Microsoft Entra ID で承認する

2025-03-27

Azure Storage は、BLOB、ファイル、キュー、および Table サービスに対する要求の ID ベースの承認のために Microsoft Entra ID と統合します。 Microsoft Entra ID を使用すると、ロールベースのアクセス制御 (RBAC) を使用して、BLOB、ファイル、キュー、テーブルのリソースへのアクセスをユーザー、グループ、またはアプリケーションに許可できます。個々のコンテナー、共有、キュー、またはテーブルのレベルをスコープとするアクセス許可を付与できます。

Azure Storage での Microsoft Entra ID 統合の詳細については、「 Microsoft Entra ID を使用して Azure BLOB とキューへのアクセスを承認する」を参照してください。

アプリケーションで Microsoft Entra ID を使用する利点の詳細については、「Microsoft ID プラットフォームとの統合」を参照してください。

大事な

最適なセキュリティを確保するために、Microsoft では、可能な限り、マネージド ID で Microsoft Entra ID を使用して、BLOB、キュー、テーブルデータに対する要求を承認することをお勧めします。 Microsoft Entra ID とマネージド ID を使用した承認は、共有キーの承認よりも優れたセキュリティと使いやすさを提供します。マネージド ID について詳しくは、「Azure リソースのマネージド ID とは」をご覧ください。

オンプレミスアプリケーションなど、Azure の外部でホストされているリソースの場合は、Azure Arc を介してマネージド ID を使用できます。たとえば、Azure Arc 対応サーバーで実行されているアプリでは、マネージド ID を使用して Azure サービスに接続できます。詳細については、「Azure Arc 対応サーバーでの Azure リソースに対して認証を行う」を参照してください。

Shared Access Signature (SAS) が使用されるシナリオでは、ユーザー委任 SAS を使用することをお勧めします。ユーザー委任 SAS は、アカウントキーではなく Microsoft Entra 資格情報で保護されます。 Shared Access Signature の詳細については、「ユーザー委任 SAS の作成」を参照してください。

認証に OAuth アクセストークンを使用する

Azure Storage は、ストレージアカウントを含むサブスクリプションに関連付けられている Microsoft Entra テナントからの OAuth 2.0 アクセストークンを受け入れます。 Azure Storage では、次のアクセストークンを受け入れます。

ユーザーとグループ
サービスプリンシパル
Azure リソースのマネージド ID
ユーザーによって委任されたアクセス許可を使用するアプリケーション

Azure Storage では、 user_impersonation という名前の単一の委任スコープが公開されます。このスコープにより、アプリケーションはユーザーが許可するアクションを実行できます。

Azure Storage のトークンを要求するには、リソース ID に https://storage.azure.com/ 値を指定します。リソース ID の詳細については、 Microsoft ID プラットフォームのスコープ、アクセス許可、および同意に関するページを参照してください。

ユーザーとサービスプリンシパルの Microsoft Entra ID からアクセストークンを要求する方法の詳細については、「認証フローとアプリケーションシナリオ」を参照してください。

マネージド ID で構成されたリソースのアクセストークンの要求の詳細については、「 Azure VM 上の Azure リソースのマネージド ID を使用してアクセストークンを取得する方法」を参照してください。

OAuth トークンを使用してストレージ操作を呼び出す

OAuth アクセストークンを使用して BLOB、ファイル、キュー、および Table サービス操作を呼び出すには、Bearer スキームを使用して Authorization ヘッダーでアクセストークンを渡し、次の例に示すように、2017-11-09 (ファイルリソースとディレクトリリソースに対する操作の場合は 2022-11-02、FileService リソースと FileShare リソースに対する操作には 2024-11-04) 以上のサービスバージョンを指定します。

Request:
GET /container/file.txt
x-ms-version: 2017-11-09
Authorization: Bearer eyJ0eXAiO...V09ccgQ
User-Agent: PostmanRuntime/7.6.0
Accept: */*
Host: sampleoautheast2.blob.core.windows.net
accept-encoding: gzip, deflate

Response:
HTTP/1.1 200
status: 200
Content-Length: 28
Content-Type: text/plain
Content-MD5: dxG7IgOBzApXPcGHxGg5SA==
Last-Modified: Wed, 30 Jan 2019 07:21:32 GMT
Accept-Ranges: bytes
ETag: "0x8D686838F9E8BA7"
Server: Windows-Azure-Blob/1.0 Microsoft-HTTPAPI/2.0
x-ms-request-id: 09f31964-e01e-00a3-8066-d4e6c2000000
x-ms-version: 2017-11-09
x-ms-creation-time: Wed, 29 Aug 2018 04:22:47 GMT
x-ms-lease-status: unlocked
x-ms-lease-state: available
x-ms-blob-type: BlockBlob
x-ms-server-encrypted: true
Date: Wed, 06 Mar 2019 21:50:50 GMT
Welcome to Azure Storage!!

