Azure SQL を使用した Microsoft Entra 専用認証

[アーティクル]
10/26/2023

適用対象:Azure SQL データベース Azure SQL Managed Instance Azure Synapse Analytics (サーバーレス SQL プールのみ)

Microsoft Entra 専用認証は、サービスで Microsoft Entra 認証のみをサポートできるようにする Azure SQL 内の機能であり、Azure SQL Database および Azure SQL Managed Instance でサポートされています。

Note

Microsoft Entra ID の、旧称は Azure Active Directory（Azure AD）です。

Microsoft Entra 専用認証は、スタンドアロンサーバーの専用 SQL プール (元 SQL DW) でも使用できます。 Microsoft Entra 専用認証は、Azure Synapse ワークスペースに対して有効にすることができます。詳細については、「Azure Synapse ワークスペースでの Microsoft Entra 専用認証」を参照してください。

Azure SQL 環境で Microsoft Entra 専用認証を有効にすると、SQL Server 管理者、ログイン、ユーザーからの接続を含め、SQL 認証は無効になります。 Microsoft Entra 認証を使用しているユーザーのみが、サーバーまたはデータベースへの接続を許可されます。

Microsoft Entra 専用認証は、Azure portal、Azure CLI、PowerShell、または REST API を使用して有効または無効にすることができます。また、Microsoft Entra 専用認証は、サーバーの作成時に Azure Resource Manager (ARM) テンプレートを使用して構成することもできます。

Azure SQL 認証の詳細については、「認証と承認」を参照してください。

機能の説明

Microsoft Entra 専用認証を有効にすると、SQL 認証はサーバーまたはマネージドインスタンスレベルで無効になり、SQL 認証資格情報に基づく認証はすべて禁止されます。 SQL 認証ユーザーは、Azure SQL Database またはマネージドインスタンスの論理サーバー (すべてのデータベースを含む) に接続できなくなります。 SQL 認証は無効になっていますが、適切なアクセス許可を持つ Microsoft Entra アカウントを使用して、新しい SQL 認証ログインおよびユーザーを作成できます。新しく作成された SQL 認証アカウントは、サーバーへの接続を許可されません。 Microsoft Entra 専用認証を有効にしても、既存の SQL 認証ログインおよびユーザーアカウントは削除されません。この機能により、これらのアカウントはサーバーと、このサーバー用に作成されたデータベースに単に接続できなくなります。

Azure Policy を使用して Microsoft Entra 専用認証が有効になっているサーバーを強制的に作成することもできます。詳細については、Microsoft Entra 専用認証のための Azure Policy を参照してください。

アクセス許可

Microsoft Entra 専用認証を有効または無効にできるのは、Azure サブスクリプションのオーナー、共同作成者、グローバル管理者など、高い特権を持つ Microsoft Entra 組み込みのロールのメンバーである Microsoft Entra ユーザーです。また、SQL セキュリティ管理者ロールも、Microsoft Entra 専用認証機能を有効または無効にできます。

SQL Server 共同作成者と SQL Managed Instance 共同作成者ロールには、Microsoft Entra 専用認証機能を有効または無効にするためのアクセス許可がありません。これは、職務の分離アプローチ (Azure SQL Server を作成したり Microsoft Entra 管理者を作成したりできるユーザーは、セキュリティ機能を有効または無効にすることができない) と一致します。

必要な操作

SQL セキュリティ管理者ロールには、Microsoft Entra 専用認証機能を管理できるように、次のアクションが追加されています。

Microsoft.Sql/servers/azureADOnlyAuthentications/*
Microsoft.Sql/servers/administrators/read - Azure portal の [Microsoft Entra ID] メニューにアクセスするユーザーにのみ必要
Microsoft.Sql/managedInstances/azureADOnlyAuthentications/*
Microsoft.Sql/managedInstances/read

上記のアクションは、Microsoft Entra 専用認証を管理するためにカスタムロールに追加することもできます。詳細については、「Microsoft Entra ID でカスタムロールを作成して割り当てる」を参照してください。

API を使用した Microsoft Entra 専用認証の管理

重要

Microsoft Entra のみの認証を有効にする前に、Microsoft Entra 管理者を設定する必要があります。

Azure CLI バージョン 2.14.2 以上が必要です。

name は、サーバー名またはインスタンス名のプレフィックス (myserver など) に対応し、resource-group は、サーバーが属するリソース (myresource など) に対応します。

