Felügyelt identitás és Microsoft Entra hitelesítés beállítása az Azure Arc által támogatott SQL Serverhez.

A következőre vonatkozik: : SQL Server 2025 (17.x)

• SQL Server 2022
• SQL Server 2025
• Azure SQL Database & Azure SQL Managed Instance
• SQL Server az Azure virtuális gépeken

Ez a cikk részletes útmutatást nyújt Microsoft Entra ID felügyelt identitás beállításához és konfigurálásához az Azure Arc által engedélyezett SQL Server számára.

Az SQL Server-rel együtt használt felügyelt identitások áttekintéséhez lásd: Az Azure Arc által engedélyezett SQL Server felügyelt identitás.

Előfeltételek

Mielőtt Azure Arc által engedélyezett SQL Serverhez használna felügyelt identitást, győződjön meg arról, hogy megfelel az alábbi előfeltételeknek:

• SQL Server 2025 és újabb verziói támogatottak, amelyek Windows rendszeren futnak.
• Csatlakoztassa a SQL Server az Azure Arc-hoz.
• A Azure bővítmény legújabb verziója SQL Server.

Az elsődleges felügyelt identitás engedélyezése

Ha telepítette a SQL Server Azure bővítményét a kiszolgálóra, a SQL Server-példány elsődleges felügyelt identitását közvetlenül a Azure portálról engedélyezheti. Az elsődleges felügyelt identitás manuális engedélyezésére is lehetőség van a beállításjegyzék frissítésével, de rendkívül körültekintően kell eljárni.

Azure portál

Ha engedélyezni szeretné az elsődleges felügyelt identitást a Azure portálon, kövesse az alábbi lépéseket:

1. Lépjen az Azure portálon található, Azure Arc által engedélyezett SQL Server erőforráshoz.

2. A Settings területen válassza a Microsoft Entra ID és a Purview lehetőséget a Microsoft Entra ID és a Purview lap megnyitásához.

   Megjegyzés:

   Ha nem látja a Enable Microsoft Entra ID hitelesítés beállítást, győződjön meg arról, hogy a SQL Server-példány csatlakozik Azure Arc, és telepítve van a legújabb SQL-bővítmény.

3. A Microsoft Entra ID és Purview lapon jelölje be a Elsődleges felügyelt identitás használata melletti jelölőnégyzetet, majd használja a Save lehetőséget a konfiguráció alkalmazásához:

   

Manuálisan

A beállításjegyzék frissítésével manuálisan is engedélyezheti az elsődleges felügyelt identitást a SQL Server-példányhoz, de rendkívül körültekintően kell eljárnia.

Engedély megadása a Tokens mappához

Adja meg a Read & Execute operációs rendszer engedélyeket a mappához a SQL Server 2025 példány szolgáltatásfiókjának. Alapértelmezés szerint a szolgáltatásfiók NT Service\MSSQLSERVER, vagy a nevesített példányok esetében NT Service\MSSQL$<instancename>.

Előfordulhat, hogy rendszergazdai engedélyeket kell adnia a SQL Server szolgáltatásfiókhoz a AzureConnectedMachineAgent mappában a Tokens mappa előtt:

SQL Server szolgáltatásfiók hozzáadása a Hibrid ügynök bővítményalkalmazások csoporthoz

Adja hozzá a SQL Server szolgáltatásfiókot (alapértelmezett: NT Service\MSSQLSERVER vagy névvel ellátott példányok esetén NT Service\MSSQL$instancename) a Hybrid ügynökbővítmény-alkalmazásokhoz csoporthoz.

• Nyissa meg a Windows Computer Management.
• Lépjen a Helyi felhasználók és csoportok elemre, és válassza a Csoportok lehetőséget.
• Adja hozzá az SQL Server szolgáltatásfiókot a Hibrid ügynök kiterjesztési alkalmazások csoporthoz.

A beállításjegyzék frissítése

Figyelmeztetés

A beállításjegyzék helytelen szerkesztése súlyosan károsíthatja a rendszert. A beállításjegyzék módosítása előtt javasoljuk, hogy készítsen biztonsági másolatot a számítógépen lévő értékes adatokról.

A beállításjegyzékben frissítse a \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17. MSSQLSERVER\MSSQLServer\FederatedAuthentication alkulcs.

