Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Greifen Sie auf Azure-Dienste mithilfe von Microsoft Entra Private Access mit einem Endpunkt für virtuelle Netzwerke zu. Die Kombination bietet direkte Konnektivität mithilfe einer optimalen Netzwerkroute. Mit einem Endpunkt für virtuelle Netzwerke können Sie den Netzwerkzugriff auf Azure-Dienstressourcen einschränken und den Zugriff aus dem Internet entfernen. Dienstendpunkte stellen eine direkte Verbindung zwischen Ihrem virtuellen Netzwerk und unterstützten Azure-Diensten bereit. Sie verwenden den privaten Adressraum Ihrer virtuellen Netzwerke, um auf die Azure-Dienste zuzugreifen.
Weitere Informationen zu virtuellen Netzwerken finden Sie unter Was ist Azure Virtual Network?.
In diesem Artikel erfahren Sie, wie Sie mit Microsoft Entra Private Access auf Azure SQL mit einem Dienstendpunkt zugreifen.
Voraussetzungen
- Administratoren, die mit Global Secure Access Funktionen interagieren, müssen je nach den Aufgaben, die sie ausführen, über eine oder mehrere der folgenden Rollenzuweisungen verfügen.
- Die Administratorrolle für globalen sicheren Zugriff“ zum Verwalten der Features des globalen sicheren Zugriffs.
- Die Rolle Administrierende Person für bedingten Zugriff zum Erstellen und Verwenden von Richtlinien für bedingten Zugriff
- Mit einem Dienstendpunkt konfigurierte Azure SQL Server-Instanz
- Der private Microsoft Entra-Netzwerkconnector, der im Subnetz des Dienstendpunkts bereitgestellt wird. Informationen zum Bereitstellen eines Connectors finden Sie unter Konfigurieren von privaten Netzwerkconnectors für Microsoft Entra Private Access und Microsoft Entra-Anwendungsproxy. Weitere Informationen zu Connectors finden Sie unter Grundlegendes zu den privaten Microsoft Entra-Netzwerkconnectors. Weitere Informationen zu Connectorgruppen finden Sie unter Grundlegendes zu privaten Microsoft Entra-Netzwerkconnectorgruppen.
Ändern der Azure SQL Server-Verbindungsrichtlinie in einen Proxy
Da Benutzer eine Verbindung von außerhalb von Azure herstellen, sollte Ihr Azure SQL-Server über eine Verbindungsrichtlinie von proxyverfügen. Die Richtlinie proxy richtet die TCP-Sitzung (Transmission Control-Protokoll) über das Gateway von Azure SQL-Datenbank ein, und alle nachfolgenden Pakete fließen über das Gateway.
So legen Sie die Richtlinie auf proxy fest
- Melden Sie sich beim Azure-Portal an, und navigieren Sie zu Ihrem SQL-Server.
- Wählen Sie im linken Navigationsbereich unter SecurityNetworkingaus.
- Legen Sie auf der Registerkarte Konnektivität die Option Verbindungsrichtlinie auf
Proxyfest. - Wählen Sie Speichern aus.
Erstellen einer globalen Anwendung für den sicheren Zugriff für den Azure SQL-Server
- Melden Sie sich beim Microsoft Entra Admin Center als administrierende Person für globalen sicheren Zugriff an.
- Navigieren Sie zu Globaler sicherer Zugriff>Anwendungen>Unternehmensanwendungen.
- Wählen Sie Neue Anwendung aus.
- Wählen Sie die richtige Connectorgruppe mit dem im Dienstendpunktsubnetz bereitgestellten Connector aus.
- Wählen Sie Anwendungssegment hinzufügen aus:
- Zieltyp:
FQDN - Vollqualifizierter Domänenname (FQDN):
<fqdn of the storage account>. Beispiel:contosodbserver1.database.windows.net. - Ports:
1443 - Protokoll:
TCP
- Zieltyp:
- Wählen Sie Anwenden aus, um das Anwendungssegment hinzuzufügen.
- Wählen Sie Speichern aus, um die Anwendung zu speichern.
- Weisen Sie der Anwendung Benutzende zu.
Überprüfen der Konfiguration
Stellen Sie sicher, dass die Verbindung mit dem SQL Server vom Connector-Computer aus funktioniert. Der Connector wird im Subnetz des Dienstendpunkts bereitgestellt.
Überprüfen Sie die Konnektivität mit SQL Server von außerhalb des Dienstendpunktsubnetzes. Computer, auf denen der globale Client für den sicheren Zugriff nicht installiert ist, sollten fehlschlagen. Computer, auf denen der client für den globalen sicheren Zugriff installiert ist, sollten erfolgreich sein.