Felügyelt identitás és Microsoft Entra-hitelesítés beállítása az Azure Arc által engedélyezett SQL Serverhez

A következőkre vonatkozik: SQL Server 2025 (17.x)

• SQL Server 2022
• SQL Server 2025
• Azure SQL Database és Azure SQL Managed Instance
• SQL Server az Azure-beli virtuális gépeken

Ez a cikk részletes útmutatást nyújt a Microsoft Entra ID felügyelt identitás beállításához és konfigurálásához az Azure Arc által engedélyezett SQL Serverhez.

A SQL Serverrel való felügyelt identitás áttekintéséhez tekintse meg a Azure Arc által engedélyezett SQL Server-felügyelt identitást.

Előfeltételek

Mielőtt használhat felügyelt identitást az Azure Arc által engedélyezett SQL Serverrel, győződjön meg arról, hogy megfelel az alábbi előfeltételeknek:

• Windows rendszeren futó SQL Server 2025 és újabb rendszereken támogatott.
• Csatlakoztassa az SQL Servert az Azure Archoz.
• Az SQL Serverhez készült Azure-bővítmény legújabb verziója.

Az elsődleges felügyelt identitás engedélyezése

Ha telepítette az SQL Serverhez készült bővítményt a kiszolgálóra, az SQL Server-példány elsődleges felügyelt identitását közvetlenül az Azure Portalon engedélyezheti. Az elsődleges felügyelt identitás manuális engedélyezésére is lehetőség van a beállításjegyzék frissítésével, de rendkívül körültekintően kell eljárni.

Azure Portál

Ha engedélyezni szeretné az elsődleges felügyelt identitást az Azure Portalon, kövesse az alábbi lépéseket:

1. Nyissa meg az Azure Arc-erőforrás által engedélyezett SQL Servert az Azure Portalon.

2. A Beállítások területen válassza a Microsoft Entra ID és a Purview lehetőséget a Microsoft Entra ID és Purview lap megnyitásához .

   Megjegyzés:

   Ha nem látja a Microsoft Entra-azonosító hitelesítésének engedélyezése beállítást, győződjön meg arról, hogy az SQL Server-példány csatlakozik az Azure Archoz, és hogy telepítve van a legújabb SQL-bővítmény.

3. A Microsoft Entra ID és Purview lapján jelölje be az elsődleges felügyelt identitás használata melletti jelölőnégyzetet, majd a Mentés parancsot a konfiguráció alkalmazásához:

   

Manuálisan

Az SQL Server-példány elsődleges felügyelt identitását manuálisan is engedélyezheti a beállításjegyzék frissítésével, de rendkívül körültekintően kell elvégezni.

Engedély megadása a Tokens mappához

Adjon meg olvasási és végrehajtási operációsrendszer-engedélyeket a mappában C:\ProgramData\AzureConnectedMachineAgent\Tokens\ az SQL Server 2025-példány szolgáltatásfiókjának. Alapértelmezés szerint a szolgáltatásfiók NT Service\MSSQLSERVER, vagy a nevesített példányok esetében NT Service\MSSQL$<instancename>.

Előfordulhat, hogy rendszergazdai engedélyeket kell adnia az SQL Server szolgáltatásfiókjához a AzureConnectedMachineAgent mappa előtt:Tokens

SQL Server-szolgáltatásfiók hozzáadása a Hibrid ügynök bővítményalkalmazások csoporthoz

Adja hozzá az SQL Server szolgáltatásfiókot (alapértelmezett: NT Service\MSSQLSERVER vagy nevesített példányok esetén) a NT Service\MSSQL$instancenamecsoporthoz.

• Nyissa meg a Windows Számítógép-kezelés szolgáltatást.
• Lépjen a Helyi felhasználók és csoportok elemre, és válassza a Csoportok lehetőséget.
• Adja hozzá az SQL Server szolgáltatásfiókot a Hibrid ügynök bővítményalkalmazások csoportjához.

A beállításjegyzék frissítése

Figyelmeztetés

A beállításjegyzék helytelen szerkesztése súlyosan károsíthatja a rendszert. A beállításjegyzék módosítása előtt javasoljuk, hogy készítsen biztonsági másolatot a számítógépen lévő értékes adatokról.

A beállításjegyzékben frissítse a \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17.MSSQLSERVER\MSSQLServer\FederatedAuthentication alkulcsot.

Hozza létre a következő bejegyzéseket:

Entry	Érték
ArcServerManagedIdentityClientId	Üres (nincs érték)
HIMDSApiVersion	2020-06-01
HIMDSEndpoint	http://localhost:40342/metadata/identity/oauth2/token
ArcServerSystemAssignedManagedIdentityTenantId	Arc-AAD-Tenant-ID
ArcServerSystemAssignedManagedIdentityClientId	Arc-Machine-Client-Id
PrimaryAADTenant	Arc-AAD-Tenant-ID
AADChannelMaxBufferedMessageSize	200000
AADGraphEndPoint	graph.windows.net
AADGroupLookupMaxRetryAttempts	10
AADGroupLookupMaxRetryDuration	30000
AADGroupLookupRetryInitialBackoff	100
AADServerAdminSid	00000000-0000-0000-0000-000000000000
AuthenticationEndpoint	login.microsoftonline.com
CacheMaxSize	300
ClientCertBlackList	Üres (nincs érték)
FederationMetadataEndpoint	login.windows.net
GraphAPIEndpoint	graph.windows.net
IssuerURL	https://sts.windows.net/
OnBehalfOfAuthority	https://login.windows.net/
STSURL	https://login.windows.net/
MsGraphEndPoint	graph.microsoft.com
SendX5c	false
ServicePrincipalName	https://database.windows.net/
ServicePrincipalNameForArcadia	https://sql.azuresynapse.net
ServicePrincipalNameForArcadiaDogfood	https://sql.azuresynapse-dogfood.net
ServicePrincipalNameNoSlash	https://database.windows.net
AADBecWSConnectionPoolMaxSize	500

A beállításjegyzék biztonsági mentése és szerkesztése

Az alábbi szakaszok bemutatják, hogyan lehet biztonsági másolatot készíteni és szerkeszteni a beállításjegyzéket a Beállításszerkesztővel.

A Beállításszerkesztő megnyitása

1. A Futtatás párbeszédpanel megnyitásához nyomja le a Windows billentyűt + R billentyűkombinációt.
2. Írja be regedit és nyomja le az Enter billentyűt.
3. Ha a felhasználói fiókvezérlő kéri, válassza az Igen lehetőséget.

A beállításkulcs biztonsági mentése

Ez a lépés biztonsági másolatot készít a beállításjegyzékről, mielőtt bármilyen módosítást hajt végre. Ezt a fájlt később újra importálhatja a beállításjegyzékbe, ha a módosítások problémát okoznak.

1. Válassza a Fájl lehetőséget a menüből.
2. Válassza Exportáláslehetőséget.
3. A beállításjegyzékfájl exportálása párbeszédpanelen válasszon egy helyet a biztonsági mentéshez.
4. Adja meg a biztonsági mentési fájl nevét a Fájlnév mezőben.
5. Győződjön meg arról, hogy az Összes ki van jelölve az Exportálás tartományban.
6. Válassza az Mentésgombot.

Bejegyzések hozzáadása

Ebben a lépésben bejegyzéseket ad hozzá a beállításjegyzékhez a Beállításszerkesztővel.

1. Navigálj az alkulcsban: \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17.MSSQLSERVER\MSSQLServer\FederatedAuthentication.

2. Kattintson a jobb gombbal a FederatedAuthentication elemre, és válassza a Sztringérték lehetőséget.

   

3. Ismételje meg a beállításjegyzék frissítésénél felsorolt összes bejegyzést

   Ez a kép egy megfelelően konfigurált beállításjegyzéket mutat be:

   

A beállításkulcs visszaállítása (ha szükséges)

Ha vissza kell állítania a korábbi beállításjegyzék-beállításokat, kövesse az alábbi lépéseket.

1. Nyissa meg a Beállításszerkesztőt a korábban leírtak szerint.
2. Válassza a Fájl lehetőséget a menüből.
3. Válassza az Importálás lehetőséget.
4. Keresse meg a mentett biztonsági mentési fájl helyét.
5. Válassza ki a biztonsági mentési fájlt, és válassza a Megnyitás lehetőséget.

Részletekért tekintse át a beállításjegyzék alkulcsainak és értékeinek hozzáadását, módosítását vagy törlését egy .reg fájl használatával.

