Tworzenie serwera z włączonym uwierzytelnianiem tylko w usłudze Microsoft Entra w usłudze Azure SQL
Dotyczy: Azure SQL Database Azure SQL Managed Instance
W tym przewodniku z instrukcjami opisano kroki tworzenia serwera logicznego dla usługi Azure SQL Database lub usługi Azure SQL Managed Instance z włączonym uwierzytelnianiem tylko w usłudze Microsoft Entra podczas aprowizacji. Funkcja uwierzytelniania tylko firmy Microsoft uniemożliwia użytkownikom nawiązywanie połączenia z serwerem lub wystąpieniem zarządzanym przy użyciu uwierzytelniania SQL i zezwala tylko na połączenia uwierzytelnione za pomocą identyfikatora Entra firmy Microsoft (dawniej Azure Active Directory).
Uwaga
Microsoft Entra ID był wcześniej znany jako Azure Active Directory (Azure AD).
Wymagania wstępne
- W przypadku korzystania z interfejsu wiersza polecenia platformy Azure jest wymagana wersja 2.26.1 lub nowsza. Aby uzyskać więcej informacji na temat instalacji i najnowszej wersji, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure.
- Moduł Az 6.1.0 lub nowszy jest wymagany podczas korzystania z programu PowerShell.
- Jeśli aprowizujesz wystąpienie zarządzane przy użyciu interfejsu wiersza polecenia platformy Azure, programu PowerShell lub interfejsu API REST, przed rozpoczęciem należy utworzyć sieć wirtualną i podsieć. Aby uzyskać więcej informacji, zobacz Tworzenie sieci wirtualnej dla usługi Azure SQL Managed Instance.
Uprawnienia
Aby aprowizować serwer logiczny lub wystąpienie zarządzane, musisz mieć odpowiednie uprawnienia do tworzenia tych zasobów. Użytkownicy platformy Azure z wyższymi uprawnieniami, takimi jak właściciele subskrypcji, współautorzy, administratorzy usług i współadministratorzy mają uprawnienia do tworzenia serwera SQL lub wystąpienia zarządzanego. Aby utworzyć te zasoby z najmniej uprzywilejowaną rolą RBAC platformy Azure, użyj roli Współautor programu SQL Server dla usługi SQL Database i roli Współautor wystąpienia zarządzanego SQL dla usługi SQL Managed Instance.
Rola kontroli dostępu opartej na rolach platformy Azure menedżera zabezpieczeń SQL nie ma wystarczających uprawnień, aby utworzyć serwer lub wystąpienie z włączonym uwierzytelnianiem tylko w usłudze Microsoft Entra. Rola Menedżera zabezpieczeń SQL będzie wymagana do zarządzania funkcją uwierzytelniania tylko firmy Microsoft po utworzeniu serwera lub wystąpienia.
Aprowizuj z włączonym uwierzytelnianiem tylko w usłudze Microsoft Entra
W poniższej sekcji przedstawiono przykłady i skrypty dotyczące tworzenia serwera logicznego lub wystąpienia zarządzanego za pomocą zestawu administracyjnego firmy Microsoft Entra dla serwera lub wystąpienia oraz włączenia uwierzytelniania tylko w usłudze Microsoft Entra podczas tworzenia serwera. Aby uzyskać więcej informacji na temat funkcji, zobacz Microsoft Entra-only authentication with Azure SQL (Uwierzytelnianie tylko firmy Microsoft w usłudze Azure SQL).
W naszych przykładach włączamy uwierzytelnianie tylko firmy Microsoft podczas tworzenia serwera lub wystąpienia zarządzanego przy użyciu przypisanego przez system administratora i hasła serwera. Uniemożliwi to dostęp administratora serwera, gdy jest włączone uwierzytelnianie tylko firmy Microsoft, i zezwala tylko administratorowi firmy Microsoft Entra na dostęp do zasobu. Opcjonalne jest dodanie parametrów do interfejsów API w celu uwzględnienia własnego administratora serwera i hasła podczas tworzenia serwera. Nie można jednak zresetować hasła, dopóki nie wyłączysz uwierzytelniania tylko firmy Microsoft. Przykład użycia tych opcjonalnych parametrów w celu określenia nazwy logowania administratora serwera jest wyświetlany na karcie programu PowerShell na tej stronie.
