Menyiapkan identitas terkelola dan autentikasi Microsoft Entra untuk SQL Server yang diaktifkan oleh Azure Arc

Berlaku untuk: SQL Server 2025 (17.x)

• SQL Server 2022
• SQL Server 2025
• Azure SQL Database & Azure SQL Managed Instance
• SQL Server di Mesin Virtual Azure

Artikel ini menyediakan instruksi langkah demi langkah untuk menyiapkan dan mengonfigurasi identitas terkelola ID Microsoft Entra untuk SQL Server yang diaktifkan oleh Azure Arc.

Untuk gambaran umum identitas terkelola dengan SQL Server, lihat Identitas terkelola untuk SQL Server yang diaktifkan oleh Azure Arc.

Prasyarat

Sebelum Anda dapat menggunakan identitas terkelola dengan SQL Server yang diaktifkan oleh Azure Arc, pastikan Anda memenuhi prasyarat berikut:

• Didukung untuk SQL Server 2025 dan yang lebih baru, berjalan di Windows.
• Sambungkan SQL Server Anda ke Azure Arc.
• Versi terbaru Ekstensi Azure untuk SQL Server.

Mengaktifkan identitas terkelola utama

Jika Anda telah menginstal Ekstensi Azure untuk SQL Server ke server, Anda dapat mengaktifkan identitas terkelola utama untuk instans SQL Server Anda langsung dari portal Microsoft Azure. Dimungkinkan juga untuk mengaktifkan identitas terkelola utama secara manual dengan memperbarui registri, tetapi harus dilakukan dengan sangat hati-hati.

Portal Azure

Untuk mengaktifkan identitas terkelola utama di portal Microsoft Azure, ikuti langkah-langkah berikut:

1. Buka SQL Server Anda yang diaktifkan oleh sumber daya Azure Arc di portal Microsoft Azure.

2. Di bawah Pengaturan, pilih MICROSOFT Entra ID dan Purview untuk membuka halaman ID Microsoft Entra dan Purview .

   Nota

   Jika Anda tidak melihat opsi Aktifkan autentikasi ID Microsoft Entra , pastikan instans SQL Server Anda tersambung ke Azure Arc dan ekstensi SQL terbaru telah terinstal.

3. Pada halaman ID Microsoft Entra dan Purview , centang kotak di samping Gunakan identitas terkelola utama lalu gunakan Simpan untuk menerapkan konfigurasi Anda:

   

Secara manual

Dimungkinkan untuk mengaktifkan identitas terkelola utama secara manual untuk instans SQL Server Anda dengan memperbarui registri, tetapi harus dilakukan dengan sangat hati-hati.

Memberikan izin ke folder Token

Berikan izin Baca & jalankan sistem operasi pada folder C:\ProgramData\AzureConnectedMachineAgent\Tokens\ ke akun layanan instans SQL Server 2025. Secara default, akun layanan adalah NT Service\MSSQLSERVER, atau untuk instans bernama, NT Service\MSSQL$<instancename>.

Anda mungkin perlu memberikan izin admin untuk akun layanan SQL Server pada AzureConnectedMachineAgent folder sebelum Tokens folder:

Menambahkan akun layanan SQL Server ke grup aplikasi ekstensi agen hibrid

Tambahkan akun layanan SQL Server (default: NT Service\MSSQLSERVER atau untuk instans bernama, NT Service\MSSQL$instancename) ke grup aplikasi ekstensi agen Hibrid .

• Buka Manajemen Komputer Windows.
• Buka Pengguna dan Grup Lokal dan pilih Grup.
• Tambahkan akun layanan SQL Server ke grup aplikasi ekstensi agen Hibrid .

Memperbarui registri

Peringatan

Salah mengedit registri dapat sangat merusak sistem Anda. Sebelum membuat perubahan pada registri, kami sarankan Anda mencadangkan data bernilai apa pun di komputer.

