Azure Files SMBがMicrosoft Entra IDのみで認証可能に——Active Directory不要のクラウドネイティブIDが正式リリース

Microsoftは2026年5月19日、Azure Files SMBにおける「Entra-Only ID認証（Entra-Only identities）」の一般提供（GA）を発表した。Microsoft Entra IDをKerberos認証の主体として直接利用する仕組みで、オンプレミスのActive Directory（AD）、ハイブリッドID同期、マネージドドメインコントローラーのいずれも不要となる。追加費用は発生せず、HDD・SSD全シェア・全課金モデルで利用できる。

これまでの課題：ADが「クラウド化の壁」だった

Azure Filesへの移行を検討した企業がよく口にするのが「認証をどうするか」という問題だ。SMBプロトコルを使うファイル共有では、従来からWindowsのKerberos認証が前提となっており、その鍵配布センター（KDC）としてADが必須だった。

クラウドに移行しても、ADをオンプレミスに残すか、Azure AD Domain Services（現Microsoft Entra Domain Services）を立ち上げるか、いずれかのハイブリッド構成が必要だった。インフラチームが「ほぼクラウド化できたのに、ADだけ残っている」という状況は珍しくない。今回のGA発表は、その最後のブロッカーを正面から取り除くものだ。

何が変わったのか

Microsoft Entra IDがKDCになる

Entra-Only IDの核心は、Microsoft Entra IDがKerberos KDCの役割を直接担う点にある。クライアントはEntra IDに対して認証要求を出し、KerberosチケットをAzure Filesへのアクセスに使う。ADドメインへの参加は不要で、Entra参加済みのデバイスがあれば動作する。

ポータルからNTFSアクセス許可を設定できるように

従来、NTFS権限の設定にはドメイン参加済みクライアントからicaclsコマンドを叩く必要があった。今回のGAでは、Azureポータルから直接、ファイル・ディレクトリのACLをEntra-Onlyユーザー・グループに対して設定できるようになった。全リージョンで利用可能だ。

RBAC対応の拡充（限定リージョン）

共有レベルのRBAC（ロールベースアクセス制御）がEntra-Onlyユーザー・グループに対しても適用できるようになった。こちらは現時点では限定リージョンのみとなっており、対象リージョンは公式ドキュメントで確認が必要だ。

macOSクライアントへの拡張（限定プレビュー）

Platform SSOでEntra参加したmacOSクライアントからも、Entra-Only認証でAzure Filesにアクセスできる。クリエイティブ職や混在環境での運用を想定した機能で、現在は限定プレビューの位置づけだ。

Azure Virtual Desktop（AVD）とFSLogixへの影響

Entra-Only IDが最も直接的な価値を発揮するのがAzure Virtual Desktop（AVD）＋FSLogixの構成だ。

FSLogixはユーザーのプロファイルをAzure Filesのファイル共有に置いてセッションホストにマウントする。従来はこのマウントにAD認証が必要だったため、AVDをフルクラウド化したくても「FSLogixのためだけにADを維持する」という矛盾した構成を取らざるを得なかった。

Entra-Only IDによってこの制約が解消される。さらにB2B（ビジネス間連携）サポートが組み込まれており、外部パートナーが自社のEntraアカウントでFSLogixプロファイルを利用できる。ゲストアカウントを別途作る必要がなく、ID管理の二重化を防げる。

実務への影響：日本のIT現場で何が変わるか

ADのリタイア計画を具体化できる

オンプレミスADを段階的に廃止したい企業にとって、「Azure FilesがADなしで動く」という事実は計画の実現性を大きく高める。ハイブリッドID（AD + Entra ID同期）との共存もサポートされているため、移行期間中に両方を並行運用することも可能だ。

VPNを減らす正当な根拠が生まれる

Entra参加済みデバイスがあれば、VPNなしでAzure Filesへのリモートアクセスが成立する。「ファイルサーバーにアクセスするためにVPNを張らなければならない」という理由がひとつ消える。VPN廃止・縮小を検討している管理者には追い風だ。

IntuneとのID ライフサイクル統合

クライアント側のInture連携が組み込まれており、デバイスのコンプライアンス状態とファイルアクセス権を統合管理できる。退職者のアカウント失効・デバイス登録解除とファイル共有アクセスの無効化を一元的に扱えるのは、ID管理の工数削減に直結する。

追加コスト不要・既存シェアに適用可能

HDD・SSD共に、トランザクション最適化・ホット・クールのすべての課金モデルで追加費用なしに利用できる。既存のAzure Filesシェアに対して機能を有効化するだけで使えるため、新規リソースの作成も不要だ。

筆者の見解

ゼロトラスト推進の観点から言えば、このGAは「正しい方向への一歩」だ。ネットワーク境界を前提とした認証モデルの残滓であるオンプレミスADへの依存を、クラウドネイティブなID基盤で置き換えること——これはアーキテクチャとして筋が通っている。

Microsoft Entra IDがKDCを担うという設計は、エージェントやサービス間のID管理を将来的にEntraで一元化していく流れとも一致する。人間のアカウントだけでなく、Non-Human Identity（NHI）——サービスプリンシパル、マネージドID、ワークロードID——を含めたすべてのIDをEntraで管理できる世界に向けて、ファイル共有というレガシーなレイヤーをクラウドネイティブ化した意義は小さくない。

特に評価したいのが、ポータルからのNTFSアクセス許可管理だ。「権限設定にはドメイン参加済みWindowsクライアントが必要」という暗黙の前提は、AD移行の心理的ハードルをずっと高くしていた。その制約をポータルUIで破ったのは、運用担当者の実際の作業フローを理解している改善だ。

一方、RBAC対応が限定リージョンにとどまっている点は課題として残る。全機能が全リージョンで同時にGAされていれば評価はさらに高かった。エンタープライズ顧客が安心して本番適用するためには、リージョン展開の完了を待つ必要があるケースも出てくるだろう。Microsoftの実装力はここに及んでいるのだから、早期の全リージョン展開を期待したい。

VPNとオンプレミスADが組み合わさったハイブリッド構成は、運用コストと攻撃対象領域の両方を肥大化させる。Entra-Only IDがAzure Filesのデフォルト認証として広まることで、「ADを残さなければならない理由」がひとつずつ消えていく。その積み重ねが、日本の大企業が抱える「中途半端なゼロトラスト」を解消するきっかけになれば、と思っている。

出典: この記事は Azure Files Entra-Only identities: Advancing cloud-native identity and security の内容をもとに、筆者の見解を加えて独自に執筆したものです。