Spravovaná identita pro SQL Server aktivovaná prostřednictvím služby Azure Arc

Platí pro: SQL Server 2025 (17.x)

SQL Server 2025 (17.x) obsahuje podporu spravované identity pro SQL Server ve Windows. Použití spravované identity k interakci s prostředky v Azure pomocí ověřování Microsoft Entra.

Přehled

SQL Server 2025 (17.x) zavádí podporu pro spravované identity Microsoft Entra. Spravované identity můžete použít k ověřování ve službách Azure, aniž byste museli spravovat přihlašovací údaje. Spravované identity se automaticky spravují v Azure a dají se použít k ověření v jakékoli službě, která podporuje ověřování Microsoft Entra. S SQL Serverem 2025 (17.x) můžete použít spravované identity k ověřování příchozích připojení a také k ověřování odchozích připojení ke službám Azure.

Když připojíte instanci SQL Serveru k Azure Arc, automaticky se pro název hostitele SQL Serveru vytvoří spravovaná identita přiřazená systémem. Po vytvoření spravované identity musíte identitu přidružit k instanci SQL Serveru a ID tenanta Microsoft Entra aktualizací registru.

Podrobné pokyny k nastavení najdete v tématu Nastavení spravované identity pro SQL Server povolený službou Azure Arc.

Při použití spravované identity s SQL Serverem povoleným službou Azure Arc zvažte následující:

• Spravovaná identita se přiřadí na úrovni serveru Azure Arc.
• Podporují se pouze spravované identity přiřazené systémem.
• SQL Server používá tuto spravovanou identitu na úrovni serveru Azure Arc jako primární spravovanou identitu.
• SQL Server může tuto primární spravovanou identitu používat buď v inbound připojeních nebo v outbound připojeních.
  • Inbound connections jsou přihlášení a uživatelé připojující se k SQL Serveru. Příchozí připojení je možné dosáhnout také pomocí registrace aplikace počínaje SQL Serverem 2022 (16.x).
  • Outbound connections jsou připojení SQL Serveru k prostředkům Azure, jako je zálohování na adresu URL nebo připojení ke službě Azure Key Vault.
• Registrace aplikace nemůže povolit SQL Server pro odchozí připojení. Odchozí připojení potřebují primární spravovanou identitu přiřazenou k SQL Serveru.
• Pro SQL Server 2025 a novější doporučujeme použít nastavení Microsoft Entra založené na spravované identitě, jak je popsáno v tomto článku. Případně můžete nakonfigurovat registraci aplikace pro SQL Server 2025.

Požadavky

Než budete moct používat spravovanou identitu s SQL Serverem povoleným službou Azure Arc, ujistěte se, že splňujete následující požadavky:

• Připojte SQL Server k Azure Arc.
• Nejnovější verze rozšíření Azure pro SQL Server

Podrobné pokyny k nastavení najdete v tématu Nastavení spravované identity pro SQL Server povolený službou Azure Arc.

Omezení

Při použití spravované identity s SQL Serverem 2025 zvažte následující omezení:

• Nastavení spravované identity pro ověřování Microsoft Entra se podporuje jenom u SQL Serveru s podporou Azure Arc 2025, který běží na Windows Serveru.
• SQL Server potřebuje přístup k veřejnému cloudu Azure, aby bylo možné používat ověřování Microsoft Entra.
• Použití ověřování Microsoft Entra s instancemi clusteru pro převzetí služeb při selhání není podporováno.
• Po povolení ověřování Microsoft Entra se zakázání nedoporučuje. Zakázání ověřování Microsoft Entra vynuceným odstraněním položek registru může vést k nepředvídatelným chováním s SQL Serverem 2025.
• Ověřování na SQL Serveru na počítačích Arc prostřednictvím ověřování Microsoft Entra pomocí metody FIDO2 se v současné době nepodporuje.
• OPERACE OPENROWSET BULK mohou také číst složku C:\ProgramData\AzureConnectedMachineAgent\Tokens\ tokenů. Tato BULK možnost vyžaduje buď ADMINISTER BULK OPERATIONS oprávnění, nebo ADMINISTER DATABASE BULK OPERATIONS oprávnění. Tato oprávnění by měla být považována za ekvivalentní správci systému.

Související obsah

• Nastavení spravované identity pro SQL Server povolený službou Azure Arc
• Ověřování Microsoft Entra pro SQL Server
• Co jsou spravované identity pro prostředky Azure?
• Povolení ověřování Microsoft Entra pro SQL Server na virtuálních počítačích Azure