Azure Files の強化されたアクセス制御エクスペリエンスによるセキュリティの向上

8月 7, 2019 に投稿済み

Program Manager, Azure Storage

Microsoft では、Azure Files に Azure Active Directory Domain Services (Azure AD DS) 認証を一般提供することによって、お客様がアプリケーションをクラウドに容易に "リフト アンド シフト" できるようにすると共に、オンプレミスで使用されるのと同じセキュリティ モデルを維持できるようにしています。Azure AD DS を統合することによって、NTFS アクセス制御リスト (ACL) が強制された、Azure AD DS ドメイン参加済み Windows 仮想マシン (VM) から Azure Active Directory (Azure AD) 資格情報を使用して、SMB 経由で Azure ファイル共有をマウントできます。

RefreshedDiagram-v2

ユーザーは Azure Files に Azure AD DS 認証を使用することで、共有、ファイル、フォルダーに対するアクセス許可を細かく指定できます。これによって、基幹業務アプリケーションで単一ライター/複数リーダー シナリオなどの一般的なユース ケースが可能になります。ファイルへのアクセス許可の割り当ておよび強制エクスペリエンスが NTFS の場合と同じであるため、Azure へのアプリケーションのリフト アンド シフトは、新しい SMB ファイル サーバーに移動するのと変わらないくらい簡単です。このこともあって、Azure Files はクラウドベース サービスには理想的な共有ストレージ ソリューションとなっています。たとえば、Windows Virtual Desktop では、さまざまなユーザー プロファイルをホストし、アクセス制御に Azure AD DS 認証を活用できるようにするために、Azure Files の使用が推奨されています。

Azure Files では、NTFS の随意アクセス制御リスト (DACL) が厳密に強制されるので、Robocopy などの使い慣れたツールを使用して Azure ファイル共有にデータを移動して、重要なセキュリティ制御をすべて保持することができます。Azure Files アクセス制御リストは、バックアップやディザスター リカバリーのシナリオに対応できるように、Azure ファイル共有スナップショットにもキャプチャされます。このため、ファイルのスナップショットを活用する、Azure Backup などのサービスを使用したデータ回復では、ファイル アクセス制御リストが確実に保持されます。

すぐに始めるには、ステップ バイ ステップ ガイダンスに従ってください。ベネフィットと機能の理解を深めるには、Microsoft の Azure Files の Azure AD DS 認証の概要に関するページをご覧ください。

一般提供での新機能

皆様からのフィードバックに基づいて、プレビュー以降に追加された新機能がいくつかあります。

アクセス許可を割り当てる際の Windows エクスプローラーとのシームレスな統合:Microsoft Ignite 2018 でこの機能のデモを行った際は、icacls と呼ばれる Windows コマンド ライン ツールを使用してアクセス許可を変更および表示する方法を示しました。icacls は簡単に手に入らず、一般的なユーザー動作とも整合しないため、明らかに課題がありました。一般提供以降、通常のファイル共有と同様に、Windows エクスプローラーを使用してファイルやフォルダーのアクセス許可を表示したり変更したりできます。

アクセス許可の割り当てにおける Windows エクスプローラーとの統合

新たに組み込まれたロールベースのアクセス制御による、共有レベルのアクセス管理の簡素化:共有レベルのアクセス管理を簡素化するために、3 つの組み込みロールベース アクセス制御 (記憶域ファイル データの SMB 共有の管理者特権共同作成者、共同作成者、および閲覧者) が新たに導入されました。カスタム ロールを作成する代わりに、組み込みロールを使用して共有レベルのアクセス許可を付与し、Azure Files への SMB アクセスを可能にできます。

Azure Files のアクセス制御エクスペリエンスの今後

Azure Active Directory Domain Services での認証のサポートが最も役立つシナリオはアプリケーションのリフト アンド シフトですが、Azure Files は、ストレージの提供先がアプリケーションかエンド ユーザーかにかかわらず、すべてのオンプレミス ファイル共有の移動に役立てることもできます。Microsoft のチームでは、オンプレミスまたはクラウドでホストされる Windows Server Active Directory (Windows Server AD) まで認証のサポートを拡張するべく取り組みを続けています。 Windows Server AD 認証を含む Azure Files ソリューションが今すぐ必要な場合は、Windows Server AD 統合が完全にサポートされている Windows ファイル サーバーに Azure File Sync をインストールすることを検討してください。

Azure Files の Active Directory 認証における今後の更新にご関心をお持ちの場合は、いますぐサインアップしてください。Azure Files に関する一般的なフィードバックについては、AzureFiles@microsoft.com まで電子メールでお寄せください。