Sdílet prostřednictvím

Spravovaná identita (Preview) pro SQL Server povolená službou Azure Arc

Platí pro: SQL Server 2025 (17.x) Preview

Tento článek popisuje, jak nakonfigurovat spravovanou identitu ID Microsoft Entra pro SQL Server povolený službou Azure Arc.

SQL Server 2025 (17.x) Preview obsahuje podporu spravovaných identit pro SQL Server ve Windows. Použití spravované identity k interakci s prostředky v Azure pomocí ověřování Microsoft Entra.

Poznámka:

Použití spravované identity s SQL Serverem 2025 je aktuálně ve verzi Preview.

Přehled

SQL Server 2025 (17.x) Preview zavádí podporu pro spravované identity Microsoft Entra. Spravované identity můžete použít k ověřování ve službách Azure, aniž byste museli spravovat přihlašovací údaje. Spravované identity se automaticky spravují v Azure a dají se použít k ověření v jakékoli službě, která podporuje ověřování Microsoft Entra. S SQL Serverem 2025 (17.x) Preview můžete použít spravované identity k ověřování příchozích připojení i k ověřování odchozích připojení ke službám Azure.

Když připojíte instanci SQL Serveru k Azure Arc, automaticky se pro název hostitele SQL Serveru vytvoří spravovaná identita přiřazená systémem. Po vytvoření spravované identity musíte identitu přidružit k instanci SQL Serveru a ID tenanta Microsoft Entra aktualizací registru.

Při použití spravované identity s SQL Serverem povoleným službou Azure Arc zvažte následující:

  • Spravovaná identita se přiřadí na úrovni serveru Azure Arc.
  • Podporují se pouze spravované identity přiřazené systémem.
  • SQL Server používá tuto spravovanou identitu na úrovni serveru Azure Arc jako primární spravovanou identitu.
  • SQL Server může tuto primární spravovanou identitu používat buď v inbound připojeních nebo v outbound připojeních.
    • Inbound connections jsou přihlášení a uživatelé připojující se k SQL Serveru. Příchozí připojení je možné dosáhnout také pomocí registrace aplikace počínaje SQL Serverem 2022 (16.x).
    • Outbound connections jsou připojení SQL Serveru k prostředkům Azure, jako je zálohování na adresu URL nebo připojení ke službě Azure Key Vault.
  • Registrace aplikace nemůže povolit SQL Server pro odchozí připojení. Odchozí připojení potřebují primární spravovanou identitu přiřazenou k SQL Serveru.
  • Pro SQL Server 2025 a novější doporučujeme použít nastavení Microsoft Entra založené na spravované identitě, jak je popsáno v tomto článku. Případně můžete nakonfigurovat registraci aplikace pro SQL Server 2025.

Požadavky

Než budete moct používat spravovanou identitu s SQL Serverem povoleným službou Azure Arc, ujistěte se, že splňujete následující požadavky:

Povolte primární spravovanou identitu

Pokud jste na server nainstalovali rozšíření Azure pro SQL Server, můžete pro instanci SQL Serveru povolit primární spravovanou identitu přímo z webu Azure Portal. Primární spravovanou identitu je také možné povolit ručně aktualizací registru, ale měla by být provedena s extrémní opatrností.

Pokud chcete na webu Azure Portal povolit primární spravovanou identitu, postupujte takto:

  1. V Portálu Azure přejděte na SQL Server povolený pomocí Azure Arc.

  2. V části Nastavení vyberte Microsoft Entra ID a Purview a otevřete stránku Microsoft Entra ID a Purview .

    Poznámka:

    Pokud možnost Povolit ověřování Pomocí ID Microsoft Entra nevidíte, ujistěte se, že je vaše instance SQL Serveru připojená ke službě Azure Arc a že máte nainstalované nejnovější rozšíření SQL.

  3. Na stránce Microsoft Entra ID a Purview zaškrtněte políčko vedle možnosti Použít primární spravovanou identitu a pak pomocí příkazu Uložit použijte konfiguraci:

    Snímek obrazovky s možností Microsoft Entra na webu Azure Portal

Udělení oprávnění aplikace pro identitu

Důležité

Tato oprávnění může udělit pouze správce privilegovaných rolí nebo vyšší role.

Spravovaná identita přiřazená systémem, která používá název počítače s podporou Arc, musí mít následující oprávnění aplikace Microsoft Graphu (role aplikací):

  • User.Read.All: Umožňuje přístup k informacím o uživateli Microsoft Entra.

