次の方法で共有

Synapse SQL で多要素 Microsoft Entra 認証を使用する (MFA の SSMS サポート)

  • [アーティクル]

Synapse SQL では、"Active Directory ユニバーサル認証" を使用して、SQL Server Management Studio (SSMS) からの接続をサポートしています。

この記事ではさまざまな認証オプションの違いについて説明し、また、ユニバーサル認証の使用に関連する制限事項について説明します。

最新の SSMS のダウンロード - クライアント コンピューターで、「SQL Server Management Studio (SSMS) のダウンロード」から SSMS の最新版をダウンロードします。

この記事で説明されているすべての機能を使用するには、2017 年 7 月以降のバージョン 17.2 を使用してください。 一番新しい接続ダイアログ ボックスは次の画像のようになっているはずです。

Screenshot shows Connect to Server dialog box where you can select a server name and authentication option.

5 つの認証オプション

Active Directory ユニバーサル認証がサポートする 2 つの非対話型の認証方式: - Active Directory - Password 認証 - Active Directory - Integrated 認証

非対話型の認証モデルも 2 つあり、さまざまなアプリケーション (ADO.NET、JDCB、ODC など) で利用できます。 これら 2 つの方式では、ポップアップ ダイアログ ボックスは表示されません。

  • Active Directory - Password
  • Active Directory - Integrated

Microsoft Entra 多要素認証 (MFA) もサポートする対話型の方式:

  • Active Directory - Universal with MFA

Microsoft Entra 多要素認証は、シンプルなサインイン プロセスを好むユーザーの要求に応えながら、データとアプリケーションへのアクセスを保護するのに役立ちます。 電話、テキスト メッセージ、スマート カードと PIN、モバイル アプリ通知など、簡単な各種確認オプションによって強力な認証が実現するため、ユーザーは自分に最も合った方法を選択できます。 Microsoft Entra ID との対話型 MFA はポップアップ ダイアログ ボックスで検証できます。

多要素認証の詳細については、「多要素認証」を参照してください。

Microsoft Entra ドメイン名またはテナント ID パラメーター

SSMS バージョン 17 以降では、別の Azure Active ディレクトリから現在の Active Directory にゲスト ユーザーとしてインポートされたユーザーは、接続時に Microsoft Entra のドメイン名またはテナント ID を指定できます。

ゲスト ユーザーには、他の Azure AD や、outlook.com、hotmail.com、live.com などの Microsoft アカウントまたは gmail.com などのその他のアカウントから招待されたユーザーが含まれます。 この情報により、Active Directory MFA ユニバーサル認証の際に、正しい認証機関を識別できます。 また、このオプションでは、outlook.com、hotmail.com、live.com などの Microsoft のアカウント (MSA) および MSA 以外のアカウントのサポートが必要です。

ユニバーサル認証を使用して認証される、これらすべてのユーザーは、Microsoft Entra ドメイン名またはテナント ID を入力する必要があります。 このパラメーターは、Azure サーバーがリンクしている、現在の Microsoft Entra ドメイン名またはテナント ID を表しています。

たとえば、Azure サーバーが Microsoft Entra ドメイン contosotest.onmicrosoft.com と関連付けられていて、このドメインにユーザー joe@contosodev.onmicrosoft.com が Microsoft Entra ドメイン contosodev.onmicrosoft.com からインポートされたユーザーとしてホストされている場合、このユーザーを認証するために必要なドメイン名は contosotest.onmicrosoft.com です。

ユーザーが Azure サーバーにリンクされている Microsoft Entra ID のネイティブ ユーザーであるが、MSA アカウントではない場合、ドメイン名またはテナント ID は必要ありません。

[データベースへの接続] ダイアログ ボックスにパラメーターを入力するには (SSMS バージョン 17.2 以降)、ダイアログ ボックスに入力します。 [Active Directory - MFA サポートで汎用] 認証を選択し、 [オプション] を選択して、 [ユーザー名] ボックスに入力したら、 [接続のプロパティ] タブを選択します。

[AD ドメインの名前またはテナントの ID] ボックスをオンにし、ドメイン名 (contosotest.onmicrosoft.com) またはテナント ID の GUID などの認証機関を入力します。

Screenshot shows Connect to Server in the Connection Properties tab with values entered.

