Azure Analysis Services では、ID 管理とユーザー認証に Microsoft Entra ID が使用されます。 Azure Analysis Services サーバーを作成、管理、または接続するすべてのユーザーは、同じサブスクリプション内の Microsoft Entra テナント に有効なユーザー ID を持っている必要があります。
Azure Analysis Services では、 Microsoft Entra B2B コラボレーションがサポートされています。 B2B を使用すると、組織外のユーザーを Microsoft Entra ディレクトリのゲスト ユーザーとして招待できます。 ゲストは、別の Microsoft Entra テナント ディレクトリまたは任意の有効な電子メール アドレスから取得できます。 招待され、ユーザーが Azure から電子メールで送信された招待を受け入れると、ユーザー ID がテナント ディレクトリに追加されます。 これらの ID は、セキュリティ グループに追加することも、サーバー管理者またはデータベース ロールのメンバーとして追加することもできます。
Authentication
すべてのクライアント アプリケーションとツールは、1 つ以上の Analysis Services クライアント ライブラリ (AMO、MSOLAP、ADOMD) を使用してサーバーに接続します。
3 つのクライアント ライブラリはすべて、Microsoft Entra 対話型フローと非対話型認証方法の両方をサポートしています。 AMOMD と MSOLAP を使用するアプリケーションでは、Active Directory パスワードと Active Directory 統合認証の 2 つの非対話型方法を使用できます。 これら 2 つの方法では、サインイン用のポップアップ ダイアログ ボックスが表示されることはありません。
Excel や Power BI Desktop などのクライアント アプリケーションや、Visual Studio 用の SSMS プロジェクトや Analysis Services プロジェクト拡張機能などのツールでは、クライアント ライブラリの最新バージョンが通常の更新プログラムと共にインストールされます。 Power BI Desktop、SSMS、Analysis Services プロジェクト拡張機能は、毎月更新されます。 Excel は Microsoft 365 で更新されます。 Microsoft 365 の更新プログラムの頻度は低く、一部の組織では遅延チャネルを使用しています。つまり、更新プログラムは最大 3 か月間延期されます。
使用するクライアント アプリケーションまたはツールによって、認証の種類とサインイン方法が異なる場合があります。 各アプリケーションでは、Azure Analysis Services などのクラウド サービスに接続するための異なる機能がサポートされている場合があります。
Power BI Desktop、Visual Studio、SSMS では、Active Directory ユニバーサル認証がサポートされています。これは、Microsoft Entra 多要素認証 (MFA) もサポートする対話型の方法です。 Microsoft Entra 多要素認証は、簡単なサインイン プロセスを提供しながら、データとアプリケーションへのアクセスを保護するのに役立ちます。 複数の検証オプション (電話、テキスト メッセージ、スマート カードとピン留め、モバイル アプリ通知) を使用して強力な認証を提供します。 Microsoft Entra ID を使用した対話型 MFA では、検証用のポップアップ ダイアログ ボックスが表示される場合があります。 ユニバーサル認証をお勧めします。
Windows アカウントを使用して Azure にサインインし、ユニバーサル認証が選択されていない場合、または使用できない場合 (Excel)、 Active Directory フェデレーション サービス (AD FS) が必要です。 フェデレーションでは、Microsoft Entra ID と Microsoft 365 ユーザーはオンプレミスの資格情報を使用して認証され、Azure リソースにアクセスできます。
SQL Server Management Studio (SSMS)
Azure Analysis Services サーバーは、Windows 認証、Active Directory パスワード認証、および Active Directory ユニバーサル認証を使用して 、SSMS V17.1 以降からの接続をサポートします。 一般に、次の理由から Active Directory ユニバーサル認証を使用することをお勧めします。
対話型および非対話型の認証方法をサポートします。
Azure AS テナントに招待された Azure B2B ゲスト ユーザーをサポートします。 サーバーに接続する場合、ゲスト ユーザーはサーバーに接続するときに Active Directory ユニバーサル認証を選択する必要があります。
多要素認証 (MFA) をサポートします。 Microsoft Entra 多要素認証は、電話、テキスト メッセージ、スマート カードとピン留め、モバイル アプリ通知など、さまざまな検証オプションを使用して、データやアプリケーションへのアクセスを保護するのに役立ちます。 Microsoft Entra ID を使用した対話型 MFA では、検証用のポップアップ ダイアログ ボックスが表示される場合があります。
