チュートリアル: Azure SQL を使用して Microsoft Entra 専用認証を有効にする
[アーティクル] 10/26/2023
7 人の共同作成者
フィードバック
この記事の内容
適用対象: Azure SQL データベース Azure SQL Managed Instance
この記事では、Azure SQL Database および Azure SQL Managed Instance 内で Microsoft Entra 専用認証 機能を有効にする手順について説明します。 Microsoft Entra 専用認証を有効にした SQL Database または SQL Managed Instance をプロビジョニングしようとしている場合は、Azure SQL で Microsoft Entra 専用認証を有効にしたサーバーを作成する 方法をご覧ください。
このチュートリアルでは、次の作業を行う方法について説明します。
Microsoft Entra 専用認証を有効にするためのロールを割り当てる
Azure portal、Azure CLI、または PowerShell を使用して Microsoft Entra 専用認証を有効にする
Microsoft Entra 専用認証が有効かどうかを確認する
Azure SQL への接続をテストする
Azure portal、Azure CLI、または PowerShell を使用して Microsoft Entra 専用認証を無効にする
前提条件
Microsoft Entra 専用認証を有効にするためのロールを割り当てる
Microsoft Entra 専用認証を有効または無効にするには、このチュートリアルでこれらの操作を実行する Microsoft Entra ユーザーに、選択された組み込みロールが必要です。 このチュートリアルでは、ユーザーに SQL セキュリティ管理者 ロールを割り当てます。
Microsoft Entra アカウント にロールを割り当てる方法の詳細は、「Microsoft Entra ID を使用してユーザーに管理者および管理者以外のロールを割り当てる 」を参照してください。
Microsoft Entra 専用認証を有効または無効にするために必要なアクセス許可の詳細については、Microsoft Entra 専用認証の「アクセス許可」セクション を参照してください。
この例では、ユーザー UserSqlSecurityManager@contoso.onmicrosoft.com に SQL セキュリティ管理者 ロールを割り当てます。 Microsoft Entra ロールを割り当てることができる特権ユーザーを使用して Azure portal にサインインします。
SQL Server リソースにアクセスし、メニューの [アクセス制御 (IAM)] を選択します。 [追加] ボタンを選択してから、 [ロールの割り当ての追加] を選択します。
[ロールの割り当ての追加] ウィンドウで、[SQL セキュリティ管理者] ロールを選択し、Microsoft Entra 専用認証を有効または無効にすることができるユーザーを選択します。
[保存] をクリックします。
Microsoft Entra 専用認証 を有効にする
Azure portal を使用して SQL Database で有効にする
Azure portal で Microsoft Entra 専用認証を有効にするには、次の手順を実行します。
SQL セキュリティ管理者 ロールを持つユーザーを使用して、Azure portal にアクセスします。
SQL Server リソースに移動し、[設定] メニューの Microsoft Entra ID を選択します。
Microsoft Entra 管理者 を追加していない場合は、Microsoft Entra 専用認証を有効にする前に設定する必要があります。
[このサーバーの Microsoft Entra 専用認証をサポートする] チェック ボックスをオンにします。
[Microsoft Entra 専用認証を有効にする] ポップアップが表示されます。 [はい] を選択してこの機能を有効にし、設定を [保存] します。
Azure portal を使用して SQL Managed Instance で有効にする
Azure portal で Microsoft Entra 専用認証を有効にするには、次の手順を参照してください。
SQL セキュリティ管理者 ロールを持つユーザーを使用して、Azure portal にアクセスします。
SQL Managed Instance リソースにアクセスし、[設定] メニューの [Microsoft Entra 管理者] を選択します。
Microsoft Entra 管理者 を追加していない場合は、Microsoft Entra 専用認証を有効にする前に設定する必要があります。
[このマネージド インスタンスの Microsoft Entra 認証のみをサポートする] チェックボックスをオンにします。
[Microsoft Entra 専用認証を有効にする] ポップアップが表示されます。 [はい] を選択してこの機能を有効にし、設定を [保存] します。
Azure CLI を使用して SQL Database で有効にする
Azure CLI を使用して Azure SQL Database で Microsoft Entra 専用認証を有効にするには、次のコマンドを参照してください。 Azure CLI の最新バージョンをインストールします 。 Azure CLI バージョン 2.14.2 以上が必要です。 これらのコマンドの詳細については、「az sql server ad-only-auth 」を参照してください。
API を使用した Microsoft Entra 専用認証の管理の詳細については、「API を使用した Microsoft Entra 専用認証の管理 」を参照してください。
Note
Microsoft Entra 専用認証を有効にする前に、サーバーの Microsoft Entra 管理者を設定する必要があります。 そうしないと、Azure CLI コマンドが失敗します。
