Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Van toepassing op:
SQL Server 2025 (17.x)
SQL Server 2025 (17.x) bevat ondersteuning voor beheerde identiteiten voor SQL Server in Windows. Gebruik een beheerde identiteit om te communiceren met resources in Azure met behulp van Microsoft Entra-verificatie.
Overzicht
SQL Server 2025 (17.x) introduceert ondersteuning voor door Microsoft Entra beheerde identiteiten. Gebruik beheerde identiteiten om te verifiëren bij Azure-services zonder referenties te hoeven beheren. Beheerde identiteiten worden automatisch beheerd door Azure en kunnen worden gebruikt voor verificatie bij elke service die ondersteuning biedt voor Microsoft Entra-verificatie. Met SQL Server 2025 (17.x) kunt u beheerde identiteiten gebruiken om binnenkomende verbindingen te verifiëren en ook om uitgaande verbindingen met Azure-services te verifiëren.
Wanneer u uw SQL Server-exemplaar verbindt met Azure Arc, wordt automatisch een door het systeem toegewezen beheerde identiteit gemaakt voor de SQL Server-hostnaam. Nadat de beheerde identiteit is gemaakt, moet u de identiteit koppelen aan het SQL Server-exemplaar en de Tenant-id van Microsoft Entra door het register bij te werken.
Zie voor stapsgewijze instructies Beheerde identiteit instellen voor SQL Server ingeschakeld door Azure Arc.
Houd rekening met het volgende wanneer u een beheerde identiteit gebruikt met SQL Server die is ingeschakeld door Azure Arc:
- De beheerde identiteit wordt toegewezen op azure Arc-serverniveau.
- Alleen door het systeem toegewezen beheerde identiteiten worden ondersteund.
- SQL Server maakt gebruik van deze beheerde identiteit op Azure Arc-serverniveau als de primaire beheerde identiteit.
- SQL Server kan deze primaire beheerde identiteit gebruiken in
inbounden/ofoutboundverbindingen.-
Inbound connectionszijn aanmeldingen en gebruikers die verbinding maken met SQL Server. Binnenkomende verbindingen kunnen ook worden bereikt met behulp van app-registratie, te beginnen in SQL Server 2022 (16.x). -
Outbound connectionszijn SQL Server-verbindingen met Azure-resources, zoals back-up naar URL of verbinding maken met Azure Key Vault.
-
- App-registratie kan een SQL Server niet toestaan om uitgaande verbindingen te maken. Uitgaande verbindingen hebben een primaire beheerde identiteit nodig die is toegewezen aan de SQL Server.
- Voor SQL Server 2025 en hoger raden we u aan beheerde identiteiten te gebruiken op basis van Microsoft Entra setup, zoals beschreven in dit artikel. U kunt ook een app-registratie configureren voor SQL Server 2025.
Vereiste voorwaarden
Voordat u een beheerde identiteit kunt gebruiken waarvoor SQL Server is ingeschakeld door Azure Arc, moet u ervoor zorgen dat u voldoet aan de volgende vereisten:
- Verbind uw SQL Server met Azure Arc.
- De nieuwste versie van de Azure-extensie voor SQL Server.
Zie voor gedetailleerde installatie-instructies Beheerde identiteit instellen voor SQL Server die is ingeschakeld door Azure Arc.
Beperkingen
Houd rekening met de volgende beperkingen bij het gebruik van een beheerde identiteit met SQL Server 2025:
- De installatie van de beheerde identiteit voor Microsoft Entra-verificatie wordt alleen ondersteund met SQL Server 2025 met Azure Arc, die wordt uitgevoerd op Windows Server.
- SQL Server moet toegang hebben tot de openbare Azure-cloud om Microsoft Entra-verificatie te kunnen gebruiken.
- Het gebruik van Microsoft Entra-verificatie met failovercluster-exemplaren wordt niet ondersteund.
- Zodra Microsoft Entra-verificatie is ingeschakeld, is uitschakelen niet raadzaam. Als u Microsoft Entra-verificatie geforceerd uitschakelt door registervermeldingen te verwijderen, kan dit leiden tot onvoorspelbaar gedrag met SQL Server 2025.
- Verificatie bij SQL Server op Arc-machines via Microsoft Entra-verificatie met behulp van de FIDO2-methode wordt momenteel niet ondersteund.
-
OPENROWSET BULK-bewerkingen kunnen ook de map
C:\ProgramData\AzureConnectedMachineAgent\Tokens\lezen. Voor deBULKoptie zijn machtigingenADMINISTER BULK OPERATIONSofADMINISTER DATABASE BULK OPERATIONSvereist. Deze machtigingen moeten worden behandeld als gelijkwaardig aan sysadmin.