ID およびアクセス制御

  • 9 分

このユニットでは、ユーザーを認証し、Azure ファイル共有へのアクセスを提供する方法について学習します。 Azure Files では、SMB 経由でファイル共有にアクセスするお客様向けの ID ベースの認証がサポートされています。 さらに、SMB ユーザーはストレージ アカウント キーを使用して認証することもできます。 NFS ファイル共有はネットワーク レベルの認証に依存するため、制限されたネットワーク経由でのみアクセスできます。 NFS ファイル共有を使用するには、常に何らかのレベルのネットワーク構成が必要です。 REST API 経由のファイル共有アクセスでは、共有アクセス署名とストレージ アカウント キーを使用して、特定のデータ管理操作を行います。

  • ID ベースの認証: お客様は、Kerberos 認証プロトコルを使用して ID ベースのアクセスを使用できます。 Active Directory サービスでは、ユーザー名、パスワード、連絡先情報などのユーザー アカウント情報が格納されます。 Azure Files は一般的なディレクトリ サービスと統合され、ユーザー アカウントの詳細を検証し、正しい認証を可能にします。 SMB の場合、ID ベースの認証が最も安全で推奨されるオプションです。

  • ストレージ アカウント キー: ストレージ アカウント キーを持つユーザーは、SMB および REST 経由でスーパーユーザーアクセス許可を持つ Azure ファイル共有にアクセスできます。 ストレージ アカウント キーは、すべてのアクセス制限をバイパスするため、理想的には、スーパー ユーザー管理者だけが使用するべきです。 エンタープライズユーザーが使用するファイル共有の場合、ストレージ アカウント キーは組織全体のアクセスに対してスケーラブルまたは安全なメカニズムではないため、推奨されません。 推奨されるセキュリティのベスト プラクティスは、ストレージ アカウント キーを共有せず、ID ベースの認証を利用することです。

  • Shared Access Signature: REST 経由でアクセスするお客様は、Shared Access Signature (SAS) を使用して Azure Files で認証できます。 Shared Access Signature は、パッケージソフトウェア開発企業が REST API アプリケーションを開発し、Azure Files をストレージ ソリューションとして使用する特定のシナリオで使用されます。 また、内部パートナーがデータ管理操作のために REST 経由でのアクセスを必要とする場合にも使用されます。 共有アクセス署名は、Azure Storage リソースへの制限付きアクセス権を付与する URI です。 Shared Access Signature を使用して、クライアントにストレージ アカウント キーへのアクセス権を付与しなくても、特定のストレージ アカウント リソースへのアクセス権をクライアントに付与できます。

ID ベースの認証

Azure Files では 、Kerberos プロトコルを使用した SMB ファイル共有の ID ベースの認証がサポートされています。 クライアントで実行されているユーザーまたはアプリケーションに関連付けられている ID で Azure ファイル共有内のデータにアクセスしようとした場合、その要求はドメイン サービスに送信され、ID が認証されます。 認証が成功した場合、Kerberos トークンが返されます。 クライアントでは Kerberos トークンが含まれる要求を送信し、Azure ファイル共有ではそのトークンを使用して要求を承認します。 Azure ファイル共有は、アクセス資格情報ではなく、Kerberos トークンのみを受信します。

Azure Files は SMB ファイル共有に対して次の認証方法をサポートしています。

  • オンプレミス Active Directory Domain Services (AD DS): Azure ファイル共有に対して AD DS 認証を有効にすると、ユーザーはオンプレミスの AD DS 資格情報を使用して認証できます。 オンプレミスの AD DS は、Microsoft Entra Connect 同期を使用して Microsoft Entra ID に同期する必要があります。オンプレミスの AD DS と Microsoft Entra ID の両方に存在するハイブリッド ユーザーのみを、Azure ファイル共有アクセスに対して認証および承認できます。 お客様は、ドメイン コントローラーを設定し、マシンまたは仮想マシン (VM) をドメイン参加させる必要があります。 ドメイン コントローラーはオンプレミスまたは VM 上でホストできますが、クライアントには、オンプレミス ネットワークまたは同じ仮想ネットワーク上のドメイン コントローラーへの通信経路が必要です。

  • Microsoft Entra Domain Services: Microsoft Entra Domain Services 認証の場合、お客様は Domain Services を有効にしてから、ファイル データにアクセスする VM にドメイン参加する必要があります。 ドメインに参加している VM は、Domain Services と同じ仮想ネットワークに存在する必要があります。 しかし、ストレージ アカウントを表すためにお客様が Domain Services で ID を作成する必要はありません。 有効化プロセスでは、バックグラウンドで ID が作成されます。 さらに、Microsoft Entra ID に存在するすべてのユーザーを認証および承認できます。 ユーザーはクラウド専用でもハイブリッドでもかまいません。 プラットフォームが Microsoft Entra ID から Domain Services への同期を管理し、ユーザーによる構成は一切必要ありません。

  • ハイブリッド ユーザー ID の Microsoft Entra Kerberos: Azure Files では、クラウドに同期されるオンプレミスの AD ID であるハイブリッド ユーザー ID に対する Microsoft Entra Kerberos (旧称 Azure AD Kerberos) 認証がサポートされています。 この構成では、Microsoft Entra ID を使用して Kerberos チケットを発行し、SMB 経由でファイル共有にアクセスします。 これは、エンド ユーザーが、Microsoft Entra ハイブリッド参加済みおよび Microsoft Entra 参加済み VM からドメイン コントローラーへの通信経路を必要とせずに、インターネット経由で Azure ファイル共有にアクセスできることを意味します。 さらに、この機能により、Azure Virtual Desktop の顧客は、ハイブリッド ユーザー ID がアクセスできるユーザー プロファイル コンテナーを保存するための Azure ファイル共有を作成できます。

  • Linux クライアントの AD 認証: Linux クライアントの認証は、AD DS または Microsoft Entra Domain Services を介してサポートされます。

ID ベースの認証の一般的なユース ケース

ID ベースの認証を使用する場合の一般的なシナリオをいくつか以下に示します。

  • オンプレミスのファイル サーバーから Azure Files への移行: オンプレミスのファイル サーバーを置き換えることは、多くのお客様にとって一般的な IT 変換のユース ケースです。 オンプレミスの AD DS を使用して Azure ファイルへのシームレスな移行を有効にすると、優れたユーザー エクスペリエンスが提供されるだけでなく、ユーザーはコンピューターにドメイン参加することで、現在の資格情報を使用してファイル共有とデータにアクセスできるようになります。

  • エンタープライズ アプリケーションをクラウドに移行する: お客様がオンプレミスのネイティブ アプリケーションをクラウドに移行する場合、Azure Files を使用した ID ベースの認証により、クラウド アプリケーションをサポートするために認証メカニズムを変更する必要がなくなります。

  • バックアップとディザスター リカバリー: Azure Files は、オンプレミスのファイル サーバーのバックアップ ストレージ システムとして機能できます。 適切な認証を構成することは、ディザスター リカバリーのシナリオ中にアクセス制御を適用するのに役立ちます。