Felügyelt identitások Microsoft Entra Azure SQL

A következőre vonatkozik: :Azure SQL Database Azure SQL Managed Instance

Microsoft Entra ID (formerly Azure Active Directory) kétféle felügyelt identitást támogat: a rendszer által hozzárendelt felügyelt identitást (SMI) és a felhasználó által hozzárendelt felügyelt identitást (UMI). További információ: Felügyelt identitástípusok.

A rendszer automatikusan hozzárendel egy SMI-t Azure SQL Managed Instance létrehozásakor. Ha Microsoft Entra hitelesítést használ az Azure SQL Database-ben, SMI-t kell hozzárendelnie, amikor az Azure szolgáltatási főszereplők Microsoft Entra felhasználókat hoznak létre az SQL Database-ben.

Korábban csak az Azure SQL Managed Instance vagy az SQL Database-kiszolgáló identitásához rendelhetett SMI-t. Most hozzárendelhet egy UMI-t SQL Managed Instance vagy SQL Database-hez példányként vagy kiszolgálóidentitásként.

Az UMI és az SMI példányként vagy kiszolgálóidentitásként való használata mellett használhatja őket az adatbázis elérésére az SQL connection string Authentication=Active Directory Managed Identity beállításával. A CREATE USER utasítással létre kell hoznia egy SQL-felhasználót a céladatbázis felügyelt identitásából. További információ: A Microsoft Entra hitelesítés használata az SqlClient használatával.

A Azure SQL felügyelt példány vagy Azure SQL Database aktuális umi-jait vagy SMI-jét a jelen cikk későbbi részében A logikai kiszolgáló vagy felügyelt példány felügyelt identitásának létrehozása vagy beállítása című cikkben találja.

A felhasználó által hozzárendelt felügyelt identitások használatának előnyei

Az UMI kiszolgálóidentitásként való használata számos előnnyel jár:

A felhasználók rugalmasan hozhatnak létre és tarthatnak meg saját UMI-kat a bérlők számára. Az UMI-k kiszolgálóidentitásként használhatók Azure SQL. Ön felügyeli az UMI-t, míg a rendszer kiszolgálónként egyedileg definiál és rendel hozzá egy SMI-t.
Korábban a Microsoft Entra ID Directory Readers szerepkörre volt szüksége, amikor SMI-t használ kiszolgáló- vagy példányidentitásként. A Microsoft Entra ID-hez való hozzáférés bevezetésével Microsoft Graph használatával az olyan felhasználók, akik aggódnak amiatt, hogy magas szintű engedélyeket, mint például a Könyvtár Olvasók szerepkört adjanak az SMI-nek vagy az UMI-nek, esetleg alacsonyabb szintű engedélyeket is megadhatnak, így a kiszolgáló vagy a példány identitása hozzáférhet a Microsoft Graph-hoz.

A Directory Readers engedélyeivel és funkciójával kapcsolatos további információkért lásd: Directory Readers szerepkör a Microsoft Entra ID Azure SQL-ben.
A felhasználók egy adott UMI-t választhatnak ki, amely a bérlő összes adatbázisának vagy felügyelt példányának szerver- vagy példányazonosítójaként szolgál. Vagy több UMI-t is hozzárendelhetnek különböző kiszolgálókhoz vagy példányokhoz.

Az UMI-k különböző kiszolgálókon különböző funkciók megjelenítésére használhatók. Az UMI például transzparens adattitkosítást (TDE) képes kiszolgálni egy kiszolgálón, az UMI pedig Microsoft Entra hitelesítést egy másik kiszolgálón.
Szüksége van egy UMI-re az Azure-ban egy logikai kiszolgáló létrehozásához, amely TDE-vel és ügyfél által felügyelt kulcsokkal (CMK-kkal) van konfigurálva. További információ: Ügyfél által felügyelt transzparens adattitkosítás felhasználó által hozzárendelt felügyelt identitással.
Az UMI-k függetlenek a logikai kiszolgálóktól vagy a felügyelt példányoktól. Logikai kiszolgáló vagy -példány törlésekor a rendszer az SMI-t is törli. Az UMI-k nem törlődnek a szerver törlésekor.

Megjegyzés:

Engedélyeznie kell a példányidentitást (SMI vagy UMI) a Microsoft Entra hitelesítés támogatásának engedélyezéséhez az SQL Managed Instance esetében. Az SQL Database esetében a kiszolgálóidentitás engedélyezése nem kötelező, és csak akkor szükséges, ha egy Microsoft Entra szolgáltatásnév (Microsoft Entra alkalmazás) felügyeli Microsoft Entra felhasználók, csoportok vagy alkalmazások létrehozását és kezelését a kiszolgálón. További információért lásd Microsoft Entra szolgáltatási főszereplők Azure SQL.

