Rolle „Verzeichnisleseberechtigte“ in Microsoft Entra ID für Azure SQL

  • Artikel

Gilt für:Azure SQL-DatenbankAzure SQL Managed InstanceAzure Synapse Analytics

In Microsoft Entra ID (früher Azure Active Directory) wurden die Verwendung von Gruppen zum Verwalten von Rollenzuweisungen eingeführt. Dadurch können Microsoft Entra-Rollen Gruppen zugewiesen werden.

Hinweis

Bei Microsoft Graph-Unterstützung für Azure SQL kann die Rolle „Verzeichnisleseberechtigte“ durch die Verwendung von Berechtigungen auf niedrigerer Ebene ersetzt werden. Weitere Informationen finden Sie unter Benutzerseitig zugewiesene verwaltete Identität in Microsoft Entra für Azure SQL.

Wenn Sie eine verwaltete Identität für Azure SQL-Datenbank, Azure SQL Managed Instance oder Azure Synapse Analytics aktivieren, kann der Identität die Microsoft Entra-Rolle Verzeichnisleseberechtigte zugewiesen werden, um Lesezugriff auf die Microsoft Graph-API zu ermöglichen. Die verwaltete Identität von SQL-Datenbank und Azure Synapse wird als Serveridentität bezeichnet. Die verwaltete Identität von SQL Managed Instance wird als verwaltete Instanzidentität bezeichnet und automatisch zugewiesen, wenn die Instanz erstellt wird. Weitere Informationen zum Zuweisen einer Serveridentität zu SQL-Datenbank oder Azure Synapse finden Sie unter Aktivieren von Dienstprinzipalen zum Erstellen von Microsoft Entra-Benutzern.

Die Rolle Verzeichnisleser kann als Server- oder Instanzidentität verwendet werden, um Folgendes zu unterstützen:

  • Erstellen von Microsoft Entra-Anmeldungen für SQL Managed Instance
  • Imitieren von Microsoft Entra-Benutzern in Azure SQL
  • Migrieren von SQL Server-Benutzern, die Windows-Authentifizierung verwenden, zu SQL Managed Instance mit Microsoft Entra-Authentifizierung (mit dem Befehl ALTER USER (Transact-SQL))
  • Ändern des Microsoft Entra-Administrators für SQL Managed Instance
  • Ermöglichen, dass Dienstprinzipale (Anwendungen) Microsoft Entra-Benutzer in Azure SQL erstellen können

Hinweis

Microsoft Entra ID war zuvor als Azure Active Directory (Azure AD) bekannt.

Zuweisen der Rolle „Verzeichnisleseberechtigte“

Um einer Identität die Rolle Verzeichnisleseberechtigte zuzuweisen, ist ein Benutzer mit den Berechtigungen Globaler Administrator oder Administrator für privilegierte Rollen erforderlich. Benutzer, die SQL-Datenbank, SQL Managed Instance oder Azure Synapse häufig verwalten oder bereitstellen, verfügen möglicherweise nicht über Zugriff auf diese hochprivilegierten Rollen. Dies kann häufig zu Komplikationen für Benutzer führen, die ungeplante Azure SQL-Ressourcen erstellen oder Hilfe von hochprivilegierten Rollenmitgliedern benötigen, auf die in großen Organisationen häufig nicht zugegriffen werden kann.

Bei SQL Managed Instance muss die Rolle Verzeichnisleseberechtigte der Identität der verwalteten Instanz zugewiesen werden, damit Sie einen Microsoft Entra-Administrator für die verwaltete Instanz einrichten können.

Bei SQL-Datenbank und Azure Synapse ist die Zuweisung der Rolle Verzeichnisleseberechtigte zur Serveridentität nicht erforderlich, wenn Sie einen Microsoft Entra-Administrator für den logischen Server einrichten. Wenn Sie allerdings die Erstellung eines Microsoft Entra-Objekts in SQL-Datenbank oder Azure Synapse im Auftrag einer Microsoft Entra-Anwendung ermöglichen möchten, ist die Rolle Verzeichnisleseberechtigte erforderlich. Ist die Rolle nicht der Identität des logischen Servers zugewiesen, tritt beim Erstellen von Microsoft Entra-Benutzern in Azure SQL ein Fehler auf. Weitere Informationen finden Sie unter Microsoft Entra-Dienstprinzipal mit Azure SQL.

Erteilen der Rolle „Verzeichnisleseberechtigte“ für eine Microsoft Entra-Gruppe

Ein globaler Administrator oder ein Administrator für privilegierte Rollen kann eine Microsoft Entra-Gruppe erstellen und dieser die Berechtigung Verzeichnisleseberechtigte zuweisen. Dadurch wird Zugriff auf die Microsoft Graph-API für Mitglieder dieser Gruppe ermöglicht. Außerdem können Microsoft Entra-Benutzer, die Besitzer dieser Gruppe sind, neue Mitglieder für diese Gruppe zuweisen, einschließlich Identitäten der logischen Server.

Diese Lösung erfordert immer noch einen hochprivilegierten Benutzer („Globaler Administrator“ oder „Administrator für privilegierte Rollen“), um eine Gruppe zu erstellen und Benutzer als eine einmalige Aktivität zuzuweisen, aber die Microsoft Entra-Gruppenbesitzer können in Zukunft weitere Mitglieder zuweisen. Damit entfällt in Zukunft die Notwendigkeit, einen Benutzer mit hohen Privilegien in die Konfiguration aller SQL-Datenbanken, SQL Managed Instances oder Azure Synapse-Server in ihrem Microsoft Entra-Mandanten einzubeziehen.

Nächste Schritte

Tutorial: Zuweisen der Rolle „Verzeichnisleseberechtigte“ zu einer Microsoft Entra-Gruppe und Verwalten von Rollenzuweisungen