Azure SQL Database と Azure SQL Data Warehouse で多要素 AAD 認証を使用する (MFA の SSMS サポート)Using Multi-factor AAD authentication with Azure SQL Database and Azure SQL Data Warehouse (SSMS support for MFA)

Azure SQL Database と Azure SQL Data Warehouse では、Active Directory ユニバーサル認証を使用して、SQL Server Management Studio (SSMS) からの接続をサポートするようになりました。Azure SQL Database and Azure SQL Data Warehouse support connections from SQL Server Management Studio (SSMS) using Active Directory Universal Authentication. この記事ではさまざまな認証オプションの違いについて説明し、また、ユニバーサル認証の使用に関連する制限事項について説明します。This article discusses the differences between the various authentication options, and also the limitations associated with using Universal Authentication.

最新の SSMS のダウンロード - クライアント コンピューターで、「SQL Server Management Studio (SSMS) のダウンロード」から SSMS の最新版をダウンロードします。Download the latest SSMS - On the client computer, download the latest version of SSMS, from Download SQL Server Management Studio (SSMS).

この記事で説明されているすべての機能を使用するには、2017 年 7 月以降のバージョン 17.2 を使用してください。For all the features discussed in this article, use at least July 2017, version 17.2. 一番新しい接続ダイアログ ボックスは次の画像のようになっているはずです。The most recent connection dialog box, should look similar to the following image:

1mfa-universal-connect1mfa-universal-connect

5 つの認証オプションThe five authentication options

Active Directory ユニバーサル認証は、次の 2 つの非対話型の認証方式をサポートします。Active Directory Universal Authentication supports the two non-interactive authentication methods: - Active Directory - Password 認証Active Directory - Password authentication - Active Directory - Integrated 認証Active Directory - Integrated authentication

非対話型の認証モデルも 2 つあり、さまざまなアプリケーション (ADO.NET、JDCB、ODC など) で利用できます。There are two non-interactive authentication models as well, which can be used in many different applications (ADO.NET, JDCB, ODC, etc.). これら 2 つの方式では、ポップアップ ダイアログ ボックスは表示されません。These two methods never result in pop-up dialog boxes:

  • Active Directory - Password
  • Active Directory - Integrated

Azure Multi-Factor Authentication (MFA) もサポートする対話型の方式:The interactive method is that also supports Azure multi-factor authentication (MFA) is:

  • Active Directory - Universal with MFA

Azure MFA では、シンプルなサインイン プロセスを好むユーザーのニーズに応えながら、データやアプリケーションへのアクセスを効果的に保護することができます。Azure MFA helps safeguard access to data and applications while meeting user demand for a simple sign-in process. 電話、テキスト メッセージ、スマート カードと PIN、モバイル アプリ通知など、簡単な各種確認オプションによって強力な認証が実現するため、ユーザーは自分に最も合った方法を選択できます。It delivers strong authentication with a range of easy verification options (phone call, text message, smart cards with pin, or mobile app notification), allowing users to choose the method they prefer. Azure AD との対話型 MFA はポップアップ ダイアログ ボックスで検証できます。Interactive MFA with Azure AD can result in a pop-up dialog box for validation.

Multi-Factor Authentication の説明については、 Multi-Factor Authenticationに関する記事を参照してください。For a description of Multi-Factor Authentication, see Multi-Factor Authentication. 構成手順については、「SQL Server Management Studio 用に Azure SQL Database の多要素認証を構成する」をご覧ください。For configuration steps, see Configure Azure SQL Database multi-factor authentication for SQL Server Management Studio.

