Настройка проверки подлинности Windows для Microsoft Entra ID в Управляемом экземпляре Azure SQL.

В этой статье описывается, как настроить управляемый экземпляр для поддержки проверки подлинности Windows для субъектов в идентификаторе Microsoft Entra (ранее — Azure Active Directory). Действия по настройке Управляемого экземпляра SQL Azure для входящих потоков проверки подлинности на основе доверия и современных интерактивных потоков проверки подлинности одинаковы.

Примечание.

Идентификатор Microsoft Entra ранее был известен как Azure Active Directory (Azure AD).

Необходимые компоненты

Чтобы настроить проверку подлинности Windows для субъектов Microsoft Entra в управляемом экземпляре, необходимо выполнить следующие предварительные требования:

Необходимые условия	Описание
Модуль PowerShell Az.Sql	Этот модуль PowerShell предоставляет командлеты управления для ресурсов Azure SQL. Установите этот модуль, выполнив следующую команду PowerShell: Install-Module -Name Az.Sql
Модуль Microsoft Graph PowerShell	Этот модуль предоставляет командлеты управления для выполнения административных задач Microsoft Entra, таких как управление пользователями и субъектами-службами. Установите этот модуль, выполнив следующую команду PowerShell: Install-Module –Name Microsoft.Graph
Управляемый экземпляр.	Вы можете создать новый управляемый экземпляр или использовать существующий управляемый экземпляр. Необходимо включить проверку подлинности Microsoft Entra в управляемом экземпляре.

Настройка проверки подлинности Microsoft Entra для Управляемый экземпляр SQL Azure

Чтобы включить проверку подлинности Windows для субъектов Microsoft Entra, необходимо включить субъект-службу, назначаемый системой, на каждом управляемом экземпляре. Субъект-служба, назначаемый системой, позволяет пользователям управляемого экземпляра проходить проверку подлинности с помощью протокола Kerberos. Кроме того, необходимо предоставить согласие администратора каждому субъекту-службе.

Включение субъекта-службы, назначаемого системой

Чтобы включить назначаемый системой субъект-службу для управляемого экземпляра, выполните следующие действия:

1. Войдите на портал Azure.
2. Перейдите к управляемому экземпляру.
3. Выберите Удостоверение.
4. Задайте для параметра Субъект-служба, назначаемый системой значение Включено.
5. Выберите Сохранить.

Предоставление согласия администратора субъекту-службе, назначаемому системой

1. Войдите на портал Azure.

2. Откройте Microsoft Entra ID.

3. Щелкните Регистрация приложений.

4. Выберите Все приложения.

5. Выберите приложение с отображаемым именем, соответствующим управляемому экземпляру. Имя будет иметь следующий формат: <managedinstancename> principal.

6. Выберите Разрешения API.

7. Выберите Предоставить согласие администратора.

   

8. Выберите Да в ответ на запрос Предоставить подтверждение согласия администратора.

Подключение к управляемому экземпляру с проверкой подлинности Windows

Если вы уже реализовали входящий поток проверки подлинности на основе доверия или современный интерактивный поток проверки подлинности в зависимости от версии клиента, то теперь можно проверить подключение к управляемому экземпляру с использованием проверки подлинности Windows.

Чтобы проверить подключение с помощью SQL Server Management Studio (SSMS), выполните действия, описанные в разделе Краткое руководство. Использование SSMS для подключения к Базе данных SQL Azure или Управляемому экземпляру SQL Azure. Выберите Проверку подлинности Windows в качестве типа проверки подлинности.

Следующие шаги

Дополнительные сведения о реализации проверки подлинности Windows для субъектов Microsoft Entra в Управляемый экземпляр SQL Azure:

• Устранение неполадок с проверкой подлинности Windows для субъектов Microsoft Entra в Управляемом экземпляре SQL Azure
• Что такое проверка подлинности Windows для субъектов Microsoft Entra в Управляемом экземпляре SQL Azure?
• Настройка проверки подлинности Windows для Управляемого экземпляра SQL Azure с помощью Microsoft Entra ID и Kerberos.