クロステナント クエリとコマンドを許可する

複数のテナントのプリンシパルは、1 つの Azure Data Explorer クラスターでクエリとコマンドを実行できます。 この記事では、別のテナントのプリンシパルにクラスターのアクセス権を付与する方法について説明します。

クラスターで をtrustedExternalTenants設定するには、ARM テンプレート、AZ CLI、PowerShell、Azure Resource エクスプローラーを使用するか、API 要求を送信します。

次の例では、ポータルと API 要求で信頼されたテナントを定義する方法を示します。

注意

クエリまたはコマンドを実行するプリンシパルには、関連するデータベース ロールも必要です。 「ロールベースのアクセス制御」も参照してください。 正しいロールの検証は、信頼された外部テナントの検証後に行われます。

ポータル

1. Azure portal で、Azure Data Explorer クラスターのページに移動します。

2. 左側のメニューの [設定] の下にある [セキュリティ] をクリックします。

3. 目的のテナントのアクセス許可を定義します。

API

構文

特定のテナントを許可する

trustedExternalTenants: [ {"value": "tenantId1" }, { "value": "tenantId2" }, ... ]

すべてのテナントを許可する

trustedExternalTenants 配列は、すべてのテナントを示すスター ('*') 表記もサポートしています。これにより、すべてのテナントからのクエリとコマンドが許可されます。

trustedExternalTenants: [ { "value": "*" }]

注意

trustedExternalTenants の既定値は、すべてのテナント ([ { "value": "*" }]) です。 クラスターの作成時に外部テナント配列が定義されなかった場合、クラスターの更新操作でこれを上書きできます。 空の配列は、クラスター テナントの ID のみがこのクラスターに対する認証を許可されることを意味します。

構文規則について詳しく知る。

例

次の例では、特定のテナントがクラスターに対してクエリを実行できるようにします。

{
    "properties": { 
        "trustedExternalTenants": [
            { "value": "tenantId1" }, 
            { "value": "tenantId2" }, 
            ...
        ]
    }
}

次の例では、すべてのテナントがクラスターに対してクエリを実行できるようにします。

{
    "properties": { 
        "trustedExternalTenants": [  { "value": "*" }  ]
    }
}

クラスターの更新

次の操作を使用してクラスターを更新します。

PATCH https://management.azure.com/subscriptions/12345678-1234-1234-1234-123456789098/resourceGroups/kustorgtest/providers/Microsoft.Kusto/clusters/kustoclustertest?api-version=2020-09-18

プリンシパルの追加

プロパティを trustedExternalTenants 更新した後、承認されたテナントからプリンシパルへのアクセス権を付与できます。 Azure portalを使用して、プリンシパル クラスター レベルのアクセス許可またはデータベースのアクセス許可を付与します。 または、データベース、テーブル、関数、または具体化されたビュー レベルにアクセスできるようにするには、 管理コマンドを使用します。

制限事項

この機能の構成は、Azure Data Explorerに接続しようとしているMicrosoft Entra ID (ユーザー、アプリケーション、グループ) にのみ適用されます。 クロス Microsoft Entra インジェストには影響しません。