Nastavení spravované identity a ověřování Microsoft Entra pro SQL Server povolené službou Azure Arc

Platí pro: SQL Server 2025 (17.x)

Tento článek obsahuje podrobné pokyny pro nastavení a konfiguraci spravované identity Microsoft Entra ID pro SQL Server, který povoluje Azure Arc.

Přehled spravované identity s SQL Serverem najdete v tématu Spravovaná identita pro SQL Server s podporou Azure Arc.

Požadavky

Než budete moct používat spravovanou identitu s SQL Serverem povolenou službou Azure Arc, ujistěte se, že splňujete následující požadavky:

Podporováno pro SQL Server 2025 a novější, běží ve Windows.
Připojte SQL Server k Azure Arc.
Nejnovější verze rozšíření Azure pro SQL Server

Povolte primární spravovanou identitu

Pokud jste na server nainstalovali rozšíření Azure pro SQL Server, můžete pro instanci SQL Serveru povolit primární spravovanou identitu přímo z webu Azure Portal. Primární spravovanou identitu je také možné povolit ručně aktualizací registru, ale měla by být provedena s extrémní opatrností.

Azure Portal
Ručně

Pokud chcete na webu Azure Portal povolit primární spravovanou identitu, postupujte takto:

V Portálu Azure přejděte na SQL Server povolený pomocí Azure Arc.
V části Nastavení vyberte Microsoft Entra ID a Purview a otevřete stránku Microsoft Entra ID a Purview .

Poznámka:

Pokud možnost Povolit ověřování Pomocí ID Microsoft Entra nevidíte, ujistěte se, že je vaše instance SQL Serveru připojená ke službě Azure Arc a že máte nainstalované nejnovější rozšíření SQL.
Na stránce Microsoft Entra ID a Purview zaškrtněte políčko vedle možnosti Použít primární spravovanou identitu a pak pomocí příkazu Uložit použijte konfiguraci:

Primární spravovanou identitu pro vaši instanci SQL Serveru je možné povolit ručně aktualizací registru, ale měli byste ji provést s extrémní opatrností.

Udělení oprávnění ke složce Tokens

Udělte oprávnění ke čtení a spouštění operačního systému ve složce C:\ProgramData\AzureConnectedMachineAgent\Tokens\ účtu služby instance SYSTÉMU SQL Server 2025. Ve výchozím nastavení je účet služby NT Service\MSSQLSERVER, nebo pro pojmenované instance NT Service\MSSQL$<instancename>.

Snímek obrazovky karty Vlastnosti zabezpečení složky Tokens

Možná budete muset udělit oprávnění správce pro účet služby SYSTÉMU SQL Server ve AzureConnectedMachineAgent složce před složkou Tokens :

Snímek obrazovky panelu Vlastnosti zabezpečení složky AzureConnectedMachineAgent

Přidání účtu služby SQL Serveru do skupiny aplikací rozšíření hybridního agenta

Přidejte účet služby SQL Serveru (výchozí nastavení: NT Service\MSSQLSERVER nebo pro pojmenované instance) NT Service\MSSQL$instancenamedo skupiny aplikací rozšíření hybridního agenta .

Otevřete Windows správu počítače.
Přejděte na Místní uživatelé a skupiny a vyberte Skupiny.
Přidejte účet služby SQL Serveru do skupiny aplikací rozšíření hybridního agenta .

Snímek obrazovky správy počítače zobrazující skupinu aplikací rozšíření hybridního agenta

Snímek obrazovky s vlastnostmi skupiny aplikací rozšíření hybridního agenta

Aktualizace registru

Výstraha

Nesprávná úprava registru může vážně poškodit systém. Před provedením změn registru doporučujeme zálohovat všechna hodnotná data v počítači.

V registru aktualizujte podklíč \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17.MSSQLSERVER\MSSQLServer\FederatedAuthentication .

Vytvořte následující položky:

Entry	Hodnota
`ArcServerManagedIdentityClientId`	Prázdné (bez hodnoty)
`HIMDSApiVersion`	`2020-06-01`
`HIMDSEndpoint`	`http://localhost:40342/metadata/identity/oauth2/token`
`ArcServerSystemAssignedManagedIdentityTenantId`	`Arc-AAD-Tenant-ID`
`ArcServerSystemAssignedManagedIdentityClientId`	`Arc-Machine-Client-Id`
`PrimaryAADTenant`	`Arc-AAD-Tenant-ID`
`AADChannelMaxBufferedMessageSize`	`200000`
`AADGraphEndPoint`	`graph.windows.net`
`AADGroupLookupMaxRetryAttempts`	`10`
`AADGroupLookupMaxRetryDuration`	`30000`
`AADGroupLookupRetryInitialBackoff`	`100`
`AADServerAdminSid`	`00000000-0000-0000-0000-000000000000`
`AuthenticationEndpoint`	`login.microsoftonline.com`
`CacheMaxSize`	`300`
`ClientCertBlackList`	Prázdné (bez hodnoty)
`FederationMetadataEndpoint`	`login.windows.net`
`GraphAPIEndpoint`	`graph.windows.net`
`IssuerURL`	`https://sts.windows.net/`
`OnBehalfOfAuthority`	`https://login.windows.net/`
`STSURL`	`https://login.windows.net/`
`MsGraphEndPoint`	`graph.microsoft.com`
`SendX5c`	`false`
`ServicePrincipalName`	`https://database.windows.net/`
`ServicePrincipalNameForArcadia`	`https://sql.azuresynapse.net`
`ServicePrincipalNameForArcadiaDogfood`	`https://sql.azuresynapse-dogfood.net`
`ServicePrincipalNameNoSlash`	`https://database.windows.net`
`AADBecWSConnectionPoolMaxSize`	`500`

Zálohování a úprava registru

Následující části popisují, jak zálohovat a upravovat registr pomocí Editoru registru.

