Azure SQL Managed Instance での Microsoft Entra プリンシパルの Windows 認証とは何ですか?
適用対象: Azure SQL Managed Instance
Azure SQL Managed Instance はインテリジェントでスケーラブルなクラウド データベース サービスであり、幅広い SQL Server データベース エンジンとの互換性と、フル マネージドの常に最新のサービスとしてのプラットフォームのすべての利点を兼ね備えています。 Microsoft Entra ID (旧 Azure Active Directory) 向け Kerberos 認証により、Azure SQL Managed Instance への Windows 認証アクセスが可能になります。 マネージド インスタンスの Windows 認証を使用すると、スムーズなユーザー エクスペリエンスを維持しながら既存のサービスをクラウドに移行し、インフラストラクチャの最新化の基礎を提供できます。
Note
Microsoft Entra ID の、旧称は Azure Active Directory(Azure AD)です。
主な機能とシナリオ
お客様は、インフラストラクチャ、アプリケーション、およびデータ層を最新化することにより、Microsoft Entra ID への移行を通じて ID 管理機能も最新化することになります。 Azure SQLは、次の複数のMicrosoft Entra 認証オプションを提供します。
- パスワードは、Microsoft Entra 資格情報を使用した認証を提供します
- Universal with MFAにより多要素認証が追加されます
- Integrated は Active Directory Federation Services (ADFS) のようなフェデレーション プロバイダーを使用してシングル サインオン (SSO) エクスペリエンスを有効にします
- サービス プリンシパルにより Azure アプリケーションからの認証が有効化されます
- Managed Identity は、Microsoft Entra ID が割り当てられたアプリケーションからの認証を有効にします
ただし、一部のレガシ アプリでは認証を Microsoft Entra ID に変更できず、レガシ アプリケーション コードの使用が長くなる可能性があります。レガシ ドライバーに依存している可能性があります。クライアントを変更できない場合がある、などの状況が考えられます。 Microsoft Entra プリンシパルの Windows 認証では、移行のブロッカーが削除され、より広範な顧客アプリケーションのサポートが提供されます。
マネージド インスタンス上の Microsoft Entra プリンシパルの Windows 認証は、Active Directory、Microsoft Entra ID、またはハイブリッド Microsoft Entra ID のいずれかに参加しているデバイスまたは仮想マシン (VM) で使用できます。ハイブリッド Microsoft Entra ユーザー ID は、Microsoft Entra ID と Active Directory の両方に存在し、Microsoft Entra Kerberos を使用して Azure のマネージド インスタンスにアクセスできます。
マネージド インスタンスの Windows 認証を有効にしても、新しいオンプレミス インフラストラクチャをデプロイしたり、Domain Services の設定のオーバーヘッドを管理したりする必要はありません。
Azure SQL Managed Instance 上の Microsoft Entra プリンシパルの Windows 認証では、最小限の変更でオンプレミスの SQL サーバーを Azure に移行することと、セキュリティ インフラストラクチャを最新化するという 2 つの主要なシナリオが可能になります。
最小限の変更でオンプレミスのSQL Servers を Azure にリフトやシフトする
Microsoft Entra プリンシパルの Windows 認証を有効にすると、アプリケーション認証スタックに変更を実装したり、Microsoft Entra Domain Services をデプロイしたりすることなく、Azure SQL Managed Instance に移行できます。 顧客は、Windows 認証を使用して、Active Directory または Microsoft Entra が参加しているデバイスからマネージド インスタンスにアクセスすることもできます。
Microsoft Entra プリンシパルの Windows 認証は、マネージド インスタンスで次のパターンも有効にします。 これらのパターンは、従来のオンプレミスのSQL Serversで頻繁に使用されます。
- [ダブル ホップ] 認証: Web アプリケーションでは、IIS ID の偽装を使用して、エンド ユーザーのセキュリティ コンテキストでインスタンスに対してクエリを実行します。
- 拡張イベントとSQL Server Profiler を使用したトレースは、Windows 認証を使用して起動できます。これにより、このワークフローに慣れたデータベース管理者や開発者が簡単に使用できます。 Microsoft Entra プリンシパルの Windows 認証を使用して、Azure SQL Managed Instance に対してトレースを実行する方法を学習しましょう。
セキュリティ インフラストラクチャを最新化する
Azure SQL Managed Instance でMicrosoft Entra プリンシパルの Windows 認証を有効にすると、セキュリティ プラクティスを最新化できます。
たとえば、顧客は、Windows 認証に依存する実証済みのツールを使用してモバイル アナリストを有効にし、生体認証資格情報を使用してマネージド インスタンスに対する認証を行うことができます。 これは、モバイル アナリストが Microsoft Entra ID に参加しているノート PC から作業している場合でも完了できます。
次のステップ
Azure SQL Managed Instance で Microsoft Entra プリンシパルの Windows 認証を実装する方法の詳細については、次を参照してください。