Einrichten der verwalteten Identität und der Microsoft Entra-Authentifizierung für SQL Server, aktiviert von Azure Arc

Gilt für: SQL Server 2025 (17.x)

• SQL Server 2022
• SQL Server 2025
• Azure SQL-Datenbank und azure SQL Managed Instance
• SQL Server auf Azure-VMs

Dieser Artikel enthält schrittweise Anleitungen zum Einrichten und Konfigurieren der verwalteten Identität von Microsoft Entra ID für SQL Server, die von Azure Arc aktiviert sind.

Eine Übersicht über die verwaltete Identität mit SQL Server finden Sie unter Verwaltete Identität für SQL Server, die von Azure Arc aktiviert ist.

Voraussetzungen

Bevor Sie eine verwaltete Identität mit SQL Server verwenden können, die von Azure Arc aktiviert ist, stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllen:

• Unterstützt für SQL Server 2025 und höher unter Windows.
• Verbinden Sie Ihren SQL Server mit Azure Arc.
• Die neueste Version der Azure-Erweiterung für SQL Server.

Aktivieren der primären verwalteten Identität

Wenn Sie die Azure-Erweiterung für SQL Server auf Ihrem Server installiert haben, können Sie die primäre verwaltete Identität für Ihre SQL Server-Instanz direkt über das Azure-Portal aktivieren. Es ist auch möglich, die primäre verwaltete Identität manuell zu aktivieren, indem sie die Registrierung aktualisiert, sollte jedoch mit äußerster Vorsicht ausgeführt werden.

Azure-Portal

Führen Sie die folgenden Schritte aus, um die primäre verwaltete Identität im Azure-Portal zu aktivieren:

1. Wechseln Sie im Azure-Portal zu Ihrem SQL Server, der von der Azure Arc-Ressource aktiviert ist .

2. Wählen Sie unter "Einstellungen" die Microsoft Entra-ID und "Purview" aus, um die Microsoft Entra-ID und die Purview-Seite zu öffnen.

   Hinweis

   Wenn die Option " Microsoft Entra ID-Authentifizierung aktivieren" nicht angezeigt wird, stellen Sie sicher, dass Ihre SQL Server-Instanz mit Azure Arc verbunden ist und die neueste SQL-Erweiterung installiert ist.

3. Aktivieren Sie auf der Seite "Microsoft Entra ID und Purview " das Kontrollkästchen neben " Primäre verwaltete Identität verwenden ", und verwenden Sie dann " Speichern ", um Ihre Konfiguration anzuwenden:

   

Manuell

Es ist möglich, die primäre verwaltete Identität für Ihre SQL Server-Instanz manuell zu aktivieren, indem Sie die Registrierung aktualisieren, aber mit äußerster Vorsicht vorgehen.

Erteilen Sie Berechtigungen für den Token-Ordner

Erteilen Sie Lese- und Ausführungsberechtigungen für den Ordner C:\ProgramData\AzureConnectedMachineAgent\Tokens\ an das SQL Server 2025-Instanzdienstkonto. Standardmäßig ist NT Service\MSSQLSERVER das Dienstkonto, oder für benannte Instanzen NT Service\MSSQL$<instancename>.

Möglicherweise müssen Sie Administratorberechtigungen für das SQL Server-Dienstkonto im Ordner vor dem AzureConnectedMachineAgentTokens Ordner erteilen:

Hinzufügen eines SQL Server-Dienstkontos zur Gruppe hybrider Agent-Erweiterungsanwendungen

Fügen Sie das SQL Server-Dienstkonto (Standard: NT Service\MSSQLSERVER oder für benannte NT Service\MSSQL$instancenameInstanzen) zur Gruppe der Hybrid-Agent-Erweiterungsanwendungen hinzu .

• Öffnen Sie die Windows-Computerverwaltung.
• Wechseln Sie zu lokalen Benutzern und Gruppen , und wählen Sie "Gruppen" aus.
• Fügen Sie das SQL Server-Dienstkonto zur Gruppe hybrider Agent-Erweiterungsanwendungen hinzu .

Aktualisieren der Registrierung

Warnung

Die fehlerhafte Bearbeitung der Registrierung kann Ihr System erheblich beschädigen. Bevor Sie Änderungen an der Registrierung vornehmen, sollten Sie alle wichtigen Daten auf dem Computer sichern.