Felhasználó által hozzárendelt felügyelt identitás létrehozása

Az UMI létrehozásáról további információt a felhasználó által hozzárendelt felügyelt identitások kezelése című témakörben talál.

Engedélyek

Az UMI létrehozása után meg kell adnia bizonyos engedélyeket az UMI számára, hogy az kiszolgáló identitásaként férhessen hozzá az Microsoft Graph-hoz. Adja meg a következő engedélyeket, vagy adja meg az UMI-nek a Címtárolvasók szerepkört.

Logikai kiszolgáló vagy felügyelt példány kiépítése előtt meg kell adnia ezeket az engedélyeket. Miután engedélyezte az engedélyeket az UMI-nek, azok a kiszolgálói identitásként hozzárendelt UMI-vel létrehozott összes kiszolgálóra vagy példányra vonatkoznak.

Fontos

Csak egy Kiváltságos Szerepkörgazda vagy ennél magasabb jogosultsággal rendelkező szerepkör adhatja meg ezeket az engedélyeket.

User.Read.All: Lehetővé teszi Microsoft Entra felhasználói adatok elérését.
GroupMember.Read.All: Hozzáférést biztosít Microsoft Entra csoportadatokhoz.
Application.Read.All: Lehetővé teszi Microsoft Entra szolgáltatásnév (alkalmazás) adatainak elérését.

SMI-engedélyek

Az SMI-hez ugyanazokra a Microsoft Graph alkalmazásengedélyek szükségesek.

A Azure SQL Database-ra vonatkozóan: Az SMI-k használata lehetőséget ad arra, hogy ne kelljen a Microsoft Graph engedélyeket expliciten kiépíteni. A Microsoft Entra felhasználók a szükséges Microsoft Graph engedély nélkül is létrehozhatóak a CREATE USER T-SQL szintaxis használatával. Ehhez a cikkben ismertetett SID és TYPE szintaxisra, valamint a CREATE USER (FELHASZNÁLÓ LÉTREHOZÁSA) kifejezésre lenne szükség.

CREATE USER
    {
    Microsoft_Entra_principal FROM EXTERNAL PROVIDER [ WITH <limited_options_list> [ ,... ] ]
    | Microsoft_Entra_principal WITH <options_list> [ ,... ]
    }
 [ ; ]

<limited_options_list> ::=
      DEFAULT_SCHEMA = schema_name
    | OBJECT_ID = 'objectid'
<options_list> ::=
      DEFAULT_SCHEMA = schema_name
    | SID = sid
    | TYPE = { X | E }

A fenti szintaxis lehetővé teszi a Microsoft Entra felhasználók létrehozását ellenőrzés nélkül. Ehhez meg kell adnia a Microsoft Entra főszemély azonosítóját, és azt SIDként kell használnia a T-SQL utasításban, ahogy az a A tartalmazott adatbázis-felhasználó létrehozása egy Microsoft Entra főszemélyből ellenőrzés nélkül című részben kifejtésre kerül.

Az objektumazonosító érvényességi ellenőrzése a T-SQL utasítást futtató felhasználó feladata.

Engedélyek megadása

Az alábbi PowerShell-példaszkript megadja a felügyelt identitáshoz szükséges engedélyeket. Ez a minta engedélyeket rendel a felhasználó által hozzárendelt felügyelt identitáshoz umiservertest.

A szkript futtatásához felhasználóként kell bejelentkeznie kiemelt szerepkör-rendszergazdai vagy magasabb szintű szerepkörrel.

A szkript a User.Read.All, GroupMember.Read.All és Application.Read.ALL engedélyt ad egy felügyelt identitásnak a Microsoft Graph eléréséhez.

# Script to assign permissions to an existing UMI
# The following required Microsoft Graph permissions will be assigned:
#   User.Read.All
#   GroupMember.Read.All
#   Application.Read.All

Import-Module Microsoft.Graph.Authentication
Import-Module Microsoft.Graph.Applications

$tenantId = "<tenantId>"        # Your tenant ID
$MSIName = "<managedIdentity>"; # Name of your managed identity

# Log in as a user with the "Privileged Role Administrator" role
Connect-MgGraph -TenantId $tenantId -Scopes "AppRoleAssignment.ReadWrite.All,Application.Read.All"

# Search for Microsoft Graph
$MSGraphSP = Get-MgServicePrincipal -Filter "DisplayName eq 'Microsoft Graph'";
$MSGraphSP

# Sample Output

# DisplayName     Id                                   AppId                                SignInAudience      ServicePrincipalType
# -----------     --                                   -----                                --------------      --------------------
# Microsoft Graph 47d73278-e43c-4cc2-a606-c500b66883ef 00000003-0000-0000-c000-000000000000 AzureADMultipleOrgs Application

$MSI = Get-MgServicePrincipal -Filter "DisplayName eq '$MSIName'"
if($MSI.Count -gt 1)
{
Write-Output "More than 1 principal found with that name, please find your principal and copy its object ID. Replace the above line with the syntax $MSI = Get-MgServicePrincipal -ServicePrincipalId <your_object_id>"
Exit
}

# Get required permissions
$Permissions = @(
  "User.Read.All"
  "GroupMember.Read.All"
  "Application.Read.All"
)

# Find app permissions within Microsoft Graph application
$MSGraphAppRoles = $MSGraphSP.AppRoles | Where-Object {($_.Value -in $Permissions)}

# Assign the managed identity app roles for each permission
foreach($AppRole in $MSGraphAppRoles)
{
    $AppRoleAssignment = @{
        principalId = $MSI.Id
        resourceId = $MSGraphSP.Id
        appRoleId = $AppRole.Id
    }

    New-MgServicePrincipalAppRoleAssignment `
    -ServicePrincipalId $AppRoleAssignment.PrincipalId `
    -BodyParameter $AppRoleAssignment -Verbose
}

Felhasználó által hozzárendelt felügyelt identitás engedélyeinek ellenőrzése

Az UMI engedélyeinek ellenőrzéséhez lépjen a Azure portálra. A Microsoft Entra ID erőforrásban nyissa meg a Enterprise alkalmazásokat. Válassza az Összes alkalmazástípus lehetőséget, és keresse meg a létrehozott UMI-t.

Válassza ki az UMI-t, és lépjen az Engedélyek beállításokra a Biztonság területen.

Felügyelt identitás lekérése vagy beállítása egy felügyelt logikai kiszolgálóhoz vagy SQL-példányhoz

Ha UMI használatával szeretne kiszolgálót vagy példányt létrehozni, tekintse meg az alábbi útmutatókat:

SMI beállítása

A Azure SQL Database logikai kiszolgáló rendszer által felügyelt identitásának beállításához a Azure portálon kövesse az alábbi lépéseket:

Nyissa meg az SQL Server vagy a felügyelt SQL-példány erőforrását .
A Biztonság területen válassza az Identitás lehetőséget.
A Rendszer által hozzárendelt felügyelt identitás területen állítsa be az állapotota következőre:
Válassza a Mentés lehetőséget a módosítások mentéséhez.

A Azure portálon Azure SQL Managed Instance rendszer által felügyelt identitásának beállításához kövesse az alábbi lépéseket:

Nyissa meg a felügyelt SQL-példány erőforrását .
A Biztonság területen válassza az Identitás lehetőséget.
A Rendszer által hozzárendelt felügyelt identitás területen állítsa be az állapototBekapcsolt állapotra.
Válassza a Mentés lehetőséget a módosítások mentéséhez.

Az SMI lekérése

A Azure portál megjeleníti a rendszer által hozzárendelt felügyelt identitás (SMI) azonosítóját a Azure SQL Database logikai kiszolgáló Properties menüjében.

A Azure SQL Managed Instance vagy Azure SQL Database UMI-jeinek lekéréséhez használja a cikk későbbi részében található PowerShell-példákat vagy Azure CLI példákat.
A Azure SQL Managed Instance SMI-jének lekéréséhez használja a cikk későbbi részében található PowerShell-példákat vagy Azure CLI példákat.

Felhasználó által felügyelt identitás beállítása a Azure portálon

A Azure SQL Database logikai kiszolgáló vagy Azure SQL Managed Instance felhasználó által felügyelt identitásának beállítása a Azure portálon:

Nyissa meg az SQL Server vagy a felügyelt SQL-példány erőforrását .
A Biztonság területen válassza ki az Identitás beállítást.
Válassza a Felhasználó által hozzárendelt felügyelt identitás területen a Hozzáadás lehetőséget.
Válasszon ki egy előfizetést, majd elsődleges identitás esetén válasszon egy felügyelt identitást az előfizetéshez. Ezután válassza a Kiválasztás gombot.

Felügyelt identitás létrehozása vagy beállítása az Azure CLI használatával

A Azure CLI 2.26.0 (vagy újabb) szükséges a parancsok UMI-vel való futtatásához.