Azure AD ドメイン名またはテナント ID パラメーターAzure AD domain name or tenant ID parameter

SSMS バージョン 17 以降では、別の Azure Active ディレクトリから現在の Active Directory にゲスト ユーザーとしてインポートされたユーザーは、接続時に Azure AD のドメイン名またはテナント ID を指定できます。Beginning with SSMS version 17, users that are imported into the current Active Directory from other Azure Active Directories as guest users, can provide the Azure AD domain name, or tenant ID when they connect. ゲスト ユーザーには、他の Azure AD や、outlook.com、hotmail.com、live.com などの Microsoft アカウントまたは gmail.com などのその他のアカウントから招待されたユーザーが含まれます。Guest users include users invited from other Azure ADs, Microsoft accounts such as outlook.com, hotmail.com, live.com, or other accounts like gmail.com. この情報により、Active Directory MFA ユニバーサル認証の際に、正しい認証機関を識別できます。This information, allows Active Directory Universal with MFA Authentication to identify the correct authenticating authority. また、このオプションでは、outlook.com、hotmail.com、live.com などの Microsoft のアカウント (MSA) および MSA 以外のアカウントのサポートが必要です。This option is also required to support Microsoft accounts (MSA) such as outlook.com, hotmail.com, live.com, or non-MSA accounts. ユニバーサル認証を使用して認証される、これらすべてのユーザーは、Azure AD ドメイン名またはテナント ID を入力する必要があります。All these users who want to be authenticated using Universal Authentication must enter their Azure AD domain name or tenant ID. このパラメーターは、Azure サーバーがリンクしている、現在の Azure AD ドメイン名またはテナント ID を表しています。This parameter represents the current Azure AD domain name/tenant ID the Azure Server is linked with. たとえば、Azure サーバーが Azure AD ドメイン contosotest.onmicrosoft.com と関連付けられていて、このドメインにユーザー joe@contosodev.onmicrosoft.com が Azure AD ドメイン contosodev.onmicrosoft.com からインポートされたユーザーとしてホストされている場合、このドメイン名はこのユーザーを contosotest.onmicrosoft.com として認証する必要があります。For example, if Azure Server is associated with Azure AD domain contosotest.onmicrosoft.com where user joe@contosodev.onmicrosoft.com is hosted as an imported user from Azure AD domain contosodev.onmicrosoft.com, the domain name required to authenticate this user is contosotest.onmicrosoft.com. ユーザーが Azure サーバーにリンクされている Azure AD のネイティブ ユーザーであるが、MSA アカウントではない場合、ドメイン名またはテナント ID は必要ありません。When the user is a native user of the Azure AD linked to Azure Server, and is not an MSA account, no domain name or tenant ID is required. [データベースへの接続] ダイアログ ボックスにパラメーターを入力するには (SSMS バージョン 17.2 以降)、ダイアログ ボックスに入力し、 [Active Directory] で [Universal with MFA](MFA ユニバーサル認証) を選択し、 [オプション] をクリックして、 [ユーザー名] ボックスに入力し、 [接続のプロパティ] タブをクリックします。 [AD ドメインの名前またはテナントの ID] ボックスをオンにし、ドメイン名 (contosotest.onmicrosoft.com) またはテナント ID の GUID などの認証機関を入力します。To enter the parameter (beginning with SSMS version 17.2), in the Connect to Database dialog box, complete the dialog box, selecting Active Directory - Universal with MFA authentication, click Options, complete the User name box, and then click the Connection Properties tab. Check the AD domain name or tenant ID box, and provide authenticating authority, such as the domain name (contosotest.onmicrosoft.com) or the GUID of the tenant ID.
mfa-tenant-ssmsmfa-tenant-ssms

SSMS 18.x 以降を実行している場合、ゲスト ユーザーの AD ドメイン名またはテナント ID は不要です。18.x 以降では自動的に認識されます。If you are running SSMS 18.x or later then the AD domain name or tenant ID is no longer needed for guest users because 18.x or later automatically recognizes it.

