Azure Arc tarafından etkinleştirilen SQL Server için yönetilen kimliği ve Microsoft Entra kimlik doğrulamasını ayarlama

Şunlar için geçerlidir: SQL Server 2025 (17.x)

• SQL Server 2022
• SQL Server 2025
• Azure SQL Veritabanı ve Azure SQL Yönetilen Örneği
• Azure VM'lerinde SQL Server

Bu makalede, Azure Arc tarafından etkinleştirilen SQL Server için Microsoft Entra Id yönetilen kimliğini ayarlamaya ve yapılandırmaya yönelik adım adım yönergeler sağlanır.

SQL Server ile yönetilen kimliğe genel bakış için bkz. Azure Arc tarafından etkinleştirilen SQL Server için yönetilen kimlik.

Önkoşullar

Azure Arc tarafından etkinleştirilen SQL Server ile yönetilen kimlik kullanabilmeniz için aşağıdaki önkoşulları karşıladığınızdan emin olun:

• Windows üzerinde çalışan SQL Server 2025 ve üzeri için desteklenir.
• SQL Server'ınızı Azure Arc'a bağlayın.
• SQL Server için Azure Uzantısı'nın en son sürümü.

Birincil yönetilen kimliği etkinleştirme

SQL Server için Azure Uzantısı'nı sunucunuza yüklediyseniz, SQL Server örneğiniz için birincil yönetilen kimliği doğrudan Azure portalından etkinleştirebilirsiniz. Ayrıca, kayıt defterini güncelleştirerek birincil yönetilen kimliği el ile etkinleştirmek de mümkündür, ancak çok dikkatli olunmalıdır.

Azure portalı

Azure portalında birincil yönetilen kimliği etkinleştirmek için şu adımları izleyin:

1. Azure portalında Azure Arc kaynağı tarafından etkinleştirilen SQL Server'ınıza gidin.

2. Ayarlar'ın altında Microsoft Entra Id ve Purview'u seçerek Microsoft Entra Id ve Purview sayfasını açın.

   Uyarı

   Microsoft Entra Id kimlik doğrulamasını etkinleştir seçeneğini görmüyorsanız SQL Server örneğinizin Azure Arc'a bağlı olduğundan ve en son SQL uzantısının yüklü olduğundan emin olun.

3. Microsoft Entra Id ve Purview sayfasında, Birincil yönetilen kimliği kullanın yanındaki kutuyu işaretleyin ve ardından Kaydet'i kullanarak yapılandırmanızı uygulayın.

   

El ile

Kayıt defterini güncelleştirerek SQL Server örneğinin birincil yönetilen kimliğini el ile etkinleştirmek mümkündür, ancak son derece dikkatli olunmalıdır.

Belirteçler klasörüne izin verme

Klasörde C:\ProgramData\AzureConnectedMachineAgent\Tokens\ işletim sistemi izinlerini SQL Server 2025 örneği hizmet hesabı için verin. Varsayılan olarak, hizmet hesabı NT Service\MSSQLSERVER'dir veya adlandırılmış örnekler için NT Service\MSSQL$<instancename>'dir.

Klasörden önce AzureConnectedMachineAgent klasördeki Tokens SQL Server hizmet hesabı için yönetici izinleri vermeniz gerekebilir:

Karma aracı uzantısı uygulamaları grubuna SQL Server hizmet hesabı ekleme

NT Service\MSSQLSERVER grubuna SQL Server hizmet hesabını (varsayılan: NT Service\MSSQL$instancename veya adlandırılmış örnekler için ) ekleyin.

• Windows Bilgisayar Yönetimi'ni açın.
• Yerel Kullanıcılar ve Gruplar'a gidin ve Gruplar'ı seçin.
• SQL Server hizmet hesabını Karma aracı uzantısı uygulamaları grubuna ekleyin.

Kayıt defterini güncelleştirme

Uyarı

Kayıt defterini yanlış düzenlemek sisteminize ciddi zararlar verebilir. Kayıt defterinde değişiklik yapmadan önce, bilgisayardaki değerli verileri yedeklemenizi öneririz.

Kayıt defterinde \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17.MSSQLSERVER\MSSQLServer\FederatedAuthentication alt anahtarını güncelleştirin.