Azure SQL データベース

詳細については、「az sql server ad-only-auth」を参照してください。

SQL Database で有効または無効にする

[有効化]

az sql server ad-only-auth enable --resource-group myresource --name myserver

Disable

az sql server ad-only-auth disable --resource-group myresource --name myserver

SQL Database で状態を確認する

az sql server ad-only-auth get --resource-group myresource --name myserver

Azure SQL Managed Instance

詳細については、「az sql mi ad-only-auth」を参照してください。

[有効化]

az sql mi ad-only-auth enable --resource-group myresource --name myserver

Disable

az sql mi ad-only-auth disable --resource-group myresource --name myserver

SQL Managed Instance で状態を確認する

az sql mi ad-only-auth get --resource-group myresource --name myserver

Az.Sql 2.10.0 モジュール以上が必要です。

ServerName または InstanceName は、サーバー名のプレフィックス (myserver や myinstance など) に対応し、ResourceGroupName は、サーバーが属するリソース (myresource など) に対応します。

Azure SQL データベース

SQL Database で有効または無効にする

有効化

詳細については、「Enable-AzSqlServerActiveDirectoryOnlyAuthentication」を参照してください。 get-help Enable-AzSqlServerActiveDirectoryOnlyAuthentication -full を実行することもできます。

Enable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName myserver -ResourceGroupName myresource

次のコマンドを使用することもできます。

Get-AzSqlServer -ServerName myserver | Enable-AzSqlServerActiveDirectoryOnlyAuthentication

無効化

詳細については、「Disable-AzSqlServerActiveDirectoryOnlyAuthentication」を参照してください。

Disable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName myserver -ResourceGroupName myresource

SQL Database で状態を確認する

Get-AzSqlServerActiveDirectoryOnlyAuthentication  -ServerName myserver -ResourceGroupName myresource

次のコマンドを使用することもできます。

Get-AzSqlServer -ServerName myserver | Get-AzSqlServerActiveDirectoryOnlyAuthentication

Azure SQL Managed Instance

SQL Managed Instance で有効または無効にする

有効化

詳細については、「Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication」を参照してください。

Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName myinstance -ResourceGroupName myresource

次のコマンドを使用することもできます。

Get-AzSqlInstance -InstanceName myinstance | Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication

これらの PowerShell コマンドの詳細については、get-help Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -full を実行してください。

無効化

詳細については、「Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication」を参照してください。

Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName myinstance -ResourceGroupName myresource

SQL Managed Instance で状態を確認する

Get-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName myinstance -ResourceGroupName myresource

次のコマンドを使用することもできます。

Get-AzSqlInstance -InstanceName myinstance | Get-AzSqlInstanceActiveDirectoryOnlyAuthentication

次のパラメーターを定義する必要があります。

<subscriptionId> は、Azure portal の [サブスクリプション] に移動すると確認できます。
<myserver> は、サーバー名またはインスタンス名のプレフィックス (myserver など) に対応します。
<myresource> は、サーバーが属するリソース (myresource など) に対応します。

最新の MSAL を使用するには、 https://www.powershellgallery.com/packages/MSAL.PS からダウンロードします。

$subscriptionId = '<subscriptionId>'
$serverName = "<myserver>"
$resourceGroupName = "<myresource>"

Azure SQL データベース

詳細については、REST API ドキュメント「Server の Azure AD 専用認証」を参照してください。

SQL Database で有効または無効にする

[有効化]

$body = @{ properties = @{ azureADOnlyAuthentication = 1 } } | ConvertTo-Json
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Disable

$body = @{ properties = @{ azureADOnlyAuthentication = 0 } } | ConvertTo-Json
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

SQL Database で状態を確認する

Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method GET -Headers $authHeader  | Format-List

Azure SQL Managed Instance

詳細については、REST API のドキュメント「Managed Instance の Azure AD 専用認証」を参照してください。

SQL Managed Instance で有効または無効にする

[有効化]

$body = @{   properties = @{  azureADOnlyAuthentication = 1 }  } | ConvertTo-Json 
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Disable

$body = @{   properties = @{  azureADOnlyAuthentication = 0 }  } | ConvertTo-Json 
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

SQL Managed Instance で状態を確認する

Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method GET -Headers $authHeader  | Format-List

デプロイ用に Microsoft Entra 管理者を入力します。ユーザーオブジェクト ID は、Azure portal に移動し、[Microsoft Entra ID] リソースに移動すると確認できます。 [管理] にある [ユーザー] を選択します。 Azure SQL Server の Microsoft Entra 管理者として設定するユーザーを検索します。ユーザーを選択すると、その [プロファイル] ページにオブジェクト ID が表示されます。
テナント ID は、Microsoft Entra ID リソースの [概要] ページで確認できます。

