Ескертпе
Бұл бетке кіру үшін қатынас шегін айқындау қажет. Жүйеге кіруді немесе каталогтарды өзгертуді байқап көруге болады.
Бұл бетке кіру үшін қатынас шегін айқындау қажет. Каталогтарды өзгертуді байқап көруге болады.
Применимо к:
SQL Server 2025 (17.x)
SQL Server 2025 (17.x) включает поддержку управляемого удостоверения для SQL Server в Windows. Используйте управляемое удостоверение для взаимодействия с ресурсами в Azure с помощью проверки подлинности Microsoft Entra.
Обзор
SQL Server 2025 (17.x) предоставляет поддержку управляемых удостоверений Microsoft Entra. Используйте управляемые удостоверения для проверки подлинности в службах Azure без необходимости управлять учетными данными. Управляемые удостоверения автоматически управляются Azure и могут использоваться для проверки подлинности в любой службе, поддерживающей проверку подлинности Microsoft Entra. С помощью SQL Server 2025 (17.x) можно использовать управляемые удостоверения как для проверки подлинности входящих подключений, так и для проверки подлинности исходящих подключений к службам Azure.
При подключении экземпляра SQL Server к Azure Arc управляемое удостоверение, назначаемое системой, автоматически создается для имени узла SQL Server. После создания управляемого удостоверения необходимо связать удостоверение с экземпляром SQL Server и идентификатором клиента Microsoft Entra, обновив реестр.
Пошаговые инструкции по настройке см. в статье Настройка управляемого удостоверения для SQL Server, включенного в Azure Arc.
При использовании управляемого удостоверения с SQL Server, который активирован через Azure Arc, рассмотрите следующее:
- Управляемое удостоверение назначается на уровне сервера Azure Arc.
- Поддерживаются только назначаемые системой управляемые удостоверения.
- SQL Server использует это управляемое удостоверение на уровне сервера Azure Arc в качестве основного управляемого удостоверения.
- SQL Server может использовать это основное управляемое удостоверение в подключениях
inboundи/илиoutbound.-
Inbound connections— это имена входа и пользователи, подключающиеся к SQL Server. Входящие подключения также можно достичь с помощью регистрации приложений, начиная с SQL Server 2022 (16.x). -
Outbound connections— это подключения SQL Server к ресурсам Azure, например резервное копирование по URL-адресу или подключение к Azure Key Vault.
-
- Регистрация приложений не может позволять SQL Server делать исходящие подключения. Для исходящих подключений требуется основное управляемое удостоверение, назначенное SQL Server.
- Для SQL Server 2025 и более поздних версий рекомендуется использовать настройку Microsoft Entra на основе управляемого удостоверения, как описано в этой статье. Кроме того, можно настроить регистрацию приложения для SQL Server 2025.
Предпосылки
Прежде чем использовать управляемое удостоверение с SQL Server с поддержкой Azure Arc, убедитесь, что выполнены следующие предварительные требования:
- Подключите SQL Server к Azure Arc.
- Последняя версия расширения Azure для SQL Server.
Подробные инструкции по настройке см. в статье "Настройка управляемого удостоверения для SQL Server, активированного с помощью Azure Arc".
Ограничения
При использовании управляемого удостоверения с SQL Server 2025 следует учитывать следующие ограничения:
- Настройка управляемого удостоверения для проверки подлинности Microsoft Entra поддерживается только для SQL Server 2025 с поддержкой Azure Arc, работающем на Windows Server.
- SQL Server должен иметь доступ к общедоступному облаку Azure для использования проверки подлинности Microsoft Entra.
- Использование аутентификации Microsoft Entra с экземплярами кластеров отказоустойчивости не поддерживается.
- После того как включена проверка подлинности Microsoft Entra, отключение не рекомендуется. Принудительное отключение проверки подлинности Microsoft Entra путем удаления записей реестра может привести к непредсказуемому поведению с SQL Server 2025.
- Проверка подлинности в SQL Server на компьютерах Arc с помощью проверки подлинности Microsoft Entra с помощью метода FIDO2 в настоящее время не поддерживается.
-
Операции OPENROWSET BULK также могут считывать папку
C:\ProgramData\AzureConnectedMachineAgent\Tokens\токенов. Для параметраBULKтребуются разрешенияADMINISTER BULK OPERATIONSилиADMINISTER DATABASE BULK OPERATIONS. Эти разрешения следует рассматривать как эквивалент sysadmin.