Настройка управляемого удостоверения и проверки подлинности Microsoft Entra для SQL Server с поддержкой Azure Arc

Применимо к: SQL Server 2025 (17.x)

• SQL Server 2022
• SQL Server 2025
• База данных SQL Azure и Управляемый экземпляр SQL Azure
• SQL Server на виртуальных машинах Azure

В этой статье приведены пошаговые инструкции по настройке и конфигурации управляемого удостоверения Microsoft Entra ID для SQL Server, активированного с помощью Azure Arc.

Общие сведения об управляемом удостоверении с помощью SQL Server см. в разделе "Управляемое удостоверение для SQL Server" с поддержкой Azure Arc.

Предпосылки

Прежде чем использовать управляемое удостоверение с SQL Server с поддержкой Azure Arc, убедитесь, что выполнены следующие предварительные требования:

• Поддерживается для SQL Server 2025 и более поздних версий, работающих в Windows.
• Подключите SQL Server к Azure Arc.
• Последняя версия расширения Azure для SQL Server.

Включите основное управляемое удостоверение

Если вы установили расширение Azure для SQL Server на своем сервере, вы можете включить главное управляемое удостоверение для экземпляра SQL Server прямо из портала Azure. Кроме того, можно включить основное управляемое удостоверение вручную, обновив реестр, но следует сделать с крайней осторожностью.

Портал Azure

Чтобы включить основное управляемое удостоверение на портале Azure, выполните следующие действия.

1. Перейдите к серверу SQL Server, включенному с помощью Azure Arc на портале Azure.

2. В разделе «Параметры» выберите Microsoft Entra ID and Purview, чтобы открыть страницу Microsoft Entra ID and Purview.

   Замечание

   Если вы не видите параметр включения проверки подлинности Microsoft Entra ID, убедитесь, что экземпляр SQL Server подключен к Azure Arc и установлено последнее расширение SQL.

3. На странице Microsoft Entra ID и Purview установите флажок рядом с Использовать основную управляемую идентификацию, а затем нажмите Сохранить, чтобы применить конфигурацию.

   

Вручную

Можно вручную включить базовое управляемое удостоверение для экземпляра SQL Server, обновив реестр, но делать это нужно крайне осторожно.

Предоставление разрешения папке Token

Предоставьте разрешения операционной системы на чтение и выполнение в папке C:\ProgramData\AzureConnectedMachineAgent\Tokens\ для учетной записи службы экземпляра SQL Server 2025. По умолчанию учетная запись службы — это NT Service\MSSQLSERVER, а для именованных экземпляров — NT Service\MSSQL$<instancename>.

Возможно, вам потребуется предоставить разрешения администратора для учетной записи службы SQL Server в папке AzureConnectedMachineAgent перед папкой Tokens :

Добавление учетной записи службы SQL Server в группу приложений расширения гибридного агента

Добавьте учетную запись службы SQL Server (по умолчанию: NT Service\MSSQLSERVER или для именованных экземпляров: NT Service\MSSQL$instancename) в группу приложений расширения гибридного агента.

• Откройте Windows Управление компьютером.
• Перейдите к локальным пользователям и группам и выберите группы.
• Добавьте учетную запись службы SQL Server в группу приложений расширения гибридного агента .

Обновление реестра

Предупреждение

Неправильное редактирование реестра может серьезно повредить вашу систему. Прежде чем вносить изменения в реестр, рекомендуется создать резервную копию всех значений данных на компьютере.

В реестре обновите подраздел \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17.MSSQLSERVER\MSSQLServer\FederatedAuthentication.

Создайте следующие записи:

Entry	Ценность
ArcServerManagedIdentityClientId	Пустое (нет значения)
HIMDSApiVersion	2020-06-01
HIMDSEndpoint	http://localhost:40342/metadata/identity/oauth2/token
ArcServerSystemAssignedManagedIdentityTenantId	Arc-AAD-Tenant-ID
ArcServerSystemAssignedManagedIdentityClientId	Arc-Machine-Client-Id
PrimaryAADTenant	Arc-AAD-Tenant-ID
AADChannelMaxBufferedMessageSize	200000
AADGraphEndPoint	graph.windows.net
AADGroupLookupMaxRetryAttempts	10
AADGroupLookupMaxRetryDuration	30000
AADGroupLookupRetryInitialBackoff	100
AADServerAdminSid	00000000-0000-0000-0000-000000000000
AuthenticationEndpoint	login.microsoftonline.com
CacheMaxSize	300
ClientCertBlackList	Пустое (нет значения)
FederationMetadataEndpoint	login.windows.net
GraphAPIEndpoint	graph.windows.net
IssuerURL	https://sts.windows.net/
OnBehalfOfAuthority	https://login.windows.net/
STSURL	https://login.windows.net/
MsGraphEndPoint	graph.microsoft.com
SendX5c	false
ServicePrincipalName	https://database.windows.net/
ServicePrincipalNameForArcadia	https://sql.azuresynapse.net
ServicePrincipalNameForArcadiaDogfood	https://sql.azuresynapse-dogfood.net
ServicePrincipalNameNoSlash	https://database.windows.net
AADBecWSConnectionPoolMaxSize	500

Резервное копирование и изменение реестра

В следующих разделах описывается резервное копирование и изменение реестра с помощью редактора реестра.

