最新の対話型フローで Microsoft Entra ID の Windows 認証を設定する方法
この記事では、Windows 10 20H1、Windows Server 2022、またはそれ以上のバージョンのWindowsを実行している対応クライアントが、Windows 認証を使用して Azure SQL Managed Instance に認証するための最新の対話型認証フローの実装方法について説明します。 クライアントは、Microsoft Entra ID (旧称 Azure Active Directory) または Microsoft Entra ハイブリッドに参加している必要があります。
最新の対話型認証フローを有効にすることは、Microsoft Entra ID と Kerberos を使用した Azure SQL Managed Instance 用の Windows 認証を設定するステップの 1 つです。 受信信頼ベース フローは、Windows 10 / Windows Server 2012 以降を実行する AD 参加クライアントで利用可能です。
この機能では、Microsoft Entra ID は 1 つの独立した Kerberos 領域になります。 Windows 10 21H1 クライアントはすでに有効なので、Kerberos チケットを要求するためにMicrosoft Entra Kerberos にアクセスするようにクライアントをリダイレクトします。 クライアントが Microsoft Entra Kerberos にアクセスする機能は、デフォルトではオフに設定されていますが、グループポリシーを変更することで有効にすることができます。 グループポリシーを使って、試験的に導入したい特定のクライアントを選択し、その後、環境全体のすべてのクライアントに展開することで、段階的にこの機能を導入することができます。
Note
Microsoft Entra ID の、旧称は Azure Active Directory(Azure AD)です。
前提条件
Microsoft Entra に参加している VM 上でソフトウェアを実行して Windows 認証を使用して Azure SQL Managed Instance にアクセスできるようにするには、Active Directory から Microsoft Entra ID へのセットアップは必要ありません。 最新の対話型認証フローを実装するには、次の前提条件が必要です。
| 前提条件 | 説明 |
|---|---|
| クライアントは、Windows 10 20H1、Windows Server 2022、またはそれ以上のバージョンの Windows を実行している必要があります。 | |
| クライアントは、Microsoft Entra 加または Microsoft Entra ハイブリッド 参加クライアントである必要があります。 | この前提条件が満たされるかどうかを判断するには、dsregcmd コマンドを実行することで判断できます。dsregcmd.exe /status |
| アプリケーションは、対話型セッションを介してマネージド インスタンスに接続する必要があります。 | これは、SQL Server Management Studio (SSMS) や Web アプリケーションなどのアプリケーションをサポートしますが、サービスとして実行されるアプリケーションでは機能しません。 |
| Microsoft Entra テナント. | |
| 認証に使用する予定の同じ Microsoft Entra テナントにある Azure サブスクリプション。 | |
| Microsoft Entra Connect がインストールされていること。 | Microsoft Entra ID と AD の両方に ID が存在するハイブリッド環境。 |
グループ ポリシーを構成する
次のグループ ポリシー設定Administrative Templates\System\Kerberos\Allow retrieving the cloud Kerberos ticket during the logonを有効にします。
グループ ポリシー エディターを開きます。
Administrative Templates\System\Kerberos\に移動します。ログオン中にクラウドサーベロスチケットの取得を許可する の設定を選択します。
設定ダイアログで、有効 を選択します。
[OK] を選択します。
リフレッシュPRT(オプション)
既存のログオンセッションを使用しているユーザーは、この機能を有効にした直後に使用しようとすると、Microsoft Entra Primary Refresh Token (PRT) の更新が必要になる場合があります。 PRT がそれ自体で更新されるまでに、最大で数時間かかることがあります。
PRT を手動で更新するには、コマンド プロンプトから次のコマンドを実行します。
dsregcmd.exe /RefreshPrt
次のステップ
Azure SQL Managed Instance で Microsoft Entra プリンシパルの Windows 認証を実装する方法の詳細については、次を参照してください。
- Azure SQL Managed Instance での Microsoft Entra プリンシパルの Windows 認証とは何ですか?
- Azure AD と Kerberos を使用して Azure SQL Managed Instance の Windows 認証の実装方法
- 受信信頼ベースのフローで Microsoft Entra ID の Windows 認証を設定する方法
- Microsoft Entra ID の Windows 認証用に Azure SQL Managed Instance を構成する
- Azure SQL Managed Instance での Microsoft Entra プリンシパルの Windows 認証のトラブルシューティング