ベアラーチャレンジ

ベアラーチャレンジは OAuth プロトコル RFC 6750 の一部であり、機関の検出に使用されます。 BLOB サービスへの匿名要求の場合、または無効な OAuth ベアラートークンを使用して行われた要求の場合、サーバーは ID プロバイダーとリソース情報を含む状態コード 401 (Unauthorized) を返します。 Microsoft Entra ID による認証時にこれらの値を使用する方法については、リンクを参照してください。

Azure Storage BLOB サービスと Queue サービスは、バージョン 2019-12-12 以降のベアラーチャレンジを返します。 Azure Storage Table Service は、バージョン 2020-12-06 以降のベアラーチャレンジを返します。 Azure Data Lake Storage Gen2 は、バージョン 2017-11-09 以降のベアラーチャレンジを返します。 Azure File サービスは、バージョン 2022-11-02 以降のベアラーチャレンジを返します。

匿名読み取り要求への応答

Blob Storage が匿名要求を受信すると、次の条件がすべて満たされた場合、その要求は成功します。

ストレージアカウントに対して匿名パブリックアクセスが許可されます。
コンテナーは、匿名のパブリックアクセスを許可するように構成されています。
要求は読み取りアクセス用です。

これらの条件のいずれかが true でない場合、要求は失敗します。エラーに対する応答コードは、ベアラーチャレンジをサポートするサービスのバージョンで匿名要求が行われたかどうかによって異なります。ベアラーチャレンジは、サービスバージョン 2019-12-12 以降でサポートされています。

ベアラーチャレンジをサポートするサービスバージョンで匿名要求が行われた場合、サービスはエラーコード 401 (Unauthorized) を返します。
ベアラーチャレンジをサポートしていないサービスバージョンで匿名要求が行われ、ストレージアカウントに対して匿名パブリックアクセスが許可されていない場合、サービスはエラーコード 409 (競合) を返します。
ベアラーチャレンジをサポートしていないサービスバージョンで匿名要求が行われ、ストレージアカウントに対して匿名パブリックアクセスが許可されている場合、サービスはエラーコード 404 (Not Found) を返します。

ベアラーチャレンジの詳細については、「ベアラーチャレンジ」を参照してください。

ベアラーチャレンジへの応答のサンプル

クライアント要求に匿名ダウンロード BLOB 要求にベアラートークンが含まれていない場合のベアラーチャレンジ応答の例を次に示します。

Request:
GET /container/file.txt
x-ms-version: 2019-12-12
Host: sampleoautheast2.blob.core.windows.net

Response:
HTTP/1.1 401 Unauthorized
WWW-Authenticate: Bearer authorization_uri=https://login.microsoftonline.com/<tenant_id>/oauth2/authorize resource_id=https://storage.azure.com

<?xml version="1.0" encoding="utf-8"?>
<Error>
    <Code>NoAuthenticationInformation</Code>
    <Message>Server failed to authenticate the request. Please refer to the information in the www-authenticate header.
RequestId:ec4f02d7-1003-0006-21f9-c55bc8000000
Time:2020-01-08T08:01:46.2063459Z</Message>
</Error>

パラメーター形容

authorization_uri 承認サーバーの URI (物理エンドポイント)。この値は、探索エンドポイントからサーバーに関する詳細情報を取得するための参照キーとしても使用されます。クライアントは、承認サーバーが信頼されていることを検証する必要があります。リソースが Microsoft Entra ID によって保護されている場合は、URL が Microsoft Entra ID でサポートされている https://login.microsoftonline.com またはその他のホスト名で始まるかどうかを確認するだけで十分です。テナント固有のリソースは、常にテナント固有の承認 URI を返す必要があります。

resource_id リソースの一意識別子を返します。クライアントアプリケーションは、リソースのアクセストークンを要求するときに、リソースパラメーターの値としてこの識別子を使用できます。クライアントアプリケーションでこの値を確認することが重要です。そうしないと、悪意のあるサービスが特権昇格攻撃を誘発する可能性があります。攻撃を防ぐための推奨される戦略は、resource_idがアクセスされる Web API URL のベースと一致することを確認することです。 Azure Storage リソース ID が https://storage.azure.com。

