Azure Files に対する Active Directory 認証のサポートのプレビューを開始

2020年2月24日 に投稿済み

Program Manager, Azure Storage

このたび、Azure Files での Active Directory (AD) 認証のプレビューが開始されました。今後は、AD 資格情報を使ってオンプレミスとまったく同じアクセス制御エクスペリエンスで、Azure Files をマウントできるようになります。Active Directory ドメイン サービス (AD DS) は、オンプレミスあるいは Azure でホストされている場合でも、Azure Files (Premium と Standard レベルの両方) へのユーザー アクセスの認証に利用できます。ファイルのアクセス許可の管理も簡単です。お使いの Active Directory ID が Azure AD と同期されている限り、引き続き標準のロールベースのアクセス制御 (RBAC) によって共有レベルのアクセス許可を管理できます。ディレクトリおよびファイル レベルのアクセス許可については、通常のファイル共有とまったく同じように、Windows エクスプローラーを使って単純に Windows ACL (NTFS DACL) (英語) を構成します。ほとんどのお客様は、Office 365 や Azure の導入作業の一環として既にオンプレミスの Active Directory と Azure AD の同期を済ませ、この新機能を今すぐ利用できる状態にあると思われます。

ファイル サーバーをクラウドに移行することを検討する場合、多くのお客様は、既存の Active Directory インフラストラクチャを保持したまま、まずはデータを移動することになる可能性があります。このプレビュー リリースに伴い、クライアント環境に変更を加えることなく、Azure Files を既存の Active Directory とシームレスに連携させることができるようにしました。シングル サインオン エクスペリエンスで Active Directory ドメイン参加済みマシンにログインして、Azure ファイル共有にログインできます。さらに、長年にわたってディレクトリやファイルに対して構成してきた既存の NTFS DACL をすべて引き継ぎ、今後も従来と同じように適用できます。それには、堅牢性の高いファイル コピー (robocopy) などの一般的なツールを利用して単純にファイルと ACL を移行するか、Azure File Sync を使ってオンプレミスの Windows ファイル サーバーから Azure Files への階層化を調整します。また、マイクロソフトは、特定のオンプレミス サーバーを AD 認証を含む Azure Files に置き換えるためのエンドツーエンドのセットアップ手順を説明するビデオも公開しました。

AD 認証によって、仮想デスクトップ インフラストラクチャ (VDI) のユーザー プロファイルに対するストレージ ソリューションとしての Azure Files のサービスが向上します。最もよくあるのは、VDI 環境を Windows Virtual Desktop を使ってオンプレミスのワークスペースの延長として構成した状態で、Active Directory をホスティング環境の管理に使い続けるというケースでしょう。Azure Files をユーザー プロファイルのストレージとして利用することで、ユーザーが仮想セッションにログインすると、その認証済みのユーザーのプロファイルのみが Azure Files から読み込まれます。お使いの VDI 環境のストレージ アクセス制御エクスペリエンスを管理するために、別途ドメイン サービスを設定する必要はありません。Azure Files が、ユーザー プロファイル データのホストに適した最もスケーラブルでコスト効率の高い、サーバーレスのファイル ストレージ ソリューションを提供します。Windows Virtual Desktop シナリオに Azure Files を利用する方法の詳細については、こちらの記事を参照してください。

新機能

このプレビューで導入された主な機能の概要は以下のとおりです。

  • サーバー メッセージ ブロック (SMB) のアクセスに対する Active Directory (AD/AD DS) 認証の有効化。オンプレミスでホストされている場合でも、Azure でホストされている場合でも、Active Directory ドメイン参加済みマシンから Active Directory 資格情報を使用して Azure Files をマウントできます。Azure Files では、Premium レベルと Standard レベルの両方に対して、ID ベースのアクセス制御エクスペリエンスを実現するディレクトリ サービスとして Active Directory を利用することをサポートしています。自己管理によるファイル共有に対しても、Azure Files Sync によって管理されているファイル共有に対しても、Active Directory 認証を有効にできます。
  • 共有レベルとディレクトリまたはファイル レベルのアクセス許可の適用。Active Directory 認証を有効にしたファイル共有に対して、引き続き既存のアクセス制御エクスペリエンスが適用されます。共有レベルのアクセス許可の管理には RBAC を利用できます。次に、ディレクトリまたはファイル レベルの NTFS DACL (英語) を保持するか、Windows エクスプローラーと icacls ツールを使用して構成します。
  • Azure File Sync を介して ACL を保持するオンプレミスからのファイル移行のサポート。Azure File Sync では、Azure Files に対して ACL をネイティブの NTFS DACL 形式で保持する機能がサポートされるようになりました。これにより、Azure File Sync を使ったオンプレミスの Windows ファイル サーバーから Azure Files へのシームレスな移行を選択できるようになります。Azure Files Syncs によって Azure Files に階層化された既存のファイルやディレクトリの ACL はネイティブ形式で保持されます。

利用を開始して、経験を共有してください

ファイル共有をプレビューがサポートされているリージョンで作成し、オンプレミスまたは Azure で実行されているお客様の Active Directory 環境による認証を有効にできます。主要機能有効化の手順に関する詳しいガイダンスを提供するドキュメントへのリンクをそれぞれご覧ください。

いつもどおりフィードバックや体験を電子メール (azurefiles@microsoft.com) でお寄せいただけます。また、Azure Storage についてのアイデアや提案がありましたら、フィードバック フォーラム (英語) にぜひ投稿してください。