Hozza létre a következő bejegyzéseket:

Entry	Érték
ArcServerManagedIdentityClientId	Üres (nincs érték)
HIMDSApiVersion	2020-06-01
HIMDSEndpoint	http://localhost:40342/metadata/identity/oauth2/token
ArcServerSystemAssignedManagedIdentityTenantId	Arc-AAD-Tenant-ID
ArcServerSystemAssignedManagedIdentityClientId	Arc-Machine-Client-Id
PrimaryAADTenant	Arc-AAD-Tenant-ID
AADChannelMaxBufferedMessageSize	200000
AADGraphEndPoint	graph.windows.net
AADGroupLookupMaxRetryAttempts	10
AADGroupLookupMaxRetryDuration	30000
AADGroupLookupRetryInitialBackoff	100
AADServerAdminSid	00000000-0000-0000-0000-000000000000
AuthenticationEndpoint	login.microsoftonline.com
CacheMaxSize	300
ClientCertBlackList	Üres (nincs érték)
FederationMetadataEndpoint	login.windows.net
GraphAPIEndpoint	graph.windows.net
IssuerURL	https://sts.windows.net/
OnBehalfOfAuthority	https://login.windows.net/
STSURL	https://login.windows.net/
MsGraphEndPoint	graph.microsoft.com
SendX5c	false
ServicePrincipalName	https://database.windows.net/
ServicePrincipalNameForArcadia	https://sql.azuresynapse.net
ServicePrincipalNameForArcadiaDogfood	https://sql.azuresynapse-dogfood.net
ServicePrincipalNameNoSlash	https://database.windows.net
AADBecWSConnectionPoolMaxSize	500

A beállításjegyzék biztonsági mentése és szerkesztése

Az alábbi szakaszok bemutatják, hogyan lehet biztonsági másolatot készíteni és szerkeszteni a beállításjegyzéket a Beállításszerkesztővel.

A Beállításszerkesztő megnyitása

1. A Futtatás párbeszédpanel megnyitásához nyomja le a Windows billentyű + R billentyűt.
2. Írja be regedit és nyomja le az Enter billentyűt.
3. Ha a felhasználói fiókvezérlő kéri, válassza az Igen lehetőséget.

A beállításkulcs biztonsági mentése

Ez a lépés biztonsági másolatot készít a beállításjegyzékről, mielőtt bármilyen módosítást hajt végre. Ezt a fájlt később újra importálhatja a beállításjegyzékbe, ha a módosítások problémát okoznak.

1. Válassza a Fájl lehetőséget a menüből.
2. Válassza Exportáláslehetőséget.
3. A beállításjegyzékfájl exportálása párbeszédpanelen válasszon egy helyet a biztonsági mentéshez.
4. Adja meg a biztonsági mentési fájl nevét a Fájlnév mezőben.
5. Győződjön meg arról, hogy az Összes ki van jelölve az Exportálás tartományban.
6. Válassza az Mentésgombot.

Bejegyzések hozzáadása

Ebben a lépésben bejegyzéseket ad hozzá a beállításjegyzékhez a Beállításszerkesztővel.

1. Keresse meg ezt az alkulcsot: \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17.MSSQLSERVER\MSSQLServer\FederatedAuthentication.

2. Kattintson a jobb gombbal a FederatedAuthentication elemre, és válassza a Sztringérték lehetőséget.

   

3. Ismételje meg a beállításjegyzék frissítésénél felsorolt összes bejegyzést

   Ez a kép egy megfelelően konfigurált beállításjegyzéket mutat be:

   

A beállításkulcs visszaállítása (ha szükséges)

Ha vissza kell állítania a korábbi beállításjegyzék-beállításokat, kövesse az alábbi lépéseket.

1. Nyissa meg a Beállításszerkesztőt a korábban leírtak szerint.
2. Válassza a Fájl lehetőséget a menüből.
3. Válassza az Importálás lehetőséget.
4. Keresse meg a mentett biztonsági mentési fájl helyét.
5. Válassza ki a biztonsági mentési fájlt, és válassza a Megnyitás lehetőséget.

Részletekért tekintse át a beállításjegyzék alkulcsainak és értékeinek hozzáadását, módosítását vagy törlését egy .reg fájl használatával.

Alkalmazásengedélyek megadása az identitáshoz

Fontos

Csak egy Kiváltságos Szerepkörgazda vagy ennél magasabb jogosultsággal rendelkező szerepkör adhatja meg ezeket az engedélyeket.