パラメーター	形容
authorization_uri	承認サーバーの URI (物理エンドポイント)。この値は、探索エンドポイントからサーバーに関する詳細情報を取得するための参照キーとしても使用されます。クライアントは、承認サーバーが信頼されていることを検証する必要があります。リソースが Microsoft Entra ID によって保護されている場合は、URL が Microsoft Entra ID でサポートされている `https://login.microsoftonline.com` またはその他のホスト名で始まるかどうかを確認するだけで十分です。テナント固有のリソースは、常にテナント固有の承認 URI を返す必要があります。
resource_id	リソースの一意識別子を返します。クライアントアプリケーションは、リソースのアクセストークンを要求するときに、リソースパラメーターの値としてこの識別子を使用できます。クライアントアプリケーションでこの値を確認することが重要です。そうしないと、悪意のあるサービスが特権昇格攻撃を誘発する可能性があります。攻撃を防ぐための推奨される戦略は、resource_idがアクセスされる Web API URL のベースと一致することを確認することです。 Azure Storage リソース ID が `https://storage.azure.com`。

RBAC を使用してアクセス権を管理する

Microsoft Entra ID は、RBAC を介してセキュリティで保護されたリソースへのアクセスの承認を処理します。 RBAC を使用すると、ユーザー、グループ、またはサービスプリンシパルにロールを割り当てることができます。各ロールには、リソースのアクセス許可のセットが含まれます。ロールがユーザー、グループ、またはサービスプリンシパルに割り当てられると、そのリソースにアクセスできます。アクセス権は、Azure portal、Azure コマンドラインツール、および Azure Management API を使用して割り当てることができます。 RBAC の詳細については、「 Role-Based アクセス制御の概要」を参照してください。

Azure Storage の場合、ストレージアカウント内のコンテナーまたはキュー内のデータへのアクセス権を付与できます。 Azure Storage には、Microsoft Entra ID で使用するために、次の組み込みの RBAC ロールが用意されています。

Azure Storage に対して組み込みロールを定義する方法の詳細については、「Azure リソースのロール定義について」を参照してください。

BLOB ストレージと Azure キューで使用するカスタムロールを定義することもできます。詳細については、「 Azure Role-Based Access Control のカスタムロールを作成する」を参照してください。

データ操作を呼び出すためのアクセス許可

次の表では、Microsoft Entra ユーザー、グループ、マネージド ID、またはサービスプリンシパルが特定の Azure Storage 操作を呼び出すために必要なアクセス許可について説明します。クライアントが特定の操作を呼び出せるようにするには、クライアントの割り当てられた RBAC ロールがその操作に対して十分なアクセス許可を提供していることを確認します。

BLOB サービス操作のアクセス許可

BLOB サービス操作	RBAC アクション
コンテナーの一覧表示	Microsoft.Storage/storageAccounts/blobServices/containers/read (ストレージアカウント以上のスコープ)
Blob Service のプロパティを設定する	Microsoft.Storage/storageAccounts/blobServices/write
Blob Service のプロパティを取得する	Microsoft.Storage/storageAccounts/blobServices/read
BLOB の要求のプレフライト	アノニマス
Blob Service の統計を取得する	Microsoft.Storage/storageAccounts/blobServices/read
アカウント情報の取得	Microsoft.Storage/storageAccounts/blobServices/getInfo/action
ユーザー委任キーを取得する	Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action
コンテナーの作成	Microsoft.Storage/storageAccounts/blobServices/containers/write
コンテナーのプロパティの取得	Microsoft.Storage/storageAccounts/blobServices/containers/read
コンテナーメタデータを取得する	Microsoft.Storage/storageAccounts/blobServices/containers/read
コンテナーメタデータを設定する	Microsoft.Storage/storageAccounts/blobServices/containers/write
コンテナー ACL の取得	Microsoft.Storage/storageAccounts/blobServices/containers/getAcl/action
コンテナー ACL の設定	Microsoft.Storage/storageAccounts/blobServices/containers/setAcl/action
リースコンテナー	Microsoft.Storage/storageAccounts/blobServices/containers/write
コンテナーの削除	Microsoft.Storage/storageAccounts/blobServices/containers/delete
コンテナーを復元する	Microsoft.Storage/storageAccounts/blobServices/containers/write
BLOB を一覧表示する	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
コンテナー内のタグで BLOB を検索する	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action
Blob を配置	作成または置換の場合: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write 新しい BLOB を作成するには: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
URL から BLOB を配置する	作成または置換の場合: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write 新しい BLOB を作成するには: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
BLOB を取得する	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
BLOB のプロパティを取得する	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Blobプロパティを設定する	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
BLOB メタデータを取得する	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
BLOB メタデータの設定	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
BLOB タグの取得	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
BLOB タグの設定	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
タグによる BLOB の検索	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action
リース BLOB	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
スナップショットブロブ	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write or Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
ブロブをコピー	宛先 BLOB の場合: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write または Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action (新しい BLOB を宛先に書き込む場合) 同じストレージアカウント内のソース BLOB の場合: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read 別のストレージアカウント内のソース BLOB の場合: 匿名として使用するか、有効な SAS トークンを含めます
URL から BLOB をコピーする	宛先 BLOB の場合: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write または Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action (新しい BLOB を宛先に書き込む場合) 同じストレージアカウント内のソース BLOB の場合: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read 別のストレージアカウント内のソース BLOB の場合: 匿名として使用するか、有効な SAS トークンを含めます
BLOB のコピーを中止する	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
BLOB の削除	Microsoft.Storage/storageAccounts/blobServices/containers/blob/delete
BLOB の削除の取り消し	Microsoft.Storage/storageAccounts/blobServices/containers/write
BLOB 層の設定	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
ブロブバッチ	親要求: Microsoft.Storage/storageAccounts/blobServices/containers/write サブ要求: その要求の種類のアクセス許可を確認します。
不変ポリシーを設定する	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/immutableStorage/runAsSuperUser/action
不変ポリシーの削除	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/immutableStorage/runAsSuperUser/action
BLOB 訴訟ホールドの設定	Microsoft.Storage/storageAccounts/blobServices/containers/write
ブロックを置く	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
URL からブロックを配置する	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
ブロックリストの配置	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
ブロックリストの取得	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
クエリ BLOB の内容	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
ページを置く	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
URL からページを配置する	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
ページ範囲の取得	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
インクリメンタルコピー BLOB	宛先 BLOB の場合: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write ソース BLOB の場合: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read 新しい BLOB の場合: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
ブロックの追加	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write または Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
URL からブロックを追加	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write または Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
BLOB の有効期限を設定する	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write

