为 Azure Monitor SCOM 托管实例创建用户分配的标识

本文介绍如何创建用户分配的标识，提供对Azure SQL 托管实例的管理员访问权限，以及如何授予对密钥保管库的“获取”和“列出”访问权限。

注意

若要了解 Azure Monitor SCOM 托管实例体系结构，请参阅 Azure Monitor SCOM 托管实例。

创建托管服务标识

托管服务标识 (MSI) 提供标识，供应用程序在连接到支持Microsoft Entra ID身份验证的资源时使用。 对于 SCOM 托管实例，托管标识取代了传统的四个 System Center Operations Manager 服务帐户。 它用于访问 Azure SQL 托管实例 数据库。 它还用于访问密钥保管库。

注意

• 确保你是创建 MSI 的订阅中的参与者。
• MSI 必须对用于存储域帐户凭据的密钥保管库具有SQL 托管实例管理员权限和读取权限。

1. 登录 Azure 门户。 搜索，然后选择“托管标识”。

   

2. 在 “托管标识” 页上，选择“ 创建”。

   

   此时会打开 “创建用户分配的托管标识 ”窗格。

3. 在 “基本信息”下执行以下操作：

   • 项目详细信息：
     • 订阅：选择要在其中创建 SCOM 托管实例的 Azure 订阅。
     • 资源组：选择要在其中创建 SCOM 托管实例的资源组。
   • 实例详细信息：
     • 区域：选择要在其中创建 SCOM 托管实例的区域。
     • 名称：输入实例的名称。

   

4. 在完成时选择“下一步: 标记”。

5. 在“ 标记 ”选项卡上，输入 “名称” 值并选择资源。

   标记通过对多个资源和资源组应用相同的标记来帮助对资源进行分类并查看合并计费。 有关详细信息，请参阅使用标记对 Azure 资源和管理层次结构进行组织。

6. 选择“下一步: 审阅 + 创建”。

7. 在“ 审阅 + 创建 ”选项卡上，查看你提供的所有信息，然后选择“ 创建”。

   

部署现已在 Azure 上创建。 可以访问资源并查看其详细信息。

在 SQL 托管实例中设置Microsoft Entra管理员值

若要在步骤 3 中创建的 SQL 托管实例中设置Microsoft Entra管理员值，请执行以下步骤：

注意

必须具有订阅的全局管理员或特权角色管理员权限才能执行以下操作。

重要

目前不支持将组用作Microsoft Entra管理员。

1. 打开 SQL 托管实例。 在“设置”下，选择“Microsoft Entra管理员”。

   

2. 选择错误框消息，为Microsoft Entra ID上的 SQL 托管实例提供读取权限。 此时会打开“授予权限”窗格以授予权限。

   

3. 选择“授予权限”以启动操作，完成后，可以找到成功更新Microsoft Entra读取权限的通知。

   

4. 选择“ 设置管理员”，然后搜索 MSI。 此 MSI 与 SCOM 托管实例创建流期间提供的 MSI 相同。 找到添加到 SQL 托管实例的管理员。

   

5. 如果在添加托管标识帐户后收到错误，则表示尚未向标识提供读取权限。 请确保在创建 SCOM 托管实例之前提供必要的权限，否则 SCOM 托管实例创建失败。

   

有关权限的详细信息，请参阅 Azure SQL Microsoft Entra ID 中的目录读取者角色。

授予对密钥保管库的权限

若要授予对 步骤 4 中创建的密钥保管库的权限，请执行以下步骤：

1. 转到在 步骤 4 中创建的密钥保管库资源，然后选择 “访问策略”。

2. 在“访问策略”页面上，选择“创建”。

   

3. 在“ 权限 ”选项卡上，选择“ 获取 ”和“ 列表” 选项。

   

4. 选择“下一页”。

5. 在“ 主体 ”选项卡上，输入创建的 MSI 的名称。

6. 选择“下一页”。 选择在SQL 托管实例管理员配置中使用的同一 MSI。

   

7. 选择“下一步”>“创建”。

后续步骤

• 创建 gMSA 帐户