Hinzufügen eines Dienstprinzipals zur Serveradministratorrolle

  • Artikel

Um unbeaufsichtigte PowerShell-Tasks zu automatisieren, muss ein Dienstprinzipal auf dem verwalteten Analysis Services-Server über die Rechte eines Serveradministrators verfügen. In diesem Artikel wird beschrieben, wie Sie auf einem Analysis Services-Server einen Dienstprinzipal zur Serveradministratorrolle hinzufügen. Sie können dies mithilfe von SQL Server Management Studio oder einer Resource Manager-Vorlage durchführen.

Hinweis

Dienstprinzipale müssen direkt zur Serveradministratorrolle hinzugefügt werden. Das Hinzufügen eines Dienstprinzipals zu einer Sicherheitsgruppe und das anschließende Hinzufügen dieser Sicherheitsgruppe zur Serveradministratorrolle wird nicht unterstützt.

Voraussetzungen

Bevor Sie diese Aufgabe ausführen, muss ein Dienstprinzipal in Microsoft Entra ID registriert sein.

Erstellen eines Dienstprinzipals – Azure-Portal
Erstellen eines Dienstprinzipals – PowerShell

Verwendung von SQL Server Management Studio

Sie können mit SQL Server Management Studio (SSMS) Serveradministrator konfigurieren. Für die Durchführung dieser Aufgabe benötigen Sie die Rechte eines Serveradministrators auf dem Analysis Services-Server.

  1. Stellen Sie in SSMS eine Verbindung mit Ihrem Analysis Services-Server her.

  2. Klicken Sie unter Servereigenschaften>Sicherheit auf Hinzufügen.

  3. Suchen Sie unter Benutzer oder Gruppe auswählen anhand des Namens nach Ihrer registrierten App, und klicken Sie dann auf Hinzufügen.

    Screenshot that shows Search for service principal account.

  4. Überprüfen Sie die ID des Dienstprinzipalkontos, und klicken Sie dann auf OK.

    Screenshot that shows the service principal account ID and highlights the OK button.

Verwenden einer Resource Manager-Vorlage

Sie können Serveradministratoren auch durch Bereitstellen des Analysis Services-Servers mithilfe einer Azure Resource Manager-Vorlage konfigurieren. Die Identität, die die Bereitstellung ausführt, muss zu der Rolle Mitwirkender für die Ressource in der rollenbasierten Zugriffssteuerung von Azure (Azure Role-Based Access Control, Azure RBAC) gehören.

Wichtig

Der Dienstprinzipal muss mit dem Format app:{service-principal-client-id}@{azure-ad-tenant-id} hinzugefügt werden.

Mit der folgenden Resource Manager-Vorlage wird ein Analysis Services-Server mit einem angegebenen Dienstprinzipal bereitgestellt, der der Rolle „Analysis Services-Administrator“ hinzugefügt wurde:

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "analysisServicesServerName": {
            "type": "string"
        },
        "location": {
            "type": "string"
        },
        "analysisServicesSkuName": {
            "type": "string"
        },
        "analysisServicesCapacity": {
            "type": "int"
        },
        "servicePrincipalClientId": {
            "type": "string"
        },
        "servicePrincipalTenantId": {
            "type": "string"
        }
    },
    "resources": [
        {
            "name": "[parameters('analysisServicesServerName')]",
            "type": "Microsoft.AnalysisServices/servers",
            "apiVersion": "2017-08-01",
            "location": "[parameters('location')]",
            "sku": {
                "name": "[parameters('analysisServicesSkuName')]",
                "capacity": "[parameters('analysisServicesCapacity')]"
            },
            "properties": {
                "asAdministrators": {
                    "members": [
                        "[concat('app:', parameters('servicePrincipalClientId'), '@', parameters('servicePrincipalTenantId'))]"
                    ]
                }
            }
        }
    ]
}

Verwenden von verwalteten Identitäten

Verwaltete Identitäten, die Datenbank- oder Serverrollen hinzugefügt werden, können sich nicht beim Dienst anmelden oder Vorgänge ausführen. Verwaltete Identitäten für Dienstprinzipale werden in Azure Analysis Services nicht unterstützt.