of the security risks inherent with SMB 1. SMB 1 は Windows と Windows Server に備わっているレガシ ファイル システム プロトコルであり、CIFS (Common Internet File System) と呼ばれることもあります。SMB 1, also known as CIFS (Common Internet File System), is a legacy file system protocol included with Windows and Windows Server. SMB 1 は、旧式で効率が悪く、また何よりもセキュリティに不安があるプロトコルです。SMB 1 is an outdated, inefficient, and most importantly insecure protocol. さいわい、Azure Files は SMB 1 をサポートしておらず、サポートされているいずれのバージョンの Windows および Windows Server も、SMB 1 を削除するか無効にすることができます。The good news is that Azure Files does not support SMB 1, and all supported versions of Windows and Windows Server make it possible to remove or disable SMB 1. Azure ファイル共有を運用環境で使用する前に、SMB 1 のクライアントおよびサーバーを Windows から削除するか無効にすることを強くお勧めします。We always strongly recommend removing or disabling the SMB 1 client and server in Windows before using Azure file shares in production.

次の表は、Windows のバージョンごとに、SMB 1 の状態についての詳しい情報をまとめたものです。The following table provides detailed information on the status of SMB 1 each version of Windows:

Windows のバージョンWindows version SMB 1 の既定の状態SMB 1 default status 無効化/削除の方法Disable/Remove method
Windows Server 2019Windows Server 2019 無効Disabled Windows の機能を使って削除Remove with Windows feature
Windows Server バージョン 1709 以降Windows Server, versions 1709+ 無効Disabled Windows の機能を使って削除Remove with Windows feature
Windows 10 バージョン 1709 以降Windows 10, versions 1709+ 無効Disabled Windows の機能を使って削除Remove with Windows feature
Windows Server 2016Windows Server 2016 EnabledEnabled Windows の機能を使って削除Remove with Windows feature
Windows 10 バージョン 1507、1607、1703Windows 10, versions 1507, 1607, and 1703 EnabledEnabled Windows の機能を使って削除Remove with Windows feature
Windows Server 2012 R2Windows Server 2012 R2 EnabledEnabled Windows の機能を使って削除Remove with Windows feature
Windows 8.1Windows 8.1 EnabledEnabled Windows の機能を使って削除Remove with Windows feature
Windows Server 2012Windows Server 2012 EnabledEnabled レジストリで無効化Disable with Registry
Windows Server 2008 R2Windows Server 2008 R2 EnabledEnabled レジストリで無効化Disable with Registry
Windows 7Windows 7 EnabledEnabled レジストリで無効化Disable with Registry

SMB 1 の使用状況の監査Auditing SMB 1 usage

Windows Server 2019、Windows Server 半期チャネル (バージョン 1709 および 1803)、Windows Server 2016、Windows 10 (バージョン 1507、1607、1703、1709、1803)、Windows Server 2012 R2、Windows 8.1 が対象となりますApplies to Windows Server 2019, Windows Server semi-annual channel (versions 1709 and 1803), Windows Server 2016, Windows 10 (versions 1507, 1607, 1703, 1709, and 1803), Windows Server 2012 R2, and Windows 8.1

お使いの環境から SMB 1 を削除する前に、その変更によって支障が生じるクライアントがないかを確認するために、SMB 1 の使用状況を監査したい場合があります。Before removing SMB 1 in your environment, you may wish to audit SMB 1 usage to see if any clients will be broken by the change. SMB 共有に対する要求が SMB 1 で行われると、イベント ログの Applications and Services Logs > Microsoft > Windows > SMBServer > Audit に、監査イベントが記録されます。If any requests are made against SMB shares with SMB 1, an audit event will be logged in the event log under Applications and Services Logs > Microsoft > Windows > SMBServer > Audit.

注意

Windows Server 2012 R2 と Windows 8.1 で監査のサポートを有効にするには、少なくとも KB4022720 をインストールする必要があります。To enable auditing support on Windows Server 2012 R2 and Windows 8.1, install at least KB4022720.

監査を有効にするには、管理者特権の PowerShell セッションから次のコマンドレットを実行します。To enable auditing, execute the following cmdlet from an elevated PowerShell session:

Set-SmbServerConfiguration –AuditSmb1Access $true

Windows Server から SMB 1 を削除するRemoving SMB 1 from Windows Server

Windows Server 2019、Windows Server 半期チャネル (バージョン 1709 および 1803)、Windows Server 2016、Windows Server 2012 R2 が対象となりますApplies to Windows Server 2019, Windows Server semi-annual channel (versions 1709 and 1803), Windows Server 2016, Windows Server 2012 R2

Windows Server インスタンスから SMB 1 を削除するには、管理者特権の PowerShell セッションから次のコマンドレットを実行します。To remove SMB 1 from a Windows Server instance, execute the following cmdlet from an elevated PowerShell session:

Remove-WindowsFeature -Name FS-SMB1

削除処理を完了するために、サーバーを再起動してください。To complete the removal process, restart your server.

注意

Windows 10 および Windows Server バージョン 1709 以降では、SMB 1 が既定ではインストールされておらず、SMB 1 クライアントおよび SMB 1 サーバー用の別個の Windows 機能が存在します。Starting with Windows 10 and Windows Server version 1709, SMB 1 is not installed by default and has separate Windows features for the SMB 1 client and SMB 1 server. SMB 1 サーバー (FS-SMB1-SERVER) と SMB 1 クライアント (FS-SMB1-CLIENT) は、どちらもインストールしないことをお勧めします。We always recommend leaving both the SMB 1 server (FS-SMB1-SERVER) and the SMB 1 client (FS-SMB1-CLIENT) uninstalled.

Windows クライアントから SMB 1 を削除するRemoving SMB 1 from Windows client

Windows 10 (バージョン 1507、1607、1703、1709、1803) および Windows 8.1 が対象となります。Applies to Windows 10 (versions 1507, 1607, 1703, 1709, and 1803) and Windows 8.1

Windows クライアントから SMB 1 を削除するには、管理者特権の PowerShell セッションから次のコマンドレットを実行します。To remove SMB 1 from your Windows client, execute the following cmdlet from an elevated PowerShell session:

Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

削除処理を完了するために、PC を再起動してください。To complete the removal process, restart your PC.

レガシ バージョンの Windows/Windows Server で SMB 1 を無効にするDisabling SMB 1 on legacy versions of Windows/Windows Server

Windows Server 2012、Windows Server 2008 R2、Windows 7 が対象となります。Applies to Windows Server 2012, Windows Server 2008 R2, and Windows 7

レガシ バージョンの Windows/Windows Server では SMB 1 を完全に削除することはできませんが、レジストリで無効にすることができます。SMB 1 cannot be completely removed on legacy versions of Windows/Windows Server, but it can be disabled through the Registry. SMB 1 を無効にするには、DWORD 型で値 0 の新しいレジストリ キー SMB1HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services > LanmanServer > Parameters に作成します。To disable SMB 1, create a new registry key SMB1 of type DWORD with a value of 0 under HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services > LanmanServer > Parameters.

次の PowerShell コマンドレットを使って簡単に実行することもできます。You can easily accomplish this with the following PowerShell cmdlet as well:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force

SMB 1 を無効にするには、このレジストリ キーを作成した後、サーバーを再起動する必要があります。After creating this registry key, you must restart your server to disable SMB 1.

SMB のリソースSMB resources

次のステップNext steps

Azure Files の詳細については、次のリンクをご覧ください。See these links for more information about Azure Files: