Azure Arc에서 사용하도록 설정된 SQL Server에 대한 관리 ID 및 Microsoft Entra 인증 설정

적용 대상: SQL Server 2025(17.x)

• SQL Server 2022
• SQL Server 2025
• Azure SQL Database 및 Azure SQL Managed Instance
• Azure VM의 SQL Server

이 문서에서는 Azure Arc에서 사용하도록 설정된 SQL Server에 대한 Microsoft Entra ID 관리 ID를 설정하고 구성하기 위한 단계별 지침을 제공합니다.

SQL Server의 관리 ID에 대한 개요는 Azure Arc에서 사용하도록 설정된 SQL Server에 대한 관리 ID를 참조하세요.

필수 조건

Azure Arc에서 사용하도록 설정된 SQL Server에서 관리 ID를 사용하려면 다음 필수 구성 요소를 충족하는지 확인합니다.

• Windows에서 실행되는 SQL Server 2025 이상에서 지원됩니다.
• SQL Server를 Azure Arc에 연결합니다.
• SQL Server용 Azure 확장의 최신 버전입니다.

기본 관리 ID 사용

서버에 SQL Server용 Azure 확장을 설치한 경우 Azure Portal에서 직접 SQL Server 인스턴스에 대한 기본 관리 ID를 사용하도록 설정할 수 있습니다. 레지스트리를 업데이트하여 기본 관리 ID를 수동으로 사용하도록 설정할 수도 있지만 주의해야 합니다.

Azure Portal

Azure Portal에서 기본 관리 ID를 사용하도록 설정하려면 다음 단계를 수행합니다.

1. Azure Portal에서 Azure Arc 리소스에서 사용하도록 설정된 SQL Server 로 이동합니다.

2. 설정에서 Microsoft Entra ID 및 Purview를 선택하여 Microsoft Entra ID 및 Purview 페이지를 엽니다.

   비고

   Microsoft Entra ID 인증 사용 옵션이 표시되지 않으면 SQL Server 인스턴스가 Azure Arc에 연결되어 있고 최신 SQL 확장이 설치되어 있는지 확인합니다.

3. Microsoft Entra ID 및 Purview 페이지에서 기본 관리 ID 사용 옆의 확인란을 선택한 다음 저장을 사용하여 구성을 적용합니다.

   

수동…

레지스트리를 업데이트하여 SQL Server 인스턴스에 대한 기본 관리 ID를 수동으로 사용하도록 설정할 수 있지만 주의해야 합니다.

토큰 폴더에 대한 권한 부여

폴더 에 대한 C:\ProgramData\AzureConnectedMachineAgent\Tokens\ 운영 체제 권한을 SQL Server 2025 인스턴스 서비스 계정에 부여합니다. 기본적으로 서비스 계정은 NT Service\MSSQLSERVER이고, 명명된 인스턴스의 경우에는 NT Service\MSSQL$<instancename>입니다.

SQL Server 서비스 계정에 대한 관리자 권한을 AzureConnectedMachineAgent 폴더에 먼저 부여한 다음 Tokens 폴더에 부여해야 할 수 있습니다.

하이브리드 에이전트 확장 애플리케이션 그룹에 SQL Server 서비스 계정 추가

SQL Server 서비스 계정(기본값: NT Service\MSSQLSERVER 또는 명명된 인스턴스의 NT Service\MSSQL$instancename경우)을 하이브리드 에이전트 확장 애플리케이션 그룹에 추가합니다.

• Windows 컴퓨터 관리를 엽니다.
• 로컬 사용자 및 그룹으로 이동하여 그룹을 선택합니다.
• 하이브리드 에이전트 확장 애플리케이션 그룹에 SQL Server 서비스 계정을 추가합니다.

레지스트리 업데이트

경고

레지스트리를 올바르게 편집하지 않으면 시스템을 심각하게 손상시킬 수 있습니다. 따라서 레지스트리를 변경하기 전에 컴퓨터의 중요한 데이터는 백업해 두는 것이 좋습니다.

