Rol Adreslijstlezers in Microsoft Entra-id voor Azure SQL
Van toepassing op:
Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics
Microsoft Entra ID (voorheen Azure Active Directory) heeft geïntroduceerd met behulp van groepen voor het beheren van roltoewijzingen. Hierdoor kunnen Microsoft Entra-rollen worden toegewezen aan groepen.
Notitie
Met Microsoft Graph-ondersteuning voor Azure SQL kan de rol Directory Readers worden vervangen door het gebruik van machtigingen op lager niveau. Zie Door de gebruiker toegewezen beheerde identiteit in Microsoft Entra voor Azure SQL voor meer informatie.
Wanneer u een beheerde identiteit inschakelt voor Azure SQL Database, Azure SQL Managed Instance of Azure Synapse Analytics, kan de rol Microsoft Entra ID-adreslijstlezersworden toegewezen aan de identiteit om leestoegang tot de Microsoft Graph API toe te staan. De beheerde identiteit van SQL Database en Azure Synapse wordt de serveridentiteit genoemd. De beheerde identiteit van SQL Managed Instance wordt de identiteit van het beheerde exemplaar genoemd en wordt automatisch toegewezen wanneer het exemplaar wordt gemaakt. Zie Service-principals inschakelen om Microsoft Entra-gebruikers te maken voor meer informatie over het toewijzen van een serveridentiteit aan SQL Database of Azure Synapse.
De rol Adreslijstlezers kan worden gebruikt als de server- of exemplaaridentiteit om het volgende te helpen:
- Microsoft Entra-aanmeldingen maken voor SQL Managed Instance
- Microsoft Entra-gebruikers imiteren in Azure SQL
- SQL Server-gebruikers migreren die Gebruikmaken van Windows-verificatie naar SQL Managed Instance met Microsoft Entra-verificatie (met behulp van de opdracht ALTER USER (Transact-SQL)
- De Microsoft Entra-beheerder voor SQL Managed Instance wijzigen
- Service-principals (toepassingen) toestaan om Microsoft Entra-gebruikers te maken in Azure SQL
Notitie
Microsoft Entra-id is de nieuwe naam voor Azure Active Directory (Azure AD). Op dit moment wordt de documentatie bijgewerkt.
De rol Adreslijstlezers toewijzen
Als u de rol Adreslijstlezers wilt toewijzen aan een identiteit, is een gebruiker met globale Beheer istrator- of bevoorrechte rolmachtigingen nodig Beheer istratormachtigingen. Gebruikers die vaak SQL Database, SQL Managed Instance of Azure Synapse beheren of implementeren, hebben mogelijk geen toegang tot deze rollen met hoge bevoegdheden. Dit kan vaak complicaties veroorzaken voor gebruikers die niet-geplande Azure SQL-resources maken of hulp nodig hebben van leden met hoge bevoegdheden die vaak niet toegankelijk zijn in grote organisaties.
Voor SQL Managed Instance moet de rol Directory Readers worden toegewezen aan de identiteit van het beheerde exemplaar voordat u een Microsoft Entra-beheerder voor het beheerde exemplaar kunt instellen.
Het toewijzen van de rol Directory Readers aan de serveridentiteit is niet vereist voor SQL Database of Azure Synapse bij het instellen van een Microsoft Entra-beheerder voor de logische server. Als u het maken van Microsoft Entra-objecten echter wilt inschakelen in SQL Database of Azure Synapse namens een Microsoft Entra-toepassing, is de rol Directory Readers vereist. Als de rol niet is toegewezen aan de identiteit van de logische server, mislukt het maken van Microsoft Entra-gebruikers in Azure SQL. Zie Microsoft Entra-service-principal met Azure SQL voor meer informatie.
De rol Directory Readers toewijzen aan een Microsoft Entra-groep
U kunt nu beschikken over een globale Beheer istrator of bevoorrechte rol Beheer istrator een Microsoft Entra-groep maken en de machtiging Adreslijstlezers toewijzen aan de groep. Hiermee hebt u toegang tot de Microsoft Graph API voor leden van deze groep. Bovendien mogen Microsoft Entra-gebruikers die eigenaar zijn van deze groep, nieuwe leden toewijzen voor deze groep, inclusief identiteiten van de logische servers.
Deze oplossing vereist nog steeds een gebruiker met hoge bevoegdheden (Global Beheer istrator of Privileged Role Beheer istrator) om een groep te maken en gebruikers toe te wijzen als eenmalige activiteit, maar de eigenaren van de Microsoft Entra-groep kunnen in de toekomst extra leden toewijzen. Dit elimineert de noodzaak om in de toekomst een gebruiker met hoge bevoegdheden te betrekken om alle SQL-databases, SQL Managed Instances of Azure Synapse-servers in hun Microsoft Entra-tenant te configureren.
Volgende stappen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor