ネイティブ Windows プリンシパル

適用対象: Azure SQL Managed Instance

Windows 認証メタデータ モードは、ユーザーが Azure SQL Managed Instance で Windows 認証または Microsoft Entra 認証 (Windows プリンシパル メタデータを使用) を使用できるようにする新しいモードです。 このモードは、SQL Managed Instance でのみ使用できます。 Windows 認証メタデータ モードは、Azure SQL データベースでは使用できません。

Active Directory (AD) と Microsoft Entra ID の間で環境が同期されると、AD の Windows ユーザー アカウントは Microsoft Entra ID の Microsoft Entra ユーザー アカウントに同期されます。

SQL Managed Instance と SQL Server の認証は、ログインに関連付けられているメタデータに基づいています。 Windows 認証 ログインの場合、CREATE LOGIN FROM WINDOWS コマンドからログインが作成されるときにメタデータが作成されます。 Microsoft Entra ログインの場合、 CREATE LOGIN FROM EXTERNAL PROVIDER コマンドからログインが作成されるときにメタデータが作成されます。 SQL 認証ログインの場合、CREATE LOGIN WITH PASSWORD コマンドの実行時にメタデータが作成されます。 認証プロセスは、SQL Managed Instance または SQL Server に格納されているメタデータと密接に結び付けられます。

また、ネイティブ Windows プリンシパルの解説ビデオについては、この Data Exposed エピソードを参照してください。

注意

SQL Managed Instance の Windows 認証メタデータ モードでネイティブ Windows プリンシパルを使用することは現在プレビュー段階です。

認証メタデータ モード

次の 認証メタデータ モードは SQL Managed Instance で使用でき、さまざまなモードによって、認証に使用される認証メタデータと、ログインの作成方法が決まります。

  • Microsoft Entra (既定値): このモードでは、Microsoft Entra ユーザー メタデータを使用して Microsoft Entra ユーザーを認証できます。 このモードでWindows 認証を使用するには、「Azure SQL Managed Instance での Microsoft Entra プリンシパルの Windows 認証」を参照してください。
  • ペア (SQL Server の既定値): SQL Server 認証の既定のモード。
  • Windows (新しいモード): このモードでは、SQL Managed Instance 内の Windows ユーザー メタデータを使用して Microsoft Entra ユーザーを認証できます。

構文 CREATE LOGIN FROM WINDOWSCREATE USER FROM WINDOWS を使用して、 Windows 認証メタデータ モードの Windows プリンシパルに対して、それぞれ SQL Managed Instance にログインまたはユーザーを作成できます。 Windows プリンシパルには、Windows ユーザーまたは Windows グループを指定できます。

Windows 認証メタデータ モードを使用するには、ユーザー環境で Microsoft Entra IDを使用して Active Directory (AD) を同期する必要があります。

認証メタデータ モードを構成する

  1. Azure portal にアクセスして、SQL Managed Instance リソースに移動します。
  2. > Microsoft Entra ID の設定に移動します。
  3. ドロップダウン リストから、優先する [認証メタデータ] モードを選択します。
  4. [認証メタデータの構成を保存する] を選択します。

認証メタデータ モードの構成を示す Azure portal のスクリーンショット。

Windows 認証 メタデータ モードを使用した移行の課題への対処

Windows 認証メタデータ モードは、アプリケーションの認証を最新化し、SQL Managed Instance への移行の課題を解決するのに役立ちます。 Windows 認証メタデータ モードを使用して顧客の課題に対処できる一般的なシナリオを次に示します。

Microsoft Entra プリンシパルの Windows 認証

AD と Microsoft Entra ID の間で環境が同期されている限り、Windows 認証メタデータ モードを使用すると、Windows ログインまたは Microsoft Entra ログインを使用して SQL Managed Instance に対するユーザーを認証できます (ログインが Windows プリンシパル (CREATE LOGIN FROM WINDOWS) から作成された場合)。

この機能は、Windows 認証を使用し、SQL Managed Instance に移行するアプリケーションをお持ちのお客様に特に役立ちます。 Windows 認証メタデータ モードを使用すると、アプリケーション コードに変更を加えることなく、アプリケーションのWindows 認証を引き続き使用できます。 たとえば、CREATE LOGIN FROM WINDOWS コマンドや CREATE USER FROM WINDOWS コマンドを実行する BizTalk server などのアプリケーションは、SQL Managed Instance に移行するときに変更を加えずに引き続き動作できます。 その他のユーザーは、AD に同期された Microsoft Entra ログインを使用して、SQL Managed Instance に対して認証することができます。

Managed Instance リンクを使用すると、SQL Server と SQL Managed Instance の間で凖リアルタイムのデータ レプリケーションが可能になりますが、クラウド内の 読み取り専用レプリカによって Microsoft Entra プリンシパルが作成できなくなります。 Windows 認証メタデータ モードを使用すると、顧客は既存の Windows ログインを使用して、フェールオーバーが発生した場合にレプリカに対する認証を行えます。

SQL Server 2022 以降向け Microsoft Entra 認証

SQL Server 2022 では、Microsoft Entra 認証が新たにサポートされます。 多くのユーザーは、先進認証のみを使用するように認証モードを制限し、すべての Windows プリンシパルを Microsoft Entra ID に移行したいと考えています。 ただし、Windows プリンシパルに関連付けられたアプリケーション コードなど、Windows 認証がまだ必要なシナリオがあります。 Windows 認証メタデータ モードを使用すると、顧客は、認証用に同期された Microsoft Entra プリンシパルを使用しながら、SQL Server 内での承認に Windows プリンシパルを引き続き使用できます。

SQL Server では、Active Directory と Microsoft Entra ID の間の同期が認識されません。 ユーザーとグループは AD と Microsoft Entra ID の間で同期されますが、構文 CREATE LOGIN FROM EXTERNAL PROVIDER を使用してログインを作成し、ログインにアクセス許可を追加する必要がありました。 Windows 認証メタデータ モードを使用すると、ログインを Microsoft Entra ID に手動で移行する必要が軽減されます。

認証メタデータ モードの比較

SQL Managed Instance での認証メタデータ モードの動作を説明するフロー チャートを次に示します。

認証メタデータ モードのフローチャートの図。

以前は、AD と Microsoft Entra ID の間でユーザーを同期する顧客は、WINDOWS 認証を使用した場合でも、AD から同期された Microsoft Entra 認証を使用した場合でも、Windows プリンシパルから作成されたログインで認証することはできませんでした。 Windows 認証メタデータ モードでは、Windows 認証または同期された Microsoft Entra プリンシパルを使用して Windows プリンシパルから作成されたログインで認証できるようになりました。

同期されたユーザーの場合、認証は次の構成とログインの種類に基づいて成功または失敗します。

認証メタデータ モード Windows から FROM EXTERNAL PROVIDER
Windows モード
Microsoft Entra 認証 成功 失敗
Windows 認証 成功 失敗
Microsoft Entra ID モード
Microsoft Entra 認証 失敗 成功
Windows 認証 失敗 成功
ペア モード
Microsoft Entra 認証 失敗 成功
Windows 認証 成功 失敗

SQL Managed Instance で Microsoft Entra プリンシパルの Windows 認証を実装する方法の詳細については、次を参照してください。