SSMS 18.x 以降を実行している場合、18.x 以降では自動的に認識されるため、ゲスト ユーザーの AD ドメイン名やテナント ID は不要です。

mfa-tenant-ssms

Microsoft Entra の企業間サポート

ゲスト ユーザーとして Microsoft Entra B2B シナリオでサポートされている Microsoft Entra ユーザー (Azure B2B コラボレーションの概要に関するページを参照してください) は、Synapse SQL に、現在の Microsoft Entra ID で作成されているグループのメンバーとしてのみ接続でき、特定のデータベース内で Transact-SQL CREATE USER ステートメントを使用して手動でマップされます。

たとえば、steve@gmail.com を Azure AD contosotest に (Microsoft Entra ドメイン contosotest.onmicrosoft.com を使用して) 招待した場合、Microsoft Entra グループ (usergroup など) は、steve@gmail.com メンバーを含む Microsoft Entra ID で作成されている必要があります。 次に、このグループを、Microsoft Entra SQL 管理者または Microsoft Entra DBO が Transact-SQL CREATE USER [usergroup] FROM EXTERNAL PROVIDER ステートメントを実行することによって、特定のデータベース (すなわち、MyDatabase) に作成する必要があります。

データベース ユーザーを作成すると、SSMS 認証オプション Active Directory – Universal with MFA support を使用して、ユーザー steve@gmail.comMyDatabase にログインできるようになります。

ユーザー グループには、既定では接続権限のみが付与されており、追加のデータ アクセス権限は通常の方法で付与する必要があります。

ゲスト ユーザーとしてのユーザー steve@gmail.com は、SSMS の [接続プロパティ] ダイアログ ボックスで、チェック ボックスをオンにして、AD ドメイン名 contosotest.onmicrosoft.com を追加する必要があります。 [AD ドメインの名前またはテナントの ID] オプションは MFA ユニバーサル接続オプションでのみサポートされており、それ以外の場合はグレーで表示されます。

Synapse SQL のユニバーサル認証の制限事項

  • SSMS および SqlPackage.exe は、現在、Active Directory ユニバーサル認証を介して MFA 認証できる、唯一のツールです。
  • SSMS バージョン 17.2 では、MFA ユニバーサル認証を使用してマルチ ユーザーの同時アクセスをサポートしています。 バージョン 17.0 および 17.1 では、ユニバーサル認証を使用して SSMS のインスタンスにログインできるのは、1 つの Microsoft Entra アカウントのみに制限されています。 別の Microsoft Entra アカウントとしてログインするには、SSMS の別のインスタンスを使用する必要があります。 Active Directory パスワード認証、Active Directory 統合認証、または SQL Server 認証の使用時は別のサーバーにログインできます)。
  • SSMS では、オブジェクト エクスプローラー、クエリ エディター、クエリ ストアの視覚化で Active Directory ユニバーサル認証がサポートされます。
  • SSMS バージョン 17.2 では、データベースのエクスポート/抽出/データの展開を支援する DacFx ウィザードが提供されています。 ユニバーサル認証を使用して、初期認証ダイアログ ボックスで特定のユーザーが認証されると、DacFx ウィザードは他のすべての認証方法についても同じように機能します。
  • SSMS テーブル デザイナーは、ユニバーサル認証をサポートしていません。
  • サポートされているバージョンの SSMS を使用する必要があることを除き、Active Directory ユニバーサル認証に関する追加のソフトウェア要件はありません。
  • ユニバーサル認証用の Active Directory Authentication Library (ADAL) バージョンは、最新のリリース バージョン ADAL.dll 3.13.9 に更新されました。 「Active Directory 認証ライブラリ 3.14.1」を参照してください。

次のステップ

詳細については、SQL Server Management Studio を使用した Synapse SQL への接続に関するページを参照してください。