Uwaga
Aby zmienić istniejące właściwości po utworzeniu serwera lub wystąpienia zarządzanego, należy użyć innych istniejących interfejsów API. Aby uzyskać więcej informacji, zobacz Zarządzanie uwierzytelnianiem tylko firmy Microsoft przy użyciu interfejsów API i Konfigurowanie uwierzytelniania entra firmy Microsoft i zarządzanie nim za pomocą usługi Azure SQL.
Jeśli uwierzytelnianie tylko w usłudze Microsoft Entra jest ustawione na wartość false, co domyślnie oznacza, że administrator serwera i hasło będą musiały zostać uwzględnione we wszystkich interfejsach API podczas tworzenia serwera lub wystąpienia zarządzanego.
Azure SQL Database
- Portal
- Interfejs wiersza polecenia platformy Azure
- Program PowerShell
- Interfejs API REST
- Szablon ARM
Przejdź do strony Wybierz wdrożenie SQL w witrynie Azure Portal.
Jeśli jeszcze nie zalogowano się do witryny Azure Portal, zaloguj się po wyświetleniu monitu.
W obszarze Bazy danych SQL pozostaw wartość Typ zasobu ustawioną na Pojedyncza baza danych, a następnie wybierz pozycję Utwórz.
Na karcie Podstawy formularza Tworzenie bazy danych SQL Database w obszarze Szczegóły projektu wybierz odpowiednią subskrypcję platformy Azure.
W obszarze Grupa zasobów wybierz pozycję Utwórz nową, wprowadź nazwę grupy zasobów i wybierz przycisk OK.
W polu Nazwa bazy danych wprowadź nazwę bazy danych.
W obszarze Serwer wybierz pozycję Utwórz nowy i wypełnij formularz nowego serwera następującymi wartościami:
- Nazwa serwera: wprowadź unikatową nazwę serwera. Nazwy serwerów muszą być globalnie unikatowe dla wszystkich serwerów na platformie Azure, a nie tylko unikatowych w ramach subskrypcji. Wprowadź wartość, a witryna Azure Portal poinformuje Cię, czy jest dostępna, czy nie.
- Lokalizacja: wybierz lokalizację z listy rozwijanej
- Metoda uwierzytelniania: wybierz pozycję Użyj uwierzytelniania tylko firmy Microsoft.
- Wybierz pozycję Ustaw administratora, aby otworzyć okienko Identyfikator entra firmy Microsoft i wybrać podmiot zabezpieczeń firmy Microsoft jako serwer logiczny Microsoft Entra administrator. Po zakończeniu użyj przycisku Wybierz , aby ustawić administratora.
Wybierz pozycję Dalej: Sieć w dolnej części strony.
Na karcie Sieć w polu Metoda łączności wybierz pozycję Publiczny punkt końcowy.
W obszarze Reguły zapory ustaw wartość Dodaj bieżący adres IP klienta na Wartość Tak. Pozostaw opcję Zezwalaj usługom i zasobom platformy Azure na dostęp do tego serwera ustawionego na nie.
Pozostaw ustawienia Zasady połączenia i Minimalna wersja protokołu TLS jako wartość domyślną.
Wybierz pozycję Dalej: Zabezpieczenia w dolnej części strony. Skonfiguruj dowolne ustawienia usługi Microsoft Defender for SQL, Rejestru, Tożsamości i Transparent Data Encryption dla danego środowiska. Możesz również pominąć te ustawienia.
Uwaga
Używanie tożsamości zarządzanej przypisanej przez użytkownika jako tożsamości serwera jest obsługiwane w przypadku uwierzytelniania tylko firmy Microsoft. Aby nawiązać połączenie z wystąpieniem jako tożsamością, przypisz je do maszyny wirtualnej platformy Azure i uruchom program SSMS na tej maszynie wirtualnej. W środowiskach produkcyjnych zaleca się użycie tożsamości zarządzanej dla administratora firmy Microsoft Entra ze względu na ulepszone, uproszczone środki zabezpieczeń z uwierzytelnianiem bez hasła do zasobów platformy Azure.
