Создание сервера с включенной в Azure SQL проверкой подлинности с поддержкой только Azure AD

Область применения:База данных SQL Azure Управляемый экземпляр SQL Azure

В этом руководстве описаны действия по созданию логического сервера для Базы данных SQL Azure или Управляемого экземпляра SQL Azure с проверкой подлинности с поддержкой только Azure AD, включенной во время подготовки. Возможность проверки подлинности с поддержкой только Azure AD не позволяет пользователям подключаться к серверу или управляемому экземпляру с помощью проверки подлинности SQL и позволяет подключаться только с помощью проверки подлинности Azure AD.

Предварительные требования

  • При использовании Azure CLI требуется версия 2.26.1 или более поздняя. Дополнительные сведения об установке Azure CLI и последней версии см. в этой статье.
  • При использовании PowerShell необходимо использовать модуль AZ 6.1.0 или выше.
  • Когда вы подготавливаете управляемый экземпляр с помощью Azure CLI, PowerShell или REST API, перед началом работы необходимо создать виртуальную сеть и подсеть. Дополнительные сведения см. в статье о создании виртуальной сети для Управляемого экземпляра SQL Azure.

Разрешения

Чтобы подготовить к работе логический сервер или управляемый экземпляр, необходимы соответствующие разрешения для создания этих ресурсов. Пользователи Azure с разрешениями более высокого уровня, например владельцы подписок, участники, администраторы служб и соадминистраторы, имеют право на создание сервера SQL или управляемого экземпляра. Чтобы создать эти ресурсы с минимально привилегированной ролью Azure RBAC, используйте роль Участник SQL Server для Базы данных SQL и роль Участник управляемого экземпляра SQL для Управляемого экземпляра SQL.

Роль RBAC Azure Диспетчер безопасности SQL не имеет достаточных разрешений для создания сервера или экземпляра со включенной проверкой подлинности с поддержкой только Azure AD. Роль Диспетчер безопасности SQL потребуется для управления возможностью проверки подлинности с поддержкой только Azure AD после создания сервера или экземпляра.

Подготовка работы со включенной проверкой подлинности с поддержкой только Azure AD

В следующем разделе приведены примеры и сценарии создания логического сервера или управляемого экземпляра с администратором Azure AD, установленным для сервера или экземпляра, и включенной проверкой подлинности c поддержкой только Azure AD во время создания сервера. Дополнительные сведения об этой возможности см. в статье о проверке подлинности с поддержкой только Azure AD.

В рамках наших примеров мы включаем проверку подлинности с поддержкой только Azure AD во время создания сервера или управляемого экземпляра с использованием назначенного системой администратора сервера и пароля. Это предотвратит доступ администратора сервера при включенной проверке подлинности с поддержкой только Azure AD. При этом доступ к ресурсу будет разрешен только администратору Azure AD. Необязательно добавлять параметры в интерфейсы API, чтобы включить собственный администратор сервера и пароль во время создания сервера. Однако пароль нельзя сбросить, пока вы не отключите проверку подлинности только Azure AD. Пример использования этих необязательных параметров для указания имени пользователя администратора сервера представлен на вкладке PowerShell на этой странице.

Примечание

Чтобы изменить имеющиеся свойства после создания сервера или управляемого экземпляра, следует использовать другие имеющиеся интерфейсы API. Дополнительные сведения см. в разделе об управлении проверкой подлинности с поддержкой только Azure AD с помощью интерфейсов API, а также в статье о настройке проверки подлинности Azure AD и управлении ею с помощью Azure SQL.

Если для проверки подлинности с поддержкой только Azure AD задано значение false (значение по умолчанию), администратор сервера и пароль необходимо включить во все интерфейсы API во время создания сервера или управляемого экземпляра.

База данных SQL Azure

  1. Перейдите на страницу Выберите вариант развертывания SQL на портале Azure.

  2. Если вы еще не вошли на портал Azure, выполните вход при появлении соответствующего запроса.

  3. В разделе Базы данных SQL оставьте для параметра Тип ресурса значение Отдельная база данных и нажмите кнопку Создать.

  4. На вкладке Основные сведения формы Создание базы данных SQL в разделе Сведения о проекте выберите подходящую подписку Azure.

  5. В разделе Группа ресурсов щелкните Создать новую, введите имя группы ресурсов и нажмите ОК.

  6. В поле Имя базы данных введите имя для вашей базы данных.

