Azure Files に対する Active Directory 認証サポートのプレビュー

2020年2月24日 に投稿済み

Program Manager, Azure Storage
2020 年 6 月 15 日更新: Azure Files AD DS 認証の一般提供を 2020 年 6 月 11 日に開始しました。詳しくは、こちらの投稿をご覧ください。 

Azure Files Active Directory (AD) 認証のプレビュー開始をお知らせします。これで、AD 資格情報を使用して Azure Files をマウントしてオンプレミスとまったく同じようにアクセスを制御できるようになります。Active Directory ドメイン サービス (AD DS) (オンプレミスと Azure 上のどちらでホストされるかを問いません) を活用して、Premium と Standard の両方のレベルについて Azure Files へのユーザー アクセスを認証することができます。ファイルのアクセス許可の管理も簡単です。Active Directory の ID が Azure AD に同期していれば、共有レベルのアクセス許可を引き続き、標準のロールベースのアクセス制御 (RBAC) を使用して管理できます。ディレクトリとファイルのレベルのアクセス許可については、通常のファイル共有と同様に Windows エクスプローラーを使用して Windows ACL (NTFS DACL) を構成します。お客様が既に、Office 365 または Azure を導入するときにオンプレミスの Active Directory を Azure AD に同期していれば、この新しい機能を今すぐ利用できる状態になっています。

ファイル サーバーをクラウドに移行することを検討するときに、多くのお客様は既存の Active Directory インフラストラクチャをそのままにして、データを先に移動することを選んでいます。今回のプレビュー リリースで、Azure Files と既存の Active Directory とのシームレスな連携が、クライアント環境の変更不要で実現できるようになりました。Active Directory ドメインに参加しているマシンにログインすると、シングル サインオン エクスペリエンスで Azure ファイル共有にアクセスできます。また、既存の NTFS DACL もすべて引き継ぎ可能であり、ディレクトリとファイルに対して構成済みのアクセス制御リストを、それまでと同じように引き続き適用できます。ファイルを ACL とともに、robocopy ("堅牢なファイル コピー") などの一般的なツールを使用して移行することも、オンプレミスの Windows ファイル サーバーから Azure Files への階層化を Azure File Sync でオーケストレーションすることもできます。 また、オンプレミスのサーバーを Azure Files に置き換えるためのセットアップ全体を説明するビデオもリリースしました。AD 認証についても説明していますので、ぜひご覧ください。

AD 認証が加わって、Azure Files は仮想デスクトップ インフラストラクチャ (VDI) ユーザー プロファイルのための、さらに優れたストレージ ソリューションとなります。多くのお客様は、Windows Virtual Desktop を使用してセットアップした VDI 環境をオンプレミス ワークスペースの延長として利用する一方で、引き続き Active Directory をホスティング環境の管理に使用しています。Azure Files をユーザー プロファイル ストレージとして使用すると、ユーザーが仮想セッションにログインするときに、その認証されたユーザーのプロファイルだけを Azure Files から読み込むことができます。VDI 環境のストレージ アクセス制御を管理するために、別のドメイン サービスを設定する必要はありません。Azure Files は、ユーザー プロファイル データをホストするための、最も拡張性とコスト効率に優れたサーバーレス ファイル ストレージ ソリューションとなります。Azure Files を Windows Virtual Desktop のシナリオに使用する方法の詳細については、こちらの記事をご覧ください。

新機能

このプレビューで導入された主な機能を次にまとめました。

  • Active Directory (AD/AD DS) 認証をサーバー メッセージ ブロック (SMB) アクセスに対して有効化する。Active Directory ドメインに参加しているマシン (オンプレミスか Azure 上かを問いません) から、Active Directory 資格情報を使用して Azure Files をマウントできます。Azure Files は Active Directory をディレクトリ サービスとして使用することをサポートしているので、ID ベースのアクセス制御を Premium と Standard の両方のレベルに対して行うことができます。自己管理型か Azure File Sync で管理されているかを問わず、ファイル共有に対して Active Directory 認証を有効化できます。
  • 共有レベルとディレクトリまたはファイルのレベルのアクセス許可を適用する。既存のアクセス制御エクスペリエンスは、Active Directory 認証が有効化されているファイル共有にも引き続き適用されます。RBAC を利用して共有レベルのアクセス許可を管理し、これに加えてディレクトリまたはファイルのレベルの NTFS DACL を Windows エクスプローラーや icacls のツールを使用して永続化または構成することができます。
  • オンプレミスからのファイル移行と ACL 永続化を、Azure File Sync を介してサポートする。Azure File Sync で、ネイティブ NTFS DACL 形式の Azure Files での ACL の永続化がサポートされるようになりました。Azure File Sync を使用すると、オンプレミスの Windows ファイル サーバーから Azure Files にシームレスに移行できます。既存のファイルとディレクトリが Azure File Sync を通して Azure Files に階層化される場合に、これらの ACL がネイティブ形式で永続化されます。

使用の開始とエクスペリエンスの共有

プレビューがサポートされているリージョンでファイル共有を作成し、Active Directory 環境 (オンプレミスか Azure 上かを問いません) での認証を有効にしてください。詳しいガイダンスについては、機能の概要有効化のステップのドキュメントをご覧ください。

いつもどおり、フィードバックをお待ちしております。メールで azurefiles@microsoft.com までお送りください。フィードバック フォーラムで Azure Storage に関するアイデアや提案をご投稿ください。