Katalogläsarroll i Microsoft Entra-ID för Azure SQL
Gäller för:
Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics
Microsoft Entra-ID (tidigare Azure Active Directory) har introducerats med hjälp av grupper för att hantera rolltilldelningar. På så sätt kan Microsoft Entra-roller tilldelas till grupper.
Kommentar
Med Microsoft Graph-stöd för Azure SQL kan katalogläsarrollen ersättas med behörigheter på lägre nivå. Mer information finns i Användartilldelad hanterad identitet i Microsoft Entra för Azure SQL.
När du aktiverar en hanterad identitet för Azure SQL Database, Azure SQL Managed Instance eller Azure Synapse Analytics kan microsoft Entra ID Directory Readers-rollen tilldelas identiteten för att tillåta läsåtkomst till Microsoft Graph-API:et. Den hanterade identiteten för SQL Database och Azure Synapse kallas för serveridentiteten. Den hanterade identiteten för SQL Managed Instance kallas för den hanterade instansidentiteten och tilldelas automatiskt när instansen skapas. Mer information om hur du tilldelar en serveridentitet till SQL Database eller Azure Synapse finns i Aktivera tjänstens huvudnamn för att skapa Microsoft Entra-användare.
Katalogläsarrollen kan användas som server- eller instansidentitet för att hjälpa dig:
- Skapa Microsoft Entra-inloggningar för SQL Managed Instance
- Personifiera Microsoft Entra-användare i Azure SQL
- Migrera SQL Server-användare som använder Windows-autentisering till SQL Managed Instance med Microsoft Entra-autentisering (med kommandot ALTER USER (Transact-SQL)
- Ändra Microsoft Entra-administratören för SQL Managed Instance
- Tillåt att tjänstens huvudnamn (program) skapar Microsoft Entra-användare i Azure SQL
Kommentar
Microsoft Entra-ID är det nya namnet för Azure Active Directory (Azure AD). Vi uppdaterar dokumentationen just nu.
Tilldela rollen Katalogläsare
För att tilldela rollen Katalogläsare till en identitet krävs en användare med behörighet som global administratör eller privilegierad rolladministratör. Användare som ofta hanterar eller distribuerar SQL Database, SQL Managed Instance eller Azure Synapse kanske inte har åtkomst till dessa mycket privilegierade roller. Detta kan ofta orsaka komplikationer för användare som skapar oplanerade Azure SQL-resurser eller behöver hjälp från mycket privilegierade rollmedlemmar som ofta är otillgängliga i stora organisationer.
För SQL Managed Instance måste katalogläsarrollen tilldelas till den hanterade instansidentiteten innan du kan konfigurera en Microsoft Entra-administratör för den hanterade instansen.
Att tilldela rollen Katalogläsare till serveridentiteten krävs inte för SQL Database eller Azure Synapse när du konfigurerar en Microsoft Entra-administratör för den logiska servern. För att kunna skapa Microsoft Entra-objekt i SQL Database eller Azure Synapse för ett Microsoft Entra-program krävs dock rollen Katalogläsare . Om rollen inte har tilldelats den logiska serveridentiteten misslyckas skapandet av Microsoft Entra-användare i Azure SQL. Mer information finns i Microsoft Entra-tjänstens huvudnamn med Azure SQL.
Bevilja katalogläsarrollen till en Microsoft Entra-grupp
Nu kan du låta en global administratör eller privilegierad rolladministratör skapa en Microsoft Entra-grupp och tilldela katalogläsarbehörigheten till gruppen. Detta ger åtkomst till Microsoft Graph API för medlemmar i den här gruppen. Dessutom kan Microsoft Entra-användare som är ägare till den här gruppen tilldela nya medlemmar för den här gruppen, inklusive identiteter för de logiska servrarna.
Den här lösningen kräver fortfarande en användare med hög behörighet (global administratör eller privilegierad rolladministratör) för att skapa en grupp och tilldela användare som en engångsaktivitet, men Microsoft Entra-gruppägarna kommer att kunna tilldela ytterligare medlemmar framöver. Detta eliminerar behovet av att involvera en användare med hög behörighet i framtiden för att konfigurera alla SQL-databaser, SQL Managed Instances eller Azure Synapse-servrar i sin Microsoft Entra-klientorganisation.
Nästa steg
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för