この記事では、Windows 10 20H1、Windows Server 2022、またはそれ以降のバージョンの Windows を実行しているクライアントが Windows 認証を使用して Azure SQL Managed Instance に対して認証できるように、最新の対話型認証フローを実装する方法について説明します。 クライアントは、Microsoft Entra ID (旧称 Azure Active Directory) または Microsoft Entra ハイブリッド参加済みに参加している必要があります。
最新の対話型認証フローを有効にすることは、 Microsoft Entra ID と Kerberos を使用して Azure SQL Managed Instance の Windows 認証を設定する 1 つの手順です。 着信信頼ベースのフローは、Windows 10/Windows Server 2012 以降を実行している AD 参加済みクライアントで使用できます。
この機能により、Microsoft Entra ID は独自の独立した Kerberos 領域になりました。 Windows 10 21H1 クライアントは既に対応しており、クライアントをリダイレクトして Microsoft Entra Kerberos にアクセスして Kerberos チケットを要求します。 クライアントが Microsoft Entra Kerberos にアクセスする機能は既定でオフになっており、グループ ポリシーを変更することで有効にすることができます。 グループ ポリシーを使用すると、パイロット対象の特定のクライアントを選択し、環境全体のすべてのクライアントに展開することで、段階的にこの機能を展開できます。
注
Microsoft Entra ID は、以前は Azure Active Directory (Azure AD) という名前でした。
[前提条件]
Microsoft Entra に参加している仮想マシンでソフトウェアを実行し、Windows 認証を使用して Azure SQL Managed Instance にアクセスできるようにするために、Active Directory から Microsoft Entra ID へのセットアップは必要ありません。 最新の対話型認証フローを実装するには、次の前提条件が必要です。
| 前提条件 | Description |
|---|---|
| クライアントは、Windows 10 20H1、Windows Server 2022、またはそれ以降のバージョンの Windows を実行する必要があります。 | |
| クライアントは、Microsoft Entra 参加済みまたは Microsoft Entra ハイブリッド参加済みである必要があります。 |
dsregcmd コマンドを実行して、この前提条件が満たされているかどうかを確認できます。dsregcmd.exe /status |
| アプリケーションは、対話型セッションを介して SQL マネージド インスタンスに接続する必要があります。 | これは、SQL Server Management Studio (SSMS) や Web アプリケーションなどのアプリケーションをサポートしますが、サービスとして実行されるアプリケーションでは機能しません。 |
| Microsoft Entra テナント。 | |
| 認証に使用する予定の Microsoft Entra テナントと同じ Azure サブスクリプション。 | |
| Microsoft Entra Connect がインストールされました。 | Microsoft Entra ID と AD の両方に ID が存在するハイブリッド環境。 |
グループ ポリシーを構成する
次のグループ ポリシー設定 Administrative Templates\System\Kerberos\Allow retrieving the cloud Kerberos ticket during the logonを有効にします。
グループ ポリシー エディターを開きます。
Administrative Templates\System\Kerberos\に移動します。ログオン設定 中にクラウド Kerberos チケットの取得を許可するを 選択します。
![Windows ポリシー エディターの kerberos ポリシー設定の一覧。[ログオン中にクラウド Kerberos チケットの取得を許可する] ポリシーが赤いボックスで強調表示されています。](media/winauth-azuread/policy-allow-retrieving-cloud-kerberos-ticket-during-logon.png?view=azuresql)
設定ダイアログで、[ 有効] を選択します。
[OK] を選択.
![[ログオン中にクラウド kerberos チケットの取得を許可する] ダイアログのスクリーンショット。[有効] を選択し、[OK] を選択してポリシー設定を有効にします。](media/winauth-azuread/policy-enable-cloud-kerberos-ticket-during-logon-setting.png?view=azuresql)
![Windows ポリシー エディターの kerberos ポリシー設定の一覧。[ログオン中にクラウド Kerberos チケットの取得を許可する] ポリシーが赤いボックスで強調表示されています。](media/winauth-azuread/policy-allow-retrieving-cloud-kerberos-ticket-during-logon.png?view=azuresql#lightbox)
![[ログオン中にクラウド kerberos チケットの取得を許可する] ダイアログのスクリーンショット。[有効] を選択し、[OK] を選択してポリシー設定を有効にします。](media/winauth-azuread/policy-enable-cloud-kerberos-ticket-during-logon-setting.png?view=azuresql#lightbox)
PRT の更新 (省略可能)
既存のログオン セッションを持つユーザーは、有効にした直後にこの機能を使用しようとすると、Microsoft Entra プライマリ更新トークン (PRT) を更新する必要がある場合があります。 PRT がそれ自体で更新されるまでに、最大で数時間かかることがあります。
PRT を手動で更新するには、コマンド プロンプトから次のコマンドを実行します。
dsregcmd.exe /RefreshPrt
関連コンテンツ
- Azure SQL Managed Instance での Microsoft Entra プリンシパルの Windows 認証とは
- Microsoft Entra ID と Kerberos を使用して Azure SQL Managed Instance の Windows 認証を実装する方法
- 着信信頼ベースのフローを使用して Microsoft Entra ID の Windows 認証を設定する方法
- Microsoft Entra ID 用の Windows 認証用に Azure SQL Managed Instance を構成する
- Azure SQL Managed Instance での Microsoft Entra プリンシパルの Windows 認証のトラブルシューティング