Роль "Читатели каталогов" в Azure Active Directory для Azure SQL

Область применения: База данных SQL Azure Управляемый экземпляр SQL Azure Azure Synapse Analytics

В Azure Active Directory (Azure AD) появилась функция управления назначениями ролей с помощью групп Azure AD. Это позволяет назначать роли Azure AD группам.

Примечание

Благодаря поддержке Microsoft Graph для Azure SQL можно заменить роль "Читатели каталогов" разрешениями более низкого уровня. Дополнительные сведения см. в статье об управляемом удостоверении, назначаемом пользователем, в Azure AD для Azure SQL.

Если включить управляемое удостоверение для Базы данных SQL Azure, Управляемого экземпляра SQL Azure или Azure Synapse Analytics, то можно назначить этому удостоверению роль Читатели каталога Azure AD, чтобы разрешить доступ на чтение к API Microsoft Graph. Управляемое удостоверение базы данных SQL и Azure Synapse называется удостоверением сервера. Управляемое удостоверение управляемого экземпляра SQL называется удостоверением управляемого экземпляра и автоматически назначается при создании экземпляра. Дополнительные сведения о назначении удостоверения сервера в базе данных SQL или Azure Synapse см. в разделе Включение субъектов-служб для создания пользователей Azure AD.

Роль Читатели каталога можно использовать в качестве удостоверения сервера для выполнения следующих задач:

  • создания имен входа Azure AD для управляемого экземпляра SQL;
  • олицетворения пользователей Azure AD в Azure SQL;
  • переноса пользователей SQL Server, использующих проверку подлинности Windows, в управляемый экземпляр SQL с проверкой подлинности Azure AD (с помощью команды ALTER USER (Transact-SQL));
  • изменение администратора Azure AD для управляемого экземпляра SQL;
  • разрешения субъект-службам (приложениям) создавать пользователей Azure AD в Azure SQL;

назначение роли "Читатели каталога".

Чтобы назначить роль "Читатели каталога" удостоверению, требуется пользователь с разрешениями Глобальный администратор или Администратор привилегированных ролей. У пользователей, которые часто работают с базой данных SQL, управляемым экземпляром SQL или Azure Synapse, может не быть доступа к ролям с таким высоким уровнем привилегий. Это часто может приводить к осложнениям для пользователей, которые создают незапланированные ресурсы SQL Azure или которым нужна помощь от участников с ролями с высоким уровнем привилегий, которые зачастую недоступны в крупных организациях.

Чтобы настроить администратора Azure AD для Управляемого экземпляра SQL, удостоверению управляемого экземпляра необходимо назначить роль Читатели каталогов.

Для Базы данных SQL или Azure Synapse при настройке администратора Azure AD для логического сервера назначение роли Читатели каталогов удостоверению сервера не требуется. Однако для создания объекта Azure AD в Базе данных SQL или Azure Synapse от имени приложения Azure AD требуется роль Читатели каталогов. Если роль удостоверению логического сервера SQL не назначена, создание пользователей Azure AD в Azure SQL завершится ошибкой. Дополнительные сведения см. в статье Субъект-служба Azure Active Directory с SQL Azure.

Предоставление роли "Читатели каталога" для группы Azure AD

В настоящее вы можете создать группу Azure AD с правами Глобальный администратор или Администратор привилегированных ролей и назначить ей разрешение Читатели каталога. Члены этой группы получат доступ к API Microsoft Graph. Кроме того, пользователи Azure AD, являющиеся владельцами этой группы, могут назначать новых членов для этой группы, включая удостоверения логических серверов Azure SQL.

Для этого решения по-прежнему требуется пользователь с высоким уровнем привилегий (Глобальный администратор или Администратор привилегированных ролей), который однократно создаст группу и назначит пользователей. Но после этого владельцы групп Azure AD смогут назначать дополнительных членов. После этого в своем клиенте Azure AD можно будет настраивать все базы данных SQL, управляемые экземпляры SQL и сервера Azure Synapse без пользователя с высоким уровнем привилегий.

Дальнейшие действия