Azure Files AD DSを使ってみる

.NETラボ 2024 11月勉強会 小鮒 通成

自己紹介です  都内Sierに勤務し、Windows/MEID認証基盤のコンサ ル・設計・トラブルシュート・ブログ公開などをやっています。  Microsoft Q&Aで、ときどき回答しています。  商業誌でWindows記事の寄稿を行うことがあります。  MSMVP Directory Services→Enterprise Mobility →Securityを受賞しています(MVP受賞回数22回+α)。  秋葉原によく現れます。最近は48型有機ELディスプレイ を買いました…。

クラウドリフトとクラウドシフト  クラウドリフトは「移動」  Serverのバーチャル化  ネットワークのクラウド化  物理位置の移動  クラウドシフトは「変換」  Server機能のPaaS化  ネットワークのエンドポイント化(オンプレミス含む)  Server機能の解体と再編成

認証と認可のPaaS化  認証のPaaS化  比較的やりやすい  業界標準仕様によるコモディティ化  異種システム間の連携は考慮ずみ  認可のPaaS化  かなりやりづらい  リソース・アプリケーションへの依存度が高い  業界標準仕様はOAuthぐらい(認可プロトコル)  OAシステムからの認可PaaS化は「やりづらい」

Azure Filesとは  Windows File ServicesのフルマネージドPaaS  SMB(Server Message Block)  NFS(Network File System)  使用目的として  オンプレミスのファイル サーバーの置換または補完  アプリケーションの "リフトアンドシフト"  クラウド開発の簡略化(ログデータやInsight情報を取り出し やすくする)  コンテナー化

Azure Filesの認証  IDベース認証 (Kerberos)  オンプレミス Active Directory Domain Services  Microsoft Entra Domain Services  ハイブリッド ID 用の Microsoft Entra Kerberos  Linux クライアントの SMB 経由の Active Directory 認証  共有キー認証 (NTLMv2)  Azure ストレージ アカウント キー  ホストベース認証 (UNIX)  公開ホストキー

Azure Filesのプロトコル  SMB (445/tcp)  SMB 3.1.1 / 3.1 /2.1  NFS (2049/tcp)  NFS 4.1  SMB over QUIC (443/udp)  Azure Files Sync + Windows Server 2022 Azure Edition またはWindows Server 2025 (Preview)  Windows ServerにAzure Filesのキャッシュを置くことで間 接的に実現可能

Azure Filesの暗号化  SMB  SMB 3.1.1 / 3.1 はサポート  SMB 2.1 は未サポート  NFS  NFS 4.1 は未サポート  パブリックエンドポイント  暗号化は必須  サービスエンドポイントの非暗号化はサポート  オンプレミス・リージョンまたぎの非暗号化は未サポート  プライベートエンドポイント  暗号化・非暗号化通信はサポート

Azure Filesのストレージ  ストレージアカウント  Standard (汎用v2)  Premium (FileStorage)  冗長性  ローカル冗長ストレージ (LRS)  ゾーン冗長ストレージ (ZRS)  Geo 冗長ストレージ (GRS)  Geo ゾーン冗長ストレージ (GZRS)  暗号化  マネージド キーによる暗号化  NTFS  NTFS固有機能(8.3形式・NTFS圧縮・代替データストリーム等)は未サ ポート

Azure Filesの基本構成  共有アクセス許可  既定の共有レベルのアクセス許可 SMB共有の共同作成者  SMB共有の管理者特権の共同作成者  SMB共有の閲覧者   特定のユーザーまたはグループに対するアクセス許可  ポータルからファイル共有のIAMでロールを追加する  NTFSアクセス許可  ドメインベースのACL設定が可能  管理時はストレージ共有キーでのアクセスを推奨

Azure Files ADDSとは  オンプレミスドメイン環境からファイルサーバーをクラウド に切り出すしくみ  ドメインコントローラーへの接続が必須  オンプレミスまたはハイブリッド環境どちらでもOK  Azure Filesをドメインに参加させることで、オンプレミス Kerberos認証が可能になる  ドメイン参加はコンピューターアカウントまたはサービスログ オンアカウントのどちらかで行う

Microsoft Entra Kerberosとの違い  Kerberos認証は変わらないが、ドメインコントローラーから のみのTGT発行  Entra Connectは基本的に不要。ユーザー・グループで 共有アクセス許可を設定したい場合は、ハイブリッド必須。  オンプレミス環境前提で、以下が可能。  Active Directory信頼関係でのアクセス(フォレスト信頼)  Aliasによるカスタムドメイン名での利用  非ドメイン参加マシンからのアクセス(Kerberos認証)  NTFSアクセス許可が見えない点に注意(SID→UPN名前変換が できないため)

検証環境  Windows Server 2025 ドメインコントローラー(Insider)  Windows 11 Insider クライアント  Azureポータルでカスタムドメイン名を構成  Microsoft Entra Hybrid Joinを構成