Queue サービス操作のアクセス許可

キューサービス操作	RBAC アクション
キューの一覧表示	Microsoft.Storage/storageAccounts/queueServices/queues/read (ストレージアカウント以上のスコープ)
キューサービスのプロパティを設定する	Microsoft.Storage/storageAccounts/queueServices/read
キューサービスのプロパティを取得する	Microsoft.Storage/storageAccounts/queueServices/read
プリフライトキュー要求	アノニマス
キューサービスの統計を取得する	Microsoft.Storage/storageAccounts/queueServices/read
キューの作成	Microsoft.Storage/storageAccounts/queueServices/queues/write
キューの削除	Microsoft.Storage/storageAccounts/queueServices/queues/delete
キューメタデータを取得する	Microsoft.Storage/storageAccounts/queueServices/queues/read (英語)
キューメタデータの設定	Microsoft.Storage/storageAccounts/queueServices/queues/write
キュー ACL を取得する	Microsoft.Storage/storageAccounts/queueServices/queues/getAcl/action
キュー ACL の設定の	Microsoft.Storage/storageAccounts/queueServices/queues/setAcl/action
メッセージの配置	Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action または Microsoft.Storage/storageAccounts/queueServices/queues/messages/write
メッセージを取得する	Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action or (Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete および Microsoft.Storage/storageAccounts/queueServices/queues/messages/read)
メッセージをピークする	Microsoft.Storage/storageAccounts/queueServices/queues/messages/read (英語)
メッセージの削除	Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action または Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete
メッセージのクリア	Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete
メッセージの更新	Microsoft.Storage/storageAccounts/queueServices/queues/messages/write

Table service 操作のアクセス許可

Table service 操作	RBAC アクション
Table Service プロパティの設定	Microsoft.Storage/storageAccounts/tableServices/write
Table Service のプロパティを取得する	Microsoft.Storage/storageAccounts/tableServices/read
プレフライトテーブル要求	アノニマス
「Get Table Service Stats」(Table Service の統計情報を取得する)	Microsoft.Storage/storageAccounts/tableServices/read
エンティティグループトランザクションの実行	サブ操作が個別に承認される
クエリテーブル	Microsoft.Storage/storageAccounts/tableServices/tables/read (ストレージアカウント以上のスコープ)
CREATE TABLE	Microsoft.Storage/storageAccounts/tableServices/tables/write
テーブルの削除	Microsoft.Storage/storageAccounts/tableServices/tables/delete
テーブル ACL を取得する	Microsoft.Storage/storageAccounts/tableServices/tables/getAcl/action
テーブル ACL の設定の	Microsoft.Storage/storageAccounts/tableServices/tables/setAcl/action
クエリエンティティ	Microsoft.Storage/storageAccounts/tableServices/tables/entities/read
エンティティの挿入	Microsoft.Storage/storageAccounts/tableServices/tables/entities/write または Microsoft.Storage/storageAccounts/tableServices/tables/entities/add/action
エンティティの挿入またはマージ	Microsoft.Storage/storageAccounts/tableServices/tables/entities/write または (Microsoft.Storage/storageAccounts/tableServices/tables/entities/add/action および Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action)
エンティティの挿入または置換	Microsoft.Storage/storageAccounts/tableServices/tables/entities/write または (Microsoft.Storage/storageAccounts/tableServices/tables/entities/add/action および Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action)
エンティティの更新	Microsoft.Storage/storageAccounts/tableServices/tables/entities/write または Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action
マージエンティティ	Microsoft.Storage/storageAccounts/tableServices/tables/entities/write または Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action
エンティティの削除	Microsoft.Storage/storageAccounts/tableServices/tables/entities/delete

