Beheerde identiteit en Microsoft Entra-verificatie instellen voor SQL Server ingeschakeld door Azure Arc

Van toepassing op: SQL Server 2025 (17.x)

• SQL Server 2022-
• SQL Server 2025
• Azure SQL Database & Azure SQL Managed Instance
• SQL Server op Azure VMs

Dit artikel bevat stapsgewijze instructies voor het instellen en configureren van de beheerde identiteit van Microsoft Entra ID voor SQL Server die is ingeschakeld door Azure Arc.

Zie Managed Identity for SQL Server enabled by Azure Arc (Beheerde identiteit voor SQL Server ingeschakeld door Azure Arc) voor een overzicht van beheerde identiteiten met SQL Server.

Vereiste voorwaarden

Voordat u een beheerde identiteit kunt gebruiken waarvoor SQL Server is ingeschakeld door Azure Arc, moet u ervoor zorgen dat u voldoet aan de volgende vereisten:

• Ondersteund voor SQL Server 2025 en hoger, uitgevoerd in Windows.
• Verbind uw SQL Server met Azure Arc.
• De nieuwste versie van de Azure-extensie voor SQL Server.

De primaire beheerde identiteit inschakelen

Als u de Azure-extensie voor SQL Server op uw server hebt geïnstalleerd, kunt u de primaire beheerde identiteit voor uw SQL Server-exemplaar rechtstreeks vanuit Azure Portal inschakelen. Het is ook mogelijk om de primaire beheerde identiteit handmatig in te schakelen door het register bij te werken, maar moet uiterst voorzichtig zijn.

Azure-portal

Voer de volgende stappen uit om de primaire beheerde identiteit in azure Portal in te schakelen:

1. Ga in Azure Portal naar uw SQL Server die is ingeschakeld door Azure Arc-resource .

2. Selecteer onder Instellingende Microsoft Entra-id en Purview om de pagina Microsoft Entra-id en Purview te openen.

   Opmerking

   Als u de optie Microsoft Entra ID-verificatie inschakelen niet ziet, controleert u of uw SQL Server-exemplaar is verbonden met Azure Arc en of u de nieuwste SQL-extensie hebt geïnstalleerd.

3. Schakel op de pagina Microsoft Entra-id en Purview het selectievakje in naast Een primaire beheerde identiteit gebruiken en gebruik Opslaan om uw configuratie toe te passen:

   

Handmatig

Het is mogelijk om de primaire beheerde identiteit voor uw SQL Server-exemplaar handmatig in te schakelen door het register bij te werken, maar moet uiterst voorzichtig zijn.

Machtigingen verlenen aan de map Tokens

Verleen lees- en uitvoermachtigingen voor het besturingssysteem op de map C:\ProgramData\AzureConnectedMachineAgent\Tokens\ aan het service-account van de SQL Server 2025-instance. Standaard is het serviceaccount NT Service\MSSQLSERVER, of voor benoemde exemplaren NT Service\MSSQL$<instancename>.

Mogelijk moet u beheerdersmachtigingen verlenen voor het SQL Server-serviceaccount voor de AzureConnectedMachineAgent map vóór de Tokens map:

SQL Server-serviceaccount toevoegen aan de groep toepassingen voor hybride agent-extensie

Voeg het SQL Server-serviceaccount (standaard: NT Service\MSSQLSERVER of voor benoemde exemplaren) NT Service\MSSQL$instancenametoe aan de groep toepassingen voor hybride agentuitbreidingen .

• Open Windows-Computerbeheer.
• Ga naar Lokale gebruikers en groepen en selecteer Groepen.
• Voeg het SQL Server-serviceaccount toe aan de groep toepassingen voor hybride agentuitbreidingen .

Het register bijwerken

Waarschuwing

Het onjuist bewerken van het register kan uw systeem ernstig beschadigen. Voordat u wijzigingen aanbrengt in het register, raden we u aan een back-up te maken van waardegegevens op de computer.