Microsoft Entra 専用認証を有効にするためにこれらのコマンドを実行するユーザーに必要なアクセス許可とアクションについては、Microsoft Entra 専用認証 をご覧ください。
SQL セキュリティ管理者 ロールを持つアカウントを使用して、Azure にサインイン します。
az login
次のコマンドの <myserver> を SQL Server 名に置き換え、<myresource> を SQL Server を保持している Azure リソースに置き換えて、実行します。
az sql server ad-only-auth enable --resource-group <myresource> --name <myserver>
Azure CLI を使用して SQL Managed Instance で有効にする
Azure CLI を使用して Azure SQL Managed Instance で Microsoft Entra 専用認証を有効にするには、次のコマンドを参照してください。 Azure CLI の最新バージョンをインストールします 。
SQL セキュリティ管理者 ロールを持つアカウントを使用して、Azure にサインイン します。
az login
次のコマンドの <myserver> を SQL Server 名に置き換え、<myresource> を SQL Server を保持している Azure リソースに置き換えて、実行します。
az sql mi ad-only-auth enable --resource-group <myresource> --name <myserver>
PowerShell を使用して SQL Database で有効にする
PowerShell を使用して Azure SQL Database で Microsoft Entra 専用認証を有効にするには、次のコマンドを参照してください。 これらのコマンドを実行するには、Az.Sql 2.10.0 以降のモジュールが必要です。 これらのコマンドの詳細については、「Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication 」を参照してください。
API を使用した Microsoft Entra 専用認証の管理の詳細については、「API を使用した Microsoft Entra 専用認証の管理 」を参照してください
Note
Microsoft Entra 専用認証を有効にする前に、サーバーの Microsoft Entra 管理者を設定する必要があります。 そうしないと、PowerShell コマンドが失敗します。
Microsoft Entra 専用認証を有効にするためにこれらのコマンドを実行するユーザーに必要なアクセス許可とアクションについては、Microsoft Entra 専用認証 をご覧ください。 ユーザーに十分な権限がない場合、次のエラーが表示されます。
Enable-AzSqlServerActiveDirectoryOnlyAuthentication : The client
'UserSqlServerContributor@contoso.onmicrosoft.com' with object id
'<guid>' does not have authorization to perform
action 'Microsoft.Sql/servers/azureADOnlyAuthentications/write' over scope
'/subscriptions/<guid>...'
SQL セキュリティ管理者 ロールを持つアカウントを使用して、Azure にサインイン します。
Connect-AzAccount
次のコマンドの <myserver> を SQL Server 名に置き換え、<myresource> を SQL Server を保持している Azure リソースに置き換えて、実行します。
Enable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName <myserver> -ResourceGroupName <myresource>
PowerShell を使用して SQL Managed Instance で有効にする
PowerShell を使用して Azure SQL Managed Instance で Microsoft Entra 専用認証を有効にするには、次のコマンドを参照してください。 これらのコマンドを実行するには、Az.Sql 2.10.0 以降のモジュールが必要です。
API を使用した Microsoft Entra 専用認証の管理の詳細については、「API を使用した Microsoft Entra 専用認証の管理 」を参照してください。
SQL セキュリティ管理者 ロールを持つアカウントを使用して、Azure にサインイン します。
Connect-AzAccount
次のコマンドの <myinstance> を SQL Managed Instance 名に置き換え、<myresource> を SQL Managed Instance を保持している Azure リソースに置き換えて、実行します。
Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
Microsoft Entra 専用認証の状態を確認する
サーバーまたはインスタンスに対して Microsoft Entra 専用認証が有効になっているかどうかを確認します。
SQL Database で状態を確認する
Azure portal で SQL Server リソースにアクセスします。 [設定] メニューで [Microsoft Entra ID] を選択します。
SQL Managed Instance で状態を確認する
Azure portal で、SQL Managed Instance リソースにアクセスします。 [設定] メニューで、[Microsoft Entra 管理者] を選択します。
