構成された Azure Files 共有を作成および管理する

Avatar
Nerdio Product Support

構成された Azure Files 共有を作成および管理する

Azure Files ページには、構成されたおよびリンクされたすべての Azure Files 共有のリストが含まれています。Azure Files 共有に対して、作成、リンク、管理など、さまざまな操作を実行できます。これには、自動スケール、リンク解除、権限の設定および変更、ファイルハンドルの閉鎖、Azure Files UNC パスのコピーなどのオプションが含まれます。

既存の Azure Files ファイル共有にリンクする

Nerdio Manager では、既存の Azure Files 共有にリンクできます。

既存の Azure Files ファイル共有にリンクするには:

  1. [<b>ストレージ</b>] > [<b>Azure Files</b>] に移動します。

  2. Link Azure Files」を選択します。

  3. 次の情報を入力します:

    • ストレージアカウント: ドロップダウンリストからストレージアカウントを選択します。

    • ファイル共有: ドロップダウンリストからファイル共有を選択します。

  4. すべての希望する情報を入力したら、[OK] を選択します。

数秒後、Azure Files 共有が Nerdio Manager に追加されます。

新しい Azure Files 共有および/またはストレージアカウントを作成する

Nerdio Manager では、新しい Azure Files 共有および/またはストレージアカウントを作成できます。

ネットワーク要件

Azure Files 共有への適切な接続を確保するために、次のポートが開いていることを確認してください。

追加のポートは、Azure Government環境に適用される場合があります。

ポート

プロトコル

目的

53

TCP/UDP

Active Directory の DNS 名解決

88

TCP/UDP

Kerberos 認証 (AD DS 統合用)

135

TCPRPC

エンドポイント マッパー (AD DS 統合用)

389

TCP/UDP

ドメインコントローラー通信のための LDAP (AD DS 統合用)

443

TCPHTTPS

REST API アクセス、Azure File 同期、SMB over QUIC

445

TCP

SMB ファイルアクセス

636

TCP

セキュア LDAP (LDAPS)

2049

TCP

NFS プロトコルアクセス

3268

TCP

グローバルカタログ (LDAP)

3269

TCP

セキュアグローバルカタログ (LDAPS)

1 - 128

TCP

RPC ダイナミックポート (AD DS 統合用)

新しい Azure Files ファイル共有および/またはストレージアカウントを作成するには:

  1. [<b>ストレージ</b>] > [<b>Azure Files</b>] に移動します。

  2. Azure Files の追加を選択します。

  3. 次の情報を入力します:

    • ストレージアカウント: ドロップダウンリストからストレージアカウントを選択します。

    • ストレージアカウントの説明: ストレージアカウントの説明を入力してください。

    • パフォーマンス: ドロップダウンリストからファイル共有のパフォーマンスレベルを選択してください。

      注意: プレミアムストレージアカウントはソリッドステートドライブによってサポートされ、一貫した低遅延のパフォーマンスを提供します。これらは Azure 仮想マシンディスクでのみ使用でき、データベースなどの I/O 集中型アプリケーションに最適です。さらに、すべてのディスクにプレミアムストレージを使用する仮想マシンは、可用性セット外で実行されている場合でも 99.9% の SLA の対象となります。この設定は、ストレージアカウントの作成後には変更できません。

    • ヒント: 最適なユーザーエクスペリエンスを得るために、Premium を選択することを強くお勧めします。

    • レプリケーション: ドロップダウンリストからストレージレプリケーションのタイプを選択します。

      注意: 詳細については Azure Storage 冗長性 を参照してください。

    • ファイル共有名: 共有の名前を入力してください。

    • ファイル共有の説明: 共有の説明を入力してください。

    • プロビジョニング済み容量 (GiB): プロビジョニング済み容量のサイズを入力します。

  4. ストレージアカウント構成 セクションに次の情報を入力してください:

    • 共有レベルのアクセス許可: ストレージアカウントのデフォルトの共有レベルのアクセス許可を設定するには、このオプションを選択します。

      注:

      • SMB Share Contributor 権限を使用すると、認証されたすべてのユーザーに共有への読み取り / 書き込みアクセスを許可できます。

      • SMB Share Reader を使用すると、認証されたすべてのユーザーに共有への読み取り専用アクセスを許可できます (例: MSIX App Attach)。

      詳しくは、認証されたすべてのアイデンティティの共有レベルのアクセス許可を参照してください。

    • AD または Entra ID に参加: このオプションを選択し、ドロップダウンリストから Entra ID または AD プロファイルを選択して、共有に直接参加します。

