Azure SQL 用 Microsoft Entra ID のディレクトリ閲覧者ロール
適用対象: Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics
Microsoft Entra ID (旧称 Azure Active Directory) では、グループを使用してロールの割り当てを管理する方法が導入されています。 これにより、Microsoft Entra ロールをグループに割り当てることができます。
Note
Microsoft Graph の Azure SQL サポートを使用すると、ディレクトリ閲覧者ロールを下位レベルのアクセス許可を使用して置き換えることができます。 詳細については、「Azure SQL の Microsoft Entra でのユーザー割り当てマネージド ID」を参照してください。
Azure SQL Database、Azure SQL Managed Instance、または Azure Synapse Analytics に対してマネージド ID を有効にする場合、Microsoft Graph API に対する読み取りアクセスを許可するには Microsoft Entra ディレクトリ閲覧者ロールをその ID に割り当てることができます。 SQL Database と Azure Synapse におけるマネージド ID は、サーバー ID と呼ばれます。 SQL Managed Instance のマネージド ID はマネージド インスタンス ID と呼ばれ、これはインスタンスの作成時に自動的に割り当てられます。 SQL Database または Azure Synapse にサーバー ID を割り当てる方法の詳細については、「サービス プリンシパルが Microsoft Entra ユーザーを作成できるようにする」を参照してください。
ディレクトリ閲覧者ロールは、次の場合に役立つサーバーまたはインスタンス ID として使用できます。
- SQL Managed Instance に対する Microsoft Entra ログインを作成する
- Azure SQL で Microsoft Entra ユーザーを偽装する
- Windows 認証を使用している SQL Server ユーザーを Microsoft Entra 認証を使用して SQL Managed Instance に移行する (ALTER USER (Transact-SQL) コマンドを使用)
- SQL Managed Instance の Microsoft Entra 管理者ロールを変更する
- サービス プリンシパル (アプリケーション) を使用した Azure SQL の Microsoft Entra ユーザーの作成を許可する
Note
Microsoft Entra ID の、旧称は Azure Active Directory(Azure AD)です。
ディレクトリ閲覧者ロールの割り当て
ディレクトリ閲覧者ロールを ID に割り当てるには、全体管理者または特権ロール管理者アクセス許可を持つユーザーが必要です。 SQL Database、SQL Managed Instance、または Azure Synapse を頻繁に管理またはデプロイするユーザーは、これらの高い特権を持つロールにアクセスできない可能性があります。 これは、計画外のAzure SQL リソースを作成したり、大規模な組織では連絡が付きにくいことが多い、高度な権限を持つロール メンバーの助けを必要とするユーザーにとっては、しばしば複雑な問題を引き起こす可能性があります。
SQL Managed Instance では、マネージド インスタンスの Microsoft Entra 管理者を設定する前に、ディレクトリ閲覧者ロールをマネージド インスタンス ID に割り当てる必要があります。
論理サーバーの Microsoft Entra 管理者を設定する場合、SQL Database または Azure Synapse ではディレクトリ閲覧者ロールをサーバー ID に割り当てる必要はありません。 ただし、Microsoft Entra アプリケーションの代わりに SQL Database または Azure Synapse で Microsoft Entra オブジェクトを作成できるようにするには、ディレクトリ閲覧者ロールが必要になります。 このロールが論理サーバー ID に割り当てられていない場合、Azure SQL で Microsoft Entra ユーザーを作成することはできません。 詳細については、「Azure SQL での Microsoft Entra のサービス プリンシパル」をご覧ください
Microsoft Entra グループへのディレクトリ閲覧者ロールの付与
グローバル管理者または特権ロール管理者が Microsoft Entra グループを作成し、ディレクトリ閲覧者権限をそのグループに割り当てることができるようになりました。 これにより、このグループのメンバーは Microsoft Graph API にアクセスできるようになります。 さらに、このグループの所有者である Microsoft Entra ユーザーは、このグループに論理サーバーの ID を含む、新しいメンバーを割り当てることができます。
このソリューションでは、グループを作成してユーザーを 1 回限りのアクティビティとして割り当てるには、これまでと変わらず高い特権を持つユーザー (グローバル管理者または特権ロール管理者) が必要になりますが、今後は Microsoft Entra グループの所有者が、追加のメンバーを割り当てることができるようになります。 これにより、将来的には、Microsoft Entraテナント内のすべての SQL Database、SQL Managed Instance、または Azure Synapse サーバーを構成するために、高い特権を持つユーザーに関与してもらう必要がなくなります。