SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

検索表示
SB C&S

Azure Files の AD DS 認証機能を利用した共有アクセス権設定

  1. ホーム
  2. 技術ブログ
  3. パブリッククラウド
  4. Azure Files の AD DS 認証機能を利用した共有アクセス権設定
パブリッククラウド
2020.09.10

皆さまこんにちは。SB C&S 井上です。

今回は、マネージドなファイル共有機能を提供するAzureのサービスである「Azure Files」でAD DS認証がサポートされたので、Azure Filesでファイルの共有設定をする方法、AD DSによる認証設定を行う方法をご紹介します。

概要

Azure FilesはAzureで提供されるマネージドなファイル共有サービスで、オンプレミスやクラウド上のWindows, Mac, Linuxなどに共有フォルダをマウントしてファイルサーバーのように使ったり、Azure File Syncの機能を利用してオンプレミスのファイルサーバーをキャッシュしたりすることができます。

従来ではAzure Filesの共有設定はWindows Serverで構成されたファイルサーバーよりも柔軟性が低かったのですが、今回AD DS認証機能がサポートされたことで、ファイルサーバーと同様に柔軟なファイル共有アクセス権設定がAzure Filesで可能になりました。

今回の検証では実際にAzure Filesのファイル共有を構築し、AD DS認証設定とアクセス権設定を行ったので、設定方法をご紹介いたします。

前提条件

Azure FilesのAD DS認証機能を利用するためには、以下のものが必要です。

  • Active Directory Domain Services
    -Azure Filesのストレージアカウント用OU作成、ドメインユーザー、グループを作成

  • Azure AD Connect
    -ドメインコントローラーとAzure ADを同期

  • 設定作業用Windows Server
    -ドメイン参加したサーバー端末
    -外部へのSMBアクセスを許可

  • 共有ファイルアクセス用クライアント端末
    -ドメイン参加したクライアント端末
    -外部へのSMBアクセスを許可

  • Azure Files用ストレージアカウント
    -Azure Files対応ストレージアカウントは、[Standard 汎用v1], [Standard 汎用v2], [Premium FileStorage] の3種類

   

今回は以下の手順で検証環境を用意しました。

  1. Azure上でWindows Serverを用意し、ドメインコントローラーに昇格後、ストレージアカウント用OU、ドメインユーザー、グループを作成
  2. 1.で構築したWindows ServerにAzure AD Connectをインストールし、ウィザードに従って同期設定
  3. Azure上で設定作業用Windows Serverと、共有ファイルアクセス用クライアント端末(Windows 10)を用意
  4. Azure Files用ストレージアカウント(Standard 汎用v2)を作成

検証手順

今回は以下の手順で、AD DSやAzure Filesなどを用意し、ファイル共有のアクセス権設定と検証を行いました。

  1. Azure Files用ストレージアカウントの構成
  2. Azureファイル共有へのAD DS認証有効化
  3. ファイル共有設定
  4. Azureファイル共有をクライアント端末にマウント

それでは、詳細な手順をご紹介いたします。

手順1. Azure Files用ストレージアカウントの構成

  1. 前提条件で作成したストレージアカウントで「ファイル共有」を作成
    図1.png
       
       
    図2.png

      

手順2. Azureファイル共有へのAD DS認証有効化

※本手順は設定作業用Windows Serverで行います。

  1. AzFilesHybridモジュール」をダウンロードして解凍
       
       
  2. PowerShellを管理者権限で実行し、1.を解凍したフォルダに移動
       
       
  3. ファイル共有のAD DS認証を有効化するスクリプトを実行
    (https://docs.microsoft.com/ja-jp/azure/storage/files/storage-files-identity-ad-ds-enable#run-join-azstorageaccountforauth)
    図3.png
       
    図4.png
       
       
  4. 3.でAD DS認証の有効化が正常に行われたかを確認するスクリプトを実行
    図5.png
       
    図6.png

      

手順3. ファイル共有設定

  1. Azure Portalでファイル共有にアクセス制御(IAM)を設定
    図7.png
       
       
  2. ファイル共有の[接続]で、接続スクリプトをコピー
    図8.png
       
       
  3. 設定作業用Windows Serverにドメインの管理者ユーザーでサインイン
    (今回はsvuser01でサインイン)
       
       
  4. PowerShellで2.の接続スクリプトを実行
    図9.png
      
      
  5. マウントしたドライブを開き、ディレクトリ作成とアクセス権設定を行う
    図10.png

      

手順4. Azureファイル共有をクライアント端末にマウント

  1. クライアント端末にドメインユーザーでサインイン
    (今回はuser01でサインイン)
       
       
  2. PowerShellで手順3-2でメモした接続スクリプトを実行
    図11.png
       
       
  3. マウントしたドライブとディレクトリを確認
    図12.png
       
       
    図13.png
       
         

まとめ

今回はAzure FilesのAD DS認証機能の設定方法と共有アクセス権設定方法をご紹介しました。

AD DS認証機能サポートによって共有アクセス権が設定できるようになったことで、従来のAzure Filesより柔軟な設定が可能になりました。
これにより、オンプレミスのファイルサーバーをクラウド移行する際にIaaS VMで構築する方法に加えて、Azure Filesに置き換えるという選択肢も出てくるのではないでしょうか。

本機能を試してみたい方や、ファイルサーバーのクラウド移行を予定している方は、ぜひ一度触ってみてください。

最後までお読みいただきありがとうございました!

他のおすすめ記事はこちら

Azure Managed Disk Direct Uploadを利用してオンプレミスからAzureへの移行工数削減!

著者紹介

SB C&S株式会社
ICT事業本部 技術本部 第1技術部 4課
井上 雄貴

新卒でSB C&S株式会社に入社後、Azureのプリセールスエンジニアとして案件支援、新規サービスの技術検証などに従事。
JDLA Deep Learning for ENGINEER 2019 #1を保有。
クラウド、AIのエキスパートエンジニアを目指し、日々邁進中。

Related Posts

関連記事