    • コンピューター参加型ファイル共有を作成: このオプションを選択して、ユーザーオブジェクトまたはコンピューターオブジェクトを Active Directory に作成することで、Azure Files ストレージアカウントを AD に参加させます。

      ドメイン参加プロセスにはユーザーオブジェクトを使用することをお勧めします。このアカウントを無効化または削除したり、パスワードをリセットしたりするポリシーが有効になっていないことを確認してください。コンピューターオブジェクトを選択する場合は、このアカウントが自動クリーンアッププロセスから除外されていることを確認してください。すべてのファイル共有は AES256 暗号化を有効にした状態で作成されます。

    • SMB マルチチャネルを有効にする: 有効にするには選択します。

      注意: Azure Files SMB Multichannel を使用すると、クライアントは複数のネットワーク接続を利用してパフォーマンスを向上できます。複数の NIC による帯域幅の集約と、NIC の Receive Side Scaling (RSS) サポートを利用して I/O 負荷を複数の CPU に分散することで、パフォーマンスが向上します。

  5. ファイル共有設定 セクションに次の情報を入力します:

    • アクセス許可 (SMB 共有共同作成者): 共有に対して Storage File Data SMB Share 共同作成者ロールを持つユーザーやグループを指定します。

    • ホストプールからユーザー/グループを追加する: ドロップダウンリストから、これらのホストプールに現在割り当てられている 1 つ以上のユーザー/グループを選択し、共有に対する Storage File Data SMB Share Contributor ロールを付与します。

    • 注意: Azure Files 共有を FSLogix プロファイルおよび MSIX App Attach イメージのストレージ場所として使用するには、ストレージアカウントを Active Directory、Entra Domain Services、または Entra ID と統合する必要があります。ストレージアカウントを AD または Entra ID に参加させないことを選択した場合でも、後で参加させることができます。ストレージアカウントを AD に参加させると、一時 VM が作成され、AD プロファイルの資格情報を使用して、選択した AD にストレージアカウントがコンピューターオブジェクトとして追加されます。ストレージアカウントを Entra Domain Services と統合すると、Azure で適切なフラグが設定されます。ドメイン参加済みの一時 VM を作成し、AES-256 暗号化を有効にするには、Entra Domain Services 管理者プロファイルの資格情報が必要です。ストレージアカウントを Entra ID に参加させると、必要なアプリ登録が作成され、必要な承諾を付与するオプションが表示されます。

    • NTFS ファイルレベルのアクセス許可を割り当てる: 新しく作成したファイル共有に NTFS ファイルレベルのアクセス許可を割り当てるには、このオプションを選択します。

      注:

      • これは、上記で選択した Azure RBAC ロールの割り当てに加えて行われます。

      • このオプションでは、アクセス許可の割り当てタスクを実行するための一時 VM が自動的に作成されます。

      • 新しい Azure Files 共有で使用される既定のファイル アクセス許可に関する情報については、Microsoft の 記事をご覧ください。

      • App Attach: 共有内のサブディレクトリに認証されたユーザーに読み取り権限を付与するには、このオプションを選択します。App Attach アプリケーションを含む共有に推奨されます。

      • FSLogix: 共有内のルートディレクトリに対する変更権限を認証されたユーザーに付与し、FSLogix プロファイルフォルダーを作成できるようにするには、このオプションを選択します。

        FSLogix プロファイルを含む共有に推奨されます。

  6. 詳細設定を表示: Azure Files を Active Directory に参加させるために、Nerdio Manager 一時 VM を作成して操作を実行します。この一時 VM に使用する設定を選択します。

    ヒント: 一時 VM を作成する際には、Nerdio Manager に既定の設定を使用することを強くお勧めします。つまり、詳細設定を使用しないことをお勧めします。

  7. タグを適用:任意で、Azure Files 共有に適用する Azure タグの 名前 を入力します。

  8. OK を選択して設定を保存します。

    注: 複数のタグを指定できます。Azure リソースの整理にタグを使用する方法の詳細については、Microsoft の記事を参照してください。

構成された Azure Files ファイル共有を管理する

Nerdio Manager では、既存の Azure Files ファイル共有を管理できます。

構成された Azure Files ファイル共有を管理するには:

  1. [<b>ストレージ</b>] > [<b>Azure Files</b>] に移動します。

  2. 管理したい Azure Files ファイル共有を見つけてください。

  3. アクションメニューでは、次の機能を実行できます:

    • ストレージアカウントを管理する:Entra ID ホストサポートを有効にできます。詳細については、Entra ID 参加ホストのサポートを有効にします。を参照してください。

    • 自動スケール:詳細については、Azure Files Premium 向け Auto-scaleを参照してください。

    • ファイルハンドル:ファイルのロックを解除する/オープンファイルハンドルを閉じる。

    • FSLogix プロファイルを強制的に収集する:これは、すべてのリンクされたファイル共有で FSLogix データの収集を強制します。

    • UNC パスをコピーする:UNC パスをクリップボードにコピーします。

    • リンク解除する:Nerdio Managerから Azure Files ファイル共有を削除します。

    • FSLogix プロファイルを削除する:選択した FSLogix プロファイルを削除します。

    • FSLogix プロファイルを復元する:以前に削除された、選択した FSLogix プロファイルを復元します。

  4. アクションメニューから、管理を選択して、Azure Files ファイル共有のパラメータと権限を変更します。

FSLogix データを一括収集するには:

Nerdio Managerを使用すると、複数のファイル共有を選択でき、FSLogix データをオンデマンドで一括収集できます。

  1. [<b>ストレージ</b>] > [<b>Azure Files</b>] に移動します。

  2. FSLogix データを収集したいファイル共有を選択してください。

  3. 一括アクションメニューから、選択したファイル共有 (x) の FSLogix プロファイルを強制的に収集するを選択します。

    注意:(x)は、一括アクションが適用される Azure Files 共有の数を示します。この例では、4 つの Azure Files 共有が選択されています。

Entra ID 参加ホストのサポートを有効にします。

Entra ID に参加しているホストは、アプリ配信の選択肢が広がる App Attach アプリを利用できるようになりました。

前提条件

役立つ情報

App Attachは、以下のアイデンティティプロバイダーをサポートしています:

  • Microsoft Entra ID

  • Active Directory Domain Services(AD DS)

既定のファイル共有 NTFS 権限:

  • BUILTIN\Administrators:(OI)(CI)(F)

  • BUILTIN\Users:(RX)

  • BUILTIN\Users:(OI)(CI)(IO)(GR,GE)

  • NT AUTHORITY\Authenticated Users:(OI)(CI)(M)

  • NT AUTHORITY\SYSTEM:(OI)(CI)(F)

  • NT AUTHORITY\SYSTEM:(F)

  • CREATOR OWNER:(OI)(CI)(IO)(F)

App Attach のファイル共有 NTFS 権限:

  • BUILTIN\Users:(RX)

  • BUILTIN\Users:(OI)(CI)(IO)(GR,GE)

  • NT AUTHORITY\Authenticated Users:(OI)(CI)(M)

  • CREATOR OWNER:(OI)(CI)(IO)(F)

使用領域

App Attachを使用するホストはMicrosoft Entra IDに参加しています。

そのようなホストで App Attach を利用するための唯一の必須条件は、App Attach イメージを格納するストレージアカウントが同じサブスクリプション内にあり、Reader および Data Access ロールが Azure Virtual Desktop および Windows Virtual Desktop ARM Provider のメンバーに割り当てられていることです。ストレージアカウントは、任意のアイデンティティプロバイダー(Microsoft Entra ID、AD DS)と統合することも、まったく統合しないこともできます。

App Attachを使用するホストはAD DSに参加しています。

必須条件:

  • App Attach イメージを格納するストレージアカウントは、AD DS に参加しています。

  • App Attach NTFS 権限はファイル共有に設定されています。

  • 共有レベルの権限が設定されています。

共有レベルの権限設定のバリエーション:

  • すべての認証されたアイデンティティに対する読み取り専用アクセス既定の共有レベル権限で、ストレージアカウント上のすべての認証されたアイデンティティに、少なくとも Storage File Data SMB Share Reader ロールが割り当てられています。

  • ドメインコンピュータに対する読み取り専用アクセス

    1. Active Directory で、ADConnect を使用して Entra ID に同期されている組織単位 (OU) に新しいグローバルセキュリティグループを作成します。

    2. ドメインコンピュータを新しいグループに追加します。

    3. Azure ポータルのアクセス制御を通じて、少なくとも Storage File Data SMB Share Reader ロールを持つ新しく作成されたセキュリティグループをファイル共有に追加します。

  • いくつかのカスタム設定。

関連トピック

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています
他にご質問がございましたら、リクエストを送信してください

関連記事

コメント (0件のコメント)

サインインしてコメントを残してください。