Share via

Azure Policy csak Microsoft Entra-hitelesítéshez az Azure SQL-lel

  • Cikk

A következőre vonatkozik: Azure SQL DatabaseFelügyelt Azure SQL-példány

Az Azure Policy kikényszerítheti egy Azure SQL Database vagy felügyelt Azure SQL-példány létrehozását, ha a kiépítés során engedélyezve van a Csak Microsoft Entra hitelesítés . Ha ez a szabályzat érvényben van, a logikai kiszolgáló Azure-beli vagy felügyelt példányon történő létrehozására tett kísérletek sikertelenek lesznek, ha az nem engedélyezett Microsoft Entra-hitelesítéssel jön létre.

Megjegyzés:

Bár az Azure Active Directory (Azure AD) át lett nevezve Microsoft Entra ID-ra, a szabályzatnevek jelenleg az eredeti Azure AD-nevet tartalmazzák, ezért ebben a cikkben a Microsoft Entra-only és az Azure AD-only hitelesítést használjuk felcserélhetően.

Az Azure Policy alkalmazható a teljes Azure-előfizetésre, vagy csak egy erőforráscsoporton belül.

Az Azure Policy két új beépített szabályzatot vezetett be:

  • Az Azure SQL Database-nek engedélyeznie kell a csak Azure Active Directory-hitelesítést
  • A felügyelt Azure SQL-példánynak engedélyeznie kell a csak Azure Active Directory-hitelesítést

Az Azure Policyval kapcsolatos további információkért lásd : Mi az Azure Policy? és az Azure Policy definíciós struktúrája.

Permissions

Az Azure Policy kezeléséhez szükséges engedélyek áttekintéséért tekintse meg az Azure RBAC-engedélyeket az Azure Policyban.

Műveletek

Ha egyéni szerepkört használ az Azure Policy kezeléséhez, a következő műveletekre van szükség.

  • */read
  • Microsoft.Authorization/policyassignments/*
  • Microsoft.Authorization/policydefinitions/*
  • Microsoft.Authorization/policyexemptions/*
  • Microsoft.Authorization/policysetdefinitions/*
  • Microsoft.Policy Elemzések/*

Az egyéni szerepkörökről további információt az Azure egyéni szerepköreivel kapcsolatban talál.

Csak Azure AD-hitelesítéshez készült Azure Policy kezelése

Az Azure AD csak hitelesítési szabályzatai kezelhetők az Azure Portalon, és a Szabályzat szolgáltatás megkeresésével. A Definíciók csoportban keressen csak Azure Active Directory-hitelesítésre.

Screenshot of Azure Policy for Azure AD-only authentication

Útmutató : Az Azure AD-hitelesítés kényszerítése az Azure SQL-lel az Azure Policy használatával.

Az alábbi szabályzatoknak három hatása van:

  • Naplózás – Az alapértelmezett beállítás, és csak az Azure Policy tevékenységnaplóiban rögzíti az auditjelentést
  • Megtagadás – Megakadályozza a logikai kiszolgáló vagy a felügyelt példány létrehozását anélkül, hogy engedélyezve van a Microsoft Entra-hitelesítés
  • Letiltva – Letiltja a szabályzatot, és nem korlátozza a felhasználókat abban, hogy logikai kiszolgálót vagy felügyelt példányt hozzanak létre anélkül, hogy engedélyezve van a Microsoft Entra-hitelesítés

Ha a csak Azure AD-hitelesítéshez készült Azure Policy megtagadás értékre van állítva, a logikai kiszolgáló vagy a felügyelt példány létrehozása meghiúsul. A hiba részleteit az erőforráscsoport tevékenységnaplójában rögzíti a rendszer.

Szabályzatmegfelelőség

A megfelelőségi állapot megtekintéséhez tekintse meg a Szabályzat szolgáltatás megfelelőségi beállítását. A megfelelőségi állapot jelzi, hogy a kiszolgáló vagy a felügyelt példány jelenleg megfelel-e a csak Microsoft Entra-hitelesítés engedélyezésének.

Az Azure Policy megakadályozhatja egy új logikai kiszolgáló vagy felügyelt példány létrehozását anélkül, hogy engedélyezve lenne a Microsoft Entra-hitelesítés, de a szolgáltatás a kiszolgáló vagy a felügyelt példány létrehozása után módosítható. Ha egy felhasználó letiltotta a microsoft entra-only hitelesítést a kiszolgáló vagy a felügyelt példány létrehozása után, a megfelelőségi állapot akkor leszNon-compliant, ha az Azure Policy Megtagadás értékre van állítva.

Screenshot of Azure Policy Compliance menu for Azure AD-only authentication.

Korlátozások

  • Az Azure Policy csak Azure AD-hitelesítést kényszerít ki a logikai kiszolgáló vagy a felügyelt példány létrehozása során. A kiszolgáló létrehozása után a speciális szerepkörökkel (például AZ SQL Security Managerrel) rendelkező, engedélyezett Microsoft Entra-felhasználók letilthatják a csak Azure AD-alapú hitelesítési funkciót. Az Azure Policy lehetővé teszi, de ebben az esetben a kiszolgáló vagy a felügyelt példány szerepel a megfelelőségi jelentésben, Non-compliant és a jelentés a kiszolgáló vagy a felügyelt példány nevét jelzi.
  • További megjegyzésekért, ismert problémákért és a szükséges engedélyekért lásd : Microsoft Entra-only authentication.

További lépések

Csak Azure AD-hitelesítés kényszerítése az Azure SQL-lel az Azure Policy használatával