Azure SQL Database felügyelt identitás használata az Azure CLI-vel

Ha új kiszolgálót szeretne kiépíteni egy felhasználó által hozzárendelt felügyelt identitással, használja az az sql server create parancsot.
A logikai kiszolgáló felügyelt identitásainak beszerzéséhez használja az az sql server show parancsot.
- Például, egy logikai kiszolgáló felhasználó által hozzárendelt felügyelt identitásainak lekéréséhez keresse meg mindegyik identitás principalId címkéjét:
```
az sql server show --resource-group "resourcegroupnamehere" --name "sql-logical-server-name-here" --query identity.userAssignedIdentities
```
- Egy Azure SQL Database logikai kiszolgáló rendszer által hozzárendelt felügyelt identitásának lekérése:
```
az sql server show --resource-group "resourcegroupnamehere" --name "sql-logical-server-name-here" --query identity.principalId
```
Az UMI kiszolgálóbeállításának frissítéséhez használja az az sql server update parancsot.

Azure SQL Managed Instance felügyelt identitás az Azure CLI használatával

Ha új felügyelt példányt szeretne kiépíteni UMI-vel, használja az az sql mi create parancsot.
A rendszer és a felhasználó által hozzárendelt felügyelt identitások beszerzéséhez a felügyelt példányoknál használja a az sql mi show parancsot.
- Ha például egy felügyelt példány UMI-jét szeretné lekérni, keresse meg az principalId mindegyiknél:
```
az sql mi show --resource-group "resourcegroupnamehere" --name "sql-mi-name-here" --query identity.userAssignedIdentities
```
- A felügyelt példány SMI-jének lekéréséhez:
```
az sql mi show --resource-group "resourcegroupnamehere" --name "sql-mi-name-here" --query identity.principalId
```
Az UMI felügyelt példánybeállításának frissítéséhez használja az az sql mi update parancsot.

Felügyelt identitás létrehozása vagy beállítása a PowerShell használatával

A PowerShell UMI-vel való használatához az Az.Sql 3.4-as vagy újabb modul szükséges. A PowerShell latest verziója ajánlott, vagy használja a Azure Cloud Shell a Azure portálon.

Az Azure SQL Database felügyelt identitása a PowerShell használatával

Ha új kiszolgálót szeretne kiépíteni UMI-vel, használja a New-AzSqlServer parancsot.

A logikai kiszolgáló felügyelt identitásainak lekéréséhez használja a Get-AzSqlServer parancsot.

Ha például egy logikai kiszolgáló UMI-jait szeretné lekérni, keresse meg mindegyik principalId-ját:

$MI = Get-AzSqlServer -ResourceGroupName "resourcegroupnamehere" -Name "sql-logical-server-name-here"
$MI.Identity.UserAssignedIdentities | ConvertTo-Json

Egy Azure SQL Database logikai kiszolgáló SMI-jének lekérése:

$MI = Get-AzSqlServer -ResourceGroupName "resourcegroupnamehere" -Name "sql-logical-server-name-here"
$MI.Identity.principalId

Az UMI kiszolgálóbeállításának frissítéséhez használja a Set-AzSqlServer parancsot.

Az Azure SQL Managed Instance felügyelt identitása PowerShell használatával

Ha új felügyelt példányt szeretne kiépíteni UMI-vel, használja a New-AzSqlInstance parancsot.

Egy felügyelt példány felügyelt identitásainak beszerzéséhez használja a Get-AzSqlInstance parancsot.

Ha például egy felügyelt példány UMI-jait szeretné lekérni, keresse meg az principalId mindegyikét:

$MI = Get-AzSqlInstance -ResourceGroupName "resourcegroupnamehere" -Name "sql-mi-name-here"
$MI.Identity.UserAssignedIdentities | ConvertTo-Json

A felügyelt példány SMI-jének lekéréséhez:

$MI = Get-AzSqlInstance -ResourceGroupName "resourcegroupnamehere" -Name "sql-mi-name-here"
$MI.Identity.principalId

Az UMI felügyelt példánybeállításának frissítéséhez használja a Set-AzSqlInstance parancsot.

Felügyelt identitás létrehozása vagy beállítása a REST API használatával

A kiszolgáló UMI-beállításainak frissítéséhez használhatja a logikai kiszolgáló létrehozásakor használt REST API kiépítési szkriptet is egy felhasználó által hozzárendelt felügyelt identitással , vagy felügyelt példány létrehozása felhasználó által hozzárendelt felügyelt identitással. Futtassa újra a kiépítési parancsot az útmutatóban a frissíteni kívánt, felhasználó által hozzárendelt felügyelt identitás tulajdonsággal.

Felügyelt identitás létrehozása vagy beállítása ARM-sablon használatával

A kiszolgáló UMI-beállításainak frissítéséhez a Logikai kiszolgáló létrehozása felhasználó által hozzárendelt felügyelt identitással vagy Felügyelt példány létrehozása felhasználó által hozzárendelt felügyelt identitással. Futtassa újra a kiépítési parancsot az útmutatóban a frissíteni kívánt, felhasználó által hozzárendelt felügyelt identitás tulajdonsággal.