Aktualisieren Sie in der Registrierung den Unterschlüssel \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17.MSSQLSERVER\MSSQLServer\FederatedAuthentication .

Erstellen Sie die folgenden Einträge:

Entry	Wert
ArcServerManagedIdentityClientId	Leer (kein Wert)
HIMDSApiVersion	2020-06-01
HIMDSEndpoint	http://localhost:40342/metadata/identity/oauth2/token
ArcServerSystemAssignedManagedIdentityTenantId	Arc-AAD-Tenant-ID
ArcServerSystemAssignedManagedIdentityClientId	Arc-Machine-Client-Id
PrimaryAADTenant	Arc-AAD-Tenant-ID
AADChannelMaxBufferedMessageSize	200000
AADGraphEndPoint	graph.windows.net
AADGroupLookupMaxRetryAttempts	10
AADGroupLookupMaxRetryDuration	30000
AADGroupLookupRetryInitialBackoff	100
AADServerAdminSid	00000000-0000-0000-0000-000000000000
AuthenticationEndpoint	login.microsoftonline.com
CacheMaxSize	300
ClientCertBlackList	Leer (kein Wert)
FederationMetadataEndpoint	login.windows.net
GraphAPIEndpoint	graph.windows.net
IssuerURL	https://sts.windows.net/
OnBehalfOfAuthority	https://login.windows.net/
STSURL	https://login.windows.net/
MsGraphEndPoint	graph.microsoft.com
SendX5c	false
ServicePrincipalName	https://database.windows.net/
ServicePrincipalNameForArcadia	https://sql.azuresynapse.net
ServicePrincipalNameForArcadiaDogfood	https://sql.azuresynapse-dogfood.net
ServicePrincipalNameNoSlash	https://database.windows.net
AADBecWSConnectionPoolMaxSize	500

Sichern und Bearbeiten der Registrierung

In den folgenden Abschnitten wird beschrieben, wie Sie die Registrierung mit dem Registrierungs-Editor sichern und bearbeiten.

Öffnen Sie den Registrierungs-Editor.

1. Drücken Sie WINDOWS-TASTE+R , um das Dialogfeld "Ausführen" zu öffnen.
2. Geben Sie regedit ein, und drücken Sie die EINGABETASTE.
3. Wenn Sie von der Benutzerkontensteuerung aufgefordert werden, wählen Sie "Ja" aus.

Sichern des Registrierungsschlüssels

In diesem Schritt wird die Registrierung gesichert, bevor Sie Änderungen vornehmen. Sie können diese Datei später wieder in die Registrierung importieren, wenn Ihre Änderungen ein Problem verursachen.

1. Wählen Sie im Menü "Datei" aus.
2. Wählen Sie Exportieren aus.
3. Wählen Sie im Dialogfeld "Registrierungsdatei exportieren" einen Speicherort aus, an dem die Sicherung gespeichert werden soll.
4. Geben Sie im Feld "Dateiname " einen Namen für die Sicherungsdatei ein.
5. Stellen Sie sicher, dass "Alle " im Exportbereich ausgewählt ist.
6. Wählen Sie Speichern aus.

Hinzufügen von Einträgen

In diesem Schritt fügen Sie der Registrierung Einträge mit dem Registrierungs-Editor hinzu.

1. Navigieren Sie in diesem Unterschlüssel: \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17.MSSQLSERVER\MSSQLServer\FederatedAuthentication.

2. Klicken Sie mit der rechten Maustaste auf "FederatedAuthentication ", und wählen Sie "Zeichenfolgenwert" aus.

   

3. Wiederholen Sie diesen Vorgang für jeden Eintrag, der bei Update der Registrierung aufgeführt ist.

   Diese Abbildung zeigt eine ordnungsgemäß konfigurierte Registrierung:

   

Wiederherstellen des Registrierungsschlüssels (falls erforderlich)

Wenn Sie die vorherigen Registrierungseinstellungen wiederherstellen müssen, führen Sie die folgenden Schritte aus.

1. Öffnen Sie den Registrierungs-Editor wie zuvor beschrieben.
2. Wählen Sie im Menü "Datei" aus.
3. Klicken Sie auf Importieren.
4. Navigieren Sie zum Speicherort Der gespeicherten Sicherungsdatei.
5. Wählen Sie die Sicherungsdatei und dann "Öffnen" aus.