mfa-tenant-ssms

Azure AD の企業間サポートAzure AD business to business support

ゲスト ユーザーとして Azure AD B2B シナリオでサポートされている Azure AD ユーザー (「Azure B2B コラボレーションとは」を参照してください) は、SQL Database と SQL Data Warehouse に、現在 Azure AD で作成されているグループのメンバーとしてのみ接続でき、特定のデータベース内の Transact-SQL CREATE USER ステートメントを使用して手動でマップされます。Azure AD users supported for Azure AD B2B scenarios as guest users (see What is Azure B2B collaboration) can connect to SQL Database and SQL Data Warehouse only as part of members of a group created in current Azure AD and mapped manually using the Transact-SQL CREATE USER statement in a given database. たとえば、steve@gmail.com を Azure AD contosotest に招待 (Azure Ad ドメイン contosotest.onmicrosoft.com を使用) した場合、Azure AD グループ usergroup を、steve@gmail.com メンバーを含む Azure AD で作成する必要があります。For example, if steve@gmail.com is invited to Azure AD contosotest (with the Azure Ad domain contosotest.onmicrosoft.com), an Azure AD group, such as usergroup must be created in the Azure AD that contains the steve@gmail.com member. 次に、このグループを、Azure AD SQL 管理者または Azure AD DBO が Transact-SQL CREATE USER [usergroup] FROM EXTERNAL PROVIDER ステートメントを実行することによって、特定のデータベース (すなわち、MyDatabase) に作成する必要があります。Then, this group must be created for a specific database (that is, MyDatabase) by Azure AD SQL admin or Azure AD DBO by executing a Transact-SQL CREATE USER [usergroup] FROM EXTERNAL PROVIDER statement. データベース ユーザーを作成すると、SSMS 認証オプション Active Directory – Universal with MFA support を使用して、ユーザー steve@gmail.comMyDatabase にログインできるようになります。After the database user is created, then the user steve@gmail.com can log in to MyDatabase using the SSMS authentication option Active Directory – Universal with MFA support. ユーザー グループには、既定では接続権限のみが付与されており、追加のデータ アクセス権限は通常の方法で付与する必要があります。The usergroup, by default, has only the connect permission and any further data access that will need to be granted in the normal way. ゲスト ユーザーとしてのユーザー steve@gmail.com は、SSMS の [接続プロパティ] ダイアログ ボックスをオンにして、AD ドメイン名 contosotest.onmicrosoft.com を追加する必要があることに注意してください。Note that user steve@gmail.com as a guest user must check the box and add the AD domain name contosotest.onmicrosoft.com in the SSMS Connection Property dialog box. [AD ドメインの名前またはテナントの ID] オプションは MFA ユニバーサル接続オプションでのみサポートされており、それ以外の場合はグレーで表示されます。The AD domain name or tenant ID option is only supported for the Universal with MFA connection options, otherwise it is greyed out.

SQL Database と SQL Data Warehouse でのユニバーサル認証の制限事項Universal Authentication limitations for SQL Database and SQL Data Warehouse

  • SSMS および SqlPackage.exe は、現在、Active Directory ユニバーサル認証を介して MFA 認証できる、唯一のツールです。SSMS and SqlPackage.exe are the only tools currently enabled for MFA through Active Directory Universal Authentication.
  • SSMS バージョン 17.2 では、MFA ユニバーサル認証を使用してマルチ ユーザーの同時アクセスをサポートしています。SSMS version 17.2, supports multi-user concurrent access using Universal Authentication with MFA. バージョン 17.0 および 17.1 では、ユニバーサル認証を使用して SSMS のインスタンスにログインできるのは、1 つの Azure Active Directory アカウントのみに制限されています。Version 17.0 and 17.1, restricted a login for an instance of SSMS using Universal Authentication to a single Azure Active Directory account. 別の Azure AD アカウントとしてログインするには、SSMS の別のインスタンスを使用する必要があります (この制限は Active Directory ユニバーサル認証に限定されます。To log in as another Azure AD account, you must use another instance of SSMS. Active Directory パスワード認証、Active Directory 統合認証、または SQL Server 認証の使用時は別のサーバーにログインできます)。(This restriction is limited to Active Directory Universal Authentication; you can log in to different servers using Active Directory Password Authentication, Active Directory Integrated Authentication, or SQL Server Authentication).
  • SSMS では、オブジェクト エクスプローラー、クエリ エディター、クエリ ストアの視覚化で Active Directory ユニバーサル認証がサポートされます。SSMS supports Active Directory Universal Authentication for Object Explorer, Query Editor, and Query Store visualization.
  • SSMS バージョン 17.2 では、データベースのエクスポート/抽出/データの展開を支援する DacFx ウィザードが提供されています。SSMS version 17.2 provides DacFx Wizard support for Export/Extract/Deploy Data database. ユニバーサル認証を使用して、初期認証ダイアログ ボックスで特定のユーザーが認証されると、DacFx ウィザードは他のすべての認証方法についても同じように機能します。Once a specific user is authenticated through the initial authentication dialog using Universal Authentication, the DacFx Wizard functions the same way it does for all other authentication methods.
  • SSMS テーブル デザイナーは、ユニバーサル認証をサポートしていません。The SSMS Table Designer does not support Universal Authentication.
  • サポートされているバージョンの SSMS を使用する必要があることを除き、Active Directory ユニバーサル認証に関する追加のソフトウェア要件はありません。There are no additional software requirements for Active Directory Universal Authentication except that you must use a supported version of SSMS.
  • ユニバーサル認証用の Active Directory Authentication Library (ADAL) バージョンは、最新のリリース バージョン ADAL.dll 3.13.9 に更新されました。The Active Directory Authentication Library (ADAL) version for Universal authentication was updated to its latest ADAL.dll 3.13.9 available released version. Active Directory 認証ライブラリ 3.14.1」を参照してください。See Active Directory Authentication Library 3.14.1.

次の手順Next steps