Azure SQL の Azure Active Directory のディレクトリ閲覧者ロールDirectory Readers role in Azure Active Directory for Azure SQL

適用対象: Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics (SQL DW)

注意

この記事にある機能はパブリック プレビュー段階です。This feature in this article is in public preview.

Azure Active Directory (Azure AD) に、クラウド グループを使用して Azure Active Directory でロールの割り当てを管理する (プレビュー) 方法が導入されました。Azure Active Directory (Azure AD) has introduced using cloud groups to manage role assignments in Azure Active Directory (preview). これにより、Azure AD ロールをグループに割り当てることができます。This allows for Azure AD roles to be assigned to groups.

Azure SQL Database、Azure SQL Managed Instance、または Azure Synapse Analytics に対してマネージド ID を有効にする場合、Azure AD Graph API に対する読み取りアクセスを許可するには Azure AD ディレクトリ閲覧者ロールをその ID に割り当てる必要があります。When enabling a managed identity for Azure SQL Database, Azure SQL Managed Instance, or Azure Synapse Analytics, the Azure AD Directory Readers role must be assigned to the identity to allow read access to the Azure AD Graph API. SQL Database と Azure Synapse におけるマネージド ID は、サーバー ID と呼ばれます。The managed identity of SQL Database and Azure Synapse is referred to as the server identity. SQL Managed Instance のマネージド ID はマネージド インスタンス ID と呼ばれ、これはインスタンスの作成時に自動的に割り当てられます。The managed identity of SQL Managed Instance is referred to as the managed instance identity, and is automatically assigned when the instance is created. SQL Database または Azure Synapse にサーバー ID を割り当てる方法の詳細については、「サービス プリンシパルが Azure AD ユーザーを作成できるようにする」を参照してください。For more information on assigning a server identity to SQL Database or Azure Synapse, see Enable service principals to create Azure AD users.

ディレクトリ閲覧者ロールは、次を行うために必要です。The Directory Readers role is necessary to:

  • SQL Managed Instance に対する Azure AD ログインを作成するCreate Azure AD logins for SQL Managed Instance
  • Azure SQL で Azure AD ユーザーを偽装するImpersonate Azure AD users in Azure SQL
  • Windows 認証を使用している SQL Server ユーザーを Azure AD 認証を使用して SQL Managed Instance に移行する (ALTER USER (Transact-SQL) コマンドを使用)Migrate SQL Server users that use Windows authentication to SQL Managed Instance with Azure AD authentication (using the ALTER USER (Transact-SQL) command)
  • SQL Managed Instance の Azure AD 管理者を変更するChange the Azure AD admin for SQL Managed Instance
  • サービス プリンシパル (アプリケーション) を使用した Azure SQL の Azure AD ユーザーの作成を許可するAllow service principals (Applications) to create Azure AD users in Azure SQL

ディレクトリ閲覧者ロールの割り当てAssigning the Directory Readers role

ディレクトリ閲覧者ロールを ID に割り当てるには、全体管理者または特権ロール管理者アクセス許可を持つユーザーが必要です。In order to assign the Directory Readers role to an identity, a user with Global Administrator or Privileged Role Administrator permissions is needed. SQL Database、SQL Managed Instance、または Azure Synapse を頻繁に管理またはデプロイするユーザーは、これらの高い特権を持つロールにアクセスできない可能性があります。Users who often manage or deploy SQL Database, SQL Managed Instance, or Azure Synapse may not have access to these highly privileged roles. これは、計画外のAzure SQL リソースを作成したり、大規模な組織では連絡が付きにくいことが多い、高度な権限を持つロール メンバーの助けを必要とするユーザーにとっては、しばしば複雑な問題を引き起こす可能性があります。This can often cause complications for users that create unplanned Azure SQL resources, or need help from highly privileged role members that are often inaccessible in large organizations.

SQL Managed Instance では、マネージド インスタンスの Azure AD 管理者を設定する前に、ディレクトリ閲覧者ロールをマネージド インスタンス ID に割り当てる必要があります。For SQL Managed Instance, the Directory Readers role must be assigned to managed instance identity before you can set up an Azure AD admin for the managed instance.

論理サーバーの Azure AD 管理者を設定する場合、SQL Database または Azure Synapse ではディレクトリ閲覧者ロールをサーバー ID に割り当てる必要はありません。Assigning the Directory Readers role to the server identity isn't required for SQL Database or Azure Synapse when setting up an Azure AD admin for the logical server. ただし、Azure AD アプリケーションの代わりに SQL Database または Azure Synapse で Azure AD オブジェクトを作成できるようにするには、ディレクトリ閲覧者ロールが必要になります。However, to enable an Azure AD object creation in SQL Database or Azure Synapse on behalf of an Azure AD application, the Directory Readers role is required. このロールが SQL 論理サーバー ID に割り当てられていない場合、Azure SQL で Azure AD ユーザーを作成することはできません。If the role isn't assigned to the SQL logical server identity, creating Azure AD users in Azure SQL will fail. 詳細については、「Azure SQL での Azure Active Directory のサービス プリンシパル」を参照してください。For more information, see Azure Active Directory service principal with Azure SQL.

Azure AD グループへのディレクトリ閲覧者ロールの付与Granting the Directory Readers role to an Azure AD group

現在はパブリック プレビュー段階にありますが、グローバル管理者または特権ロール管理者が Azure AD グループを作成し、ディレクトリ閲覧者権限をそのグループに割り当てることができるようになりました。Currently in public preview, you can now have a Global Administrator or Privileged Role Administrator create an Azure AD group and assign the Directory Readers permission to the group. これにより、このグループのメンバーは Azure AD Graph API にアクセスできるようになります。This will allow access to the Azure AD Graph API for members of this group. さらに、このグループの所有者である Azure AD ユーザーは、このグループに新しいメンバーを割り当てることができます (Azure SQL 論理サーバーの ID を含む)。In addition, Azure AD users who are owners of this group are allowed to assign new members for this group, including identities of the Azure SQL logical servers.

このソリューションでは、グループを作成してユーザーを 1 回限りのアクティビティとして割り当てるには、これまでと変わらず高い特権を持つユーザー (全体管理者または特権ロール管理者) が必要になりますが、今後は Azure AD グループの所有者が、追加のメンバーを割り当てることができるようになります。This solution still requires a high privilege user (Global Administrator or Privileged Role Administrator) to create a group and assign users as a one time activity, but the Azure AD group owners will be able to assign additional members going forward. これにより、将来的には、Azure ADテナント内のすべての SQL Database、SQL Managed Instance、または Azure Synapse サーバーを構成するために、高い特権を持つユーザーに関与してもらう必要がなくなります。This eliminates the need to involve a high privilege user in the future to configure all SQL Databases, SQL Managed Instances, or Azure Synapse servers in their Azure AD tenant.

次のステップNext steps