--- title: Azure Files Cloud-Only Identities移行を考える tags: #microsoftentra #azure #kerberos #active directory author: [chaboon](https://docswell.com/user/chaboon) site: [Docswell](https://www.docswell.com/) thumbnail: https://bcdn.docswell.com/page/Y76WY95G7V.jpg?width=480 description: .NETラボ 2026 03勉強会で発表した資料になります。オンプレミス環境からAzure Files Cloud-Only Identitiesへの移行の際に考えるべきコンセプトや設定方法と、その検証結果を記載しています。 published: March 25, 26 canonical: https://docswell.com/s/chaboon/ZX2YDY-Azure_Files_Cloud_Only_Identities_migraration_concept --- # Page. 1 ![Page Image](https://bcdn.docswell.com/page/Y76WY95G7V.jpg) .NETラボ 2026 03月勉強会 小鮒 通成 # Page. 2 ![Page Image](https://bcdn.docswell.com/page/G75MGNYX74.jpg) 自己紹介です  都内Sierに勤務し、Windows/MEID認証基盤のコンサ ル・設計・トラブルシュート・ブログ公開などをやっています。  Microsoft Q&Aで、ときどき回答しています。  商業誌でWindows記事の寄稿を行うことがあります。  MSMVP Directory Services→Enterprise Mobility →Securityを受賞しています(MVP受賞回数24回+α)。  秋葉原によく現れます。PCジャンク通りのパレットタウン移 転には驚きました…。 # Page. 3 ![Page Image](https://bcdn.docswell.com/page/9J29Y5GQER.jpg) Azure Filesとは  Windows File ServicesのフルマネージドPaaS  SMB(Server Message Block)  NFS(Network File System)  使用目的として  オンプレミスのファイル サーバーの置換または補完  アプリケーションの "リフトアンドシフト"  クラウド開発の簡略化(ログデータやInsight情報を取り出し やすくする)  コンテナー化 # Page. 4 ![Page Image](https://bcdn.docswell.com/page/DEY4GKVYJM.jpg) Azure Filesの認証  IDベース認証 (Kerberos)  オンプレミス Active Directory Domain Services  Microsoft Entra Domain Services  ハイブリッド ID/クラウド専用のMicrosoft Entra Kerberos  Linux クライアントの SMB 経由の Active Directory 認証  共有キー認証 (NTLMv2)  Azure ストレージ アカウント キー  ホストベース認証 (UNIX)  公開ホストキー # Page. 5 ![Page Image](https://bcdn.docswell.com/page/VJNYGRMR78.jpg) Azure Files Cloud-Only Identities  Azure FilesをEntra IDのみで認証認可する機能  NTFSアクセス許可もEntra IDグループでの指定  今まではActive Directoryグループでの指定のみ  Ignite 2025で発表 # Page. 6 ![Page Image](https://bcdn.docswell.com/page/YE9PWMNZJ3.jpg) Cloud-Only Identitiesユースケース  Entra Joinベースでのシンプルなファイルサービス  システムのミニマム化によるコスト減やトラブル減  VDIクライアントでのインターネットファイルサービス  クラウド専用VDI(AVD)での認証認可の一元化  グローバル企業における認証認可の最適化  ハイブリッドIDベースの情報差異によるトラブル撲滅  Cloud Native Identity with Azure Files: Entra-only Secure Access for the Modern Enterprise | Microsoft Community Hub # Page. 7 ![Page Image](https://bcdn.docswell.com/page/GE8DNLNYED.jpg) Cloud-Onlyへの移行いる?  