Открытие редактора реестра

1. Нажмите клавишу Windows + R , чтобы открыть диалоговое окно "Запуск".
2. Введите regedit и нажмите клавишу ВВОД.
3. Если появится запрос на контроль учетных записей пользователей, нажмите кнопку "Да".

Резервное копирование раздела реестра

Этот шаг выполняет резервное копирование реестра перед внесением изменений. Этот файл можно импортировать обратно в реестр позже, если изменения вызывают проблему.

1. Выберите "Файл " в меню.
2. Выберите Экспорт.
3. В диалоговом окне "Экспорт файла реестра" выберите расположение для сохранения резервной копии.
4. Введите имя файла резервной копии в поле имени файла .
5. Убедитесь, что в диапазоне экспорта выбрано Всё.
6. Нажмите кнопку "Сохранить".

Добавление записей

На этом шаге вы добавите записи в реестр с помощью редактора реестра.

1. Перейдите к этому подразделу: \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17.MSSQLSERVER\MSSQLServer\FederatedAuthentication.

2. Щелкните правой кнопкой мыши на FederatedAuthentication и выберите String Value.

   

3. Повторите для каждой записи, указанной в разделе "Обновление реестра"

   На этом изображении показан правильно настроенный реестр:

   

Восстановите ключ реестра (если нужно)

Если необходимо восстановить предыдущие параметры реестра, выполните следующие действия.

1. Откройте редактор реестра, как описано ранее.
2. Выберите "Файл " в меню.
3. Выберите Импорт.
4. Перейдите к расположению сохраненного файла резервной копии.
5. Выберите файл резервной копии и нажмите кнопку "Открыть".

Ознакомьтесь с процессом добавления, изменения или удаления подразделов реестра и значений с помощью файла .reg для получения подробностей.

Предоставление разрешений удостоверению личности

Это важно

Эти разрешения могут предоставлять только администратор привилегированных ролей или более поздней роли.

Управляемое удостоверение, назначаемое системой, использующее имя машины с поддержкой Arc, должно иметь следующие разрешения приложения Microsoft Graph (роли приложения):

• User.Read.All: разрешает доступ к сведениям пользователя Microsoft Entra.

• GroupMember.Read.All: разрешает доступ к данным группы Microsoft Entra.

• Application.Read.ALL: разрешает доступ к сведениям субъекта-службы (приложения) Microsoft Entra.

PowerShell можно использовать для предоставления необходимых разрешений управляемому удостоверению. Кроме того, можно создать группу с возможностью назначения ролей. После создания группы назначьте группе роль "Читатели каталогов" или разрешения User.Read.All, GroupMember.Read.All, и Application.Read.All, и добавьте в группу все управляемые удостоверения, назначенные системой для компьютеров с поддержкой Azure Arc. Мы не рекомендуем использовать роль читателей каталогов в рабочей среде.

Следующий скрипт PowerShell предоставляет необходимые разрешения управляемому удостоверению. Убедитесь, что этот скрипт запущен в PowerShell 7.5 или более поздней версии и установлен Microsoft.Graph модуль 2.28 или более поздней версии.

# Set your Azure tenant and managed identity name
$tenantID = '<Enter-Your-Azure-Tenant-Id>'
$managedIdentityName = '<Enter-Your-Arc-HostMachine-Name>'

# Connect to Microsoft Graph
try {
    Connect-MgGraph -TenantId $tenantID -ErrorAction Stop
    Write-Output "Connected to Microsoft Graph successfully."
}
catch {
    Write-Error "Failed to connect to Microsoft Graph: $_"
    return
}

# Get Microsoft Graph service principal
$graphAppId = '00000003-0000-0000-c000-000000000000'
$graphSP = Get-MgServicePrincipal -Filter "appId eq '$graphAppId'"
if (-not $graphSP) {
    Write-Error "Microsoft Graph service principal not found."
    return
}

# Get the managed identity service principal
$managedIdentity = Get-MgServicePrincipal -Filter "displayName eq '$managedIdentityName'"
if (-not $managedIdentity) {
    Write-Error "Managed identity '$managedIdentityName' not found."
    return
}

# Define roles to assign
$requiredRoles = @(
    "User.Read.All",
    "GroupMember.Read.All",
    "Application.Read.All"
)

# Assign roles using scoped syntax
foreach ($roleValue in $requiredRoles) {
    $appRole = $graphSP.AppRoles | Where-Object {
        $_.Value -eq $roleValue -and $_.AllowedMemberTypes -contains "Application"
    }

    if ($appRole) {
        try {
            New-MgServicePrincipalAppRoleAssignment   -ServicePrincipalId $managedIdentity.Id `
                -PrincipalId $managedIdentity.Id `
                -ResourceId $graphSP.Id `
                -AppRoleId $appRole.Id `
                -ErrorAction Stop

            Write-Output "Successfully assigned role '$roleValue' to '$managedIdentityName'."
        }
        catch {
            Write-Warning "Failed to assign role '$roleValue': $_"
        }
    }
    else {
        Write-Warning "Role '$roleValue' not found in Microsoft Graph AppRoles."
    }
}

Создание имен для входа и пользователей

Выполните действия, описанные в руководстве по Microsoft Entra , чтобы создать имена входа и пользователей для управляемого удостоверения.

Связанный контент

• Управляемое удостоверение для SQL Server с поддержкой Azure Arc
• Проверка подлинности Microsoft Entra для SQL Server
• Что такое управляемые удостоверения для ресурсов Azure?