Použití Azure Policy k vynucení ověřování pouze Microsoft Entra pomocí Azure SQL
Platí pro: Azure SQL Database Azure SQL Managed Instance
Tento článek vás provede vytvořením služby Azure Policy, která by vynucovala ověřování pouze Microsoft Entra, když uživatelé vytvoří spravovanou instanci Azure SQL nebo logický server pro Azure SQL Database. Další informace o ověřování microsoft Entra-only během vytváření prostředků najdete v tématu Vytvoření serveru s povoleným ověřováním Microsoft Entra-only v Azure SQL.
Poznámka:
Přestože se Služba Azure Active Directory (Azure AD) přejmenovala na Microsoft Entra ID, názvy zásad v současné době obsahují původní název Azure AD, takže ověřování pouze Microsoft Entra a Azure AD se v tomto článku používá zaměnitelně.
V tomto článku získáte informace o těchto tématech:
Požadavek
- Mít oprávnění ke správě Azure Policy. Další informace najdete v tématu Oprávnění Azure RBAC ve službě Azure Policy.
Vytvoření služby Azure Policy
Začněte tím, že vytvoříte službu Azure Policy, která vynucuje zřizování služby SQL Database nebo spravované instance s povoleným ověřováním jen pro Azure AD.
Přejděte na Azure Portal.
Vyhledejte zásady služby.
V nastavení vytváření vyberte Definice.
Do vyhledávacího pole vyhledejte pouze ověřování Azure Active Directory.
K dispozici jsou dvě předdefinované zásady pro vynucování ověřování jen pro Azure AD. Jedna je pro SLUŽBU SQL Database a druhá je určená pro službu SQL Managed Instance.
- Azure SQL Database by měla mít povolené pouze ověřování Azure Active Directory.
- Spravovaná instance Azure SQL by měla mít povolené pouze ověřování Azure Active Directory.
Vyberte název zásady pro vaši službu. V tomto příkladu použijeme Azure SQL Database. Vyberte Službu Azure SQL Database, která by měla mít povolené pouze ověřování Azure Active Directory.
V nové nabídce vyberte Přiřadit .
Poznámka:
Skript JSON v nabídce zobrazuje integrovanou definici zásad, kterou je možné použít jako šablonu k vytvoření vlastní služby Azure Policy for SQL Database. Výchozí hodnota je nastavena na
Audit
hodnotu .Na kartě Základy přidejte obor pomocí selektoru (...) na straně pole.
V podokně Obor vyberte v rozevírací nabídce vaše předplatné a vyberte skupinu prostředků pro tuto zásadu. Až budete hotovi, uložte výběr pomocí tlačítka Vybrat .
Poznámka:
Pokud nevyberete skupinu prostředků, zásada se použije pro celé předplatné.
Jakmile se vrátíte na kartu Základy , upravte název zadání a zadejte volitelný popis. Ujistěte se, že je povolené vynucování zásad.
Přejděte na kartu Parametry . Zrušte výběr možnosti Zobrazit pouze parametry, které vyžadují vstup.
V části Efekt vyberte Odepřít. Toto nastavení brání vytvoření logického serveru bez povoleného ověřování pouze Azure AD.
Na kartě Zprávy o nedodržování předpisů můžete přizpůsobit zprávu zásad, která se zobrazí, pokud došlo k porušení zásad. Zpráva uživatelům umožní zjistit, jaké zásady se vynutily při vytváření serveru.
Vyberte Zkontrolovat a vytvořit. Zkontrolujte zásady a vyberte tlačítko Vytvořit .
Poznámka:
Vynucení nově vytvořených zásad může nějakou dobu trvat.
Kontrola dodržování zásad
Můžete zkontrolovat nastavení dodržování předpisů ve službě Zásady a zobrazit stav dodržování předpisů.
Vyhledejte název přiřazení, který jste dali dříve zásadám.
Jakmile se logický server vytvoří s ověřováním jen pro Azure AD, sestava zásad zvýší čítač ve vizuálu Stavu dodržování předpisů v rámci prostředků. Uvidíte, které prostředky vyhovují předpisům nebo které nedodržují předpisy.
Pokud skupina prostředků, pro kterou byla zásada zvolena, obsahuje již vytvořené servery, bude sestava zásad informovat o prostředcích, které vyhovují předpisům a nedodržují předpisy.
Poznámka:
Aktualizace sestavy dodržování předpisů může nějakou dobu trvat. Změny související s vytvářením prostředků nebo nastavením ověřování pouze Microsoft Entra nejsou hlášeny okamžitě.
Zřízení serveru
Potom se můžete pokusit zřídit logický server nebo spravovanou instanci ve skupině prostředků, kterou jste přiřadili službě Azure Policy. Pokud je během vytváření serveru povolené ověřování pouze Azure AD, zřizování proběhne úspěšně. Pokud není povolené ověřování pouze Azure AD, zřizování selže.
Další informace najdete v tématu Vytvoření serveru s povoleným ověřováním Microsoft Entra-only v Azure SQL.