Wybierz pozycję Przejrzyj i utwórz w dolnej części strony.
Na stronie Przeglądanie i tworzenie po przejrzeniu wybierz pozycję Utwórz.
Wystąpienie zarządzane Azure SQL
- Portal
- Interfejs wiersza polecenia platformy Azure
- Program PowerShell
- Interfejs API REST
- Szablon ARM
Przejdź do strony Wybierz wdrożenie SQL w witrynie Azure Portal.
Jeśli jeszcze nie zalogowano się do witryny Azure Portal, zaloguj się po wyświetleniu monitu.
W obszarze Wystąpienia zarządzane SQL pozostaw opcję Typ zasobu ustawiony na Pojedyncze wystąpienie, a następnie wybierz pozycję Utwórz.
Wypełnij obowiązkowe informacje wymagane na karcie Podstawy , aby uzyskać szczegóły projektu i szczegóły wystąpienia zarządzanego. Jest to minimalny zestaw informacji wymaganych do aprowizacji wystąpienia zarządzanego SQL.
Aby uzyskać więcej informacji na temat opcji konfiguracji, zobacz Szybki start: tworzenie usługi Azure SQL Managed Instance.
W obszarze Uwierzytelnianie wybierz pozycję Użyj uwierzytelniania tylko firmy Microsoft dla metody uwierzytelniania.
Wybierz pozycję Ustaw administratora, aby otworzyć okienko Identyfikator entra firmy Microsoft i wybierz podmiot zabezpieczeń firmy Microsoft jako wystąpienie zarządzane Microsoft Entra administrator. Po zakończeniu użyj przycisku Wybierz , aby ustawić administratora.
Możesz pozostawić pozostałe ustawienia domyślne. Aby uzyskać więcej informacji na temat kart i ustawień sieci, zabezpieczeń lub innych, postępuj zgodnie z przewodnikiem w artykule Szybki start: tworzenie usługi Azure SQL Managed Instance.
Po zakończeniu konfigurowania ustawień wybierz pozycję Przejrzyj i utwórz , aby kontynuować. Wybierz pozycję Utwórz , aby rozpocząć aprowizowanie wystąpienia zarządzanego.
Udzielanie uprawnień czytelnikom katalogu
Po zakończeniu wdrażania wystąpienia zarządzanego możesz zauważyć, że usługa SQL Managed Instance potrzebuje uprawnień do odczytu w celu uzyskania dostępu do identyfikatora Entra firmy Microsoft. Uprawnienia do odczytu można przyznać, wybierając wyświetlany komunikat w witrynie Azure Portal przez osobę z wystarczającymi uprawnieniami. Aby uzyskać więcej informacji, zobacz Rola Czytelników katalogów w usłudze Microsoft Entra ID dla usługi Azure SQL.
Ograniczenia
- Aby zresetować hasło administratora serwera, uwierzytelnianie tylko firmy Microsoft musi być wyłączone.
- Jeśli uwierzytelnianie tylko w usłudze Microsoft Entra jest wyłączone, należy utworzyć serwer z administratorem serwera i hasłem podczas korzystania ze wszystkich interfejsów API.
Powiązana zawartość
- Jeśli masz już serwer logiczny lub wystąpienie zarządzane SQL i chcesz tylko włączyć uwierzytelnianie tylko firmy Microsoft, zobacz Samouczek: włączanie uwierzytelniania tylko w usłudze Microsoft Entra za pomocą usługi Azure SQL.
- Aby uzyskać więcej informacji na temat funkcji uwierzytelniania tylko firmy Microsoft, zobacz Microsoft Entra-only authentication with Azure SQL (Uwierzytelnianie tylko firmy Microsoft w usłudze Azure SQL).
- Jeśli chcesz wymusić tworzenie serwera z włączonym uwierzytelnianiem tylko w usłudze Microsoft Entra, zobacz Azure Policy for Microsoft Entra-only authentication with Azure SQL (Usługa Azure Policy dla usługi Microsoft Entra-only authentication with Azure SQL)