Azureでのカスタムドメインの構成  Azureポータルでカスタムドメイン名を構成。オンプレミス ADのDNS名と同一のモノをAzure DNSに設定。

オンプレミス環境の構成  ドメインコントローラーの構成。Microsoft Entra Connect を追加インストール。  クライアントの構成。

ストレージアカウントの作成  Azureポータルからストレージアカウントを作成  Standardで通常は問題ない  パブリックアクセスで構成

ファイル共有の作成  ストレージアカウントの[データストレージ]ブレードからファ イル共有を作成  ストレージごとに1つのファイル共有が推奨  複数作る場合は、高負荷と低負荷を組み合わせるようにす る

AzFilesHybrid 実行環境  以下モジュールをWindows 11にインストール  .NET Framework 4.7.2以降(インストール済み)  Azure PowerShell 2.8.0以降  Az Storage 4.3.0以降  PowerShellGet  Active Directory PowerShellモジュール  Get-WindowsCapability –Name RSAT.ActiveDirectory.* Online | Add-WindowsCapability -Online

Azure Files ADDS有効化  Join-AzStorageAccountの実行  AzFilesHybrid PowerShellモジュールのダウンロード  Releases · Azure-Samples/azure-files-samples  Join-AzStorageAccountスクリプトの実行  Azure Files の AD DS 認証を有効にする | Microsoft Learn  コンピューターアカウントができている  AES256パスワード暗号化を使いたくない(RC4暗号化の み)場合はSet-AzStorageAccountによる手動構成が必要  Azure Files の AD DS 認証を有効にする | Microsoft Learn

• https://github.com/Azure-Samples/azure-files-samples/releases
• https://learn.microsoft.com/ja-jp/azure/storage/files/storage-files-identity-ad-ds-enable

共有レベルのアクセス許可の設定  [IDベースのアクセス]から[認証されているすべてのユーザーとグ ループについてアクセス許可を有効にする]  SMB共有の共同作成者:変更  SMB共有の管理者特権の共同作成者:+ACL変更権取得  SMB共有の閲覧者:読み取りと実行  設定後利用可能になるのは、「数時間後」なので注意！

NTFSアクセス許可の設定  ストレージアカウントの共有アクセスキーでのネットワーク ドライブ接続  net use Z: \\<SA名>.file.core.windows.net\<共有名> /user:localhost\<SA名> <共有アクセスキー>  操作マシンがドメインコントローラーと直接通信できること  フルコントロールが可能  「管理者特権の共同作成者」でも新規構築は可能だが、 移行環境で問題がでることがある

GPOの設定(MEKとの併用のみ)  [ホスト名からKerberos領域へのマッピングを定義する]ポ リシーを有効にする  クライアントコンピューターに適用する  Azure Filesホスト名とADDS Realmのマッピングを行う

オンプレミスでのアクセス  問題なくアクセスが可能  シングルサインオン  ACLに添ったアクセス結果

インターネットでのアクセス  アクセスするが、サインインは不可  ドメインコントローラーに接続できないため

インターネットのセキュリティ  アクセスキーを使って、外部からSMB接続できてしまう  セキュリティプロファイルを「最大のセキュリティ」に  サービスエンドポイント・プライベートエンドポイントで接続

KDCチケットはどうなっている？  オンプレミスでは「プライマリTGT」「CIFS」のチケットを保 持

まとめ  ドメインに参加するAzure Filesというところで、アーキテク チャがシンプルで理解しやすいソリューションかと。運用 面でもオンプレミスとあまり変わらない使い方ができるの で、基本的にはお奨めの構成ではあります。  設定が以外と大変です。 AzFilesHybridモジュールが使 える環境構築の手間が、結構かかります。AzureとADDS の両スクリプトにアクセスする必要があるので。  セキュリティには十分注意しましょう。意識しないと外部か らSMB経由で突破されてしまいます。

参考情報  Azure Files の概要 | Microsoft Learn  Azure Files のデプロイの計画 | Microsoft Learn  Azure Files のネットワークに関する考慮事項 | Microsoft Learn  Azure Files データ保護の概要 | Microsoft Learn  Azure Files に対するオンプレミスの AD DS 認証の概要 | Microsoft Learn  Azure Files の AD DS 認証を有効にする | Microsoft Learn  複数の Active Directory (AD) フォレストで Azure Files を使 用する | Microsoft Learn

• https://learn.microsoft.com/ja-jp/azure/storage/files/storage-files-introduction
• https://learn.microsoft.com/ja-jp/azure/storage/files/storage-files-planning
• https://learn.microsoft.com/ja-jp/azure/storage/files/storage-files-networking-overview
• https://learn.microsoft.com/ja-jp/azure/storage/files/files-data-protection-overview?tabs=portal
• https://learn.microsoft.com/ja-jp/azure/storage/files/storage-files-identity-ad-ds-overview
• https://learn.microsoft.com/ja-jp/azure/storage/files/storage-files-identity-ad-ds-enable
• https://learn.microsoft.com/ja-jp/azure/storage/files/storage-files-identity-multiple-forests