Alkalmazásengedélyek megadása az identitáshoz

Fontos

Csak egy Kiváltságos Szerepkörgazda vagy ennél magasabb jogosultsággal rendelkező szerepkör adhatja meg ezeket az engedélyeket.

Az Arc-kompatibilis gépnevet használó rendszer által hozzárendelt felügyelt identitásnak a következő Microsoft Graph-alkalmazásengedélyekkel (alkalmazásszerepkörök) kell rendelkeznie:

• User.Read.All: Lehetővé teszi a Microsoft Entra felhasználói adatainak elérését.

• GroupMember.Read.All: Lehetővé teszi a Microsoft Entra csoportinformációinak elérését.

• Application.Read.ALL: Lehetővé teszi a Microsoft Entra szolgáltatásnév (alkalmazás) információinak elérését.

A PowerShell használatával megadhatja a szükséges engedélyeket a felügyelt identitáshoz. Másik lehetőségként létrehozhat egy szerepkörhöz hozzárendelhető csoportot. A csoport létrehozása után rendelje hozzá a címtár-olvasók szerepkört vagy a User.Read.All, GroupMember.Read.Allés Application.Read.All engedélyeket a csoporthoz, és adja hozzá az Azure Arc-kompatibilis gépekhez tartozó összes rendszer által hozzárendelt felügyelt identitást a csoporthoz. Nem javasoljuk a Címtárolvasók szerepkör használatát az éles környezetben.

Az alábbi PowerShell-szkript megadja a szükséges engedélyeket a felügyelt identitáshoz. Győződjön meg arról, hogy a szkript a PowerShell 7.5-ös vagy újabb verzióján fut, és telepítve van a Microsoft.Graph 2.28-as vagy újabb modul.

# Set your Azure tenant and managed identity name
$tenantID = '<Enter-Your-Azure-Tenant-Id>'
$managedIdentityName = '<Enter-Your-Arc-HostMachine-Name>'

# Connect to Microsoft Graph
try {
    Connect-MgGraph -TenantId $tenantID -ErrorAction Stop
    Write-Output "Connected to Microsoft Graph successfully."
}
catch {
    Write-Error "Failed to connect to Microsoft Graph: $_"
    return
}

# Get Microsoft Graph service principal
$graphAppId = '00000003-0000-0000-c000-000000000000'
$graphSP = Get-MgServicePrincipal -Filter "appId eq '$graphAppId'"
if (-not $graphSP) {
    Write-Error "Microsoft Graph service principal not found."
    return
}

# Get the managed identity service principal
$managedIdentity = Get-MgServicePrincipal -Filter "displayName eq '$managedIdentityName'"
if (-not $managedIdentity) {
    Write-Error "Managed identity '$managedIdentityName' not found."
    return
}

# Define roles to assign
$requiredRoles = @(
    "User.Read.All",
    "GroupMember.Read.All",
    "Application.Read.All"
)

# Assign roles using scoped syntax
foreach ($roleValue in $requiredRoles) {
    $appRole = $graphSP.AppRoles | Where-Object {
        $_.Value -eq $roleValue -and $_.AllowedMemberTypes -contains "Application"
    }

    if ($appRole) {
        try {
            New-MgServicePrincipalAppRoleAssignment   -ServicePrincipalId $managedIdentity.Id `
                -PrincipalId $managedIdentity.Id `
                -ResourceId $graphSP.Id `
                -AppRoleId $appRole.Id `
                -ErrorAction Stop

            Write-Output "Successfully assigned role '$roleValue' to '$managedIdentityName'."
        }
        catch {
            Write-Warning "Failed to assign role '$roleValue': $_"
        }
    }
    else {
        Write-Warning "Role '$roleValue' not found in Microsoft Graph AppRoles."
    }
}

Bejelentkezések és felhasználók létrehozása

Kövesse a Microsoft Entra oktatóanyag lépéseit a felügyelt identitáshoz tartozó bejelentkezések és felhasználók létrehozásához.

Kapcsolódó tartalom

• Azure Arc segítségével engedélyezett felügyelt identitás SQL Serverhez
• Microsoft Entra-hitelesítés SQL Serverhez
• Mi az Azure-erőforrások felügyelt identitása?