레지스트리에서 \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17.MSSQLSERVER\MSSQLServer\FederatedAuthentication 하위 키를 업데이트합니다.

다음 항목을 만듭니다.

입력	가치
ArcServerManagedIdentityClientId	비어 있음(값 없음)
HIMDSApiVersion	2020-06-01
HIMDSEndpoint	http://localhost:40342/metadata/identity/oauth2/token
ArcServerSystemAssignedManagedIdentityTenantId	Arc-AAD-Tenant-ID
ArcServerSystemAssignedManagedIdentityClientId	Arc-Machine-Client-Id
PrimaryAADTenant	Arc-AAD-Tenant-ID
AADChannelMaxBufferedMessageSize	200000
AADGraphEndPoint	graph.windows.net
AADGroupLookupMaxRetryAttempts	10
AADGroupLookupMaxRetryDuration	30000
AADGroupLookupRetryInitialBackoff	100
AADServerAdminSid	00000000-0000-0000-0000-000000000000
AuthenticationEndpoint	login.microsoftonline.com
CacheMaxSize	300
ClientCertBlackList	비어 있음(값 없음)
FederationMetadataEndpoint	login.windows.net
GraphAPIEndpoint	graph.windows.net
IssuerURL	https://sts.windows.net/
OnBehalfOfAuthority	https://login.windows.net/
STSURL	https://login.windows.net/
MsGraphEndPoint	graph.microsoft.com
SendX5c	false
ServicePrincipalName	https://database.windows.net/
ServicePrincipalNameForArcadia	https://sql.azuresynapse.net
ServicePrincipalNameForArcadiaDogfood	https://sql.azuresynapse-dogfood.net
ServicePrincipalNameNoSlash	https://database.windows.net
AADBecWSConnectionPoolMaxSize	500

레지스트리 백업 및 편집

다음 섹션에서는 레지스트리 편집기를 사용하여 레지스트리를 백업하고 편집하는 방법을 설명합니다.

레지스트리 편집기를 엽니다

1. Windows 키 + R을 눌러 실행 대화 상자를 엽니다.
2. regedit을 입력하고 Enter 키를 누릅니다.
3. 사용자 계정 컨트롤에서 메시지가 표시되면 예를 선택합니다.

레지스트리 키 백업

이 단계는 변경하기 전에 레지스트리를 백업합니다. 변경으로 인해 문제가 발생하는 경우 나중에 이 파일을 레지스트리로 다시 가져올 수 있습니다.

1. 메뉴에서 파일을 선택합니다.
2. 내보내기를 선택합니다.
3. 레지스트리 파일 내보내기 대화 상자에서 백업을 저장할 위치를 선택합니다.
4. 파일 이름 필드에 백업 파일의 이름을 입력합니다.
5. 내보내기 범위에서 모두 선택되어 있는지 확인합니다.
6. 저장을 선택합니다.

항목 추가

이 단계에서는 레지스트리 편집기를 사용하여 레지스트리에 항목을 추가합니다.

1. 다음 하위 키를 탐색합니다: \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17.MSSQLSERVER\MSSQLServer\FederatedAuthentication.

2. FederatedAuthentication을 마우스 오른쪽 단추로 클릭하고 문자열 값을 선택합니다.

   

3. 레지스트리 업데이트에 나열된 각 항목에 대해 반복

   이 이미지는 올바르게 구성된 레지스트리를 보여 줍니다.

   

레지스트리 키 복원(필요한 경우)

이전 레지스트리 설정으로 복원해야 하는 경우 다음 단계를 수행합니다.

1. 앞에서 설명한 대로 레지스트리 편집기를 엽니다.
2. 메뉴에서 파일을 선택합니다.
3. 가져오기를 선택합니다.
4. 저장된 백업 파일의 위치로 이동합니다.
5. 백업 파일을 선택하고 열기를 선택합니다.

자세한 내용은 .reg 파일을 사용하여 레지스트리 하위 키 및 값을 추가, 수정 또는 삭제하는 방법을 검토합니다.

