Címtárolvasói szerepkör az Azure SQL-hez készült Microsoft Entra ID-ban
A következőre vonatkozik: Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics
A Microsoft Entra ID (korábbi nevén Azure Active Directory) csoportok használatával lett bevezetve a szerepkör-hozzárendelések kezeléséhez. Ez lehetővé teszi a Microsoft Entra-szerepkörök csoportokhoz való hozzárendelését.
Megjegyzés:
Az Azure SQL Microsoft Graph-támogatásával a Címtárolvasók szerepkör alacsonyabb szintű engedélyekkel helyettesíthető. További információ: Felhasználó által hozzárendelt felügyelt identitás az Azure SQL-hez készült Microsoft Entra-ban.
Az Azure SQL Database, az Azure SQL Managed Instance vagy az Azure Synapse Analytics felügyelt identitásának engedélyezésekor a Microsoft Entra ID Címtárolvasó szerepkör hozzárendelhető az identitáshoz, hogy olvasási hozzáférést biztosítson a Microsoft Graph API-hoz. Az SQL Database és az Azure Synapse felügyelt identitását kiszolgálóidentitásnak nevezzük. A felügyelt SQL-példány felügyelt identitását felügyelt példány-identitásnak nevezzük, és a példány létrehozásakor automatikusan hozzárendeli. A kiszolgálóidentitás SQL Database-hez vagy Azure Synapse-hoz való hozzárendeléséről további információt a Szolgáltatásnevek engedélyezése a Microsoft Entra-felhasználók létrehozásához című témakörben talál.
A Címtárolvasók szerepkör kiszolgálói vagy példányi identitásként használható a következők segítségére:
- Microsoft Entra-bejelentkezések létrehozása felügyelt SQL-példányhoz
- Microsoft Entra-felhasználók megszemélyesítése az Azure SQL-ben
- Windows-hitelesítést használó SQL Server-felhasználók áttelepítése felügyelt SQL-példányra Microsoft Entra-hitelesítéssel (az ALTER U Standard kiadás R (Transact-SQL) paranccsal)
- Felügyelt SQL-példány Microsoft Entra-rendszergazdájának módosítása
- Microsoft Entra-felhasználók létrehozása az Azure SQL-ben szolgáltatásnevek (alkalmazások) számára
Megjegyzés:
A Microsoft Entra ID az Azure Active Directory (Azure AD) új neve. Jelenleg frissítjük a dokumentációt.
A Címtárolvasók szerepkör hozzárendelése
Ahhoz, hogy a címtár-olvasók szerepkört identitáshoz rendelhesse, globális Rendszergazda istrator vagy privileged role Rendszergazda istrator engedélyekkel rendelkező felhasználóra van szükség. Előfordulhat, hogy azok a felhasználók, akik gyakran felügyelik vagy telepítik az SQL Database-t, a felügyelt SQL-példányt vagy az Azure Synapse-t, nem férnek hozzá ezekhez a kiemelt szerepkörökhöz. Ez gyakran okozhat bonyodalmakat a nem tervezett Azure SQL-erőforrásokat létrehozó felhasználók számára, vagy a nagy szervezetekben gyakran elérhetetlen kiemelt szerepkörű tagok segítségére van szükségük.
Felügyelt SQL-példány esetén a címtárolvasó szerepkört hozzá kell rendelni a felügyelt példány identitásához, mielőtt beállíthat egy Microsoft Entra-rendszergazdát a felügyelt példányhoz.
A címtár-olvasók szerepkör hozzárendelése a kiszolgálóidentitáshoz nem szükséges az SQL Database-hez vagy az Azure Synapse-hez a Logikai kiszolgálóHoz tartozó Microsoft Entra-rendszergazda beállításakor. Ahhoz azonban, hogy a Microsoft Entra-objektumokat az SQL Database-ben vagy az Azure Synapse-ban egy Microsoft Entra-alkalmazás nevében lehessen létrehozni, a címtár-olvasók szerepkörre van szükség. Ha a szerepkör nincs hozzárendelve a logikai kiszolgáló identitásához, a Microsoft Entra-felhasználók azure SQL-ben való létrehozása sikertelen lesz. További információ: Microsoft Entra szolgáltatásnév az Azure SQL-vel.
Címtárolvasói szerepkör megadása Egy Microsoft Entra-csoportnak
Mostantól globális Rendszergazda istrator vagy kiemelt szerepkörrel is rendelkezhet, Rendszergazda istrator létrehozhat egy Microsoft Entra-csoportot, és hozzárendelheti a címtárolvasók engedélyét a csoporthoz. Ez lehetővé teszi a Microsoft Graph API elérését a csoport tagjai számára. Emellett a csoport tulajdonosai, a Microsoft Entra felhasználói új tagokat is hozzárendelhetnek ehhez a csoporthoz, beleértve a logikai kiszolgálók identitásait is.
Ehhez a megoldáshoz továbbra is magas jogosultsági szintű felhasználóra (globális Rendszergazda istrator vagy privileged role Rendszergazda istrator) van szükség egy csoport létrehozásához és a felhasználók egyszeri tevékenységként való hozzárendeléséhez, de a Microsoft Entra-csoporttulajdonosok további tagokat is hozzárendelhetnek. Ez szükségtelenné teszi, hogy a jövőben nagy jogosultságú felhasználót vonjon be az összes SQL Database, felügyelt SQL-példány vagy Azure Synapse-kiszolgáló konfigurálásához a Microsoft Entra-bérlőjében.