다음을 통해 공유


자습서: 자동화를 사용하여 SQL Server에서 Microsoft Entra 관리자 설정

적용 대상: SQL Server 2022(16.x)

참고 항목

이 기능은 SQL Server 2022(16.x) 이상 버전에서 사용할 수 있으며, 온프레미스, Windows 및 Linux 호스트용 SQL Server 및 Windows Azure VM의 SQL Server 2022에 대해서만 지원됩니다.

이 문서에서는 Azure Portal 및 다음과 같은 API를 사용하여 SQL Server에 대한 Microsoft Entra ID(이전의 Azure Active Directory)로 인증을 허용하도록 Microsoft Entra 관리자를 설정하는 방법을 설명합니다.

  • PowerShell
  • Azure CLI
  • ARM 템플릿

또한 Azure Portal에서 자동화된 인증서 만들기 및 애플리케이션 등록을 허용하는 SQL Server용 Microsoft Entra 관리자를 설정하기 위해 업데이트된 기능을 살펴보겠습니다. 이전에는 SQL Server에 대한 Microsoft Entra 인증을 설정하려면 Azure 인증서 및 애플리케이션 등록을 사용하여 Microsoft Entra 관리자를 수동으로 설정해야 했습니다.

참고 항목

Microsoft Entra ID는 Azure AD(Azure Active Directory)의 새 이름이지만, 기존 환경의 중단을 방지하기 위해 UI 필드, 연결 공급자, 오류 코드 및 cmdlet과 같은 일부 하드 코딩된 요소에는 여전히 Azure AD가 남아 있습니다. 이 문서에서는 두 이름을 혼용할 수 있습니다.

필수 조건

  • SQL Server 2022(16.x) 이상이 설치되어 있습니다.
  • SQL Server가 Azure 클라우드에 연결되어 있습니다. 자세한 내용은 Azure Arc에 SQL Server 연결을 참조하세요.
  • Microsoft Entra ID는 Azure Arc 인스턴스와 동일한 테넌트에서 인증하도록 구성됩니다.
  • Azure 키 보관소가 필요합니다.

Microsoft Entra 관리자를 설정하기 전에 준비

SQL Server – Azure ArcKey Vault 리소스에서 Microsoft Entra 관리자를 설정하려면 다음 권한이 필요합니다.

Azure Arc에 대한 권한 구성

가이드를 따라 SQL Server가 Azure Arc에 연결되어 있는지 확인하세요. SQL Server - Azure Arc 리소스에 대한 Microsoft Entra 관리자를 설정하는 사용자는 서버에 대한 기여자 역할이 있어야 합니다.

  1. Azure Portal로 이동
  2. SQL Server – Azure Arc를 선택하고 SQL Server 호스트의 인스턴스를 선택합니다.
  3. 액세스 제어(IAM) 를 선택합니다.
  4. Microsoft Entra 관리자를 설정하는 사용자에게 기여자 역할을 추가하려면 추가 > 역할 할당 추가를 선택하세요.

Azure Key Vault에 대한 권한 구성

아직 Azure Key Vault 계정이 없는 경우 새로 하나 만듭니다. Microsoft Entra 관리자를 설정하는 사용자에게는 Azure Key Vault에 대한 기여자 역할이 있어야 합니다. Azure Key Vault에서 사용자에게 역할을 추가하려면 다음을 수행합니다.

  1. Azure Portal로 이동
  2. Key Vault 리소스로 이동합니다.
  3. 액세스 제어(IAM)을 선택합니다.
  4. Microsoft Entra 관리자를 설정하는 사용자에게 기여자 역할을 추가하려면 추가 > 역할 할당 추가를 선택하세요.

SQL Server 호스트에 대한 액세스 정책 설정

  1. Azure portal에서 Azure Key Vault 인스턴스로 이동하고 액세스 정책을 선택합니다.

  2. 액세스 정책 추가 선택.

  3. 키 권한의 경우 Sign을 사용합니다.

  4. 비밀 권한에서 가져오기나열하기을 선택합니다.

