Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für:
SQL Server 2025 (17.x)
SQL Server 2025 (17.x) umfasst die Unterstützung für verwaltete Identitäten für SQL Server unter Windows. Verwenden Sie eine verwaltete Identität, um mit Ressourcen in Azure mithilfe der Microsoft Entra-Authentifizierung zu interagieren.
Überblick
SQL Server 2025 (17.x) bietet Unterstützung für von Microsoft Entra verwaltete Identitäten. Verwenden Sie verwaltete Identitäten, um sich bei Azure-Diensten zu authentifizieren, ohne Anmeldeinformationen verwalten zu müssen. Verwaltete Identitäten werden automatisch von Azure verwaltet und können verwendet werden, um sich bei jedem Dienst zu authentifizieren, der die Microsoft Entra-Authentifizierung unterstützt. Mit SQL Server 2025 (17.x) können Sie verwaltete Identitäten verwenden, um eingehende Verbindungen zu authentifizieren und auch ausgehende Verbindungen mit Azure-Diensten zu authentifizieren.
Wenn Sie Ihre SQL Server-Instanz mit Azure Arc verbinden, wird automatisch eine vom System zugewiesene verwaltete Identität für den SQL Server-Hostnamen erstellt. Nachdem die verwaltete Identität erstellt wurde, müssen Sie die Identität der SQL Server-Instanz und der Microsoft Entra-Mandanten-ID zuordnen, indem Sie die Registrierung aktualisieren.
Schrittweise Anleitungen zum Einrichten finden Sie unter Einrichten der verwalteten Identität für SQL Server, die von Azure Arc aktiviert ist.
Wenn Sie verwaltete Identität mit SQL Server verwenden, der von Azure Arc aktiviert ist, sollten Sie Folgendes berücksichtigen:
- Die verwaltete Identität wird auf Azure Arc-Serverebene zugewiesen.
- Nur vom System zugewiesene verwaltete Identitäten werden unterstützt.
- SQL Server verwendet diese verwaltete Identität auf Azure Arc-Serverebene als primäre verwaltete Identität.
- SQL Server kann diese primäre verwaltete Identität in
inbound- und/oderoutbound-Verbindungen verwenden.-
Inbound connectionssind Anmeldungen und Benutzer, die eine Verbindung zu SQL Server herstellen. Eingehende Verbindungen können auch mithilfe der App-Registrierung erreicht werden, beginnend mit SQL Server 2022 (16.x). -
Outbound connectionssind SQL Server-Verbindungen zu Azure-Ressourcen, z. B. Sicherung an URL oder Verbindung mit Azure Key Vault.
-
- Die App-Registrierung kann einen SQL Server nicht für ausgehende Verbindungen aktivieren. Ausgehende Verbindungen benötigen eine primäre verwaltete Identität, die dem SQL Server zugewiesen wird.
- Für SQL Server 2025 und höher empfiehlt es sich, ein verwaltetes, identitätsbasiertes Microsoft Entra-Setup zu verwenden, wie in diesem Artikel beschrieben. Alternativ können Sie eine App-Registrierung für SQL Server 2025 konfigurieren.
Voraussetzungen
Bevor Sie eine verwaltete Identität mit SQL Server verwenden können, die von Azure Arc aktiviert ist, stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllen:
- Verbinden Sie Ihren SQL Server mit Azure Arc.
- Die neueste Version der Azure-Erweiterung für SQL Server.
Ausführliche Einrichtungsanweisungen finden Sie unter Einrichten der verwalteten Identität für SQL Server, die von Azure Arc aktiviert ist.
Einschränkungen
Beachten Sie die folgenden Einschränkungen bei der Verwendung einer verwalteten Identität mit SQL Server 2025:
- Das Setup der verwalteten Identität für die Microsoft Entra-Authentifizierung wird nur mit Azure Arc-fähigen SQL Server 2025 unterstützt, das unter Windows Server ausgeführt wird.
- SQL Server benötigt Zugriff auf die öffentliche Azure-Cloud, um die Microsoft Entra-Authentifizierung zu verwenden.
- die Verwendung von Microsoft Entra-Authentifizierung mit Failover-Cluster-Instanzen wird nicht unterstützt.
- Sobald die Microsoft Entra-Authentifizierung aktiviert ist, ist die Deaktivierung nicht ratsam. Das Deaktivieren der Microsoft Entra-Authentifizierung durch löschen von Registrierungseinträgen kann zu unvorhersehbaren Verhaltensweisen bei SQL Server 2025 führen.
- Die Authentifizierung bei SQL Server auf Arc-Computern über die Microsoft Entra-Authentifizierung mithilfe der FIDO2-Methode wird derzeit nicht unterstützt.
-
OPENROWSET BULK-Vorgänge können auch den Tokenordner
C:\ProgramData\AzureConnectedMachineAgent\Tokens\lesen. DieBULKOption erfordert entwederADMINISTER BULK OPERATIONSoderADMINISTER DATABASE BULK OPERATIONSBerechtigungen. Diese Berechtigungen sollten als Äquivalent zu sysadmin behandelt werden.