Azure SQL データベース

有効化

次の ARM テンプレートでは、Azure SQL Database で Microsoft Entra 専用認証を有効にします。 Microsoft Entra 専用認証を無効にするには、azureADOnlyAuthentication プロパティを false に設定します。

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "sqlServer_name": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String"
        },
        "aad_admin_objectid": {
            "type": "String"
        },
        "aad_admin_tenantid": {
            "type": "String"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers/administrators",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('sqlServer_name'), '/ActiveDirectory')]",
            "properties": {
                "administratorType": "ActiveDirectory",
                "login": "[parameters('aad_admin_name')]",
                "sid": "[parameters('aad_admin_objectid')]",
                "tenantId": "[parameters('aad_admin_tenantId')]"
            }
        },        
        {
            "type": "Microsoft.Sql/servers/azureADOnlyAuthentications",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('sqlServer_name'), '/Default')]",
            "dependsOn": [
                "[resourceId('Microsoft.Sql/servers/administrators', parameters('sqlServer_name'), 'ActiveDirectory')]"
            ],
            "properties": {
                "azureADOnlyAuthentication": true
            }
        }
    ]
}

詳細については、「Microsoft.Sql servers/azureADOnlyAuthentications」を参照してください。

Azure SQL Managed Instance

有効化

次の ARM テンプレートでは、Azure SQL Managed Instance で Microsoft Entra 専用認証を有効にします。 Microsoft Entra 専用認証を無効にするには、azureADOnlyAuthentication プロパティを false に設定します。

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "instance": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String"
        },
        "aad_admin_objectid": {
            "type": "String"
        },
        "aad_admin_tenantid": {
            "type": "String"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/managedInstances/administrators",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('instance'), '/ActiveDirectory')]",
            "properties": {
                "administratorType": "ActiveDirectory",
                "login": "[parameters('aad_admin_name')]",
                "sid": "[parameters('aad_admin_objectid')]",
                "tenantId": "[parameters('aad_admin_tenantId')]"
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances/azureADOnlyAuthentications",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('instance'), '/Default')]",
            "dependsOn": [
                "[resourceId('Microsoft.Sql/managedInstances/administrators', parameters('instance'), 'ActiveDirectory')]"
            ],
            "properties": {
                "azureADOnlyAuthentication": true
            }
        }
    ]
}

詳細については、「Microsoft.Sql managedInstances/azureADOnlyAuthentications」を参照してください。

T-SQL を使用した Microsoft Entra 専用認証の確認

サーバーまたはマネージドインスタンスで Microsoft Entra 専用認証が有効になっているかどうかを確認するために、SERVERPROPERTYIsExternalAuthenticationOnly が追加されています。 1 は、この機能が有効になっていることを示し、0 は、この機能が無効になっていることを示します。

SELECT SERVERPROPERTY('IsExternalAuthenticationOnly')

解説

SQL Server Contributorは、Microsoft Entra 管理者を設定または削除できますが、Microsoft Entra 認証のみの設定を行うことはできません。 SQL Sercurity Managerは、Microsoft Entra 管理者を設定または削除できますが、Microsoft Entra 認証のみの設定を行うことはできません。両方のアクセス許可を含む上位の Azure RBAC ロールまたはカスタムロールを持つアカウントだけが、Microsoft Entra 管理者を設定または削除でき、かつ [Microsoft Entra authentication only](Microsoft Entra 専用認証) を設定できます。そのようなロールの 1 つは共同作成者ロールです。
Azure portal で [Microsoft Entra 専用認証] を有効または無効にすると、[SQL Server] メニューに [アクティビティログ] エントリが表示されます。
Azure Active Directory 認証専用の設定は、Microsoft Entra 管理者が指定されている場合に、適切なアクセス許可を持つユーザーだけが有効または無効にできます。 Microsoft Entra 管理者が設定されていない場合、Microsoft Entra 認証のみの設定は非アクティブのままとなり、有効または無効にすることはできません。 Microsoft Entra 管理者が設定されていない場合、API を使用して Microsoft Entra のみの認証を有効にしても失敗します。
Microsoft Entra 専用認証が有効になっている場合に Microsoft Entra 管理者を変更する操作は、適切なアクセス許可を持つユーザーに対してサポートされています。
Microsoft Entra 管理者を変更し、Microsoft Entra 専用認証を有効または無効にする操作は、適切なアクセス許可を持つユーザーに対して Azure portal で許可されます。どちらの操作も、Azure portal で [保存] を 1 回使用して実行できます。 Microsoft Entra のみの認証を有効にするには、Microsoft Entra 管理者を設定する必要があります。
Microsoft Entra 専用認証機能が有効になっている場合の Microsoft Entra 管理者の削除はサポートされていません。 Microsoft Entra のみの認証が有効になっている場合、API を使用して Microsoft Entra 管理者を削除すると失敗します。
- [Microsoft Entra 認証のみ] 設定が有効になっている場合、Azure portal の [管理者の削除] ボタンは非アクティブになっています。
Microsoft Entra 管理者を削除し、[Microsoft Entra 専用認証] 設定を無効にする操作は許可されますが、操作を完了するには適切なユーザーアクセス許可が必要です。どちらの操作も、Azure portal で [保存] を 1 回使用して実行できます。
適切なアクセス許可を持つ Microsoft Entra ユーザーは、既存の SQL ユーザーの権限を借用できます。
- Microsoft Entra 専用認証機能が有効になっている場合でも、権限借用は SQL 認証ユーザー間で引き続き機能します。

SQL Database での Microsoft Entra 専用認証に関する制限事項

SQL Database に対して Microsoft Entra 専用認証が有効になっている場合、次の機能はサポートされていません。

Azure SQL Database サーバーのロールは、Microsoft Entra サーバープリンシパル向けにサポートされていますが、Microsoft Entra ログインがグループの場合はサポートされていません。
エラスティックジョブ
SQL データ同期
変更データキャプチャ (CDC) - Microsoft Entra ユーザーとして Azure SQL Database でデータベースを作成し、その上で変更データキャプチャを有効にした場合、SQL ユーザーは CDC 成果物を無効にしたり、変更したりすることはできません。ただし、別の Microsoft Entra ユーザーは、同じデータベースで CDC を有効または無効にできます。同様に、SQL ユーザーとして Azure SQL Database を作成する場合、Microsoft Entra ユーザーとして CDC を有効または無効にすることはできません。
トランザクションレプリケーション - レプリケーションの参加者間の接続には SQL 認証が必要なため、Microsoft Entra 専用認証を有効にすると、以下のシナリオの SQL Database では、トランザクションレプリケーションはサポートされません。Azure SQL Managed Instance、オンプレミスの SQL Server、または Azure VM SQL Server インスタンスに加えられた変更を Azure SQL Database 内のデータベースにプッシュするためにトランザクションレプリケーションが使用される場合。
SQL Insights (プレビュー)
Microsoft Entra グループメンバーアカウントの EXEC AS ステートメント

Managed Instance での Microsoft Entra 専用認証に関する制限事項

Managed Instance に対して Microsoft Entra 専用認証が有効になっている場合、次の機能はサポートされません。

トランザクションレプリケーション
Managed Instance の SQL Agent ジョブは Microsoft Entra 専用認証をサポートしています。ただし、マネージドインスタンスにアクセスできる Microsoft Entra グループのメンバーである Microsoft Entra ユーザーは、SQL Agent ジョブを所有できません
SQL Insights (プレビュー)
Microsoft Entra グループメンバーアカウントの EXEC AS ステートメント

詳しくは、「SQL Server と Azure SQL Managed Instance での T-SQL の相違点」を参照してください。

次のステップ

チュートリアル: Azure SQL を使用して Microsoft Entra 専用認証を有効にする

Azure SQL で Microsoft Entra 専用認証を有効にしたサーバーを作成する

Azure SQL を使用した Microsoft Entra 専用認証

機能の説明

アクセス許可

必要な操作

API を使用した Microsoft Entra 専用認証の管理

Azure SQL データベース

SQL Database で有効または無効にする

SQL Database で状態を確認する

Azure SQL Managed Instance

SQL Managed Instance で状態を確認する

Azure SQL データベース

SQL Database で有効または無効にする

SQL Database で状態を確認する

Azure SQL Managed Instance

SQL Managed Instance で有効または無効にする

SQL Managed Instance で状態を確認する

Azure SQL データベース

SQL Database で有効または無効にする

SQL Database で状態を確認する

Azure SQL Managed Instance

SQL Managed Instance で有効または無効にする

SQL Managed Instance で状態を確認する

Azure SQL データベース

有効化

Azure SQL Managed Instance

有効化

T-SQL を使用した Microsoft Entra 専用認証の確認

解説

SQL Database での Microsoft Entra 専用認証に関する制限事項

Managed Instance での Microsoft Entra 専用認証に関する制限事項

次のステップ

フィードバック

フィードバック

その他のリソース