ID およびアクセス制御

完了

このユニットでは、ユーザーを認証し、Azure ファイル共有へのアクセスを提供する方法について学習します。 Azure Files では、SMB 経由でファイル共有にアクセスするお客様向けの ID ベースの認証がサポートされています。 さらに、SMB ユーザーはストレージ アカウント キーを使用して認証することもできます。 NFS ファイル共有はネットワーク レベルの認証に依存するため、制限されたネットワーク経由でのみアクセスできます。 NFS ファイル共有を使用するには、常に何らかのレベルのネットワーク構成が必要です。 REST API 経由のファイル共有アクセスでは、共有アクセス署名とストレージ アカウント キーを使用して、特定のデータ管理操作を行います。

  • ID ベース認証: お客様は Kerberos 認証プロトコルを介した ID ベース アクセスを使用できます。 Active Directory サービスでは、ユーザー名、パスワード、連絡先情報などのユーザー アカウント情報が格納されます。 Azure Files は一般的なディレクトリ サービスと統合され、ユーザー アカウントの詳細を検証し、正しい認証を可能にします。 SMB の場合、ID ベースの認証が最も安全で推奨されるオプションです。

  • ストレージ アカウント キー: ストレージ アカウント キーを保持するユーザーは、SMB および REST 経由でスーパーユーザー権限で Azure ファイル共有にアクセスできます。 ストレージ アカウント キーは、すべてのアクセス制限をバイパスするため、理想的には、スーパー ユーザー管理者だけが使用するべきです。 企業のお客様が使用するファイル共有の場合、ストレージ アカウント キーは組織全体のアクセスに対してスケーラブルまたは安全なメカニズムではないため、推奨されません。 推奨されるセキュリティのベスト プラクティスは、ストレージ アカウント キーを共有せず、ID ベースの認証を利用することです。

  • Shared Access Signature: REST 経由でアクセスするお客様は、Shared Access Signature (SAS) を使用して Azure Files で認証できます。 Shared Access Signature は、パッケージソフトウェア開発企業が REST API アプリケーションを開発し、Azure Files をストレージ ソリューションとして使用する特定のシナリオで使用されます。 また、内部パートナーがデータ管理操作のために REST 経由でのアクセスを必要とする場合にも使用されます。 共有アクセス署名は、Azure Storage リソースへの制限付きアクセス権を付与する URI です。 Shared Access Signature を使用して、クライアントにストレージ アカウント キーへのアクセス権を付与しなくても、特定のストレージ アカウント リソースへのアクセス権をクライアントに付与できます。

ID ベースの認証

Azure Files は Kerberos プロトコルを使用して SMB ファイル共有の ID ベース認証をサポートしています。 クライアントで実行されているユーザーまたはアプリケーションに関連付けられている ID で Azure ファイル共有内のデータにアクセスしようとした場合、その要求はドメイン サービスに送信され、ID が認証されます。 認証が成功した場合、Kerberos トークンが返されます。 クライアントでは Kerberos トークンが含まれる要求を送信し、Azure ファイル共有ではそのトークンを使用して要求を承認します。 Azure ファイル共有は、アクセス資格情報ではなく、Kerberos トークンのみを受信します。

Azure Files は SMB ファイル共有に対して次の認証方法をサポートしています。

  • オンプレミス Active Directory Domain Services (AD DS):Azure ファイル共有に対して AD DS 認証を有効にすると、ユーザーはオンプレミスの AD DS 資格情報を使用して認証できます。 オンプレミスの AD DS は、Microsoft Entra Connect 同期を使用して Microsoft Entra ID に同期する必要があります。オンプレミスの AD DS と Microsoft Entra ID の両方に存在するハイブリッド ユーザーのみを、Azure ファイル共有アクセスに対して認証および承認できます。 お客様は、ドメイン コントローラーを設定し、マシンまたは仮想マシン (VM) をドメイン参加させる必要があります。 ドメイン コントローラーはオンプレミスまたは VM 上でホストできますが、クライアントには、オンプレミス ネットワークまたは同じ仮想ネットワーク上のドメイン コントローラーへの通信経路が必要です。

  • Microsoft Entra Domain Services:Microsoft Entra Domain Services 認証の場合、お客様は Domain Services を有効にし、ファイル データのアクセス元となる VM をドメイン参加させる必要があります。 ドメイン参加 VM は、Domain Services と同じ仮想ネットワーク内に存在する必要があります。 しかし、ストレージ アカウントを表すためにお客様が Domain Services で ID を作成する必要はありません。 有効化プロセスでは、バックグラウンドで ID が作成されます。 さらに、Microsoft Entra ID に存在するすべてのユーザーを認証および承認できます。 ユーザーは、クラウドのみまたはハイブリッドにすることができます。 プラットフォームが Microsoft Entra ID から Domain Services への同期を管理し、ユーザーによる構成は一切必要ありません。

  • ハイブリッド ユーザー ID 用の Microsoft Entra Kerberos:Azure Files はハイブリッド ユーザー ID に対する Microsoft Entra Kerberos (旧 Azure AD Kerberos) 認証をサポートしています。これはクラウドに同期されるオンプレミスの AD ID です。 この構成では、Microsoft Entra ID を使用して Kerberos チケットを発行し、SMB 経由でファイル共有にアクセスします。 これは、エンド ユーザーが、Microsoft Entra ハイブリッド参加済みおよび Microsoft Entra 参加済み VM からドメイン コントローラーへの通信経路を必要とせずに、インターネット経由で Azure ファイル共有にアクセスできることを意味します。 さらに、この機能により、Azure Virtual Desktop の顧客は、ハイブリッド ユーザー ID がアクセスできるユーザー プロファイル コンテナーを保存するための Azure ファイル共有を作成できます。

  • Linux クライアントの AD 認証:Linux クライアントの認証は、AD DS または Microsoft Entra Domain Services を介してサポートされます。

ID ベースの認証の一般的なユース ケース

ID ベースの認証を使用する場合の一般的なシナリオをいくつか以下に示します。

  • オンプレミスのファイル サーバーから Azure Files への移行:オンプレミスのファイル サーバーを置き換えることは、多くの顧客にとっての一般的な IT トランスフォーメーションのユース ケースです。 オンプレミスの AD DS を使用して Azure ファイルへのシームレスな移行を有効にすると、優れたユーザー エクスペリエンスが提供されるだけでなく、ユーザーはコンピューターにドメイン参加することで、現在の資格情報を使用してファイル共有とデータにアクセスできるようになります。

  • クラウドへのエンタープライズ アプリケーションの移行: お客様がオンプレミスのネイティブ アプリケーションをクラウドに移行するときに、Azure Files を使用した ID ベースの認証により、クラウド アプリケーションをサポートするために認証メカニズムを変更する必要がなくなります。

  • バックアップとディザスター リカバリー: Azure Files は、オンプレミスのファイル サーバーのバックアップ ストレージ システムとして機能できます。 適切な認証を構成することは、ディザスター リカバリーのシナリオ中にアクセス制御を適用するのに役立ちます。