適用対象:
Azure SQL DatabaseAzure SQL Managed Instance
この記事では、ユーザーによって Azure SQL マネージド インスタンスが作成されるとき、または Azure SQL Database 用の論理サーバーが作成されるときに Microsoft Entra 専用認証を適用する Azure ポリシーの作成方法について説明します。 リソース作成時における Microsoft Entra 専用認証の詳細については、「Azure SQL で Microsoft Entra 専用認証を有効にしたサーバーを作成する」を参照してください。
注
Azure Active Directory (Azure AD) の 名前が Microsoft Entra ID に変更されました。
この記事では、次のことについて説明します。
- Azure SQL を有効にして Microsoft Entra 専用認証 を使用して論理サーバーまたはマネージド インスタンスの作成を強制する Azure Policy を作成する
- Azure Policy のコンプライアンスをチェックする
前提条件
- Azure Policy を管理するためのアクセス許可があること。 詳細については、「Azure Policy における Azure RBAC アクセス許可」を参照してください。
Azure ポリシーを作成する
まず、Microsoft Entra 専用認証を有効にして SQL Database または SQL Managed Instance のプロビジョニングを適用する Azure ポリシーを作成します。
Azure ポータルにアクセスします。
Policy というサービスを検索します。
[作成] 設定で [定義] を選択します。
[検索] ボックスで、Microsoft Entra 専用認証を検索します。
Microsoft Entra 専用認証を適用するために使用できる組み込みのポリシーがいくつかあります。 あなたのサービスに利用可能なものを見つけてください。
- Azure SQL Database で Microsoft Entra 専用認証が有効になっている必要がある
- Azure SQL Managed Instance で Microsoft Entra 専用認証が有効になっている必要がある
サービスのポリシー名を選択します。 この例では、Azure SQL Database を使用します。 [ Azure SQL Database で Microsoft Entra 専用認証が有効になっている必要があります] を選択します。
新しいメニューで [ ポリシーの割り当て] を選択します。
注
このメニューの JSON スクリプトに、SQL Database 用のカスタム Azure ポリシーを作成するためのテンプレートとして使用できる組み込みのポリシー定義が表示されます。 既定値は
Auditに設定されています。
[基本] タブで、ボックスの横にあるセレクター ( ... ) を使用してスコープを追加します。
[スコープ] ウィンドウで、ドロップダウン リスト メニューからサブスクリプションを選択し、このポリシーのリソース グループを選択します。 それが済んだら、 [選択] ボタンを使用して選択内容を保存します。
注
リソース グループを選択しない場合、ポリシーはサブスクリプション全体に適用されます。
[基本] タブに戻って [割り当て名] をカスタマイズし、必要に応じて [説明] を入力します。 [ポリシーの適用] が [有効] になっていることを確認します。
[パラメーター] タブに移動し、 [Only show parameters that require input](入力が必要なパラメーターのみを表示する) オプションをオフにします。
[Effect](効果) で、 [禁止] を選択します。 この設定により、Microsoft Entra 専用認証が有効になっていない論理サーバーが作成できなくなります。
[Non-compliance messages](コンプライアンス違反メッセージ) タブで、ポリシーの違反が生じた場合に表示されるポリシーのメッセージをカスタマイズできます。 サーバーの作成中に何のポリシーが適用されたかが、このメッセージでユーザーに伝えられます。
[Review + create](レビュー + 作成) を選択します。 ポリシーをレビューし、 [作成] ボタンを選択します。 新しく作成されたポリシーが適用されるまでに、しばらく時間がかかる場合があります。
ポリシーのコンプライアンスを確認する
ポリシー サービスの [コンプライアンス] 設定をチェックして、コンプライアンスの状態を確認できます。
ポリシーに割り当てておいた割り当て名を検索します。
Microsoft Entra 専用認証を使用して論理サーバーが作成されると、ポリシーレポートにより、コンプライアンス状態別のリソースのビジュアルでカウンターが増加します。 準拠しているリソース、または非準拠のリソースを確認できます。
ポリシーが対象として選択されたリソース グループに既に作成されているサーバーが含まれている場合、ポリシー レポートには、準拠しているリソースと非準拠のリソースが示されます。
コンプライアンス レポートの更新には時間がかかる場合があります。 リソースの作成または Microsoft Entra のみの認証設定に関連する変更はすぐには報告されません。
サーバーをプロビジョニングする
これで、Azure Policy を割り当てたリソース グループに、論理サーバーまたはマネージド インスタンスをプロビジョニングすることができます。 サーバーの作成時に Microsoft Entra 専用認証が有効になっている場合、プロビジョニングは成功します。 Microsoft Entra のみの認証が有効になっていない場合、プロビジョニングは失敗します。
詳細については、「Azure SQL で Microsoft Entra 専用認証を有効にしたサーバーを作成する」を参照してください。