Visual Studio
Visual Studio は、MFA をサポートする Active Directory ユニバーサル認証を使用して Azure Analysis Services に接続します。 ユーザーは、最初のデプロイ時に Azure にサインインするように求められます。 ユーザーは、デプロイするサーバーに対するサーバー管理者アクセス許可を持つアカウントを使用して Azure にサインインする必要があります。 初めて Azure にサインインするときに、トークンが割り当てられます。 トークンは、将来再接続するためにメモリ内にキャッシュされます。
Power BI Desktop
Power BI Desktop は、MFA をサポートする Active Directory ユニバーサル認証を使用して Azure Analysis Services に接続します。 ユーザーは、最初の接続で Azure にサインインするように求められます。 ユーザーは、サーバー管理者またはデータベース ロールに含まれているアカウントを使用して Azure にサインインする必要があります。
エクセル
Excel ユーザーは、Windows アカウント、組織 ID (電子メール アドレス)、または外部メール アドレスを使用してサーバーに接続できます。 外部電子メール ID は、ゲスト ユーザーとして Microsoft Entra ID に存在する必要があります。
ユーザーのアクセス許可
サーバー管理者 は、Azure Analysis Services サーバー インスタンスに固有です。 Azure portal、SSMS、Visual Studio などのツールと接続して、設定の構成やユーザー ロールの管理などのタスクを実行します。 既定では、サーバーを作成するユーザーは Analysis Services サーバー管理者として自動的に追加されます。 他の管理者は、Azure portal または SSMS を使用して追加できます。 サーバー管理者は、同じサブスクリプションの Microsoft Entra テナントにアカウントを持っている必要があります。 詳細については、「 サーバー管理者の管理」を参照してください。
データベース ユーザーは 、Excel や Power BI などのクライアント アプリケーションを使用してモデル データベースに接続します。 ユーザーをデータベース ロールに追加する必要があります。 データベース ロールは、データベースの管理者、プロセス、または読み取りアクセス許可を定義します。 管理者のアクセス許可を持つロールのデータベース ユーザーは、サーバー管理者とは異なって理解しておくことが重要です。 ただし、既定では、サーバー管理者もデータベース管理者です。 詳細については、「 データベース ロールとユーザーの管理」を参照してください。
Azure リソース所有者。 リソース所有者は、Azure サブスクリプションのリソースを管理します。 リソース所有者は、Azure portal で アクセス制御 を使用するか、Azure Resource Manager テンプレートを使用して、サブスクリプション内の所有者または共同作成者ロールに Microsoft Entra ユーザー ID を追加できます。
このレベルのロールは、ポータルまたは Azure Resource Manager テンプレートを使用して完了できるタスクを実行する必要があるユーザーまたはアカウントに適用されます。 詳細については、 Azure ロールベースのアクセス制御 (Azure RBAC) に関するページを参照してください。
データベース ロール
表形式モデルに対して定義されているロールは、データベース ロールです。 つまり、ロールには、Microsoft Entra ユーザーと、それらのメンバーがモデル データベースに対して実行できるアクションを定義する特定のアクセス許可を持つセキュリティ グループで構成されるメンバーが含まれます。 データベース ロールは、データベース内に個別のオブジェクトとして作成され、そのロールが作成されたデータベースにのみ適用されます。
既定では、新しい表形式モデル プロジェクトを作成する場合、モデル プロジェクトにはロールはありません。 ロールは、Visual Studio の [ロール マネージャー] ダイアログ ボックスを使用して定義できます。 ロールがモデル プロジェクトの設計時に定義されている場合、ロールはモデル ワークスペース データベースにのみ適用されます。 モデルがデプロイされると、デプロイされたモデルに同じロールが適用されます。 モデルがデプロイされると、サーバー管理者とデータベース管理者は SSMS を使用してロールとメンバーを管理できます。 詳細については、「 データベース ロールとユーザーの管理」を参照してください。
考慮事項と制限事項
- Azure Analysis Services では、B2B ユーザーの One-Time パスワードの使用はサポートされていません
次のステップ
Microsoft Entra グループを使ってリソースへのアクセスを管理する
データベース ロールとユーザーの管理
サーバー管理者の管理
Azure ロールベースのアクセス制御 (Azure RBAC)