Konfigurera hanterad identitet och Microsoft Entra-autentisering för SQL Server som aktiveras av Azure Arc

Gäller för: SQL Server 2025 (17.x)

Den här artikeln innehåller stegvisa instruktioner för att ställa in och konfigurera den hanterade identiteten för Microsoft Entra ID till SQL Server aktiverad av Azure Arc.

En översikt över hanterad identitet med SQL Server finns i Hanterad identitet för SQL Server som aktiveras av Azure Arc.

Förutsättningar

Innan du kan använda en hanterad identitet med SQL Server aktiverat av Azure Arc kontrollerar du att du uppfyller följande krav:

Stöds för SQL Server 2025 och senare och körs i Windows.
Anslut DIN SQL Server till Azure Arc.
Den senaste versionen av Azure-tillägget för SQL Server.

Aktivera den primära hanterade identiteten

Om du har installerat Azure-tillägget för SQL Server på servern kan du aktivera den primära hanterade identiteten för SQL Server-instansen direkt från Azure-portalen. Det är också möjligt att aktivera den primära hanterade identiteten manuellt genom att uppdatera registret, men bör göras med stor försiktighet.

Azure Portal
manuellt

Följ dessa steg för att aktivera den primära hanterade identiteten i Azure-portalen:

Gå till din SQL Server som är aktiverad av Azure Arc-resursen i Azure-portalen.
Under Inställningar väljer du Microsoft Entra-ID och Purview för att öppna sidan Microsoft Entra-ID och Purview .

Anmärkning

Om du inte ser alternativet Aktivera Microsoft Entra-ID-autentisering kontrollerar du att SQL Server-instansen är ansluten till Azure Arc och att du har det senaste SQL-tillägget installerat.
På sidan Microsoft Entra-ID och Purview markerar du kryssrutan bredvid Använd en primär hanterad identitet och använder sedan Spara för att tillämpa konfigurationen:

Det går att aktivera den primära hanterade identiteten manuellt för SQL Server-instansen genom att uppdatera registret, men det bör göras med stor försiktighet.

Bevilja behörighet till mappen Tokens

Bevilja läs- och kör operativsystembehörigheter för mappen C:\ProgramData\AzureConnectedMachineAgent\Tokens\ till SQL Server 2025-instanstjänstkontot. Som standard är tjänstkontot NT Service\MSSQLSERVER, eller för namngivna instanser NT Service\MSSQL$<instancename>.

Skärmbild av fliken Säkerhetsegenskaper för tokenmappen.

Du kan behöva bevilja administratörsbehörigheter för SQL Server-tjänstkontot i AzureConnectedMachineAgent mappen före Tokens mappen:

Skärmbild av fliken Säkerhetsegenskaper för AzureConnectedMachineAgent-mapp.

Lägga till SQL Server-tjänstkonto i programgruppen hybridagenttillägg

Lägg till SQL Server-tjänstkontot (standard: NT Service\MSSQLSERVER eller för namngivna instanser, NT Service\MSSQL$instancename) i programgruppen hybridagenttillägg .

Öppna Windows Datorhantering.
Gå till Lokala användare och grupper och välj Grupper.
Lägg till SQL Server-tjänstkontot i programgruppen hybridagenttillägg .

Skärmbild av Datorhantering som visar programgruppen för hybridagenttillägget.

Skärmbild av egenskaperna för hybridagenttilläggets programgrupp.

Uppdatera registret

Varning

Felaktig redigering av registret kan allvarligt skada systemet. Innan du gör ändringar i registret rekommenderar vi att du säkerhetskopierar alla värdefulla data på datorn.

Uppdatera undernyckeln \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17.MSSQLSERVER\MSSQLServer\FederatedAuthentication i registret.

Skapa följande poster:

Entry	Värde
`ArcServerManagedIdentityClientId`	Tom (inget värde)
`HIMDSApiVersion`	`2020-06-01`
`HIMDSEndpoint`	`http://localhost:40342/metadata/identity/oauth2/token`
`ArcServerSystemAssignedManagedIdentityTenantId`	`Arc-AAD-Tenant-ID`
`ArcServerSystemAssignedManagedIdentityClientId`	`Arc-Machine-Client-Id`
`PrimaryAADTenant`	`Arc-AAD-Tenant-ID`
`AADChannelMaxBufferedMessageSize`	`200000`
`AADGraphEndPoint`	`graph.windows.net`
`AADGroupLookupMaxRetryAttempts`	`10`
`AADGroupLookupMaxRetryDuration`	`30000`
`AADGroupLookupRetryInitialBackoff`	`100`
`AADServerAdminSid`	`00000000-0000-0000-0000-000000000000`
`AuthenticationEndpoint`	`login.microsoftonline.com`
`CacheMaxSize`	`300`
`ClientCertBlackList`	Tom (inget värde)
`FederationMetadataEndpoint`	`login.windows.net`
`GraphAPIEndpoint`	`graph.windows.net`
`IssuerURL`	`https://sts.windows.net/`
`OnBehalfOfAuthority`	`https://login.windows.net/`
`STSURL`	`https://login.windows.net/`
`MsGraphEndPoint`	`graph.microsoft.com`
`SendX5c`	`false`
`ServicePrincipalName`	`https://database.windows.net/`
`ServicePrincipalNameForArcadia`	`https://sql.azuresynapse.net`
`ServicePrincipalNameForArcadiaDogfood`	`https://sql.azuresynapse-dogfood.net`
`ServicePrincipalNameNoSlash`	`https://database.windows.net`
`AADBecWSConnectionPoolMaxSize`	`500`

Säkerhetskopiera och redigera registret

I följande avsnitt beskrivs hur du säkerhetskopierar och redigerar registret med Registereditorn.