Di registri, perbarui subkuntang \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17.MSSQLSERVER\MSSQLServer\FederatedAuthentication .

Buat entri berikut:

Entry	Nilai
ArcServerManagedIdentityClientId	Kosong (tidak ada nilai)
HIMDSApiVersion	2020-06-01
HIMDSEndpoint	http://localhost:40342/metadata/identity/oauth2/token
ArcServerSystemAssignedManagedIdentityTenantId	Arc-AAD-Tenant-ID
ArcServerSystemAssignedManagedIdentityClientId	Arc-Machine-Client-Id
PrimaryAADTenant	Arc-AAD-Tenant-ID
AADChannelMaxBufferedMessageSize	200000
AADGraphEndPoint	graph.windows.net
AADGroupLookupMaxRetryAttempts	10
AADGroupLookupMaxRetryDuration	30000
AADGroupLookupRetryInitialBackoff	100
AADServerAdminSid	00000000-0000-0000-0000-000000000000
AuthenticationEndpoint	login.microsoftonline.com
CacheMaxSize	300
ClientCertBlackList	Kosong (tidak ada nilai)
FederationMetadataEndpoint	login.windows.net
GraphAPIEndpoint	graph.windows.net
IssuerURL	https://sts.windows.net/
OnBehalfOfAuthority	https://login.windows.net/
STSURL	https://login.windows.net/
MsGraphEndPoint	graph.microsoft.com
SendX5c	false
ServicePrincipalName	https://database.windows.net/
ServicePrincipalNameForArcadia	https://sql.azuresynapse.net
ServicePrincipalNameForArcadiaDogfood	https://sql.azuresynapse-dogfood.net
ServicePrincipalNameNoSlash	https://database.windows.net
AADBecWSConnectionPoolMaxSize	500

Cadangkan dan edit pangkalan data registri

Bagian berikut menjelaskan cara mencadangkan dan mengedit registri dengan Editor Registri.

Buka Editor Registri

1. Tekan tombol Windows + R untuk membuka kotak dialog Jalankan.
2. Ketik regedit dan tekan Enter.
3. Jika diminta oleh Kontrol Akun Pengguna, pilih Ya.

Mencadangkan kunci registri

Langkah ini mencadangkan registri sebelum Anda membuat perubahan apa pun. Anda dapat mengimpor file ini kembali ke registri nanti jika perubahan Anda menyebabkan masalah.

1. Pilih File dari menu.
2. Pilih Ekspor.
3. Dalam kotak dialog Ekspor File Registri, pilih lokasi untuk menyimpan cadangan.
4. Masukkan nama untuk file cadangan di bidang Nama file .
5. Pastikan Semua dipilih dalam rentang Ekspor.
6. Pilih Simpan.

Tambahkan entri

Dalam langkah ini, Anda menambahkan entri ke registri dengan Editor Registri.

1. Navigasikan subkunci ini: \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17.MSSQLSERVER\MSSQLServer\FederatedAuthentication.

2. Klik kanan pada FederatedAuthentication dan pilih Nilai String.

   

3. Ulangi untuk setiap entri yang tercantum di Memperbarui registri

   Gambar ini menunjukkan registri yang dikonfigurasi dengan benar:

   

Memulihkan kunci registri (jika diperlukan)

Jika Anda perlu memulihkan ke pengaturan registri sebelumnya, ikuti langkah-langkah ini.

1. Buka Editor Registri seperti yang dijelaskan sebelumnya.
2. Pilih File dari menu.
3. Pilih Import.
4. Navigasikan ke lokasi file cadangan tersimpan Anda.
5. Pilih file cadangan dan pilih Buka.

Untuk detailnya, tinjau Cara menambahkan, memodifikasi, atau menghapus subkunci dan nilai registri dengan menggunakan file .reg.

Memberikan izin aplikasi pada identitas.