ファイルサービス操作のアクセス許可

ファイルサービス操作	RBAC アクション
ファイルサービスのプロパティを取得する	Microsoft.Storage/storageAccounts/fileServices/read
ファイルサービスのプロパティを設定する	Microsoft.Storage/storageAccounts/fileServices/write
プレフライトファイル要求	アノニマス
共有を一覧表示する	Microsoft.Storage/storageAccounts/fileServices/shares/read
共有の作成	Microsoft.Storage/storageAccounts/fileServices/shares/write
スナップショット共有	Microsoft.Storage/storageAccounts/fileServices/shares/write
共有プロパティを取得する	Microsoft.Storage/storageAccounts/fileServices/shares/read
共有プロパティの設定	Microsoft.Storage/storageAccounts/fileServices/shares/write
共有メタデータを取得する	Microsoft.Storage/storageAccounts/fileServices/shares/read
共有メタデータの設定	Microsoft.Storage/storageAccounts/fileServices/shares/write
共有の削除	Microsoft.Storage/storageAccounts/fileServices/shares/delete
共有の復元	Microsoft.Storage/storageAccounts/fileServices/shares/restore/action
共有 ACL を取得する	Microsoft.Storage/storageAccounts/fileServices/shares/read
共有 ACL の設定	Microsoft.Storage/storageAccounts/fileServices/shares/write
共有統計を取得する	Microsoft.Storage/storageAccounts/fileServices/shares/read
リース共有	Microsoft.Storage/storageAccounts/fileServices/shares/lease/action
アクセス許可の作成	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/modifypermissions/action と Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
アクセス許可の取得	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read と Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
ディレクトリとファイルの一覧	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read と Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
ディレクトリの作成	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write と Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
ディレクトリプロパティの取得	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read と Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
ディレクトリプロパティの設定	x-ms-file-permission または x-ms-file-permission-key が HTTP 要求ヘッダーに含まれている場合、Microsoft.Storage/storageAccounts/fileServices/fileServices/writeFileBackupSemantics/action と Microsoft.Storage/storageAccounts/fileServices/fileShares/files/modifypermissions/action。
ディレクトリの削除	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write と Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
ディレクトリメタデータの設定	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read と Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
ディレクトリのメタデータの設定	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write と Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
ディレクトリの名前を変更する	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write と Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
ファイルの作成	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write と Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
ファイルの取得	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read と Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
ファイルのプロパティを取得する	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read と Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
ファイルプロパティの設定	x-ms-file-permission または x-ms-file-permission-key が HTTP 要求ヘッダーに含まれている場合、Microsoft.Storage/storageAccounts/fileServices/fileServices/writeFileBackupSemantics/action と Microsoft.Storage/storageAccounts/fileServices/fileShares/files/modifypermissions/action。
配置範囲の	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write と Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
URL から範囲を入力する	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write と Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
リスト範囲	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read と Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
ファイルメタデータの取得	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read と Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
ファイルメタデータの設定	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write と Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
ファイルの削除	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write と Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
ファイルのコピー	x-ms-file-permission または x-ms-file-permission-key が HTTP 要求ヘッダーに含まれている場合、Microsoft.Storage/storageAccounts/fileServices/fileServices/writeFileBackupSemantics/action と Microsoft.Storage/storageAccounts/fileServices/fileShares/files/modifypermissions/action。
ファイルのコピーの中止	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write と Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
リストハンドル	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read と Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
ハンドルを強制的に閉じる	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write と Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
リースファイル	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write と Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
ファイル名の変更	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write と Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action

次の方法で共有

Microsoft Entra ID で承認する

認証に OAuth アクセス トークンを使用する

OAuth トークンを使用してストレージ操作を呼び出す

ベアラー チャレンジ