Azure Files にアクセスするための適切な方法を選択して構成する

完了

Azure portalを使用してファイル データにアクセスすると、ポータルはバックグラウンドで Azure Files に対する要求を行います。 これらの要求は、Microsoft Entra アカウントまたはストレージ アカウント アクセス キーを使用して承認できます。 ポータルでは、使用している方法が示され、適切なアクセス許可がある場合は 2 つの方法を切り替えることができます。

Azure portal で個々のファイル共有操作を承認する方法を指定することもできます。 既定では、ポータルでは、すべてのファイル共有を承認するために既に使用している方法が使用されますが、個々のファイル共有に対してこの設定を変更することもできます。

ファイル データにアクセスするために必要なアクセス許可

Azure portal でファイル データへのアクセスを承認する方法に応じて、特定のアクセス許可が必要です。 ほとんどの場合、これらのアクセス許可は Azure ロールベースのアクセス制御 (Azure RBAC) を介して提供されます。

Microsoft Entra アカウントを使用する

Microsoft Entra アカウントを使用して Azure portal からファイル データにアクセスするには、次のステートメントの両方が true である必要があります。

• ファイル データへのアクセスを提供する組み込みロールまたはカスタム ロールが割り当てられます。
• Azure Resource Manager の閲覧者ロールが、ストレージ アカウントレベルまたはそれ以上の範囲に割り当てられます。 閲覧者ロールは、最も制限されたアクセス許可を付与しますが、ストレージ アカウント管理リソースへのアクセスを許可する別の Azure Resource Manager ロールも許容されます。

Azure Resource Manager 閲覧者ロールを使用すると、ユーザーはストレージ アカウント リソースを表示できますが、変更することはできません。 Azure Storage 内のデータに対する読み取りアクセス許可は提供されませんが、アカウント管理リソースに対してのみアクセスできます。 ユーザーが Azure portal でファイル共有に移動できるようにするには、閲覧者ロールが必要です。

OAuth を使用してファイル データにアクセスするために必要なアクセス許可を持つ 2 つの新しい組み込みロールがあります。

• ストレージ ファイル データ特権リーダー
• ストレージ ファイル データの特権共同作成者

Storage File Data Privileged Contributor ロールには、Azure ファイル共有内のファイル/ディレクトリに対する ACL/NTFS アクセス許可の読み取り、書き込み、削除、および変更を行うアクセス許可があります。 ACL/NTFS アクセス許可の変更は、Azure portal ではサポートされていません。

カスタム ロールは、組み込みロールによって提供される同じアクセス許可のさまざまな組み合わせをサポートできます。 Azure カスタム ロールの作成の詳細については、「Azure カスタム ロールの」と「Azure リソースのロール定義を理解する」を参照してください。

ストレージ アカウントのアクセス キーを使用する

ストレージ アカウント アクセス キーを使用してファイル データにアクセスするには、Azure RBAC アクションを含む Azure ロールが Microsoft.Storage/storageAccounts/listkeys/action 割り当てられている必要があります。 この Azure ロールは、組み込みロールまたはカスタム ロールである場合があります。 Microsoft.Storage/storageAccounts/listkeys/action をサポートする組み込みロールには、次のものが含まれます。アクセス許可が最小から最大の順に表示されます。

• リーダーとデータ アクセス ロール
• ストレージ アカウント共同作成者ロール
• Azure Resource Manager の役割「共同作成者」
• Azure Resource Manager 所有者ロール

Azure portal でファイル データにアクセスしようとすると、ポータルはまず、Microsoft.Storage/storageAccounts/listkeys/actionロールが割り当てられているかを確認します。 このアクションでロールが割り当てられている場合、ポータルではファイル データへのアクセスにストレージ アカウント キーが使用されます。 このアクションでロールが割り当てられていない場合、ポータルは Microsoft Entra アカウントを使用してデータへのアクセスを試みます。