  • GroupMember.Read.All: Umožňuje přístup k informacím o skupině Microsoft Entra.

  • Application.Read.ALL: Umožňuje přístup k informacím instančního objektu Microsoft Entra (aplikace).

K udělení požadovaných oprávnění spravované identitě můžete použít PowerShell. Alternativně můžete vytvořit skupinu s možností přiřazení role. Po vytvoření skupiny přiřaďte ke skupině roli Čtenáři adresáře nebo oprávnění User.Read.All, GroupMember.Read.All, a Application.Read.All, a přidejte do skupiny všechny spravované identity přiřazené systémem pro vaše počítače s podporou Azure Arc. V produkčním prostředí nedoporučujeme používat roli Čtenáře adresáře .

Následující skript PowerShellu udělí požadovaná oprávnění spravované identitě. Ujistěte se, že je tento skript spuštěný v PowerShellu 7.5 nebo novější verzi a má Microsoft.Graph nainstalovaný modul 2.28 nebo novější.

# Set your Azure tenant and managed identity name
$tenantID = '<Enter-Your-Azure-Tenant-Id>'
$managedIdentityName = '<Enter-Your-Arc-HostMachine-Name>'

# Connect to Microsoft Graph
try {
    Connect-MgGraph -TenantId $tenantID -ErrorAction Stop
    Write-Output "Connected to Microsoft Graph successfully."
}
catch {
    Write-Error "Failed to connect to Microsoft Graph: $_"
    return
}

# Get Microsoft Graph service principal
$graphAppId = '00000003-0000-0000-c000-000000000000'
$graphSP = Get-MgServicePrincipal -Filter "appId eq '$graphAppId'"
if (-not $graphSP) {
    Write-Error "Microsoft Graph service principal not found."
    return
}

# Get the managed identity service principal
$managedIdentity = Get-MgServicePrincipal -Filter "displayName eq '$managedIdentityName'"
if (-not $managedIdentity) {
    Write-Error "Managed identity '$managedIdentityName' not found."
    return
}

# Define roles to assign
$requiredRoles = @(
    "User.Read.All",
    "GroupMember.Read.All",
    "Application.Read.All"
)

# Assign roles using scoped syntax
foreach ($roleValue in $requiredRoles) {
    $appRole = $graphSP.AppRoles | Where-Object {
        $_.Value -eq $roleValue -and $_.AllowedMemberTypes -contains "Application"
    }

    if ($appRole) {
        try {
            New-MgServicePrincipalAppRoleAssignment   -ServicePrincipalId $managedIdentity.Id `
                -PrincipalId $managedIdentity.Id `
                -ResourceId $graphSP.Id `
                -AppRoleId $appRole.Id `
                -ErrorAction Stop

            Write-Output "Successfully assigned role '$roleValue' to '$managedIdentityName'."
        }
        catch {
            Write-Warning "Failed to assign role '$roleValue': $_"
        }
    }
    else {
        Write-Warning "Role '$roleValue' not found in Microsoft Graph AppRoles."
    }
}

Vytváření přihlášení a uživatelů

Postupujte podle kroků v kurzu Microsoft Entra a vytvořte přihlášení a uživatele pro spravovanou identitu.

Omezení

Při použití spravované identity s SQL Serverem 2025 zvažte následující omezení:

  • Nastavení spravované identity pro ověřování Microsoft Entra se podporuje jenom u SQL Serveru s podporou Azure Arc 2025, který běží na Windows Serveru.
  • SQL Server potřebuje přístup k veřejnému cloudu Azure, aby bylo možné používat ověřování Microsoft Entra.
  • Použití ověřování Microsoft Entra s instancemi clusteru pro převzetí služeb při selhání není podporováno.
  • Po povolení ověřování Microsoft Entra se zakázání nedoporučuje. Zakázání ověřování Microsoft Entra vynuceným odstraněním položek registru může vést k nepředvídatelným chováním s SQL Serverem 2025.
  • Ověřování na SQL Serveru na počítačích Arc prostřednictvím ověřování Microsoft Entra pomocí metody FIDO2 se v současné době nepodporuje.
  • OPERACE OPENROWSET BULK mohou také číst složku C:\ProgramData\AzureConnectedMachineAgent\Tokens\ tokenů. Tato BULK možnost vyžaduje buď ADMINISTER BULK OPERATIONS oprávnění, nebo ADMINISTER DATABASE BULK OPERATIONS oprávnění. Tato oprávnění by měla být považována za ekvivalentní správci systému.

Související obsah

  • Last updated on