Penting

Hanya Administrator Peran Istimewa atau peran yang lebih tinggi yang dapat memberikan izin ini.

Identitas terkelola yang ditetapkan sistem, yang menggunakan nama komputer berkemampuan Arc, harus memiliki izin aplikasi Microsoft Graph berikut (peran aplikasi):

• User.Read.All: Memungkinkan akses ke informasi pengguna Microsoft Entra.

• GroupMember.Read.All: Memungkinkan akses ke informasi grup Microsoft Entra.

• Application.Read.ALL: Memungkinkan akses ke informasi perwakilan layanan (aplikasi) Microsoft Entra.

Anda dapat menggunakan PowerShell untuk memberikan izin yang diperlukan ke identitas terkelola. Atau, Anda dapat membuat grup yang dapat ditetapkan peran. Setelah grup dibuat, tetapkan peran Pembaca Direktori atau User.Read.Allizin , , GroupMember.Read.Alldan Application.Read.All ke grup, dan tambahkan semua identitas terkelola yang ditetapkan sistem untuk komputer berkemampuan Azure Arc Anda ke grup. Kami tidak merekomendasikan penggunaan peran Pembaca Direktori di lingkungan produksi Anda.

Skrip PowerShell berikut memberikan izin yang diperlukan ke identitas terkelola. Pastikan skrip ini dijalankan pada PowerShell 7.5 atau versi yang lebih baru, dan memiliki Microsoft.Graph modul 2.28 atau yang lebih baru yang terinstal.

# Set your Azure tenant and managed identity name
$tenantID = '<Enter-Your-Azure-Tenant-Id>'
$managedIdentityName = '<Enter-Your-Arc-HostMachine-Name>'

# Connect to Microsoft Graph
try {
    Connect-MgGraph -TenantId $tenantID -ErrorAction Stop
    Write-Output "Connected to Microsoft Graph successfully."
}
catch {
    Write-Error "Failed to connect to Microsoft Graph: $_"
    return
}

# Get Microsoft Graph service principal
$graphAppId = '00000003-0000-0000-c000-000000000000'
$graphSP = Get-MgServicePrincipal -Filter "appId eq '$graphAppId'"
if (-not $graphSP) {
    Write-Error "Microsoft Graph service principal not found."
    return
}

# Get the managed identity service principal
$managedIdentity = Get-MgServicePrincipal -Filter "displayName eq '$managedIdentityName'"
if (-not $managedIdentity) {
    Write-Error "Managed identity '$managedIdentityName' not found."
    return
}

# Define roles to assign
$requiredRoles = @(
    "User.Read.All",
    "GroupMember.Read.All",
    "Application.Read.All"
)

# Assign roles using scoped syntax
foreach ($roleValue in $requiredRoles) {
    $appRole = $graphSP.AppRoles | Where-Object {
        $_.Value -eq $roleValue -and $_.AllowedMemberTypes -contains "Application"
    }

    if ($appRole) {
        try {
            New-MgServicePrincipalAppRoleAssignment   -ServicePrincipalId $managedIdentity.Id `
                -PrincipalId $managedIdentity.Id `
                -ResourceId $graphSP.Id `
                -AppRoleId $appRole.Id `
                -ErrorAction Stop

            Write-Output "Successfully assigned role '$roleValue' to '$managedIdentityName'."
        }
        catch {
            Write-Warning "Failed to assign role '$roleValue': $_"
        }
    }
    else {
        Write-Warning "Role '$roleValue' not found in Microsoft Graph AppRoles."
    }
}

Membuat login dan pengguna

Ikuti langkah-langkah dalam tutorial Microsoft Entra untuk membuat login dan pengguna untuk identitas terkelola.

Konten terkait

• Identitas terkelola untuk SQL Server yang diaktifkan oleh Azure Arc
• Autentikasi Microsoft Entra untuk SQL Server
• Apa itu identitas terkelola untuk sumber daya Azure?