これらのコマンドは、Azure SQL Database の論理サーバー または SQL Managed Instance に対して Microsoft Entra 専用認証が有効になっているかどうかを確認するために使用できます。 SQL Server 共同作成者 および SQL Managed Instance 共同作成者 ロールのメンバーは、これらのコマンドを使用して Microsoft Entra 専用認証の状態を確認できますが、この機能を有効または無効にすることはできません。
SQL Database で状態を確認する
SQL セキュリティ管理者 ロールを持つアカウントを使用して、Azure にサインイン します。 API を使用した Microsoft Entra 専用認証の管理の詳細については、「API を使用した Microsoft Entra 専用認証の管理 」を参照してください
az login
次のコマンドの <myserver> を SQL Server 名に置き換え、<myresource> を SQL Server を保持している Azure リソースに置き換えて、実行します。
az sql server ad-only-auth get --resource-group <myresource> --name <myserver>
次の出力が表示されます。
{
"azureAdOnlyAuthentication": true,
"/subscriptions/<guid>/resourceGroups/mygroup/providers/Microsoft.Sql/servers/myserver/azureADOnlyAuthentications/Default",
"name": "Default",
"resourceGroup": "myresource",
"type": "Microsoft.Sql/servers"
}
SQL Managed Instance で状態を確認する
SQL セキュリティ管理者 ロールを持つアカウントを使用して、Azure にサインイン します。
az login
次のコマンドの <myserver> を SQL Server 名に置き換え、<myresource> を SQL Server を保持している Azure リソースに置き換えて、実行します。
az sql mi ad-only-auth get --resource-group <myresource> --name <myserver>
次の出力が表示されます。
{
"azureAdOnlyAuthentication": true,
"id": "/subscriptions/<guid>/resourceGroups/myresource/providers/Microsoft.Sql/managedInstances/myinstance/azureADOnlyAuthentications/Default",
"name": "Default",
"resourceGroup": "myresource",
"type": "Microsoft.Sql/managedInstances"
}
これらのコマンドは、Azure SQL Database の論理サーバー または SQL Managed Instance に対して Microsoft Entra 専用認証が有効になっているかどうかを確認するために使用できます。 SQL Server 共同作成者 および SQL Managed Instance 共同作成者 ロールのメンバーは、これらのコマンドを使用して Microsoft Entra 専用認証の状態を確認できますが、この機能を有効または無効にすることはできません。
この機能が有効になっている場合は、状態として True が返され、無効になっている場合は、False が返されます。
SQL Database で状態を確認する
SQL セキュリティ管理者 ロールを持つアカウントを使用して、Azure にサインイン します。 API を使用した Microsoft Entra 専用認証の管理の詳細については、「API を使用した Microsoft Entra 専用認証の管理 」を参照してください
Connect-AzAccount
次のコマンドの <myserver> を SQL Server 名に置き換え、<myresource> を SQL Server を保持している Azure リソースに置き換えて、実行します。
Get-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName <myserver> -ResourceGroupName <myresource>
SQL Managed Instance で状態を確認する
SQL セキュリティ管理者 ロールを持つアカウントを使用して、Azure にサインイン します。
Connect-AzAccount
次のコマンドの <myinstance> を SQL Managed Instance 名に置き換え、<myresource> を SQL Managed Instance を保持している Azure リソースに置き換えて、実行します。
Get-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
接続エラーが発生した SQL 認証をテストする
Microsoft Entra 専用認証を有効にした後、SQL Server Management Studio (SSMS) を使用して、SQL Database または SQL Managed Instance への接続 をテストします。 接続には SQL 認証を使用します。
次の出力のようなログイン失敗メッセージが表示されます。
Cannot connect to <myserver>.database.windows.net.
Additional information:
Login failed for user 'username'. Reason: Azure Active Directory only authentication is enabled.
Please contact your system administrator. (Microsoft SQL Server, Error: 18456)
Microsoft Entra 専用認証 を無効にする
Microsoft Entra 専用認証機能を無効にすることで、Azure SQL の SQL 認証と Microsoft Entra 認証の両方を許可します。
Azure portal を使用して SQL Database で無効にする
SQL セキュリティ管理者 ロールを持つユーザーを使用して、Azure portal にアクセスします。SQL Server リソースに移動し、[設定] メニューの Microsoft Entra ID を選択します。
Microsoft Entra 専用認証機能を無効にするには、[このサーバーの Microsoft Entra 認証のみをサポートする] チェックボックスをオフにして、設定を保存 します。
Azure portal を使用して SQL Managed Instance で無効にする
SQL セキュリティ管理者 ロールを持つユーザーを使用して、Azure portal にアクセスします。SQL Managed Instance リソースにアクセスし、 [設定] メニューの [Active Directory 管理者] を選択します。Microsoft Entra 専用認証機能を無効にするには、[このマネージド インスタンスで Microsoft Entra 認証のみをサポートする] チェックボックスをオフにして、設定を [保存] します。
Azure CLI を使用して SQL Database で無効にする
Azure CLI を使用して Azure SQL Database で Microsoft Entra 専用認証を無効にするには、次のコマンドを参照してください。
SQL セキュリティ管理者 ロールを持つアカウントを使用して、Azure にサインイン します。
az login
次のコマンドの <myserver> を SQL Server 名に置き換え、<myresource> を SQL Server を保持している Azure リソースに置き換えて、実行します。
az sql server ad-only-auth disable --resource-group <myresource> --name <myserver>
Microsoft Entra 専用認証を無効にした後、状態を確認すると、次の出力が表示されます。
{
"azureAdOnlyAuthentication": false,
"/subscriptions/<guid>/resourceGroups/mygroup/providers/Microsoft.Sql/servers/myserver/azureADOnlyAuthentications/Default",
"name": "Default",
"resourceGroup": "myresource",
"type": "Microsoft.Sql/servers"
}
Azure CLI を使用して SQL Managed Instance で無効にする
Azure CLI を使用して Azure SQL Managed Instance で Microsoft Entra 専用認証を無効にするには、次のコマンドを参照してください。
SQL セキュリティ管理者 ロールを持つアカウントを使用して、Azure にサインイン します。
az login
次のコマンドの <myserver> を SQL Server 名に置き換え、<myresource> を SQL Server を保持している Azure リソースに置き換えて、実行します。
az sql mi ad-only-auth disable --resource-group <myresource> --name <myserver>
Microsoft Entra 専用認証を無効にした後、状態を確認すると、次の出力が表示されます。
{
"azureAdOnlyAuthentication": false,
"id": "/subscriptions/<guid>/resourceGroups/myresource/providers/Microsoft.Sql/managedInstances/myinstance/azureADOnlyAuthentications/Default",
"name": "Default",
"resourceGroup": "myresource",
"type": "Microsoft.Sql/managedInstances"
}
PowerShell を使用して SQL Database で無効にする
PowerShell を使用して Azure SQL Database で Microsoft Entra 専用認証を無効にするには、次のコマンドを参照してください。
SQL セキュリティ管理者 ロールを持つアカウントを使用して、Azure にサインイン します。
Connect-AzAccount
次のコマンドの <myserver> を SQL Server 名に置き換え、<myresource> を SQL Server を保持している Azure リソースに置き換えて、実行します。
Disable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName <myserver> -ResourceGroupName <myresource>
PowerShell を使用して SQL Managed Instance で無効にする
PowerShell を使用して Azure SQL Managed Instance で Microsoft Entra 専用認証を無効にするには、次のコマンドを参照してください。
SQL セキュリティ管理者 ロールを持つアカウントを使用して、Azure にサインイン します。
Connect-AzAccount
次のコマンドの <myinstance> を SQL Managed Instance 名に置き換え、<myresource> を Managed Instance を保持している Azure リソースに置き換えて、実行します。
Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
Azure SQL への接続をもう一度テストする
Microsoft Entra 専用認証を無効にした後、SQL 認証ログインを使用して接続をテストします。 これで、サーバーまたはインスタンスに接続できるはずです。
次のステップ
Azure SQL データベース