ID에 애플리케이션 사용 권한 부여

중요합니다

권한 있는 역할 관리자 이상의 역할만 이러한 권한을 부여할 수 있습니다.

Arc 지원 컴퓨터 이름을 사용하는 시스템 할당 관리 ID에는 다음과 같은 Microsoft Graph 애플리케이션 권한(앱 역할)이 있어야 합니다.

• User.Read.All: Microsoft Entra 사용자 정보에 대한 액세스를 허용합니다.

• User.Read.All: Microsoft Entra 그룹 정보에 대한 액세스를 허용합니다.

• Application.Read.ALL: Microsoft Entra 서비스 주체(애플리케이션) 정보에 대한 액세스를 허용합니다.

PowerShell을 사용하여 관리 ID에 필요한 권한을 부여할 수 있습니다. 또는 역할 할당 가능 그룹을 만들 수 있습니다. 그룹을 만든 후 디렉터리 읽기 권한자 역할 또는 User.Read.All, GroupMember.Read.All, Application.Read.All 권한을 그룹에 할당하고, Azure Arc 지원 머신에 대한 모든 시스템 할당 관리 ID를 그룹에 추가합니다. 프로덕션 환경에서 디렉터리 읽기 권한자 역할을 사용하지 않는 것이 좋습니다.

다음 PowerShell 스크립트는 관리 ID에 필요한 권한을 부여합니다. 이 스크립트가 PowerShell 7.5 이상 버전에서 실행되고 Microsoft.Graph 모듈 2.28 이상이 설치되어 있는지 확인합니다.

# Set your Azure tenant and managed identity name
$tenantID = '<Enter-Your-Azure-Tenant-Id>'
$managedIdentityName = '<Enter-Your-Arc-HostMachine-Name>'

# Connect to Microsoft Graph
try {
    Connect-MgGraph -TenantId $tenantID -ErrorAction Stop
    Write-Output "Connected to Microsoft Graph successfully."
}
catch {
    Write-Error "Failed to connect to Microsoft Graph: $_"
    return
}

# Get Microsoft Graph service principal
$graphAppId = '00000003-0000-0000-c000-000000000000'
$graphSP = Get-MgServicePrincipal -Filter "appId eq '$graphAppId'"
if (-not $graphSP) {
    Write-Error "Microsoft Graph service principal not found."
    return
}

# Get the managed identity service principal
$managedIdentity = Get-MgServicePrincipal -Filter "displayName eq '$managedIdentityName'"
if (-not $managedIdentity) {
    Write-Error "Managed identity '$managedIdentityName' not found."
    return
}

# Define roles to assign
$requiredRoles = @(
    "User.Read.All",
    "GroupMember.Read.All",
    "Application.Read.All"
)

# Assign roles using scoped syntax
foreach ($roleValue in $requiredRoles) {
    $appRole = $graphSP.AppRoles | Where-Object {
        $_.Value -eq $roleValue -and $_.AllowedMemberTypes -contains "Application"
    }

    if ($appRole) {
        try {
            New-MgServicePrincipalAppRoleAssignment   -ServicePrincipalId $managedIdentity.Id `
                -PrincipalId $managedIdentity.Id `
                -ResourceId $graphSP.Id `
                -AppRoleId $appRole.Id `
                -ErrorAction Stop

            Write-Output "Successfully assigned role '$roleValue' to '$managedIdentityName'."
        }
        catch {
            Write-Warning "Failed to assign role '$roleValue': $_"
        }
    }
    else {
        Write-Warning "Role '$roleValue' not found in Microsoft Graph AppRoles."
    }
}

로그인 및 사용자 만들기

Microsoft Entra 자습서의 단계에 따라 관리 ID에 대한 로그인 및 사용자를 만듭니다.

관련 콘텐츠

• Azure Arc에서 사용하도록 설정된 SQL Server에 대한 관리 ID
• Microsoft Entra SQL Server 인증
• Azure 리소스에 대한 관리 ID란?