Öğretici: Dizin Okuyucuları rolünü bir Azure AD grubuna atama ve rol atamalarını yönetme

Şunlar için geçerlidir: Azure SQL Veritabanı Azure SQL Yönetilen Örneği Azure Synapse Analytics

Bu makale, Azure Active Directory'de grup oluşturma (Azure AD) ve bu gruba Dizin Okuyucuları rolünü atama konusunda size yol gösterir. Dizin Okuyucuları izinleri, grup sahiplerinin gruba Azure SQL Veritabanı, Azure SQL Yönetilen Örneği ve Azure SynapseAnalytics'inyönetilen kimliği gibi ek üyeler eklemesine olanak sağlar. Bu, kiracıdaki her Azure SQL mantıksal sunucu kimliği için Dizin Okuyucuları rolünü doğrudan atamak için Genel Yönetici veya Ayrıcalıklı Rol Yöneticisi gereksinimini atlar.

Bu öğreticide rol atamalarını yönetmek için Azure AD gruplarını kullanma başlığında tanıtılan özellik kullanılır.

Azure SQL için bir Azure AD grubuna Dizin Okuyucuları rolünü atamanın avantajları hakkında daha fazla bilgi için bkz. Azure SQL için Azure Active Directory'de Dizin Okuyucuları rolü.

Not

Azure SQL için Microsoft Graph desteğiyle, Dizin Okuyucuları rolü daha düşük düzey izinler kullanılarak değiştirilebilir. Daha fazla bilgi için bkz. Azure SQL için Azure AD'de kullanıcı tarafından atanan yönetilen kimlik.

Önkoşullar

Azure portal kullanarak Dizin Okuyucuları rol ataması

Yeni grup oluşturma ve sahipler ile rol atama

  1. Bu ilk kurulum için Genel Yönetici veya Ayrıcalıklı Rol Yöneticisi izinlerine sahip bir kullanıcı gereklidir.

  2. Ayrıcalıklı kullanıcının Azure portal oturum açmasını sağlayın.

  3. Azure Active Directory kaynağına gidin. Yönetilen'in altında Gruplar'a gidin. Yeni grup oluşturmak için Yeni grup'u seçin.

  4. Grup türü olarak Güvenlik'i seçin ve kalan alanları doldurun. Azure AD rollerin gruba atanabileceği ayarınınEvet olarak değiştirildiğinden emin olun. Ardından gruba Azure AD Dizin okuyucuları rolünü atayın.

  5. oluşturulan gruba Azure AD kullanıcıları sahip olarak atayın. Grup sahibi, Azure AD yönetici rolü atanmadan normal bir AD kullanıcısı olabilir. Sahip, SQL Veritabanı, SQL Yönetilen Örneği veya Azure Synapse yöneten bir kullanıcı olmalıdır.

    aad-new-group

  6. Oluştur’u seçin

Oluşturulan grubu denetleme

Not

Grup TürününGüvenlik olduğundan emin olun. Microsoft 365 grupları Azure SQL için desteklenmez.

Oluşturulan grubu denetlemek ve yönetmek için Azure portal Gruplar bölmesine dönün ve grup adınızı arayın. Grubunuzu seçtikten sonra Yönet ayarının Sahipler ve Üyeler menüsüne ek sahipler ve üyeler eklenebilir. Grup için Atanan rolleri de gözden geçirebilirsiniz.

Üyeler, Sahipler ve Atanan roller için Ayarlar menülerini açan bağlantıların vurgulandığı Grup bölmesinin ekran görüntüsü.

Gruba Azure SQL yönetilen kimlik ekleme

Not

Bu örnek için SQL Yönetilen Örneği kullanıyoruz, ancak aynı sonuçları elde etmek için SQL Veritabanı veya Azure Synapse için benzer adımlar uygulanabilir.

Sonraki adımlar için Genel Yönetici veya Ayrıcalıklı Rol Yöneticisi kullanıcısı artık gerekli değildir.

  1. SQL Yönetilen Örneği yöneten kullanıcı olarak Azure portal oturum açın ve daha önce oluşturulan grubun sahibidir.

  2. Azure portal SQL yönetilen örnek kaynağınızın adını bulun.

    SQL örneği adı ssomitest ve ManagedInstance Alt Ağ adı vurgulanmış SQL yönetilen örnekleri ekranının ekran görüntüsü.

    SQL Yönetilen Örneği oluşturulurken örneğiniz için bir Azure kimliği oluşturuldu. Oluşturulan kimlik, SQL Yönetilen Örneği adınızın ön eki ile aynı ada sahiptir. Azure AD Uygulaması olarak oluşturulan SQL Yönetilen Örneği kimliğinizin hizmet sorumlusunu aşağıdaki adımları izleyerek bulabilirsiniz:

    • Azure Active Directory kaynağına gidin. Yönet ayarının altında Kurumsal uygulamalar'ı seçin. Nesne Kimliği, örneğin kimliğidir.

    SQL Yönetilen örneğinin Nesne Kimliği vurgulanmış bir Azure Active Directory kaynağının Kurumsal uygulamalar sayfasının ekran görüntüsü.

  3. Azure Active Directory kaynağına gidin. Yönetilen'in altında Gruplar'a gidin. Oluşturduğunuz grubu seçin. Grubunuzun Yönetilen ayarı altında Üyeler'i seçin. Üye ekle'yi seçin ve yukarıda bulunan adı arayarak SQL Yönetilen Örneği hizmet sorumlunuzu grubun üyesi olarak ekleyin.