Azure Resource Manager ReadOnly ロックでストレージ アカウントがロックされている場合、そのストレージ アカウントに対する リスト キー 操作は許可されません。 リスト キー は POST 操作であり、ReadOnly ロックがアカウントに対して構成されている場合、すべての POST 操作は禁止されます。 このため、アカウントが ReadOnly ロックでロックされている場合、ユーザーは Microsoft Entra 資格情報を使用してポータルのファイル データにアクセスする必要があります。

サービス管理者 と 共同管理者 クラシック サブスクリプション管理者ロールには、Azure Resource Manager 所有者ロールと同等のものが含まれます。 所有者ロールには、Microsoft.Storage/storageAccounts/listkeys/action を含むすべてのアクションが含まれているため、これらの管理ロールのいずれかを持つユーザーは、ストレージ アカウント キーを使用してファイル データにアクセスすることもできます。

特定のファイル共有に対する操作を承認する方法を指定する

個々のファイル共有の認証方法を変更できます。 既定では、ポータルでは現在の認証方法が使用されます。 現在の認証方法を確認するには、次の手順に従います。

1. Azure portal でストレージ アカウントに移動し、左側のナビゲーションから [データ ストレージ>ファイル共有 を選択します。

2. ファイル共有を選択します。

3. を選択し、を参照します。

4. 認証方法は、現在、ストレージ アカウント アクセス キーまたは Microsoft Entra アカウントのどちらを使用してファイル共有操作を認証および承認しているかを示します。 ストレージ アカウントのアクセス キーを使用して現在認証を行っている場合は、次の図に示すように、アクセス キー 認証方法として指定されています。 Microsoft Entra アカウントを使用して認証を行っている場合は、代わりに Microsoft Entra ユーザー アカウントが指定されています。

   

Microsoft Entra アカウントで認証する

Microsoft Entra アカウントの使用に切り替えるには、Microsoft Entra ユーザー アカウントに切り替えるという画像で強調表示されているリンクを選択します。 割り当てられている Azure ロールを使用して適切なアクセス許可を持っている場合は、続行できます。 ただし、必要なアクセス許可がない場合は、Microsoft Entra ID を持つユーザー アカウントを使用してデータを一覧表示するアクセス許可がないことを示すエラー メッセージが表示されます。

Microsoft Entra アカウントを使用するには、次の 2 つの追加の RBAC アクセス許可が必要です。

• Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
• Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action

ストレージ アカウントのアクセス キーを使用して認証する

アカウント アクセス キーの使用に切り替えるには、[アクセス キーに切り替える] を選択します。 ストレージ アカウント キーにアクセスできる場合は、続行できます。 ただし、アカウント キーへのアクセス権がない場合は、アクセス キーを使用してデータを一覧表示するためのアクセス許可がないことを示すエラー メッセージが表示されます。

Azure portal で Microsoft Entra 承認を既定として使用する

新しいストレージ アカウントを作成するときに、ユーザーがファイル データに移動したときに、Azure portal が既定で Microsoft Entra ID で承認するように指定できます。 既存のストレージ アカウントに対してこの設定を構成することもできます。 この設定では、既定の承認方法のみを指定します。 ユーザーがこの設定をオーバーライドし、ストレージ アカウント キーを使用してデータ アクセスを承認することを選択できることに注意してください。

ストレージ アカウントを作成するときに、ポータルでデータ アクセスに Microsoft Entra 承認が既定で使用されることを指定するには、次の手順に従います。

1. ストレージ アカウント の作成に関するの手順に従って、新しいストレージ アカウントを作成します。
2. [高度な] タブの [セキュリティ] セクションで、[Azure portal の既定を Microsoft Entra 承認に設定] の [] 隣にあるチェックボックスをオンにします。
3. [確認と作成] を選択して検証を実行し、ストレージ アカウントを作成します。
   

既存のストレージ アカウントのこの設定を更新するには、次の手順に従います。

1. Azure portal でストレージ アカウントの概要に移動します。

2. [設定]で、[構成]を選択します。

   

3. Azure portal で Default を Microsoft Entra 承認 に設定して、有効 をします。