Share via

Używanie usługi Azure Policy do wymuszania uwierzytelniania tylko firmy Microsoft w usłudze Azure SQL

  • Artykuł

Dotyczy: Azure SQL DatabaseAzure SQL Managed Instance

W tym artykule opisano proces tworzenia usługi Azure Policy, który wymusza uwierzytelnianie tylko firmy Microsoft podczas tworzenia wystąpienia zarządzanego Usługi Azure SQL lub serwera logicznego dla usługi Azure SQL Database. Aby dowiedzieć się więcej na temat uwierzytelniania tylko firmy Microsoft podczas tworzenia zasobów, zobacz Create server with Microsoft Entra-only authentication enabled in Azure SQL (Tworzenie serwera z włączonym uwierzytelnianiem tylko w usłudze Microsoft Entra w usłudze Azure SQL).

Uwaga

Mimo że nazwa usługi Azure Active Directory (Azure AD) została zmieniona na Microsoft Entra ID, nazwy zasad zawierają obecnie oryginalną nazwę usługi Azure AD, więc uwierzytelnianie tylko w usłudze Microsoft Entra i Azure AD jest używane zamiennie w tym artykule.

W tym artykule omówiono sposób wykonywania następujących zadań:

  • Tworzenie usługi Azure Policy, która wymusza tworzenie serwera logicznego lub wystąpienia zarządzanego przy użyciu włączonego uwierzytelniania tylko w usłudze Microsoft Entra
  • Sprawdzanie zgodności z usługą Azure Policy

Warunek wstępny

Tworzenie usługi Azure Policy

Zacznij od utworzenia usługi Azure Policy wymuszającej aprowizację usługi SQL Database lub wystąpienia zarządzanego z włączonym uwierzytelnianiem tylko w usłudze Azure AD.

  1. Przejdź do portalu Azure Portal.

  2. Wyszukaj zasady usługi.

  3. W obszarze Ustawienia tworzenia wybierz pozycję Definicje.

  4. W polu Wyszukiwania wyszukaj tylko uwierzytelnianie usługi Azure Active Directory.

    Dostępne są dwie wbudowane zasady wymuszania uwierzytelniania tylko w usłudze Azure AD. Jedna jest dla usługi SQL Database, a druga dotyczy usługi SQL Managed Instance.

    • Usługa Azure SQL Database powinna mieć włączone tylko uwierzytelnianie usługi Azure Active Directory
    • Usługa Azure SQL Managed Instance powinna mieć włączone tylko uwierzytelnianie usługi Azure Active Directory

    Screenshot of Azure Policy for Azure AD-only authentication

  5. Wybierz nazwę zasad usługi. W tym przykładzie użyjemy usługi Azure SQL Database. Wybierz pozycję Azure SQL Database powinna mieć włączone tylko uwierzytelnianie usługi Azure Active Directory.

  6. Wybierz pozycję Przypisz w nowym menu.

    Uwaga

    Skrypt JSON w menu przedstawia wbudowaną definicję zasad, która może służyć jako szablon do tworzenia niestandardowej usługi Azure Policy dla usługi SQL Database. Wartość domyślna to Audit.

    Screenshot of assigning Azure Policy for Azure AD-only authentication

  7. Na karcie Podstawy dodaj zakres przy użyciu selektora (...) po stronie pola.

    Screenshot of selecting Azure Policy scope for Azure AD-only authentication

  8. W okienku Zakres wybierz swoją subskrypcję z menu rozwijanego i wybierz grupę zasobów dla tych zasad. Gdy wszystko będzie gotowe, użyj przycisku Wybierz , aby zapisać zaznaczenie.

    Uwaga

    Jeśli nie wybierzesz grupy zasobów, zasady będą stosowane do całej subskrypcji.

    Screenshot of adding Azure Policy scope for Azure AD-only authentication.

  9. Po powrocie do karty Podstawy dostosuj nazwę przypisania i podaj opcjonalny opis. Upewnij się, że wymuszanie zasad jest włączone.

  10. Przejdź do karty Parametry. Usuń zaznaczenie opcji Pokaż tylko parametry, które wymagają danych wejściowych.

  11. W obszarze Efekt wybierz pozycję Odmów. To ustawienie uniemożliwia tworzenie serwera logicznego bez włączonego uwierzytelniania tylko w usłudze Azure AD.

    Screenshot of Azure Policy effect parameter for Azure AD-only authentication.

  12. Na karcie Komunikaty o niezgodności można dostosować komunikat zasad wyświetlany w przypadku naruszenia zasad. Komunikat poinformuje użytkowników, jakie zasady zostały wymuszone podczas tworzenia serwera.

    Screenshot of Azure Policy non-compliance message for Azure AD-only authentication.

  13. Wybierz pozycję Przejrzyj i utwórz. Przejrzyj zasady i wybierz przycisk Utwórz .

Uwaga

Wymuszanie nowo utworzonych zasad może zająć trochę czasu.

Sprawdzanie zgodności z zasadami

Możesz sprawdzić ustawienie Zgodność w usłudze Zasady , aby zobaczyć stan zgodności.

Wyszukaj nazwę przypisania nadaną wcześniej zasadom.

Screenshot of Azure Policy compliance for Azure AD-only authentication.

Po utworzeniu serwera logicznego przy użyciu uwierzytelniania tylko w usłudze Azure AD raport zasad zwiększy licznik w obszarze Zasoby według wizualizacji stanu zgodności. Zobaczysz, które zasoby są zgodne lub niezgodne.

Jeśli grupa zasobów wybrana do pokrycia zasad zawiera już utworzone serwery, raport zasad będzie wskazywać te zasoby, które są zgodne i niezgodne.

Uwaga

Aktualizowanie raportu zgodności może zająć trochę czasu. Zmiany związane z tworzeniem zasobów lub ustawieniami uwierzytelniania tylko firmy Microsoft nie są natychmiast zgłaszane.

Aprowizuj serwer

Następnie możesz spróbować aprowizować serwer logiczny lub wystąpienie zarządzane w grupie zasobów, do której przypisano usługę Azure Policy. Jeśli podczas tworzenia serwera włączono uwierzytelnianie tylko w usłudze Azure AD, aprowizacja powiedzie się. Jeśli uwierzytelnianie tylko w usłudze Azure AD nie jest włączone, aprowizacja zakończy się niepowodzeniem.

Aby uzyskać więcej informacji, zobacz Create server with Microsoft Entra-only authentication enabled in Azure SQL (Tworzenie serwera z włączonym uwierzytelnianiem tylko firmy Microsoft w usłudze Azure SQL).

Następne kroki