    Sql Yönetilen örneğini yeni üye olarak ekleme seçeneklerinin vurgulandığı Azure Active Directory kaynağının Üyeler sayfasının ekran görüntüsü.

Not

Hizmet sorumlusu izinlerini Azure sistemi aracılığıyla yaymak ve Microsoft Graph API erişimine izin vermek birkaç dakika sürebilir. SQL Yönetilen Örneği için bir Azure AD yöneticisi sağlamadan önce birkaç dakika beklemeniz gerekebilir.

Açıklamalar

SQL Veritabanı ve Azure Synapse için, sunucu kimliği Azure SQL mantıksal sunucu oluşturma sırasında veya sunucu oluşturulduktan sonra oluşturulabilir. SQL Veritabanı veya Azure Synapse sunucu kimliğini oluşturma veya ayarlama hakkında daha fazla bilgi için bkz. Azure AD kullanıcıları oluşturmak için hizmet sorumlularını etkinleştirme.

SQL Yönetilen Örneği için, yönetilen örnek için bir Azure AD yöneticisi ayarlayabilmeniz için önce Dizin Okuyucuları rolünün yönetilen örnek kimliğine atanması gerekir.

Mantıksal sunucu için bir Azure AD yöneticisi ayarlanırken SQL Veritabanı veya Azure Synapse için Dizin Okuyucuları rolünü sunucu kimliğine atamak gerekmez. Ancak, Azure AD bir uygulama adına SQL Veritabanı veya Azure Synapse Azure AD nesne oluşturmayı etkinleştirmek için Dizin Okuyucuları rolü gereklidir. Rol SQL mantıksal sunucu kimliğine atanmazsa, Azure SQL'de Azure AD kullanıcı oluşturma başarısız olur. Daha fazla bilgi için bkz. Azure SQL ile Azure Active Directory hizmet sorumlusu.

PowerShell kullanarak Dizin Okuyucuları rol ataması

Önemli

Genel Yönetici veya Ayrıcalıklı Rol Yöneticisinin bu ilk adımları çalıştırması gerekir. PowerShell'e ek olarak Azure AD, Azure AD'da rol atanabilir grup oluşturma Graph API Microsoft Graph API sunar.

  1. Aşağıdaki komutları kullanarak Azure AD PowerShell modülünü indirin. PowerShell'i yönetici olarak çalıştırmanız gerekebilir.

    Install-Module azuread
    Import-Module azuread
    #To verify that the module is ready to use, use the following command:
    Get-Module azuread
    
  2. Azure AD kiracınıza bağlanın.

    Connect-AzureAD
    
  3. Dizin Okuyucuları rolünü atamak için bir güvenlik grubu oluşturun.

    • DirectoryReaderGroup, Directory Reader Groupve DirRead tercihinize göre değiştirilebilir.
    $group = New-AzureADMSGroup -DisplayName "DirectoryReaderGroup" -Description "Directory Reader Group" -MailEnabled $False -SecurityEnabled $true -MailNickName "DirRead" -IsAssignableToRole $true
    $group
    
  4. Gruba Dizin Okuyucuları rolü atayın.

    # Displays the Directory Readers role information
    $roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Directory Readers'" 
    $roleDefinition
    
    # Assigns the Directory Readers role to the group
    $roleAssignment = New-AzureADMSRoleAssignment -ResourceScope '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id
    $roleAssignment
    
  5. Gruba sahipler atayın.

    • öğesini, bu gruba sahip olmak istediğiniz kullanıcıyla değiştirin <username> . Bu adımlar yinelenerek çeşitli sahipler eklenebilir.
    $RefObjectID = Get-AzureADUser -ObjectId "<username>"
    $RefObjectID
    
    $GrOwner = Add-AzureADGroupOwner -ObjectId $group.ID -RefObjectId $RefObjectID.ObjectID
    

    Aşağıdaki komutu kullanarak grubun sahiplerini denetleyin:

    Get-AzureADGroupOwner -ObjectId $group.ID
    

    Grubun sahiplerini Azure portal de doğrulayabilirsiniz. Oluşturulan grubu denetleme bölümündeki adımları izleyin.

Hizmet sorumlusunu grubun üyesi olarak atama

Sonraki adımlar için Genel Yönetici veya Ayrıcalıklı Rol Yöneticisi kullanıcısı artık gerekli değildir.

  1. Azure SQL kaynağını da yöneten grubun sahibini kullanarak Azure AD bağlanmak için aşağıdaki komutu çalıştırın.

    Connect-AzureAD
    
  2. Hizmet sorumlusunu oluşturulan grubun üyesi olarak atayın.

    • değerini Azure SQL mantıksal sunucu adınız veya Yönetilen Örnek adınız ile değiştirin<ServerName>. Daha fazla bilgi için Gruba Azure SQL hizmet kimliği ekleme bölümüne bakın
    # Returns the service principal of your Azure SQL resource
    $miIdentity = Get-AzureADServicePrincipal -SearchString "<ServerName>"
    $miIdentity
    
    # Adds the service principal to the group as a member
    Add-AzureADGroupMember -ObjectId $group.ID -RefObjectId $miIdentity.ObjectId 
    

    Aşağıdaki komut, gruba eklendiğini belirten hizmet sorumlusu Nesne Kimliğini döndürür:

    Add-AzureADGroupMember -ObjectId $group.ID -RefObjectId $miIdentity.ObjectId
    

Sonraki adımlar