Azure Policy csak Microsoft Entra-hitelesítéshez az Azure SQL-lel
A következőre vonatkozik: Azure SQL DatabaseFelügyelt Azure SQL-példány
Az Azure Policy kikényszerítheti egy Azure SQL Database vagy felügyelt Azure SQL-példány létrehozását, ha a kiépítés során engedélyezve van a Csak Microsoft Entra hitelesítés . Ha ez a szabályzat érvényben van, a logikai kiszolgáló Azure-beli vagy felügyelt példányon történő létrehozására tett kísérletek sikertelenek lesznek, ha az nem engedélyezett Microsoft Entra-hitelesítéssel jön létre.
Megjegyzés:
Bár az Azure Active Directory (Azure AD) át lett nevezve Microsoft Entra ID-ra, a szabályzatnevek jelenleg az eredeti Azure AD-nevet tartalmazzák, ezért ebben a cikkben a Microsoft Entra-only és az Azure AD-only hitelesítést használjuk felcserélhetően.
Az Azure Policy alkalmazható a teljes Azure-előfizetésre, vagy csak egy erőforráscsoporton belül.
Az Azure Policy két új beépített szabályzatot vezetett be:
- Az Azure SQL Database-nek engedélyeznie kell a csak Azure Active Directory-hitelesítést
- A felügyelt Azure SQL-példánynak engedélyeznie kell a csak Azure Active Directory-hitelesítést
Az Azure Policyval kapcsolatos további információkért lásd : Mi az Azure Policy? és az Azure Policy definíciós struktúrája.
Permissions
Az Azure Policy kezeléséhez szükséges engedélyek áttekintéséért tekintse meg az Azure RBAC-engedélyeket az Azure Policyban.
Műveletek
Ha egyéni szerepkört használ az Azure Policy kezeléséhez, a következő műveletekre van szükség.
- */read
- Microsoft.Authorization/policyassignments/*
- Microsoft.Authorization/policydefinitions/*
- Microsoft.Authorization/policyexemptions/*
- Microsoft.Authorization/policysetdefinitions/*
- Microsoft.Policy Elemzések/*
Az egyéni szerepkörökről további információt az Azure egyéni szerepköreivel kapcsolatban talál.
Csak Azure AD-hitelesítéshez készült Azure Policy kezelése
Az Azure AD csak hitelesítési szabályzatai kezelhetők az Azure Portalon, és a Szabályzat szolgáltatás megkeresésével. A Definíciók csoportban keressen csak Azure Active Directory-hitelesítésre.
Útmutató : Az Azure AD-hitelesítés kényszerítése az Azure SQL-lel az Azure Policy használatával.
Az alábbi szabályzatoknak három hatása van:
- Naplózás – Az alapértelmezett beállítás, és csak az Azure Policy tevékenységnaplóiban rögzíti az auditjelentést
- Megtagadás – Megakadályozza a logikai kiszolgáló vagy a felügyelt példány létrehozását anélkül, hogy engedélyezve van a Microsoft Entra-hitelesítés
- Letiltva – Letiltja a szabályzatot, és nem korlátozza a felhasználókat abban, hogy logikai kiszolgálót vagy felügyelt példányt hozzanak létre anélkül, hogy engedélyezve van a Microsoft Entra-hitelesítés
Ha a csak Azure AD-hitelesítéshez készült Azure Policy megtagadás értékre van állítva, a logikai kiszolgáló vagy a felügyelt példány létrehozása meghiúsul. A hiba részleteit az erőforráscsoport tevékenységnaplójában rögzíti a rendszer.
Szabályzatmegfelelőség
A megfelelőségi állapot megtekintéséhez tekintse meg a Szabályzat szolgáltatás megfelelőségi beállítását. A megfelelőségi állapot jelzi, hogy a kiszolgáló vagy a felügyelt példány jelenleg megfelel-e a csak Microsoft Entra-hitelesítés engedélyezésének.
Az Azure Policy megakadályozhatja egy új logikai kiszolgáló vagy felügyelt példány létrehozását anélkül, hogy engedélyezve lenne a Microsoft Entra-hitelesítés, de a szolgáltatás a kiszolgáló vagy a felügyelt példány létrehozása után módosítható. Ha egy felhasználó letiltotta a microsoft entra-only hitelesítést a kiszolgáló vagy a felügyelt példány létrehozása után, a megfelelőségi állapot akkor leszNon-compliant
, ha az Azure Policy Megtagadás értékre van állítva.
Korlátozások
- Az Azure Policy csak Azure AD-hitelesítést kényszerít ki a logikai kiszolgáló vagy a felügyelt példány létrehozása során. A kiszolgáló létrehozása után a speciális szerepkörökkel (például AZ SQL Security Managerrel) rendelkező, engedélyezett Microsoft Entra-felhasználók letilthatják a csak Azure AD-alapú hitelesítési funkciót. Az Azure Policy lehetővé teszi, de ebben az esetben a kiszolgáló vagy a felügyelt példány szerepel a megfelelőségi jelentésben,
Non-compliant
és a jelentés a kiszolgáló vagy a felügyelt példány nevét jelzi. - További megjegyzésekért, ismert problémákért és a szükséges engedélyekért lásd : Microsoft Entra-only authentication.