  7. В группе Сервер выберите Создать и заполните форму создания сервера следующим образом:

    • В поле Имя сервера введите уникальное имя сервера. Имена серверов должны быть глобально уникальными для всех серверов в Azure, а не только в рамках подписки. Введите значение, и портал Azure сообщит вам, доступно оно или нет.
    • Расположение. Выберите расположение из раскрывающегося списка.
    • Метод проверки подлинности. Выберите Использовать только проверку подлинности Azure Active Directory (Azure AD).
    • Выберите Задать администратора, после чего появится меню для выбора администратора Azure AD в качестве администратора логического сервера Azure AD. Когда все будет готово, нажать кнопку Выбрать, чтобы задать администратора.

    Снимок экрана: создание сервера с включенной проверкой подлинности только для Azure AD

  8. По завершении выберите Next: Networking (Далее: сеть) в нижней части экрана.

  9. На вкладке Сеть в разделе Метод подключения выберите Общедоступная конечная точка.

  10. В разделе Правила брандмауэра установите переключатель Добавить текущий IP-адрес клиента в положение Да. Оставьте значение Нет для параметра Разрешить доступ к серверу службам и ресурсам Azure.

  11. Оставьте для параметров Политика подключения и Минимальная версия протокола TLS значения по умолчанию.

  12. Выберите Далее: безопасность доступа в нижней части страницы. Настройте любые параметры Microsoft Defender для SQL, реестра, удостоверений и прозрачного шифрования данных для своей среды. Вы также можете пропустить эти параметры.

    Примечание

    Использование управляемого удостоверения, назначаемого пользователем, при проверке подлинности только с поддержкой Azure AD не поддерживается. В разделе Удостоверение не задавайте для сервера удостоверение, назначаемое пользователем.

  13. В нижней части страницы выберите Review + create (Проверить и создать).

  14. На странице Просмотр и создание после проверки нажмите кнопку Создать.

Управляемый экземпляр SQL Azure

  1. Перейдите на страницу Выберите вариант развертывания SQL на портале Azure.

  2. Если вы еще не вошли на портал Azure, выполните вход при появлении соответствующего запроса.

  3. В разделе Управляемые экземпляры SQL оставьте для параметра Тип ресурса значение Отдельная база данных и нажмите кнопку Создать.

  4. Заполните обязательные поля на вкладке Основное в разделах Сведения о проекте и Сведения об управляемом экземпляре. Это минимальный набор необходимых сведений для подготовки Управляемого экземпляра SQL.

    портал Azure снимок экрана: вкладка

    Дополнительные сведения о параметрах конфигурации см. в статье Краткое руководство. Создание Управляемого экземпляра SQL Azure.

  5. В разделе Метод проверки подлинности для параметра Метод проверки подлинности выберите Использовать только проверку подлинности Azure Active Directory (Azure AD).

  6. Выберите Задать администратора, после чего появится меню для выбора администратора Azure AD в качестве администратора управляемого экземпляра Azure AD. Когда все будет готово, нажать кнопку Выбрать, чтобы задать администратора.

    портал Azure снимок экрана: вкладка

  7. Для остальных параметров можно оставить значения по умолчанию. Дополнительные сведения о вкладках Сеть, Безопасность, а также других вкладках и параметрах можно найти в статье Краткое руководство. Создание Управляемого экземпляра SQL Azure.

  8. Настроив параметры, выберите Проверить и создать чтобы продолжить. Выберите Создать, чтобы начать подготовку управляемого экземпляра.

Предоставление разрешений для роли "Читатели каталогов"

После завершения развертывания для Управляемого экземпляра SQL могут потребоваться разрешения на Чтение для доступа к Azure Active Directory. Чтобы предоставить разрешения на чтение, щелкните отображаемое сообщение на портале Azure (при этом пользователь должен иметь достаточные привилегии). Дополнительные сведения см. в разделе о роли "Читатели каталогов" в Azure Active Directory для Azure SQL.

Снимок экрана: меню администратора Active Directory на портале Azure, в котором отображаются необходимые разрешения на чтение

Ограничения

  • Чтобы сбросить пароль администратора сервера, необходимо отключить проверку подлинности с поддержкой только Azure AD.
  • Если проверка подлинности с поддержкой только Azure AD отключена, необходимо создать сервер с администратором сервера и паролем при использовании всех интерфейсов API.

Следующие шаги