Otevření Editoru registru

Stisknutím klávesy Windows + R otevřete dialogové okno Spustit.
Zadejte regedit a stiskněte Enter.
Pokud se zobrazí výzva k řízení uživatelských účtů, vyberte Ano.

Zálohování klíče registru

Tento krok zálohuje registr před provedením jakýchkoli změn. Pokud vaše změny způsobí problém, můžete tento soubor později importovat zpět do registru.

V nabídce vyberte Soubor .
Vyberte Exportovat.
V dialogovém okně Exportovat soubor registru zvolte umístění pro uložení zálohy.
Do pole Název souboru zadejte název záložního souboru.
Ujistěte se, že je v oblasti exportu vybraná možnost Vše .
Vyberte Uložit.

Přidání položek

V tomto kroku přidáte položky do registru pomocí Editoru registru.

Přejděte na tento podklíč:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17.MSSQLSERVER\MSSQLServer\FederatedAuthentication.
Klikněte pravým tlačítkem na FederedAuthentication a vyberte Hodnotu řetězce.
Opakujte pro každou položku uvedenou při aktualizaci registru.

Tato image ukazuje správně nakonfigurovaný registr:

Obnovení klíče registru (v případě potřeby)

Pokud potřebujete obnovit předchozí nastavení registru, postupujte takto.

Otevřete Editor registru, jak je popsáno výše.
V nabídce vyberte Soubor .
Vyberte Importovat.
Přejděte do umístění uloženého záložního souboru.
Vyberte záložní soubor a vyberte Otevřít.

Podrobnosti najdete v tématu Přidání, úprava nebo odstranění podklíčů a hodnot registru pomocí .reg souboru.

Udělení oprávnění aplikace pro identitu

Důležité

Tato oprávnění může udělit pouze správce privilegovaných rolí nebo vyšší role.

Spravovaná identita přiřazená systémem, která používá název počítače s podporou Arc, musí mít následující oprávnění aplikace Microsoft Graphu (role aplikací):

User.Read.All: Umožňuje přístup k informacím o uživateli Microsoft Entra.
GroupMember.Read.All: Umožňuje přístup k informacím o skupině Microsoft Entra.
Application.Read.ALL: Umožňuje přístup k informacím instančního objektu Microsoft Entra (aplikace).

K udělení požadovaných oprávnění spravované identitě můžete použít PowerShell. Alternativně můžete vytvořit skupinu s možností přiřazení role. Po vytvoření skupiny přiřaďte ke skupině roli Čtenáři adresáře nebo oprávnění User.Read.All, GroupMember.Read.All, a Application.Read.All, a přidejte do skupiny všechny spravované identity přiřazené systémem pro vaše počítače s podporou Azure Arc. V produkčním prostředí nedoporučujeme používat roli Čtenáře adresáře .

Následující skript PowerShellu udělí požadovaná oprávnění spravované identitě. Ujistěte se, že je tento skript spuštěný v PowerShellu 7.5 nebo novější verzi a má Microsoft.Graph nainstalovaný modul 2.28 nebo novější.

# Set your Azure tenant and managed identity name
$tenantID = '<Enter-Your-Azure-Tenant-Id>'
$managedIdentityName = '<Enter-Your-Arc-HostMachine-Name>'

# Connect to Microsoft Graph
try {
    Connect-MgGraph -TenantId $tenantID -ErrorAction Stop
    Write-Output "Connected to Microsoft Graph successfully."
}
catch {
    Write-Error "Failed to connect to Microsoft Graph: $_"
    return
}

# Get Microsoft Graph service principal
$graphAppId = '00000003-0000-0000-c000-000000000000'
$graphSP = Get-MgServicePrincipal -Filter "appId eq '$graphAppId'"
if (-not $graphSP) {
    Write-Error "Microsoft Graph service principal not found."
    return
}

# Get the managed identity service principal
$managedIdentity = Get-MgServicePrincipal -Filter "displayName eq '$managedIdentityName'"
if (-not $managedIdentity) {
    Write-Error "Managed identity '$managedIdentityName' not found."
    return
}

# Define roles to assign
$requiredRoles = @(
    "User.Read.All",
    "GroupMember.Read.All",
    "Application.Read.All"
)

# Assign roles using scoped syntax
foreach ($roleValue in $requiredRoles) {
    $appRole = $graphSP.AppRoles | Where-Object {
        $_.Value -eq $roleValue -and $_.AllowedMemberTypes -contains "Application"
    }

    if ($appRole) {
        try {
            New-MgServicePrincipalAppRoleAssignment   -ServicePrincipalId $managedIdentity.Id `
                -PrincipalId $managedIdentity.Id `
                -ResourceId $graphSP.Id `
                -AppRoleId $appRole.Id `
                -ErrorAction Stop

            Write-Output "Successfully assigned role '$roleValue' to '$managedIdentityName'."
        }
        catch {
            Write-Warning "Failed to assign role '$roleValue': $_"
        }
    }
    else {
        Write-Warning "Role '$roleValue' not found in Microsoft Graph AppRoles."
    }
}

Vytváření přihlášení a uživatelů

Postupujte podle kroků v kurzu Microsoft Entra a vytvořte přihlášení a uživatele pro spravovanou identitu.

Váš názor

Byla tato stránka užitečná?

Last updated on 2025-11-18