Управляемое удостоверение для SQL Server с поддержкой Azure Arc

Применимо к: SQL Server 2025 (17.x)

SQL Server 2025 (17.x) включает поддержку управляемого удостоверения для SQL Server в Windows. Используйте управляемое удостоверение для взаимодействия с ресурсами в Azure с помощью проверки подлинности Microsoft Entra.

Обзор

SQL Server 2025 (17.x) предоставляет поддержку управляемых удостоверений Microsoft Entra. Используйте управляемые удостоверения для проверки подлинности в службах Azure без необходимости управлять учетными данными. Управляемые удостоверения автоматически управляются Azure и могут использоваться для проверки подлинности в любой службе, поддерживающей проверку подлинности Microsoft Entra. С помощью SQL Server 2025 (17.x) можно использовать управляемые удостоверения как для проверки подлинности входящих подключений, так и для проверки подлинности исходящих подключений к службам Azure.

При подключении экземпляра SQL Server к Azure Arc управляемое удостоверение, назначаемое системой, автоматически создается для имени узла SQL Server. После создания управляемого удостоверения необходимо связать удостоверение с экземпляром SQL Server и идентификатором клиента Microsoft Entra, обновив реестр.

Пошаговые инструкции по настройке см. в статье Настройка управляемого удостоверения для SQL Server, включенного в Azure Arc.

При использовании управляемого удостоверения с SQL Server, который активирован через Azure Arc, рассмотрите следующее:

• Управляемое удостоверение назначается на уровне сервера Azure Arc.
• Поддерживаются только назначаемые системой управляемые удостоверения.
• SQL Server использует это управляемое удостоверение на уровне сервера Azure Arc в качестве основного управляемого удостоверения.
• SQL Server может использовать это основное управляемое удостоверение в подключениях inbound и/или outbound.
  • Inbound connections — это имена входа и пользователи, подключающиеся к SQL Server. Входящие подключения также можно достичь с помощью регистрации приложений, начиная с SQL Server 2022 (16.x).
  • Outbound connections — это подключения SQL Server к ресурсам Azure, например резервное копирование по URL-адресу или подключение к Azure Key Vault.
• Регистрация приложений не может позволять SQL Server делать исходящие подключения. Для исходящих подключений требуется основное управляемое удостоверение, назначенное SQL Server.
• Для SQL Server 2025 и более поздних версий рекомендуется использовать настройку Microsoft Entra на основе управляемого удостоверения, как описано в этой статье. Кроме того, можно настроить регистрацию приложения для SQL Server 2025.

Предпосылки

Прежде чем использовать управляемое удостоверение с SQL Server с поддержкой Azure Arc, убедитесь, что выполнены следующие предварительные требования:

• Подключите SQL Server к Azure Arc.
• Последняя версия расширения Azure для SQL Server.

Подробные инструкции по настройке см. в статье "Настройка управляемого удостоверения для SQL Server, активированного с помощью Azure Arc".

Ограничения

При использовании управляемого удостоверения с SQL Server 2025 следует учитывать следующие ограничения:

• Настройка управляемого удостоверения для проверки подлинности Microsoft Entra поддерживается только для SQL Server 2025 с поддержкой Azure Arc, работающем на Windows Server.
• SQL Server должен иметь доступ к общедоступному облаку Azure для использования проверки подлинности Microsoft Entra.
• Использование аутентификации Microsoft Entra с экземплярами кластеров отказоустойчивости не поддерживается.
• После того как включена проверка подлинности Microsoft Entra, отключение не рекомендуется. Принудительное отключение проверки подлинности Microsoft Entra путем удаления записей реестра может привести к непредсказуемому поведению с SQL Server 2025.
• Проверка подлинности в SQL Server на компьютерах Arc с помощью проверки подлинности Microsoft Entra с помощью метода FIDO2 в настоящее время не поддерживается.
• Операции OPENROWSET BULK также могут считывать папку C:\ProgramData\AzureConnectedMachineAgent\Tokens\токенов. Для параметра BULK требуются разрешения ADMINISTER BULK OPERATIONS или ADMINISTER DATABASE BULK OPERATIONS. Эти разрешения следует рассматривать как эквивалент sysadmin.

Связанный контент

• Настройка управляемого удостоверения для SQL Server с поддержкой Azure Arc
• Проверка подлинности Microsoft Entra для SQL Server
• Что такое управляемые удостоверения для ресурсов Azure?
• Включение проверки подлинности Microsoft Entra для SQL Server на виртуальных машинах Azure