A SQL Server-példányok Microsoft Entra hitelesítésének engedélyezéséhez minden rendszer által hozzárendelt felügyelt identitáshoz User.Read.All, GroupMember.Read.All és Application.Read.All engedély szükséges a Microsoft Graph lekérdezéséhez. További információ ezekről az engedélyekről:

• User.Read.All: Lehetővé teszi Microsoft Entra felhasználói adatok elérését.
• GroupMember.Read.All: Hozzáférést biztosít Microsoft Entra csoportadatokhoz.
• Application.Read.All: Lehetővé teszi Microsoft Entra szolgáltatásnév (alkalmazás) adatainak elérését.

Ezek az engedélyek alkalmazásszintű engedélyek (alkalmazásszerepkörök), amelyeket közvetlenül kell hozzárendelni az egyes felügyelt identitásokhoz. Nem lehet manuálisan hozzárendelni őket egy Microsoft Entra biztonsági csoporthoz, és csoporttagságon keresztül adni a tagoknak. A sok géppel rendelkező környezetek esetében alternatív megoldásként hozzárendelheti a Directory Readers szerepkört egy osztható Microsoft Entra biztonsági csoporthoz és tagként adja hozzá a felügyelt identitásokat. Az alkalmazásszerepkör-engedélyektől eltérően ez a Microsoft Entra szerepkör csoportszinten is adható, ami leegyszerűsíti a nagy léptékű felügyeletet. A Könyvtár-olvasók azonban széles körű olvasási hozzáférést biztosít az összes címtárobjektumhoz, jelentősen túllépve a három célzott Graph API-engedélyt. A Címtárolvasók szerepkör nem ajánlott olyan éles környezetekben, ahol a legkisebb jogosultság elvét alkalmazzák.

Az alábbi PowerShell-szkript megadja a szükséges engedélyeket a felügyelt identitáshoz. Győződjön meg arról, hogy a szkript a PowerShell 7.5-ös vagy újabb verziójában fut, és telepítve van a Microsoft.Graph 2.28-as vagy újabb modul.

# Set your Azure tenant and managed identity name
$tenantID = '<Enter-Your-Azure-Tenant-Id>'
$managedIdentityName = '<Enter-Your-Arc-HostMachine-Name>'

# Connect to Microsoft Graph
try {
    Connect-MgGraph -TenantId $tenantID -ErrorAction Stop
    Write-Output "Connected to Microsoft Graph successfully."
}
catch {
    Write-Error "Failed to connect to Microsoft Graph: $_"
    return
}

# Get Microsoft Graph service principal
$graphAppId = '00000003-0000-0000-c000-000000000000'
$graphSP = Get-MgServicePrincipal -Filter "appId eq '$graphAppId'"
if (-not $graphSP) {
    Write-Error "Microsoft Graph service principal not found."
    return
}

# Get the managed identity service principal
$managedIdentity = Get-MgServicePrincipal -Filter "displayName eq '$managedIdentityName'"
if (-not $managedIdentity) {
    Write-Error "Managed identity '$managedIdentityName' not found."
    return
}

# Define roles to assign
$requiredRoles = @(
    "User.Read.All",
    "GroupMember.Read.All",
    "Application.Read.All"
)

# Assign roles using scoped syntax
foreach ($roleValue in $requiredRoles) {
    $appRole = $graphSP.AppRoles | Where-Object {
        $_.Value -eq $roleValue -and $_.AllowedMemberTypes -contains "Application"
    }

    if ($appRole) {
        try {
            New-MgServicePrincipalAppRoleAssignment   -ServicePrincipalId $managedIdentity.Id `
                -PrincipalId $managedIdentity.Id `
                -ResourceId $graphSP.Id `
                -AppRoleId $appRole.Id `
                -ErrorAction Stop

            Write-Output "Successfully assigned role '$roleValue' to '$managedIdentityName'."
        }
        catch {
            Write-Warning "Failed to assign role '$roleValue': $_"
        }
    }
    else {
        Write-Warning "Role '$roleValue' not found in Microsoft Graph AppRoles."
    }
}

Bejelentkezések és felhasználók létrehozása

Kövesse az Microsoft Entra oktatóanyag lépéseit a felügyelt identitáshoz tartozó bejelentkezések és felhasználók létrehozásához.

Kapcsolódó tartalom

• Az Azure Arc által engedélyezett SQL Server kezelési identitása
• Microsoft Entra hitelesítés SQL Serverhez
• Mi az Azure erőforrások felügyelt identitása?