Aşağıdaki girdileri oluşturun:

Entry	Değer
ArcServerManagedIdentityClientId	Boş (değer yok)
HIMDSApiVersion	2020-06-01
HIMDSEndpoint	http://localhost:40342/metadata/identity/oauth2/token
ArcServerSystemAssignedManagedIdentityTenantId	Arc-AAD-Tenant-ID
ArcServerSystemAssignedManagedIdentityClientId	Arc-Machine-Client-Id
PrimaryAADTenant	Arc-AAD-Tenant-ID
AADChannelMaxBufferedMessageSize	200000
AADGraphEndPoint	graph.windows.net
AADGroupLookupMaxRetryAttempts	10
AADGroupLookupMaxRetryDuration	30000
AADGroupLookupRetryInitialBackoff	100
AADServerAdminSid	00000000-0000-0000-0000-000000000000
AuthenticationEndpoint	login.microsoftonline.com
CacheMaxSize	300
ClientCertBlackList	Boş (değer yok)
FederationMetadataEndpoint	login.windows.net
GraphAPIEndpoint	graph.windows.net
IssuerURL	https://sts.windows.net/
OnBehalfOfAuthority	https://login.windows.net/
STSURL	https://login.windows.net/
MsGraphEndPoint	graph.microsoft.com
SendX5c	false
ServicePrincipalName	https://database.windows.net/
ServicePrincipalNameForArcadia	https://sql.azuresynapse.net
ServicePrincipalNameForArcadiaDogfood	https://sql.azuresynapse-dogfood.net
ServicePrincipalNameNoSlash	https://database.windows.net
AADBecWSConnectionPoolMaxSize	500

Kayıt defterini yedekleme ve düzenleme

Aşağıdaki bölümlerde Kayıt Defteri Düzenleyicisi ile kayıt defterini yedekleme ve düzenleme işlemleri açıklanmaktadır.

Kayıt Defteri Düzenleyicisi'ni açma

1. Çalıştır iletişim kutusunu açmak için Windows tuşu + R tuşlarına basın.
2. Yazın regedit ve Enter tuşuna basın.
3. Kullanıcı Hesabı Denetimi tarafından istenirse Evet'i seçin.

Kayıt defteri anahtarını yedekleme

Bu adım, herhangi bir değişiklik yapmadan önce kayıt defterini yedekler. Değişiklikleriniz bir soruna neden olursa bu dosyayı daha sonra kayıt defterine geri aktarabilirsiniz.

1. Menüden Dosya'ya tıklayın.
2. Dışa aktar'ı seçin.
3. Kayıt Defteri Dosyasını Dışarı Aktar iletişim kutusunda, yedeklemeyi kaydetmek için bir konum seçin.
4. Dosya adı alanına yedekleme dosyası için bir ad girin.
5. Dışarı Aktarma aralığında Tümünün seçildiğinden emin olun.
6. Kaydetseçeneğini seçin.

Girdi ekleme

Bu adımda, Kayıt Defteri Düzenleyicisi ile kayıt defterine girdiler eklersiniz.

1. Şu alt anahtara gidin: \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17.MSSQLSERVER\MSSQLServer\FederatedAuthentication.

2. FederatedAuthentication öğesine sağ tıklayın ve Dize Değeri'ne tıklayın.

   

3. Kayıt defterini güncelleştirme bölümünde listelenen her giriş için yineleyin

   Bu görüntüde doğru yapılandırılmış bir kayıt defteri gösterilmektedir:

   

Kayıt defteri anahtarını geri yükleme (gerekirse)

Önceki kayıt defteri ayarlarına geri yüklemeniz gerekiyorsa aşağıdaki adımları izleyin.

1. Daha önce açıklandığı gibi Kayıt Defteri Düzenleyicisi'ni açın.
2. Menüden Dosya'ya tıklayın.
3. İçeri aktar'ı seçin.
4. Kaydedilen yedekleme dosyanızın konumuna gidin.
5. Yedekleme dosyasını seçin ve Aç'ı seçin.

