Azure Files Cloud-Only Identities移行を考える

.NETラボ 2026 03月勉強会 小鮒 通成

自己紹介です  都内Sierに勤務し、Windows/MEID認証基盤のコンサ ル・設計・トラブルシュート・ブログ公開などをやっています。  Microsoft Q&Aで、ときどき回答しています。  商業誌でWindows記事の寄稿を行うことがあります。  MSMVP Directory Services→Enterprise Mobility →Securityを受賞しています(MVP受賞回数24回+α)。  秋葉原によく現れます。PCジャンク通りのパレットタウン移 転には驚きました…。

Azure Filesとは  Windows File ServicesのフルマネージドPaaS  SMB(Server Message Block)  NFS(Network File System)  使用目的として  オンプレミスのファイル サーバーの置換または補完  アプリケーションの "リフトアンドシフト"  クラウド開発の簡略化(ログデータやInsight情報を取り出し やすくする)  コンテナー化

Azure Filesの認証  IDベース認証 (Kerberos)  オンプレミス Active Directory Domain Services  Microsoft Entra Domain Services  ハイブリッド ID/クラウド専用のMicrosoft Entra Kerberos  Linux クライアントの SMB 経由の Active Directory 認証  共有キー認証 (NTLMv2)  Azure ストレージ アカウント キー  ホストベース認証 (UNIX)  公開ホストキー

Azure Files Cloud-Only Identities  Azure FilesをEntra IDのみで認証認可する機能  NTFSアクセス許可もEntra IDグループでの指定  今まではActive Directoryグループでの指定のみ  Ignite 2025で発表

Cloud-Only Identitiesユースケース  Entra Joinベースでのシンプルなファイルサービス  システムのミニマム化によるコスト減やトラブル減  VDIクライアントでのインターネットファイルサービス  クラウド専用VDI(AVD)での認証認可の一元化  グローバル企業における認証認可の最適化  ハイブリッドIDベースの情報差異によるトラブル撲滅  Cloud Native Identity with Azure Files: Entra-only Secure Access for the Modern Enterprise | Microsoft Community Hub

• https://techcommunity.microsoft.com/blog/azurestorageblog/cloud-native-identity-with-azure-files-entra-only-secure-access-for-the-modern-e/4469778

Cloud-Onlyへの移行いる？  ひとまずはHybrid Kerberosで「利用はでき る」  管理者の一括アクセス許可運用の是非  オンプレからクラウドのドメインコントローラーに 移行する  セキュリティが絶対的に脆弱 (昔ルール)  Defender for Identity併用はコスト高  リモートVPN温床は避けるべき

Cloud-Only移行時の問題  アクセス許可の「付け替え」が必要  ドメインアカウントはドメインコントローラー撤去 で利用不能  付け替え技術は実はシンドイ  subinacl.exe 「ローカルグループ変換」  ADMT 「セキュリティの変換」

Cloud-Only 移行方針  Storage Moverでクラウドリフト  手動操作でクラウドシフト  クラウドベースをいったん追加  放置で問題確認  ドメインベースを段階的に削除  最後にドメインコントローラーを削除  Microsoftに推奨方法は紹介されていない。

アクセス許可の設定 (GUI)の進化  Azureポータルから  https://aka.ms/portal/fileperms にアクセスは変わらない  [カスタム SID]からドメインアカウントの指定が可能になった

• https://aka.ms/portal/fileperms

エクスプローラー (26H1)の進化  クラウドベースでSID名前解決  マネージドID権限で強制設定が可能かも？試したい…

参考:マネージドIDへの移行方法  管理デバイスはAzure VM (Entra Join不要)  マネージドIDとの連携に必要  物理デバイスも可能だがAzure Arc登録が必要  マネージドIDへのロール割り当て  マネージドIDに[Storage File Data SMB MI Admin]ロール 役割を与える  マネージドIDによる管理アクセスセッションの生成 AzFilesSmbMIClient.exe refresh –uri https://chabcmk108mekhj.file.core.windows.net/

アクセス許可の設定 (CUI)
$AccountName = "chabcmk108mekhj"
$AccountKey = “<アクセスキー>"
$context = New-AzStorageContext -StorageAccountName $AccountName -StorageAccountKey $AccountKey
$filePath = "/Group00"
$SDDL = Get-AzFileAcl -Context $context -FileShareName share -FilePath $filePath
# 対象 ACE から必要情報を抜く
$ace = [regex]::Match($SDDL,'\((A|D);(OICI|CI|OI)?;FA;;;S-1-5-21-[0-9\-]+\)')
$aceType = if ($ace.Groups[1].Value -eq 'A') { 'Allow' } else { 'Deny' }
# 継承フラグ（今回は OICI 前提）
$inherit = [System.Security.AccessControl.InheritanceFlags]'ContainerInherit,ObjectInherit'
# 権限（FA）
$rights = [System.Security.AccessControl.FileSystemRights]::FullControl

# SID を取り出す
$onPremSid = [regex]::Match($ace.Value,'S-1-5-21-[0-9\-]+').Value
# Entra グループを特定（onPremisesSecurityIdentifier 一致）
Connect-MgGraph -Scopes 'Group.Read.All'
$group = Get-MgGroup -Filter "onPremisesSecurityIdentifier eq '$onPremSid'"
# 正しい Add-AzFileAce（SDDLは使わない）
Add-AzFileAce -Context $context -FileShareName share -FilePath $filePath -Type $aceType -Principal $group.securityIdentifier `
-AccessRights $rights `
-InheritanceFlags $inherit

まとめ  Azure Files Cloud-Only Identitiesはクラウドシフトを真 剣に考えると、なかなかキビシイ現状だということがわかり ました。  ひとまずNTFS設定についてはAzureポータルでの挙動 が進化しました。エクスプローラーも近々進化するので しょうか？可能な範囲で試すか…。  グループのネスト(入れ子)が効きませんので、複雑なファ イルサーバー資産の移行には、再設計(単純化)が必要 なのかもしれません。