次の方法で共有

Azure ページ BLOB 接続文字列の保護

Important

2026 年 4 月の Windows Server 更新プログラムに含まれる Windows の今後の変更では、既定の Kerberos 暗号化の種類が RC4 から AES-SHA1 に変更されます。

AES-SHA1 にアップグレードされていない FSLogix コンテナーをホストするファイル共有は、この変更が適用された後にアクセスの問題が発生する可能性があります。 中断を回避するには、更新プログラムをインストールする前に、AES-SHA1 へのアップグレードを完了します。

AES-SHA1 にアップグレード済みの顧客は影響を受けません。

詳細については、FSLogix ブログを参照してください。 アクションが必要です。Windows Kerberos セキュリティ強化 (RC4) は、SMB ストレージ上の FSLogix プロファイルに影響する可能性があります

Azure ページ BLOB は、プロファイル コンテナーまたは ODFC コンテナーの Cloud Cache 構成で使用されます。 Cloud Cache は、REST API 経由で HTTPS プロトコルを使用して BLOB に接続します。 この接続には、接続文字列にフォーマットされたストレージ アカウントのアクセス キーが必要です。 この接続文字列を使用すると、ストレージ アカウント全体にアクセスできます。 この情報を知ると、考慮が必要なセキュリティリスクが露呈されることになります。

FSLogix は、frx コマンドライン ユーティリティを使用してこの情報を仮想マシンの Credential Manager ストアに追加することで、この情報を保護します。

前提条件

  • Azure ページ ブロブ ストレージ アカウントを作成する。
  • Azure PowerShell モジュールのインポートおよびインストール。
  • 最新バージョンの FSLogix のダウンロードおよびインストール
  • frx コマンド ライン ユーティリティ リファレンスの確認

Azure ページ BLOB ストレージ アカウントの接続文字列を検索する

  1. [スタート] を選択します。

  2. スタート メニューに直接入力powershellします。

  3. メニューから [管理者として実行] を選択します。

    PowerShell スタート

  4. Azure にサインインします。

    Connect-AzAccount

  5. Azure コンテキストに変更して、ストレージ アカウントを含むサブスクリプションに変更します。

    Set-AzContext -Subscription <subscription name or id>

  6. ストレージ アカウントの接続文字列を取得します。

    $ResourceGroupName = "<resource-group-name>"
$StorageAccountName = "<storage-account-name>"
$StorageAccount = Get-AzStorageAccount -ResourceGroupName $ResourceGroupName -Name $StorageAccountName
$ConnectionString = $StorageAccount.Context.ConnectionString

    PowerShell で接続文字列を取得する

資格情報マネージャーに Azure ページ BLOB 接続文字列を追加する

  1. Azure ページ BLOB ストレージ アカウントの接続文字列を検索する」で使用したものと同じ PowerShell セッションを使用します。

  2. frx コマンド add-secure-key使用して、資格情報マネージャーに接続文字列を追加します。

    & "C:\Program Files\FSLogix\Apps\frx.exe" add-secure-key -key <custom-key-name> -value $ConnectionString

  3. frx コマンド list-secure-key使用して、正常に追加されたことを確認します。

    & "C:\Program Files\FSLogix\Apps\frx.exe" list-secure-key

    powershell で安全なキーを追加し一覧化する

セキュリティで保護されたキーを CCDLocations で使用する

Cloud Cache では、CCDLocations を使用してストレージ プロバイダーの一覧を取得します。 Azure ページ BLOB の指定に使用される文字列は、特定の形式に従う必要があります。

  • type=azure,name=<optional-name>,connectionString="|fslogix/<key-name>|"

Credential Manager に保存されるキーは、|fslogix/<key-name>| を使用して参照する必要があります。接続文字列の一部は、frx コマンドライン ユーティリティを使用して作成された安全なキーに置き換えることになる場合があります。

Credential Manager から Azure ページ BLOB 接続文字列を削除する

  1. Azure ページ BLOB ストレージ アカウントの接続文字列を検索する」で使用したものと同じ PowerShell セッションを使用します。

  2. frx コマンド del-secure-key使用して、Credential Manager からセキュア キーを削除します。

    & "C:\Program Files\FSLogix\Apps\frx.exe" del-secure-key -key <custom-key-name>

  3. frx コマンド list-secure-key使用して、正常に削除されたことを確認します。

    & "C:\Program Files\FSLogix\Apps\frx.exe" list-secure-key
  • Last updated on