Ayrıntılar için, .reg dosyası kullanarak kayıt defteri alt anahtarlarını ve değerlerini ekleme, değiştirme veya silme makalesini gözden geçirin.

Kimliğe uygulama izinleri tanımak

Önemli

Bu izinleri yalnızca Ayrıcalıklı Rol Yöneticisi veya daha yüksek bir rol verebilir.

Arc özellikli makine adını kullanan sistem tarafından atanan yönetilen kimlik aşağıdaki Microsoft Graph uygulama izinlerine (uygulama rolleri) sahip olmalıdır:

• User.Read.All: Microsoft Entra kullanıcı bilgilerine erişime izin verir.

• GroupMember.Read.All: Microsoft Entra grup bilgilerine erişime izin verir.

• Application.Read.ALL: Microsoft Entra hizmet sorumlusu (uygulama) bilgilerine erişime izin verir.

Yönetilen kimliğe gerekli izinleri vermek için PowerShell'i kullanabilirsiniz. Alternatif olarak, rol atanabilir bir grup oluşturabilirsiniz. Grup oluşturulduktan sonra, Dizin Okuyucuları rolünü veya User.Read.All, GroupMember.Read.Allve Application.Read.All izinlerini gruba atayın ve Azure Arc özellikli makineleriniz için sistem tarafından atanan tüm yönetilen kimlikleri gruba ekleyin. Üretim ortamınızda Dizin Okuyucuları rolünü kullanmanızı önermiyoruz.

Aşağıdaki PowerShell betiği yönetilen kimliğe gerekli izinleri verir. Bu betiğin PowerShell 7.5 veya sonraki bir sürümde çalıştırıldığından ve modül 2.28 veya üzerinin Microsoft.Graph yüklü olduğundan emin olun.

# Set your Azure tenant and managed identity name
$tenantID = '<Enter-Your-Azure-Tenant-Id>'
$managedIdentityName = '<Enter-Your-Arc-HostMachine-Name>'

# Connect to Microsoft Graph
try {
    Connect-MgGraph -TenantId $tenantID -ErrorAction Stop
    Write-Output "Connected to Microsoft Graph successfully."
}
catch {
    Write-Error "Failed to connect to Microsoft Graph: $_"
    return
}

# Get Microsoft Graph service principal
$graphAppId = '00000003-0000-0000-c000-000000000000'
$graphSP = Get-MgServicePrincipal -Filter "appId eq '$graphAppId'"
if (-not $graphSP) {
    Write-Error "Microsoft Graph service principal not found."
    return
}

# Get the managed identity service principal
$managedIdentity = Get-MgServicePrincipal -Filter "displayName eq '$managedIdentityName'"
if (-not $managedIdentity) {
    Write-Error "Managed identity '$managedIdentityName' not found."
    return
}

# Define roles to assign
$requiredRoles = @(
    "User.Read.All",
    "GroupMember.Read.All",
    "Application.Read.All"
)

# Assign roles using scoped syntax
foreach ($roleValue in $requiredRoles) {
    $appRole = $graphSP.AppRoles | Where-Object {
        $_.Value -eq $roleValue -and $_.AllowedMemberTypes -contains "Application"
    }

    if ($appRole) {
        try {
            New-MgServicePrincipalAppRoleAssignment   -ServicePrincipalId $managedIdentity.Id `
                -PrincipalId $managedIdentity.Id `
                -ResourceId $graphSP.Id `
                -AppRoleId $appRole.Id `
                -ErrorAction Stop

            Write-Output "Successfully assigned role '$roleValue' to '$managedIdentityName'."
        }
        catch {
            Write-Warning "Failed to assign role '$roleValue': $_"
        }
    }
    else {
        Write-Warning "Role '$roleValue' not found in Microsoft Graph AppRoles."
    }
}

Oturumlar ve kullanıcılar oluşturma

Yönetilen kimlik için oturum açma bilgileri ve kullanıcılar oluşturmak için Microsoft Entra öğreticisindeki adımları izleyin.

İlgili içerik

• Azure Arc tarafından etkinleştirilen SQL Server için yönetilen kimlik
• Microsoft Entra kimlik doğrulaması , SQL Server için
• Azure kaynakları için yönetilen kimlikler nedir?