【正しい順序】

1. ステップ 1: SQL Server に Entra ID Admin (User/Group) を Azure Portal で割当
2. ステップ 2: SSMS で Entra Admin として接続 + CREATE USER FROM EXTERNAL PROVIDER
3. ステップ 3: Entra ID Admin ユーザーに db_owner 等の権限付与
4. ステップ 4: Conditional Access ポリシーで MFA 設定

【各ステップの理由】

• ステップ 1 SQL Server に Entra ID Admin (User/Group) を Azure Portal で割当: Entra ID Admin を割当しないと Entra 認証ユーザーで接続できないため 最初に Server レベルで Admin を設定します。
• ステップ 2 SSMS で Entra Admin として接続 + CREATE USER FROM EXTERNAL PROVIDER: Admin として SQL Database に接続し 他の Entra ユーザーを DB ユーザーとして追加します。
• ステップ 3 Entra ID Admin ユーザーに db_owner 等の権限付与: ALTER ROLE db_owner ADD MEMBER [user1] 等で必要な権限を付与します。
• ステップ 4 Conditional Access ポリシーで MFA 設定: Entra ID 側で Conditional Access を設定し MFA / Device 準拠 等の追加セキュリティを実装します。

【誤った順序の問題点】

• CREATE USER → Admin 割当: Admin が設定されていないと Entra 認証ユーザーで接続不可で CREATE USER も実行できません。
• Conditional Access → DB ユーザー追加: MFA 設定は最終ステップで先にユーザー追加が必要です。

【参考】

Entra auth setup