Ausführliche Informationen hierzu erhalten Sie unter Verwendung einer .reg Datei zum Hinzufügen, Ändern oder Löschen von Registrierungsunterschlüsseln und -werten.

Berechtigung für die Identität gewähren

Von Bedeutung

Nur ein Privilegierter Rollenadministrator oder eine höhere Rolle kann diese Berechtigungen erteilen.

Die vom System zugewiesene verwaltete Identität, die den Arc-fähigen Computernamen verwendet, muss über die folgenden Microsoft Graph-Anwendungsberechtigungen (App-Rollen) verfügen:

• User.Read.All: Ermöglicht den Zugriff auf Microsoft Entra-Benutzerinformationen.

• GroupMember.Read.All: Ermöglicht den Zugriff auf Microsoft Entra-Gruppeninformationen.

• Application.Read.ALL: Ermöglicht den Zugriff auf Microsoft Entra-Dienstprinzipalinformationen (Anwendungsinformationen).

Sie können PowerShell verwenden, um erforderliche Berechtigungen für die verwaltete Identität zu erteilen. Alternativ können Sie eine rollenzuweisungsfähige Gruppe erstellen. Nachdem die Gruppe erstellt wurde, weisen Sie der Gruppe die Rolle " Verzeichnisleser" oder " User.Read.All, GroupMember.Read.Allund Application.Read.All Berechtigungen" zu, und fügen Sie der Gruppe alle vom System zugewiesenen verwalteten Identitäten für Ihre Azure Arc-fähigen Computer hinzu. Es wird nicht empfohlen, die Rolle "Verzeichnisleser " in Ihrer Produktionsumgebung zu verwenden.

Das folgende PowerShell-Skript gewährt die erforderlichen Berechtigungen für die verwaltete Identität. Stellen Sie sicher, dass dieses Skript auf PowerShell 7.5 oder einer höheren Version ausgeführt wird und das Microsoft.Graph Modul 2.28 oder höher installiert ist.

# Set your Azure tenant and managed identity name
$tenantID = '<Enter-Your-Azure-Tenant-Id>'
$managedIdentityName = '<Enter-Your-Arc-HostMachine-Name>'

# Connect to Microsoft Graph
try {
    Connect-MgGraph -TenantId $tenantID -ErrorAction Stop
    Write-Output "Connected to Microsoft Graph successfully."
}
catch {
    Write-Error "Failed to connect to Microsoft Graph: $_"
    return
}

# Get Microsoft Graph service principal
$graphAppId = '00000003-0000-0000-c000-000000000000'
$graphSP = Get-MgServicePrincipal -Filter "appId eq '$graphAppId'"
if (-not $graphSP) {
    Write-Error "Microsoft Graph service principal not found."
    return
}

# Get the managed identity service principal
$managedIdentity = Get-MgServicePrincipal -Filter "displayName eq '$managedIdentityName'"
if (-not $managedIdentity) {
    Write-Error "Managed identity '$managedIdentityName' not found."
    return
}

# Define roles to assign
$requiredRoles = @(
    "User.Read.All",
    "GroupMember.Read.All",
    "Application.Read.All"
)

# Assign roles using scoped syntax
foreach ($roleValue in $requiredRoles) {
    $appRole = $graphSP.AppRoles | Where-Object {
        $_.Value -eq $roleValue -and $_.AllowedMemberTypes -contains "Application"
    }

    if ($appRole) {
        try {
            New-MgServicePrincipalAppRoleAssignment   -ServicePrincipalId $managedIdentity.Id `
                -PrincipalId $managedIdentity.Id `
                -ResourceId $graphSP.Id `
                -AppRoleId $appRole.Id `
                -ErrorAction Stop

            Write-Output "Successfully assigned role '$roleValue' to '$managedIdentityName'."
        }
        catch {
            Write-Warning "Failed to assign role '$roleValue': $_"
        }
    }
    else {
        Write-Warning "Role '$roleValue' not found in Microsoft Graph AppRoles."
    }
}

Logins und Benutzer*innen erstellen

Führen Sie die Schritte im Microsoft Entra-Lernprogramm aus, um Anmeldeinformationen und Benutzer für die verwaltete Identität zu erstellen.

Verwandte Inhalte

• Verwaltete Identität für SQL Server, aktiviert von Azure Arc
• Microsoft Entra-Authentifizierung für SQL Server
• Was sind verwaltete Identitäten für Azure-Ressourcen?