Azure Policy untuk autentikasi khusus Microsoft Entra dengan Azure SQL
Berlaku untuk:
Azure SQL DatabaseAzure SQL Managed Instance
Azure Policy dapat memberlakukan pembuatan Azure SQL Database atau Azure SQL Managed Instance dengan autentikasi khusus Microsoft Entra yang diaktifkan selama provisi . Dengan kebijakan ini diberlakukan, setiap upaya untuk membuat server logis di Azure atau instans terkelola akan gagal jika tidak dibuat dengan autentikasi khusus Microsoft Entra diaktifkan.
Catatan
Meskipun Azure Active Directory (Azure AD) telah diganti namanya menjadi ID Microsoft Entra, nama kebijakan saat ini berisi nama Azure ACTIVE Directory asli, sehingga autentikasi khusus Microsoft Entra dan Azure AD digunakan secara bergantian dalam artikel ini.
Azure Policy dapat diterapkan ke seluruh langganan Azure, atau hanya dalam grup sumber daya.
Dua kebijakan bawaan baru telah diperkenalkan dalam Azure Policy:
- Azure SQL Database harus mengaktifkan Autentikasi Azure Active Directory saja
- Azure SQL Managed Instance harus mengaktifkan Autentikasi Azure Active Directory saja
Untuk informasi selengkapnya tentang Azure Policy, lihat Apa itu Azure Policy? dan struktur definisi Azure Policy.
Izin
Untuk gambaran umum tentang izin yang diperlukan untuk mengelola Azure Policy, lihat izin Azure RBAC di Azure Policy.
Tindakan
Jika Anda menggunakan peran kustom untuk mengelola Azure Policy, Tindakan berikut diperlukan.
- */read
- Microsoft.Authorization/policyassignments/*
- Microsoft.Authorization/policydefinitions/*
- Microsoft.Authorization/policyexemptions/*
- Microsoft.Authorization/policysetdefinitions/*
- Microsoft.PolicyInsights/*
Untuk informasi selengkapnya tentang peran kustom, lihat Peran kustom Azure.
Mengelola Azure Policy untuk autentikasi khusus Azure AD
Kebijakan autentikasi khusus Azure AD dapat dikelola dengan membuka portal Microsoft Azure, dan mencari layanan Kebijakan. Di bawah Definisi, cari autentikasi khusus Azure Active Directory.
Untuk panduan, lihat Menggunakan Azure Policy untuk memberlakukan autentikasi khusus Microsoft Azure AD dengan Azure SQL.
Ada tiga efek untuk kebijakan ini:
- Audit - Pengaturan default, dan hanya akan mengambil laporan audit dalam log aktivitas Azure Policy
- Tolak - Mencegah server logis atau pembuatan instans terkelola tanpa autentikasi khusus Microsoft Entra diaktifkan
- Dinonaktifkan - Akan menonaktifkan kebijakan, dan tidak akan membatasi pengguna untuk membuat server logis atau instans terkelola tanpa autentikasi khusus Microsoft Entra diaktifkan
Jika autentikasi khusus Azure Policy untuk Azure AD diatur ke Tolak, pembuatan server logis atau instans terkelola gagal. Detail kegagalan ini dicatat dalam log Aktivitas grup sumber daya.
Kepatuhan kebijakan
Anda dapat melihat pengaturan Kepatuhan di bawah layanan Kebijakan untuk melihat status kepatuhan. Status Kepatuhan akan memberi tahu Anda apakah server atau instans terkelola saat ini mematuhi autentikasi khusus Microsoft Entra yang diaktifkan.
Azure Policy dapat mencegah server logis baru atau instans terkelola dibuat tanpa mengaktifkan autentikasi khusus Microsoft Entra, tetapi fitur dapat diubah setelah pembuatan server atau instans terkelola. Jika pengguna telah menonaktifkan autentikasi Microsoft Entra-only setelah server atau instans terkelola dibuat, status kepatuhan akan menjadi Non-compliant jika Azure Policy diatur ke Tolak.
Pembatasan
- Azure Policy menerapkan autentikasi khusus Azure AD selama pembuatan server logis atau instans terkelola. Setelah server dibuat, pengguna Microsoft Entra resmi dengan peran khusus (misalnya, SQL Security Manager) dapat menonaktifkan fitur autentikasi khusus Microsoft Azure AD. Azure Policy mengizinkannya, tetapi dalam hal ini, server atau instans terkelola akan tercantum dalam laporan kepatuhan sebagai
Non-compliantdan laporan akan menunjukkan server atau nama instans terkelola. - Untuk keterangan selengkapnya, masalah yang diketahui, dan izin yang diperlukan, lihat Autentikasi khusus Microsoft Entra.
Langkah berikutnya
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk