Share via

Usługa Azure Policy dla uwierzytelniania tylko w usłudze Microsoft Entra-only w usłudze Azure SQL

  • Artykuł

Dotyczy: Azure SQL DatabaseAzure SQL Managed Instance

Usługa Azure Policy może wymusić utworzenie usługi Azure SQL Database lub usługi Azure SQL Managed Instance z włączonym uwierzytelnianiem tylko w usłudze Microsoft Entra podczas aprowizacji. Dzięki tym zasadom wszelkie próby utworzenia serwera logicznego na platformie Azure lub w wystąpieniu zarządzanym nie powiedzie się, jeśli nie zostanie on utworzony z włączonym uwierzytelnianiem tylko w usłudze Microsoft Entra.

Uwaga

Mimo że nazwa usługi Azure Active Directory (Azure AD) została zmieniona na Microsoft Entra ID, nazwy zasad zawierają obecnie oryginalną nazwę usługi Azure AD, więc uwierzytelnianie tylko w usłudze Microsoft Entra i Azure AD jest używane zamiennie w tym artykule.

Usługę Azure Policy można zastosować do całej subskrypcji platformy Azure lub tylko w ramach grupy zasobów.

W usłudze Azure Policy wprowadzono dwie nowe wbudowane zasady:

  • Usługa Azure SQL Database powinna mieć włączone tylko uwierzytelnianie usługi Azure Active Directory
  • Usługa Azure SQL Managed Instance powinna mieć włączone tylko uwierzytelnianie usługi Azure Active Directory

Aby uzyskać więcej informacji na temat usługi Azure Policy, zobacz Co to jest usługa Azure Policy? i struktura definicji usługi Azure Policy.

Uprawnienia

Aby zapoznać się z omówieniem uprawnień wymaganych do zarządzania usługą Azure Policy, zobacz Uprawnienia RBAC platformy Azure w usłudze Azure Policy.

Akcje

Jeśli używasz roli niestandardowej do zarządzania usługą Azure Policy, potrzebne są następujące akcje .

  • */read
  • Microsoft.Authorization/policyassignments/*
  • Microsoft.Authorization/policydefinitions/*
  • Microsoft.Authorization/policyexemptions/*
  • Microsoft.Authorization/policysetdefinitions/*
  • Microsoft.Policy Szczegółowe informacje/*

Aby uzyskać więcej informacji na temat ról niestandardowych, zobacz Role niestandardowe platformy Azure.

Zarządzanie usługą Azure Policy na potrzeby uwierzytelniania tylko w usłudze Azure AD

Zasady uwierzytelniania tylko w usłudze Azure AD można zarządzać, przechodząc do witryny Azure Portal i wyszukując usługę Policy . W obszarze Definicje wyszukaj uwierzytelnianie tylko w usłudze Azure Active Directory.

Screenshot of Azure Policy for Azure AD-only authentication

Aby zapoznać się z przewodnikiem, zobacz Używanie usługi Azure Policy do wymuszania uwierzytelniania tylko w usłudze Azure AD za pomocą usługi Azure SQL.

Istnieją trzy efekty dla tych zasad:

  • Inspekcja — ustawienie domyślne i przechwytuje raport inspekcji tylko w dziennikach aktywności usługi Azure Policy
  • Odmowa — uniemożliwia tworzenie serwera logicznego lub wystąpienia zarządzanego bez włączonego uwierzytelniania tylko firmy Microsoft
  • Wyłączone — wyłączy zasady i nie ograniczy użytkownikom możliwości tworzenia serwera logicznego ani wystąpienia zarządzanego bez włączonego uwierzytelniania tylko firmy Microsoft

Jeśli dla uwierzytelniania tylko w usłudze Azure AD ustawiono wartość Odmów, tworzenie serwera logicznego lub wystąpienia zarządzanego zakończy się niepowodzeniem. Szczegóły tego błędu są rejestrowane w dzienniku aktywności grupy zasobów.

Zgodność zasad

Możesz wyświetlić ustawienie Zgodność w usłudze Zasady , aby wyświetlić stan zgodności. Stan Zgodności informuje, czy serwer lub wystąpienie zarządzane jest obecnie zgodne z włączonym uwierzytelnianiem tylko firmy Microsoft.

Usługa Azure Policy może uniemożliwić utworzenie nowego serwera logicznego lub wystąpienia zarządzanego bez włączenia uwierzytelniania tylko przez firmę Microsoft, ale tę funkcję można zmienić po utworzeniu serwera lub wystąpienia zarządzanego. Jeśli użytkownik wyłączył uwierzytelnianie tylko firmy Microsoft po utworzeniu serwera lub wystąpienia zarządzanego, stan zgodności będzie miał Non-compliant wartość , jeśli usługa Azure Policy ma wartość Odmów.

Screenshot of Azure Policy Compliance menu for Azure AD-only authentication.

Ograniczenia

  • Usługa Azure Policy wymusza uwierzytelnianie tylko w usłudze Azure AD podczas tworzenia serwera logicznego lub wystąpienia zarządzanego. Po utworzeniu serwera autoryzowani użytkownicy firmy Microsoft Entra z rolami specjalnymi (na przykład Menedżer zabezpieczeń SQL) mogą wyłączyć funkcję uwierzytelniania tylko w usłudze Azure AD. Usługa Azure Policy pozwala na to, ale w tym przypadku serwer lub wystąpienie zarządzane będą wyświetlane w raporcie zgodności, a Non-compliant raport będzie wskazywać nazwę serwera lub wystąpienia zarządzanego.
  • Aby uzyskać więcej uwag, znanych problemów i wymaganych uprawnień, zobacz Uwierzytelnianie tylko firmy Microsoft.

Następne kroki

Używanie usługi Azure Policy do wymuszania uwierzytelniania tylko w usłudze Azure AD za pomocą usługi Azure SQL