Werk de \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17.MSSQLSERVER\MSSQLServer\FederatedAuthentication subsleutel bij in het register.

Maak de volgende vermeldingen:

Entry	Waarde
ArcServerManagedIdentityClientId	Leeg (geen waarde)
HIMDSApiVersion	2020-06-01
HIMDSEndpoint	http://localhost:40342/metadata/identity/oauth2/token
ArcServerSystemAssignedManagedIdentityTenantId	Arc-AAD-Tenant-ID
ArcServerSystemAssignedManagedIdentityClientId	Arc-Machine-Client-Id
PrimaryAADTenant	Arc-AAD-Tenant-ID
AADChannelMaxBufferedMessageSize	200000
AADGraphEndPoint	graph.windows.net
AADGroupLookupMaxRetryAttempts	10
AADGroupLookupMaxRetryDuration	30000
AADGroupLookupRetryInitialBackoff	100
AADServerAdminSid	00000000-0000-0000-0000-000000000000
AuthenticationEndpoint	login.microsoftonline.com
CacheMaxSize	300
ClientCertBlackList	Leeg (geen waarde)
FederationMetadataEndpoint	login.windows.net
GraphAPIEndpoint	graph.windows.net
IssuerURL	https://sts.windows.net/
OnBehalfOfAuthority	https://login.windows.net/
STSURL	https://login.windows.net/
MsGraphEndPoint	graph.microsoft.com
SendX5c	false
ServicePrincipalName	https://database.windows.net/
ServicePrincipalNameForArcadia	https://sql.azuresynapse.net
ServicePrincipalNameForArcadiaDogfood	https://sql.azuresynapse-dogfood.net
ServicePrincipalNameNoSlash	https://database.windows.net
AADBecWSConnectionPoolMaxSize	500

Een back-up van het register maken en bewerken

In de volgende secties wordt beschreven hoe u een back-up van het register maakt en bewerkt met de Register-editor.

De Register-editor openen

1. Druk op Windows+R om het dialoogvenster Uitvoeren te openen.
2. Typ regedit en druk op Enter.
3. Als u hierom wordt gevraagd door Gebruikersaccountbeheer, selecteert u Ja.

Een back-up maken van de registersleutel

Met deze stap maakt u een back-up van het register voordat u wijzigingen aanbrengt. U kunt dit bestand later weer importeren in het register als uw wijzigingen een probleem veroorzaken.

1. Selecteer Bestand in het menu.
2. Selecteer exporteren.
3. Kies in het dialoogvenster Registerbestand exporteren een locatie om de back-up op te slaan.
4. Voer een naam in voor het back-upbestand in het veld Bestandsnaam .
5. Zorg ervoor dat Alles is geselecteerd in het exportbereik.
6. Selecteer Opslaan.

Vermeldingen toevoegen

In deze stap voegt u vermeldingen toe aan het register met de Register-editor.

1. Navigeer door deze subsleutel: \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17.MSSQLSERVER\MSSQLServer\FederatedAuthentication.

2. Klik met de rechtermuisknop op FederatedAuthentication en selecteer Tekenreekswaarde.

   

3. Herhaal dit voor elke vermelding die wordt vermeld bij Het register bijwerken

   Deze afbeelding toont een correct geconfigureerd register.

   

De registersleutel herstellen (indien nodig)

Als u wilt herstellen naar eerdere registerinstellingen, volgt u deze stappen.

1. Open de Register-editor zoals eerder beschreven.
2. Selecteer Bestand in het menu.
3. Selecteer Importeren.
4. Navigeer naar de locatie van het opgeslagen back-upbestand.
5. Selecteer het back-upbestand en selecteer Openen.

Raadpleeg voor meer informatie hoe u registersubsleutels en -waarden toevoegt, wijzigt of verwijdert met behulp van een .reg-bestand.

