Sdílet prostřednictvím

Použití Azure Policy k vynucení ověřování pouze Microsoft Entra pomocí Azure SQL

  • Článek

Platí pro: Azure SQL Database Azure SQL Managed Instance

Tento článek vás provede vytvořením služby Azure Policy, která by vynucovala ověřování pouze Microsoft Entra, když uživatelé vytvoří spravovanou instanci Azure SQL nebo logický server pro Azure SQL Database. Další informace o ověřování microsoft Entra-only během vytváření prostředků najdete v tématu Vytvoření serveru s povoleným ověřováním Microsoft Entra-only v Azure SQL.

Poznámka:

Přestože se Služba Azure Active Directory (Azure AD) přejmenovala na Microsoft Entra ID, názvy zásad v současné době obsahují původní název Azure AD, takže ověřování pouze Microsoft Entra a Azure AD se v tomto článku používá zaměnitelně.

V tomto článku získáte informace o těchto tématech:

  • Vytvoření služby Azure Policy, která vynucuje vytvoření logického serveru nebo spravované instance s povoleným ověřováním Microsoft Entra-only
  • Kontrola dodržování předpisů pro Azure Policy

Požadavek

Vytvoření služby Azure Policy

Začněte tím, že vytvoříte službu Azure Policy, která vynucuje zřizování služby SQL Database nebo spravované instance s povoleným ověřováním jen pro Azure AD.

  1. Přejděte na Azure Portal.

  2. Vyhledejte zásady služby.

  3. V nastavení vytváření vyberte Definice.

  4. Do vyhledávacího pole vyhledejte pouze ověřování Azure Active Directory.

    K dispozici jsou dvě předdefinované zásady pro vynucování ověřování jen pro Azure AD. Jedna je pro SLUŽBU SQL Database a druhá je určená pro službu SQL Managed Instance.

    • Azure SQL Database by měla mít povolené pouze ověřování Azure Active Directory.
    • Spravovaná instance Azure SQL by měla mít povolené pouze ověřování Azure Active Directory.

    Snímek obrazovky se službou Azure Policy pro ověřování jen pro Azure AD

  5. Vyberte název zásady pro vaši službu. V tomto příkladu použijeme Azure SQL Database. Vyberte Službu Azure SQL Database, která by měla mít povolené pouze ověřování Azure Active Directory.

  6. V nové nabídce vyberte Přiřadit .

    Poznámka:

    Skript JSON v nabídce zobrazuje integrovanou definici zásad, kterou je možné použít jako šablonu k vytvoření vlastní služby Azure Policy for SQL Database. Výchozí hodnota je nastavena na Audithodnotu .

    Snímek obrazovky s přiřazením služby Azure Policy pro ověřování jen pro Azure AD

  7. Na kartě Základy přidejte obor pomocí selektoru (...) na straně pole.

    Snímek obrazovky s výběrem oboru Služby Azure Policy pro ověřování jen pro Azure AD

  8. V podokně Obor vyberte v rozevírací nabídce vaše předplatné a vyberte skupinu prostředků pro tuto zásadu. Až budete hotovi, uložte výběr pomocí tlačítka Vybrat .

    Poznámka:

    Pokud nevyberete skupinu prostředků, zásada se použije pro celé předplatné.

    Snímek obrazovky s přidáním oboru Služby Azure Policy pro ověřování jen pro Azure AD

  9. Jakmile se vrátíte na kartu Základy , upravte název zadání a zadejte volitelný popis. Ujistěte se, že je povolené vynucování zásad.

  10. Přejděte na kartu Parametry . Zrušte výběr možnosti Zobrazit pouze parametry, které vyžadují vstup.

  11. V části Efekt vyberte Odepřít. Toto nastavení brání vytvoření logického serveru bez povoleného ověřování pouze Azure AD.

    Snímek obrazovky s parametrem efektu Azure Policy pro ověřování jen pro Azure AD

  12. Na kartě Zprávy o nedodržování předpisů můžete přizpůsobit zprávu zásad, která se zobrazí, pokud došlo k porušení zásad. Zpráva uživatelům umožní zjistit, jaké zásady se vynutily při vytváření serveru.

    Snímek obrazovky se zprávou o nedodržování předpisů pro ověřování jen pro Azure AD

  13. Vyberte Zkontrolovat a vytvořit. Zkontrolujte zásady a vyberte tlačítko Vytvořit .

Poznámka:

Vynucení nově vytvořených zásad může nějakou dobu trvat.

Kontrola dodržování zásad

Můžete zkontrolovat nastavení dodržování předpisů ve službě Zásady a zobrazit stav dodržování předpisů.

Vyhledejte název přiřazení, který jste dali dříve zásadám.

Snímek obrazovky s dodržováním předpisů azure Policy pro ověřování jen pro Azure AD

Jakmile se logický server vytvoří s ověřováním jen pro Azure AD, sestava zásad zvýší čítač ve vizuálu Stavu dodržování předpisů v rámci prostředků. Uvidíte, které prostředky vyhovují předpisům nebo které nedodržují předpisy.

Pokud skupina prostředků, pro kterou byla zásada zvolena, obsahuje již vytvořené servery, bude sestava zásad informovat o prostředcích, které vyhovují předpisům a nedodržují předpisy.

Poznámka:

Aktualizace sestavy dodržování předpisů může nějakou dobu trvat. Změny související s vytvářením prostředků nebo nastavením ověřování pouze Microsoft Entra nejsou hlášeny okamžitě.

Zřízení serveru

Potom se můžete pokusit zřídit logický server nebo spravovanou instanci ve skupině prostředků, kterou jste přiřadili službě Azure Policy. Pokud je během vytváření serveru povolené ověřování pouze Azure AD, zřizování proběhne úspěšně. Pokud není povolené ověřování pouze Azure AD, zřizování selže.

Další informace najdete v tématu Vytvoření serveru s povoleným ověřováním Microsoft Entra-only v Azure SQL.

Další kroky