Azure Files Cloud-Only Identitiesを使う

.NETラボ 2026 02月勉強会 小鮒 通成

自己紹介です  都内Sierに勤務し、Windows/MEID認証基盤のコンサ ル・設計・トラブルシュート・ブログ公開などをやっています。  Microsoft Q&Aで、ときどき回答しています。  商業誌でWindows記事の寄稿を行うことがあります。  MSMVP Directory Services→Enterprise Mobility →Securityを受賞しています(MVP受賞回数24回+α)。  秋葉原によく現れます。PCジャンク通りのパレットタウン移 転には驚きました…。

Azure Filesとは  Windows File ServicesのフルマネージドPaaS  SMB(Server Message Block)  NFS(Network File System)  使用目的として  オンプレミスのファイル サーバーの置換または補完  アプリケーションの "リフトアンドシフト"  クラウド開発の簡略化(ログデータやInsight情報を取り出し やすくする)  コンテナー化

Azure Filesの認証  IDベース認証 (Kerberos)  オンプレミス Active Directory Domain Services  Microsoft Entra Domain Services  ハイブリッド ID/クラウド専用のMicrosoft Entra Kerberos  Linux クライアントの SMB 経由の Active Directory 認証  共有キー認証 (NTLMv2)  Azure ストレージ アカウント キー  ホストベース認証 (UNIX)  公開ホストキー

Azure Filesの基本構成 (既定)  共有アクセス許可  既定の共有レベルのアクセス許可 SMB共有の共同作成者  SMB共有の管理者特権の共同作成者  SMB共有の閲覧者   特定のユーザーまたはグループに対するアクセス許可  ポータルからファイル共有のIAMでロールを追加する  NTFSアクセス許可  ドメインベースのACL設定が可能  管理時はストレージ共有キーでのアクセスを推奨

Azure Files Cloud-Only Identities  Azure FilesをEntra IDのみで認証認可する機能  NTFSアクセス許可もEntra IDグループでの指定  今まではActive Directoryグループでの指定のみ  Ignite 2025で発表

Cloud-Only Identitiesメリット  管理者ロールによるセキュアアクセスの強化  管理者ロールでの完全なアクセス許可設定  最新のアイデンティティ管理体験  Entra IDベースのNTFSアクセス許可  運用オーバーヘッドの削減  VPN / ハイブリッドIDシステム / ドメインコントローラー不要  シンクライアントでのリモートログインサポート  インターネットのみで認証認可が完結

Cloud-Only Identitiesユースケース  Entra Joinベースでのシンプルなファイルサービス  システムのミニマム化によるコスト減やトラブル減  VDIクライアントでのインターネットファイルサービス  クラウド専用VDI(AVD)での認証認可の一元化  グローバル企業における認証認可の最適化  ハイブリッドIDベースの情報差異によるトラブル撲滅  Cloud Native Identity with Azure Files: Entra-only Secure Access for the Modern Enterprise | Microsoft Community Hub

• https://techcommunity.microsoft.com/blog/azurestorageblog/cloud-native-identity-with-azure-files-entra-only-secure-access-for-the-modern-e/4469778

Cloud-Only Identities仕様  Microsoft Entra Kerberosの拡張機能(プレビュー)  Entra Join / Hybrid Entra Joinデバイス  Windows 11 Pro or Enterprise / Windows Server 2025  最新の更新プログラムを適用したバージョン  Entra Kerberosエンドポイントの独立化  単独でのTGT発行が可能  Azure Filesコンテナー経由でACL指定  Entraセキュリティグループの設定が可能

参考:Microsoft Entra Kerberos  ドメインコントローラーとの接続を要さないKerberos認証  Microsoft Entra Hybrid Join環境が必須  KDC Proxyによるインターネット経由での「サービスチケッ ト」の受け取り  Entra ID認証時にクラウドTGTを取得  RealmマップによるKDC Proxyの構成とTGS要求  Entra IDによるTGS応答  Deep dive - Azure AD Kerberos の仕組み | Japan Azure Identity Support Blog (jpazureid.github.io)  .NET ラボ 2024年08月勉強会  Azure FilesでMicrosoft Entra Kerberosを使ってみる | ドクセル

• https://jpazureid.github.io/blog/azure-active-directory/how-azuread-kerberos-works/
• https://www.docswell.com/s/chaboon/ZR2X1J-Azure_Files_with_Microsoft_Entra_Kerberos

検証環境  Hybrid Join環境  Windows 11 Pro 25H2  Windows 11 Enterprise 26H1  今回は環境が少ない…

Azureでのカスタムドメインの構成  Azureポータルでカスタムドメイン名を構成。オンプレミス 環境DNS名と同一のモノをAzure DNSに設定。

Entraユーザー/グループの作成  Azureポータルからアカウント類を作成  Entra管理センターで実行する

ストレージアカウントの作成  Azureポータルからストレージアカウントを作成  ストレージアカウントキーへのアクセスはOFF  AzureポータルでEntra認可既定はON  SMBのマネージドIDを有効はON

ファイル共有の作成  ストレージアカウントの[データストレージ]ブレードからファ イル共有を作成

Microsoft Entra Kerberos有効化  [データストレージ]-[ファイル共有]-[IDベースのアクセス] から設定  ドメイン名とドメインGUIDは空欄

API アクセス許可の設定  [Microsoft Entra ID]-[アプリの登録]-[すべてのアプリ ケーション]からSAアプリを選択  [管理]-[APIのアクセス許可]でテナントからのアクセス許 可の同意を付与

マニフェストの設定  [管理]-[マニフェスト]でtagsセクションを編集  PACメンバーシップをクラウド含め拡張

共有レベルのアクセス許可の設定  [IDベースのアクセス]から[認証されているすべてのユーザーとグ ループについてアクセス許可を有効にする]  SMB共有の共同作成者:変更  SMB共有の管理者特権の共同作成者:+ACL変更権取得  SMB共有の閲覧者:読み取りと実行  設定後利用可能になるのは、「数時間後」なので注意！

GPOの設定  [ログオン中にAzure AD Kerberosチケット保証チケットの 取得を許可する]ポリシーを有効にする  クライアントコンピューターに適用する  クライアントがクラウドTGTを取得できるようになる

NTFSアクセス許可の設定 (GUI)  Azureポータルから  管理者ユーザーに[Storage File Data SMB MI Admin]ロールを与える  https://aka.ms/portal/fileperms にアクセス  [参照] – [アクセスの管理]から設定

• https://aka.ms/portal/fileperms

NTFSアクセス許可の設定 (CUI)  ストレージアカウントキーの有効化  ポータルの[設定] – [構成]から [ストレージアカウントキーへ のアクセスを許可する]を有効化  Add-AzFileAceコマンドでアクセス許可設定  RestSetAclsインストールが必要。 $AccountName = "chabcmk108mek" $AccountKey = “<アクセスキー>" $context = New-AzStorageContext -StorageAccountName $AccountName -StorageAccountKey $AccountKey Add-AzFileAce -Context $context -FileShareName share -FilePath "/CGroup01" -Type Allow Principal "cgroup01" -AccessRights Full -InheritanceFlags ObjectInherit,ContainerInherit

インターネットでのアクセス  問題なくアクセスが可能  シングルサインオン  ACLに添ったアクセス結果

インターネットでのアクセス (25H2)  [セキュリティ]タブ  不明のSIDとして表示

インターネットでのアクセス (26H1)  [セキュリティ]タブ  SIDが名前解決できる! が、その後エラーで使えない…。

KDCチケットはどうなっている？  最初はEntra認証のTGT、Azure Filesアクセス時にCIFS サービスチケットを保持している

まとめ  Microsoft Entra Kerberosは本格的にクラウドシフトのた めのソリューションになったようです。ファイルエクスプロー ラがACL設定に使えれば最高です。  NTFS設定についてはポータルからだとツラすぎます。実 態はコマンドでの設定になりそうです。  オンプレto Azure移行とか意外と簡単にできそうです。ア クセスキーでの高リスク認証もなくしていく実装になったこ とですし、機会をあらためて、紹介できればと考えていま す。

アクセスキーからマネージドIDへ  エクスプローラでの管理アクセスはリスキー  アクセスキーがネットワークを流れる (net useが使われる)  つながったら何でもあり、な実質バックドアなしくみ  アクセスキーは使わず非人格ベースのEntra認証を使う  認証情報は流れない  IDは限定的に使われる(デバイス範囲のみ)  権限も極小(Azure Filesコンテナ範囲のみ)

マネージドIDへの移行方法  管理デバイスはAzure VM (Entra Join不要)  マネージドIDとの連携に必要  物理デバイスも可能だがAzure Arc登録が必要  マネージドIDへのロール割り当て  マネージドIDに[Storage File Data SMB MI Admin]ロール 役割を与える  マネージドIDによる管理アクセスセッションの生成 AzFilesSmbMIClient.exe refresh –uri https://chabcmk108mek.file.core.windows.net/