Toepassingsmachtigingen verlenen aan de identiteit

Belangrijk

Alleen een beheerder van bevoorrechte rollen of een hogere rol kan deze machtigingen verlenen.

De door het systeem toegewezen beheerde identiteit, die gebruikmaakt van de naam van de machine met Arc, moet beschikken over de volgende Microsoft Graph-toepassingsmachtigingen (app-rollen):

• User.Read.All: staat toegang tot Microsoft Entra-gebruikersgegevens toe.

• GroupMember.Read.All: hiermee heeft u toegang tot microsoft Entra-groepsinformatie.

• Application.Read.ALL: hiermee hebt u toegang tot microsoft Entra-service-principalgegevens (toepassingsinformatie).

U kunt PowerShell gebruiken om vereiste machtigingen toe te kennen aan de beheerde identiteit. U kunt ook een roltoewijzingsgroep maken. Nadat de groep is gemaakt, wijst u de rol Directory Readers of de User.Read.All, GroupMember.Read.Allen Application.Read.All machtigingen toe aan de groep en voegt u alle door het systeem toegewezen beheerde identiteiten voor uw Azure Arc-machines toe aan de groep. Het wordt afgeraden de rol Directory Readers te gebruiken in uw productieomgeving.

Het volgende PowerShell-script verleent de vereiste machtigingen voor de beheerde identiteit. Zorg ervoor dat dit script wordt uitgevoerd op PowerShell 7.5 of hoger en dat de Microsoft.Graph module 2.28 of hoger is geïnstalleerd.

# Set your Azure tenant and managed identity name
$tenantID = '<Enter-Your-Azure-Tenant-Id>'
$managedIdentityName = '<Enter-Your-Arc-HostMachine-Name>'

# Connect to Microsoft Graph
try {
    Connect-MgGraph -TenantId $tenantID -ErrorAction Stop
    Write-Output "Connected to Microsoft Graph successfully."
}
catch {
    Write-Error "Failed to connect to Microsoft Graph: $_"
    return
}

# Get Microsoft Graph service principal
$graphAppId = '00000003-0000-0000-c000-000000000000'
$graphSP = Get-MgServicePrincipal -Filter "appId eq '$graphAppId'"
if (-not $graphSP) {
    Write-Error "Microsoft Graph service principal not found."
    return
}

# Get the managed identity service principal
$managedIdentity = Get-MgServicePrincipal -Filter "displayName eq '$managedIdentityName'"
if (-not $managedIdentity) {
    Write-Error "Managed identity '$managedIdentityName' not found."
    return
}

# Define roles to assign
$requiredRoles = @(
    "User.Read.All",
    "GroupMember.Read.All",
    "Application.Read.All"
)

# Assign roles using scoped syntax
foreach ($roleValue in $requiredRoles) {
    $appRole = $graphSP.AppRoles | Where-Object {
        $_.Value -eq $roleValue -and $_.AllowedMemberTypes -contains "Application"
    }

    if ($appRole) {
        try {
            New-MgServicePrincipalAppRoleAssignment   -ServicePrincipalId $managedIdentity.Id `
                -PrincipalId $managedIdentity.Id `
                -ResourceId $graphSP.Id `
                -AppRoleId $appRole.Id `
                -ErrorAction Stop

            Write-Output "Successfully assigned role '$roleValue' to '$managedIdentityName'."
        }
        catch {
            Write-Warning "Failed to assign role '$roleValue': $_"
        }
    }
    else {
        Write-Warning "Role '$roleValue' not found in Microsoft Graph AppRoles."
    }
}

Aanmeldingen en gebruikers maken

Volg de stappen in de zelfstudie Microsoft Entra om aanmeldingen en gebruikers voor de beheerde identiteit te maken.

Verwante inhoud

• Beheerde identiteit voor SQL Server mogelijk gemaakt door Azure Arc
• Microsoft Entra-verificatie voor SQL Server
• Wat zijn beheerde identiteiten voor Azure-resources?