Bagikan melalui

Menggunakan Azure Policy untuk memberlakukan autentikasi Microsoft Entra-only dengan Azure SQL

  • Artikel

Berlaku untuk: Azure SQL Database Azure SQL Managed Instance

Artikel ini memandu Anda membuat Azure Policy yang akan memberlakukan autentikasi khusus Microsoft Entra saat pengguna membuat Azure SQL Managed Instance, atau server logis untuk Azure SQL Database. Untuk mempelajari selengkapnya tentang autentikasi Microsoft Entra-only selama pembuatan sumber daya, lihat Membuat server dengan autentikasi khusus Microsoft Entra yang diaktifkan di Azure SQL.

Catatan

Meskipun Azure Active Directory (Azure AD) telah diganti namanya menjadi ID Microsoft Entra, nama kebijakan saat ini berisi nama Azure ACTIVE Directory asli, sehingga autentikasi khusus Microsoft Entra dan Azure AD digunakan secara bergantian dalam artikel ini.

Dalam artikel ini, Anda akan mempelajari cara:

  • Membuat Azure Policy yang memberlakukan server logis atau pembuatan instans terkelola dengan autentikasi khusus Microsoft Entra diaktifkan
  • Periksa kepatuhan Azure Policy

Prasyarat

Buat Azure Policy

Mulailah dengan membuat Azure Policy yang memberlakukan penyediaan instans SQL Database atau Instans Terkelola dengan autentikasi khusus Azure AD diaktifkan.

  1. Buka portal Microsoft Azure.

  2. Cari Kebijakanlayanan.

  3. Di bawah pengaturan Penulisan, pilih Definisi.

  4. Di kotak Pencarian, cari Autentikasi Azure Active Directory hanya untuk Azure SQL.

    Ada dua kebijakan bawaan yang tersedia untuk menegakkan autentikasi khusus Azure AD. Salah satunya adalah untuk SQL Database, dan yang lainnya adalah untuk SQL Managed Instance.

    • Azure SQL Database harus mengaktifkan Autentikasi Azure Active Directory saja
    • Azure SQL Managed Instance harus mengaktifkan Autentikasi Azure Active Directory saja

    Cuplikan layar Azure Policy untuk autentikasi Microsoft Azure AD saja

  5. Pilih nama kebijakan untuk layanan Anda. Dalam contoh ini, kita akan menggunakan Azure SQL Database. Pilih Azure SQL Database harus mengaktifkan Hanya Autentikasi Azure Active Directory.

  6. Pilih Tetapkan di menu baru.

    Catatan

    Skrip JSON dalam menu menunjukkan definisi kebijakan bawaan yang dapat digunakan sebagai templat untuk membangun Azure Policy khusus untuk SQL Database. Default diatur ke Audit.

    Cuplikan layar penetapan Azure Policy untuk autentikasi Microsoft Azure AD saja

  7. Di tab Dasar, tambahkanScope dengan menggunakan pemilih (...) di sisi kotak.

    Cuplikan layar pemilihan cakupan Azure Policy untuk autentikasi Microsoft Azure AD saja

  8. Di panel Cakupan, pilih Langganan Anda dari menu drop-down, dan pilih Grup Sumber Daya untuk kebijakan ini. Setelah selesai, gunakan tombol Pilih untuk menyimpan pilihan.

    Catatan

    Jika Anda tidak memilih grup sumber daya, kebijakan akan berlaku untuk seluruh langganan.

    Cuplikan layar menambahkan cakupan Azure Policy untuk autentikasi khusus Azure AD.

  9. Setelah Anda kembali ke tab Dasar, sesuaikan nama Tugas dan berikan Deskripsiopsional. Pastikan Penegakan kebijakan diatur ke Diaktifkan.

  10. Buka tab Parameter. Unselect opsi Hanya menunjukkan parameter yang memerlukan input.

  11. Under Effect,pilih Tolak. Pengaturan ini mencegah pembuatan server logis tanpa autentikasi khusus Azure AD diaktifkan.

    Cuplikan layar parameter efek Azure Policy untuk autentikasi khusus Azure AD.

  12. Di tab pesan Ketidakpatuhan, Anda dapat menyesuaikan pesan kebijakan yang ditampilkan jika terjadi pelanggaran kebijakan. Pesan akan memberi tahu pengguna kebijakan apa yang diberlakukan selama pembuatan server.

    Cuplikan layar pesan ketidakpatuhan Azure Policy untuk autentikasi khusus Azure AD.

  13. Pilih Tinjau + buat. Tinjau kebijakan dan pilih tombol Buat.

Catatan

Mungkin perlu beberapa waktu agar kebijakan yang baru dibuat ditegakkan.

Periksa Kepatuhan Kebijakan

Anda dapat memeriksa pengaturan Kepatuhan di bawah layanan Kebijakan untuk melihat status kepatuhan.

Cari nama tugas yang telah Anda berikan sebelumnya untuk kebijakan.

Cuplikan layar kepatuhan Azure Policy untuk autentikasi khusus Azure AD.

Setelah server logis dibuat dengan autentikasi Azure AD saja, laporan kebijakan akan meningkatkan penghitung di bawah Sumber Daya dengan visual status kepatuhan. Anda akan dapat melihat sumber daya mana yang sesuai, atau tidak sesuai.

Jika grup sumber daya yang dipilih kebijakan untuk mencakup berisi server yang sudah dibuat, laporan kebijakan akan menunjukkan sumber daya yang sesuai dan tidak patuh.

Catatan

Memperbarui laporan kepatuhan mungkin memakan waktu. Perubahan yang terkait dengan pembuatan sumber daya atau pengaturan autentikasi Khusus Microsoft Entra tidak segera dilaporkan.

Menyediakan pengguna

Anda kemudian dapat mencoba menyediakan server logis atau instans terkelola dalam grup sumber daya yang Anda tetapkan Azure Policy. Jika autentikasi hanya Azure AD diaktifkan selama pembuatan server, ketentuan akan berhasil. Ketika autentikasi hanya Azure AD tidak diaktifkan, ketentuan akan gagal.

Untuk informasi selengkapnya, lihat Membuat server dengan autentikasi Microsoft Entra-only yang diaktifkan di Azure SQL.

Langkah berikutnya