Öppna Registereditorn

Tryck på Windows-tangenten + R för att öppna dialogrutan Kör.
Skriv regedit och tryck på Retur.
Om du uppmanas av User Account Control väljer du Ja.

Säkerhetskopiera registernyckeln

Det här steget säkerhetskopierar registret innan du gör några ändringar. Du kan importera tillbaka den här filen till registret senare om dina ändringar orsakar ett problem.

Välj Arkiv på menyn.
Välj Exportera.
I dialogrutan Exportera registerfil väljer du en plats för att spara säkerhetskopian.
Ange ett namn för säkerhetskopieringsfilen i fältet Filnamn .
Kontrollera att Alla är markerat i exportintervallet.
Välj Spara.

Lägg till poster

I det här steget lägger du till poster i registret med Registereditorn.

Navigera i den här undernyckeln: \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17.MSSQLSERVER\MSSQLServer\FederatedAuthentication.
Högerklicka på FederatedAuthentication och välj Strängvärde.
Upprepa för varje post som anges i Uppdatera registret

Den här avbildningen visar ett korrekt konfigurerat register:

Återställa registernyckeln (om det behövs)

Följ dessa steg om du behöver återställa till tidigare registerinställningar.

Öppna Registereditorn enligt beskrivningen tidigare.
Välj Arkiv på menyn.
Välj Importera.
Navigera till platsen för den sparade säkerhetskopieringsfilen.
Välj säkerhetskopieringsfilen och välj Öppna.

Mer information finns i Lägga till, ändra eller ta bort registerundernycklar och värden med hjälp av en .reg fil.

Bevilja applikationsbehörigheter till identiteten

Viktigt!

Endast en privilegierad rolladministratör eller högre roll kan bevilja dessa behörigheter.

Den systemtilldelade hanterade identiteten, som använder det Arc-aktiverade datornamnet, måste ha följande Microsoft Graph-programbehörigheter (approller):

User.Read.All: Tillåter åtkomst till Microsoft Entra-användarinformation.
GroupMember.Read.All: Tillåter åtkomst till Microsoft Entra-gruppinformation.
Application.Read.ALL: Tillåter åtkomst till Microsoft Entra-tjänstens huvudnamn (program).

Du kan använda PowerShell för att bevilja nödvändiga behörigheter till den hanterade identiteten. Du kan också skapa en rolltilldelningsbar grupp. När gruppen har skapats tilldelar du rollen Katalogläsare eller behörigheten User.Read.All, GroupMember.Read.Alloch Application.Read.All till gruppen och lägger till alla systemtilldelade hanterade identiteter för dina Azure Arc-aktiverade datorer i gruppen. Vi rekommenderar inte att du använder rollen Katalogläsare i produktionsmiljön.

Följande PowerShell-skript ger den hanterade identiteten nödvändiga behörigheter. Kontrollera att skriptet körs på PowerShell 7.5 eller senare och att modulen Microsoft.Graph 2.28 eller senare är installerad.

# Set your Azure tenant and managed identity name
$tenantID = '<Enter-Your-Azure-Tenant-Id>'
$managedIdentityName = '<Enter-Your-Arc-HostMachine-Name>'

# Connect to Microsoft Graph
try {
    Connect-MgGraph -TenantId $tenantID -ErrorAction Stop
    Write-Output "Connected to Microsoft Graph successfully."
}
catch {
    Write-Error "Failed to connect to Microsoft Graph: $_"
    return
}

# Get Microsoft Graph service principal
$graphAppId = '00000003-0000-0000-c000-000000000000'
$graphSP = Get-MgServicePrincipal -Filter "appId eq '$graphAppId'"
if (-not $graphSP) {
    Write-Error "Microsoft Graph service principal not found."
    return
}

# Get the managed identity service principal
$managedIdentity = Get-MgServicePrincipal -Filter "displayName eq '$managedIdentityName'"
if (-not $managedIdentity) {
    Write-Error "Managed identity '$managedIdentityName' not found."
    return
}

# Define roles to assign
$requiredRoles = @(
    "User.Read.All",
    "GroupMember.Read.All",
    "Application.Read.All"
)

# Assign roles using scoped syntax
foreach ($roleValue in $requiredRoles) {
    $appRole = $graphSP.AppRoles | Where-Object {
        $_.Value -eq $roleValue -and $_.AllowedMemberTypes -contains "Application"
    }

    if ($appRole) {
        try {
            New-MgServicePrincipalAppRoleAssignment   -ServicePrincipalId $managedIdentity.Id `
                -PrincipalId $managedIdentity.Id `
                -ResourceId $graphSP.Id `
                -AppRoleId $appRole.Id `
                -ErrorAction Stop

            Write-Output "Successfully assigned role '$roleValue' to '$managedIdentityName'."
        }
        catch {
            Write-Warning "Failed to assign role '$roleValue': $_"
        }
    }
    else {
        Write-Warning "Role '$roleValue' not found in Microsoft Graph AppRoles."
    }
}

Skapa inloggningar och användare

Följ stegen i Microsoft Entra-självstudien för att skapa inlogg och användare för hanterad identitet.

Feedback

Var den här sidan till hjälp?

Last updated on 2025-11-18