ひとまずはHybrid Kerberosで「利用はでき る」  管理者の一括アクセス許可運用の是非  オンプレからクラウドのドメインコントローラーに 移行する  セキュリティが絶対的に脆弱 (昔ルール)  Defender for Identity併用はコスト高  リモートVPN温床は避けるべき # Page. 8 ![Page Image](https://bcdn.docswell.com/page/LELMPLP97R.jpg) Cloud-Only移行時の問題  アクセス許可の「付け替え」が必要  ドメインアカウントはドメインコントローラー撤去 で利用不能  付け替え技術は実はシンドイ  subinacl.exe 「ローカルグループ変換」  ADMT 「セキュリティの変換」 # Page. 9 ![Page Image](https://bcdn.docswell.com/page/4JMY4M4VJW.jpg) Cloud-Only 移行方針  Storage Moverでクラウドリフト  手動操作でクラウドシフト  クラウドベースをいったん追加  放置で問題確認  ドメインベースを段階的に削除  最後にドメインコントローラーを削除  Microsoftに推奨方法は紹介されていない。 # Page. 10 ![Page Image](https://bcdn.docswell.com/page/PJR9WVWW79.jpg) アクセス許可の設定 (GUI)の進化  Azureポータルから  https://aka.ms/portal/fileperms にアクセスは変わらない  [カスタム SID]からドメインアカウントの指定が可能になった # Page. 11 ![Page Image](https://bcdn.docswell.com/page/PEXQPZPVJX.jpg) エクスプローラー (26H1)の進化  クラウドベースでSID名前解決  マネージドID権限で強制設定が可能かも?試したい… # Page. 12 ![Page Image](https://bcdn.docswell.com/page/3EK9D8D5ED.jpg) 参考:マネージドIDへの移行方法  管理デバイスはAzure VM (Entra Join不要)  マネージドIDとの連携に必要  物理デバイスも可能だがAzure Arc登録が必要  マネージドIDへのロール割り当て  マネージドIDに[Storage File Data SMB MI Admin]ロール 役割を与える  マネージドIDによる管理アクセスセッションの生成 AzFilesSmbMIClient.exe refresh –uri https://chabcmk108mekhj.file.core.windows.net/ # Page. 13 ![Page Image](https://bcdn.docswell.com/page/L73WR2R175.jpg) アクセス許可の設定 (CUI) $AccountName = "chabcmk108mekhj" $AccountKey = “<アクセスキー>" $context = New-AzStorageContext -StorageAccountName $AccountName -StorageAccountKey $AccountKey $filePath = "/Group00" $SDDL = Get-AzFileAcl -Context $context -FileShareName share -FilePath $filePath # 対象 ACE から必要情報を抜く $ace = [regex]::Match($SDDL,'\((A|D);(OICI|CI|OI)?;FA;;;S-1-5-21-[0-9\-]+\)') $aceType = if ($ace.Groups[1].Value -eq 'A') { 'Allow' } else { 'Deny' } # 継承フラグ(今回は OICI 前提) $inherit = [System.Security.AccessControl.InheritanceFlags]'ContainerInherit,ObjectInherit' # 権限(FA) $rights = [System.Security.AccessControl.FileSystemRights]::FullControl # SID を取り出す $onPremSid = [regex]::Match($ace.Value,'S-1-5-21-[0-9\-]+').Value # Entra グループを特定(onPremisesSecurityIdentifier 一致) Connect-MgGraph -Scopes 'Group.Read.All' $group = Get-MgGroup -Filter "onPremisesSecurityIdentifier eq '$onPremSid'" # 正しい Add-AzFileAce(SDDLは使わない) Add-AzFileAce -Context $context -FileShareName share -FilePath $filePath -Type $aceType -Principal $group.securityIdentifier ` -AccessRights $rights ` -InheritanceFlags $inherit # Page. 14 ![Page Image](https://bcdn.docswell.com/page/87DKYZYKJG.jpg) まとめ  Azure Files Cloud-Only Identitiesはクラウドシフトを真 剣に考えると、なかなかキビシイ現状だということがわかり ました。  ひとまずNTFS設定についてはAzureポータルでの挙動 が進化しました。エクスプローラーも近々進化するので しょうか?可能な範囲で試すか…。  グループのネスト(入れ子)が効きませんので、複雑なファ イルサーバー資産の移行には、再設計(単純化)が必要 なのかもしれません。