适用于:
SQL Server 2025 (17.x)
SQL Server 2025 (17.x) 包括对 Windows 上的 SQL Server 的托管标识支持。 使用托管标识通过 Microsoft Entra 身份验证与 Azure 中的资源进行交互。
概述
SQL Server 2025 (17.x) 引入了 对 Microsoft Entra 托管标识的支持。 使用托管标识向 Azure 服务进行身份验证,而无需管理凭据。 托管标识由 Azure 自动管理,可用于向支持 Microsoft Entra 身份验证的任何服务进行身份验证。 使用 SQL Server 2025(17.x),可以使用托管标识对入站连接进行身份验证,还可以对与 Azure 服务的出站连接进行身份验证。
将 SQL Server 实例连接到 Azure Arc 时,系统分配的托管标识会自动为 SQL Server 主机名创建。 创建托管标识后,必须通过更新注册表将标识与 SQL Server 实例和 Microsoft Entra 租户 ID 相关联。
有关设置的分步说明,请参阅 为由 Azure Arc 启用的 SQL Server 设置托管身份。
将托管标识与 Azure Arc 启用的 SQL Server 配合使用时,请考虑以下事项:
- 托管标识在 Azure Arc 服务器级别分配。
- 仅系统分配的托管标识受支持。
- SQL Server 使用此 Azure Arc 服务器级托管标识作为 主要托管标识。
- SQL Server 可以在
inbound和/或outbound连接中使用此主托管标识。-
Inbound connections是连接到 SQL Server 的登录名和用户。 从 SQL Server 2022(16.x)开始,也可以使用 应用注册来实现入站连接。 -
Outbound connections是与 Azure 资源的 SQL Server 连接,例如备份到 URL 或连接到 Azure Key Vault。
-
- 应用注册无法使 SQL Server 建立出站连接。 出站连接需要为 SQL Server 分配一个主要的托管标识。
- 对于 SQL Server 2025 及更高版本,建议使用基于托管标识的Microsoft Entra 设置,如本文所述。 或者,您可以配置一个应用注册用于 SQL Server 2025。
先决条件
在 Azure Arc 启用的 SQL Server 中使用托管标识之前,请确保满足以下先决条件:
有关详细的设置说明,请参阅 为 Azure Arc 启用的 SQL Server 设置托管标识。
局限性
将托管标识与 SQL Server 2025 配合使用时,请考虑以下限制:
- Microsoft Entra 身份验证的托管标识设置仅受已启用 Azure Arc 的 SQL Server 2025(在 Windows Server 上运行)的支持。
- SQL Server 需要访问 Azure 公有云才能使用 Microsoft Entra 身份验证。
- 不支持对故障转移群集实例使用 Microsoft Entra 身份验证。
- 启用Microsoft Entra 身份验证后,不建议禁用。 通过删除注册表项强制禁用Microsoft Entra 身份验证可能会导致 SQL Server 2025 出现不可预知的行为。
- 目前不支持使用 FIDO2 方法 通过 Microsoft Entra 身份验证向 Arc 计算机上的 SQL Server 进行身份验证。
-
OPENROWSET BULK 操作还可以读取令牌文件夹
C:\ProgramData\AzureConnectedMachineAgent\Tokens\。 该BULK选项需要ADMINISTER BULK OPERATIONS或ADMINISTER DATABASE BULK OPERATIONS权限。 这些权限应被视为等效于 sysadmin。