Azure SQL을 통한 Microsoft Entra 전용 인증에 대한 Azure Policy를 참조하세요.

  • 아티클

적용 대상:Azure SQL DatabaseAzure SQL Managed Instance

Azure Policy는 프로비전 중에 Microsoft Entra 전용 인증을 사용하도록 설정된 Azure SQL Database 또는 Azure SQL Managed Instance 만들기를 적용할 수 있습니다. 이 정책을 적용하면 Microsoft Entra 전용 인증을 사용하도록 설정하여 만들지 않은 경우 Azure의 논리 서버 또는 관리되는 인스턴스를 만들기 위한 모든 시도가 실패합니다.

참고 항목

Azure AD(Azure Active Directory)의 이름이 Microsoft Entra ID로 바뀌었지만, 정책 이름에는 현재 기존의 Azure AD 이름이 포함되어 있으므로 Microsoft Entra 전용 및 Azure AD 전용 인증은 이 문서에서 구분되지 않고 사용됩니다.

Azure Policy는 전체 Azure 구독 또는 리소스 그룹 내에서만 적용할 수 있습니다.

Azure Policy에는 다음 두 가지 새로운 기본 제공 정책이 도입되어 있습니다.

  • Azure SQL Database는 Azure Active Directory 전용 인증을 사용하도록 설정해야 함
  • Azure SQL Managed Instance는 Azure Active Directory 전용 인증을 사용하도록 설정해야 함

Azure Policy에 대한 자세한 내용은 Azure Policy란?Azure Policy 정의 구조를 참조하세요.

사용 권한

Azure Policy를 관리하는 데 필요한 사용 권한에 대한 개요는 Azure Policy의 Azure RBAC 권한을 참조하세요.

actions

사용자 지정 역할을 사용하여 Azure Policy를 관리하는 경우 다음 작업이 필요합니다.

  • */read
  • Microsoft.Authorization/policyAssignments/*
  • Microsoft.Authorization/policyDefinitions/*
  • Microsoft.Authorization/policyexemptions/*
  • Microsoft.Authorization/policySetDefinitions/*
  • Microsoft.PolicyInsights/*

사용자 지정 역할에 대한 자세한 내용은 Azure 사용자 지정 역할을 참조하세요.

Azure AD 전용 인증용 Azure Policy 관리

Azure AD 전용 인증 정책은 Azure Portal로 이동한 후 정책 서비스를 검색하여 관리할 수 있습니다. 정의에서 Azure Active Directory 전용 인증을 검색합니다.

Screenshot of Azure Policy for Azure AD-only authentication

안내를 원하시면 Azure Policy를 사용하여 Azure SQL에서 Azure Active Directory 전용 인증 적용을 참조하세요.

이러한 정책에는 세 가지 효과가 있습니다.

  • 감사 - 기본 설정으로 Azure Policy 활동 로그에서 감사 보고서만 캡처합니다.
  • 거부 -Microsoft Entra 전용 인증을 사용하도록 설정하지 않고 논리 서버 또는 관리되는 인스턴스를 만드는 것을 방지합니다.
  • 사용 안 함 - 정책을 사용하지 않도록 설정하고, 사용자가 Microsoft Entra 전용 인증을 사용하도록 설정하지 않고 논리 서버 또는 관리되는 인스턴스를 만드는 것을 제한하지 않습니다.

Azure AD 전용 인증용 Azure 정책이 거부로 설정되어 있는 경우 논리 서버 또는 관리되는 인스턴스 만들기에 실패합니다. 이 오류의 세부 정보는 리소스 그룹의 활동 로그에 기록됩니다.

정책 준수

정책 서비스에서 규정 준수 설정을 보고 규정 준수 상태를 확인할 수 있습니다. 규정 준수 상태를 통해 서버 또는 관리되는 인스턴스가 현재 Microsoft Entra 전용 인증을 사용하도록 설정되어 있는지 여부를 알 수 있습니다.

Azure 정책은 Microsoft Entra 전용 인증을 사용하도록 설정하지 않고 새 논리 서버 또는 관리되는 인스턴스를 만들지 못하도록 방지할 수 있습니다. 하지만 이 기능은 서버 또는 관리되는 인스턴스를 만든 후에는 변경될 수 있습니다. 사용자가 서버 또는 관리되는 인스턴스를 만든 후 Microsoft Entra 전용 인증을 사용하지 않도록 설정하면, Azure 정책이 거부로 설정된 경우 규정 준 상태는 Non-compliant(이)가 됩니다.

Screenshot of Azure Policy Compliance menu for Azure AD-only authentication.

제한 사항

  • Azure Policy는 논리 서버 또는 관리되는 인스턴스를 만드는 동안 Azure AD 전용 인증을 적용합니다. 서버를 만든 후 특수 역할(예: SQL 보안 관리자) 권한이 부여된 Microsoft Entra 사용자는 Azure AD 전용 인증 기능을 사용하지 않도록 설정할 수 있습니다. Azure Policy에서 허용하지만 이 경우 서버 또는 관리되는 인스턴스가 규정 준수 보고서에 Non-compliant로 나열되고, 보고서에는 서버 또는 관리되는 인스턴스 이름이 표시됩니다.
  • 필요한 설명, 알려진 문제 및 사용 권한은 Microsoft Entra 전용 인증을 참조하세요.

다음 단계

Azure 정책을 사용하여 Azure SQL에서 Azure AD 전용 인증 적용하는 방법