  5. 인증서 권한의 경우 가져오기나열하기을 선택합니다.

  6. 다음을 선택합니다.

  7. Principal 페이지에서 머신의 이름(SQL Server 호스트의 호스트 이름인 Azure Arc 인스턴스)을 검색합니다.

    포털의 Azure Arc 서버 리소스 스크린샷.

  8. 다음을 두 번 선택하거나 검토 + 만들기를 선택하여 애플리케이션(선택 사항) 페이지를 건너뜁니다.

    액세스 정책을 검토하고 만드는 Azure Portal의 스크린샷.

    Principal의 "객체 ID"가 인스턴스에 할당된 관리 ID의 Principal ID와 일치하는지 확인하십시오.

    머신 정의의 JSON 보기의 포털 제어 스크린샷입니다.

    확인하려면 리소스 페이지로 이동하여 개요 페이지의 Essentials 상자 오른쪽 위에 있는 JSON 뷰를 선택합니다. ID 아래에서 principalId를 찾습니다.

  9. 만들기를 실행합니다.

권한이 적용되도록 하려면 만들기를 선택해야 합니다. 권한이 저장되었는지 확인하려면 브라우저 창을 새로 고치고 Azure Arc 인스턴스의 행이 여전히 있는지 확인합니다.

Microsoft Entra 사용자에 대한 액세스 정책 설정

  1. Azure portal에서 Azure Key Vault 인스턴스로 이동하고 액세스 정책을 선택합니다.
  2. 액세스 정책 추가 선택.
  3. 키 권한의 경우 가져오기, 나열하기, 만들기를 선택합니다.
  4. 비밀 권한의 경우 가져오기, 나열, 설정하기를 선택합니다.
  5. 인증서 권한의 경우 가져오기, 나열하기, 만들기를 선택합니다.
  6. 주체 선택에서 SQL Server에 연결하는 데 사용할 Microsoft Entra 사용자를 추가합니다.
  7. 추가를 선택한 다음 저장을 선택합니다.

SQL Server에서 Microsoft Entra 관리자 설정

새 API 및 포털 기능을 사용하면 사용자가 Azure 인증서 및 Microsoft Entra 애플리케이션을 별도로 만들지 않고도 SQL Server용 Microsoft Entra 관리자를 설정할 수 있습니다. 탭을 선택하여 자동 인증서 및 애플리케이션 생성을 사용하여 Azure Arc에 연결된 SQL Server에 대한 Microsoft Entra 관리자를 설정하는 방법을 알아봅니다.

참고 항목

ARM 템플릿을 사용하려면 Microsoft Entra 관리자를 설정하기 전에 Azure Key Vault 인증서 및 Microsoft Entra 애플리케이션을 생성해야 합니다. 이 프로세스에 대한 자세한 내용은 자습서: SQL Server에 대한 Microsoft Entra 인증 설정을 참조하세요.

Azure Portal을 사용하여 Microsoft Entra 관리자를 설정하고, 동일한 프로세스에서 Azure Key Vault 인증서 및 Microsoft Entra 애플리케이션을 만듭니다. SQL Server에서 Microsoft Entra 인증을 사용하는 데 필요합니다.

참고 항목

이전에는 Microsoft Entra 관리자를 설정하기 전에 Azure Key Vault 인증서 및 Microsoft Entra 애플리케이션 등록이 필요했습니다. 더 이상 필요하지 않지만 사용자는 Microsoft Entra 관리자를 설정하기 위해 자체 인증서 및 애플리케이션을 제공하도록 선택할 수 있습니다.

Azure Portal을 사용하여 Microsoft Entra 관리자 설정

  1. Azure Portal로 이동하여 SQL Server – Azure Arc를 선택하고 SQL Server 호스트의 인스턴스를 선택합니다.

  2. SQL Server - Azure Arc 리소스의 상태를 확인하고, 속성 메뉴로 이동하여 연결되어 있는지 확인합니다. 자세한 내용은 Arc 지원 SQL Server 리소스 유효성 검사를 참조하세요.

  3. 리소스 메뉴의 설정에서 Microsoft Entra ID 및 권한 보기를 선택합니다.

  4. 관리자 설정을 선택하여 Microsoft Entra ID 창을 열고 SQL Server에 관리자 로그인으로 추가할 계정을 선택합니다.

  5. 서비스 관리형 인증서 선택

  6. 키 자격 증명 모음 변경을 선택한 다음,기존 Azure Key Vault 리소스를 선택합니다.

  7. 서비스 관리형 앱 등록을 선택합니다.

  8. 저장을 선택합니다. 그러면 Arc 서버 에이전트에 요청이 전송되고, 이 에이전트는 해당 SQL Server 인스턴스에 대한 Microsoft Entra 인증을 구성합니다. 작업을 완료하는 데 몇 분 정도 걸릴 수 있습니다. Microsoft Entra 로그인을 시도하기 전에 저장 프로세스가 Saved successfully를 확인될 때까지 기다립니다.

    서비스 관리 앱 등록은 다음을 수행합니다.

    • 키 자격 증명 모음에 <hostname>-<instanceName><uniqueNumber>의 형식으로 이름이 지정된 인증서를 생성합니다.
    • 이름이 <hostname>-<instanceName><uniqueNumber>와 같은 Microsoft Entra 애플리케이션을 만들고 해당 애플리케이션에 필요한 권한을 할당합니다. 자세한 내용은 애플리케이션에 권한 부여를 참조하세요.
    • Azure Key Vault의 새 인증서를 애플리케이션에 할당합니다.
    • 이러한 설정을 Azure Arc에 저장합니다.

    Azure Portal에서 자동 인증서 및 애플리케이션 생성을 사용하여 Microsoft Entra 인증을 설정하는 스크린샷입니다.

참고 항목

Microsoft Entra용으로 만든 인증서는 자동으로 갱신되지 않습니다. 고객은 Microsoft Entra 관리자 설정에 대한 자체 인증서 및 애플리케이션을 제공하도록 선택할 수 있습니다. 자세한 내용은 자습서: SQL Server에 Microsoft Entra 인증 설정하기를 참조하세요.

Microsoft Entra 관리자가 설정되면 Microsoft Entra 관리자 자격 증명을 사용하여 SQL Server에 연결할 수 있습니다. 그러나 새 Microsoft Entra 로그인 및 사용자 만들기와 관련된 추가 데이터베이스 활동은 관리자 동의가 Microsoft Entra 애플리케이션에 부여될 때까지 실패합니다.

참고 항목

애플리케이션에 대한 관리자 동의를 부여하려면 동의를 부여하는 계정에 Microsoft Entra ID 전역 관리자 또는 권한 있는 역할 관리자 역할이 필요합니다. 이러한 역할은 애플리케이션에 대한 관리자 동의를 부여하는 데 필요하지만 Microsoft Entra 관리자를 설정할 필요는 없습니다.

  1. Azure Portal에서 Microsoft Entra ID>앱 등록를 선택하고 새로 만든 애플리케이션을 선택합니다. 애플리케이션의 이름은 <hostname>-<instanceName><uniqueNumber>과 같아야 합니다.

  2. API 권한 메뉴를 선택합니다.

  3. 관리자 동의 권한 부여 선택.

    Azure portal의 애플리케이션 사용 권한 스크린샷.

애플리케이션에 관리자 동의를 부여하지 않으면 SQL Server에서 Microsoft Entra 로그인 또는 사용자를 만들면 다음 오류가 발생합니다.

Msg 37455, Level 16, State 1, Line 2
Server identity does not have permissions to access MS Graph.

Microsoft Entra 인증을 사용하여 SQL Server에 연결하기

Microsoft Entra 인증이 이제 Azure Arc에 연결된 SQL Server에 설정되었습니다. Microsoft Entra 인증을 사용하여 SQL Server에 연결하려면, 문서 자습서: Microsoft Entra 인증 설정의 Microsoft Entra 관리자 설정 후 섹션을 따르세요.

참고 항목