SQL Server の Azure Active Directory 認証

適用対象: SQL Server 2022 (16.x)

SQL Server 2022 (16.x) では、オンプレミスの Windows と Linux の両方で Azure Active Directory (Azure AD) 認証と Windows Azure VM 上のSQL Serverのサポートが導入されています。

概要

Azure AD の ID を使用する次の認証方法を使って SQL Server に接続できるようになりました。

  • Azure Active Directory パスワード
  • Azure Active Directory 統合
  • Multi-Factor Authentication で汎用の Azure Active Directory
  • Azure Active Directory のアクセス トークン

SQL 認証や Windows 認証などの現在の認証モードは、変更されません。

Azure で使用される中央認証リポジトリとしての Azure AD を使って、ユーザー、グループ、サービス プリンシパルなどのオブジェクトを ID として保存できます。 それらの ID を使用して、さまざまな Azure サービスについての認証を Azure AD で行うこともできます。 Azure AD 認証は、Windows Azure VM、Azure Synapse Analytics、SQL Server上の Azure SQL Database、Azure SQL Managed Instance、SQL Serverでサポートされています。 詳細については、「Azure Active Directory 認証を使用する」および「Azure SQL での Azure AD 認証を構成して管理する」を参照してください。

Windows Server Active Directory が Azure AD とフェデレーションされている場合、ユーザーは Windows 資格情報を Windows ログインまたは Azure AD ログインとして使用して、SQL Server についての認証を行うことができます。 Azure AD では、サービス アカウントや、Windows Server Active Directory でサポートされている複雑なネットワーク フォレスト アーキテクチャなど、すべての AD 機能がサポートされているわけではありません。

Azure AD を使用してSQL Serverを Azure に接続する

SQL Serverが Azure と通信するには、SQL Serverとそれが実行される Windows または Linux ホストの両方を Azure Arc に登録する必要があります。これを行うには、SQL Server用の Azure Arc エージェントAzure 拡張機能をインストールする必要があります。 これにより、SQL Serverと Azure との通信が容易になります。

詳細については、「SQL Server を Azure Arc に接続する」を参照してください。

認証方法

Azure AD 認証を使用して SQL Server に接続する場合は、次の認証方法を使用できます。

Azure Active Directory パスワード

クライアントとドライバーへのユーザー名とパスワードの指定を許可しますが、これはセキュリティ上の理由から多くのテナントで無効になっています。 可能な場合、これは避けることをお勧めします。ネットワーク経由でパスワードを送信する必要があるからです。 これらの接続は暗号化されますが、そもそも送信しないことがベスト プラクティスです。

Azure Active Directory 統合

Windows ドメインが Azure AD と同期され、ユーザーが Windows ドメインにログインすると、ユーザーの Windows 資格情報が Azure AD 認証に使用されます。

Multi-Factor Authentication で汎用の Azure Active Directory

これは、Azure AD アカウントの多要素認証オプションを使用した標準的な対話型の方法です。 ほとんどのシナリオで機能します。

Azure Active Directory のアクセス トークン

Invoke-sqlcmd など、一部の GUI 以外のクライアントでアクセス トークンを指定できます。 アクセス トークンのスコープまたは対象ユーザーは https://database.windows.net/ である必要があります。

注釈

  • Azure AD 認証では、Windows または Linux オペレーティング システムがサポートされているオンプレミスのSQL Server 2022 (16.x) または Windows Azure VM 上の SQL Server 2022 のみがサポートされています。
  • SQL Server を Azure Arc に接続するには、Azure AD アカウントに次のアクセス許可が必要です。
    • リソース グループの "Azure Connected Machine のオンボード" または "共同作成者" ロールのメンバー。
    • リソース グループの "Azure Connected Machine のリソース管理者" ロールのメンバー。
    • リソース グループの "閲覧者" ロールのメンバー。

こちらもご覧ください

次のステップ