使用 SQL 委派管理員權限安裝 Microsoft Entra Connect
除最新的 Microsoft Entra Connect 版本以外,舊版在部署必要 SQL 設定時均不支援管理委派。 若要安裝 Microsoft Entra Connect,使用者必須具有 SQL 伺服器的伺服器管理員 (SA) 權限。
現在,透過最新版的 Microsoft Entra Connect,SQL 系統管理員可執行頻外資料庫佈建,然後由具有資料庫擁有者權限的 Microsoft Entra Connect 管理員進行安裝。
開始之前
若要使用這項功能,您需要了解其中有數個移動組件,且每個組件都可能牽涉到組織中的不同系統管理員。 下表摘要說明了使用此功能部署 Microsoft Entra Connect 時的各角色,及其各自的責任。
| 角色 | 描述 |
|---|---|
| 網域或樹系 AD 系統管理員 | 建立可供 Microsoft Entra Connect 用來執行同步處理服務的網域層級服務帳戶。 如需服務帳戶的詳細資訊,請參閱帳戶和權限。 |
| SQL 系統管理員 | 建立 ADSync 資料庫,並授與 Microsoft Entra Connect 系統管理員登入 + dbo 的存取權,以及網域/樹系系統管理員所建立的服務帳戶。 |
| Microsoft Entra Connect 系統管理員 | 安裝 Microsoft Entra Connect,並在自訂安裝期間指定服務帳戶。 |
以 SQL 委派權限安裝 Microsoft Entra Connect 的步驟
若要在頻外佈建資料庫,並使用資料庫擁有者權限安裝 Microsoft Entra Connect,請使用下列步驟。
注意
雖然沒有必要,但強烈建議您在建立資料庫時選取 Latin1_General_CI_AS 定序。
讓 SQL 系統管理員使用不區分大小寫的定序序列 (Latin1_General_CI_AS) 建立 ADSync 資料庫。 安裝 Microsoft Entra Connect 後,復原模式、相容性層級和內含項目類型會更新為正確的值。 不過,SQL 系統管理員必須正確設定定序序列,否則 Microsoft Entra Connect 會阻止安裝。 若要復原 SA,就必須先刪除再重新建立資料庫。
向 Microsoft Entra Connect 系統管理員和網域服務帳戶授與下列權限:
- SQL 登入
- 資料庫擁有者 (dbo) 權限。
注意
Microsoft Entra Connect 不支援以巢狀成員資格登入。 此代表 Microsoft Entra Connect 系統管理員帳戶和網域服務帳戶必須連結至已獲得 dbo 權限的登入。 不能只是指派給登入 (具有 dbo 權限) 的群組成員。
傳送電子郵件給 Microsoft Entra Connect 系統管理員,其中須說明安裝 Microsoft Entra Connect 時所需的 SQL 伺服器和執行個體名稱。
其他資訊
佈建資料庫後,Microsoft Entra Connect 系統管理員便能在方便的情況下安裝及設定內部部署同步處理。
若 SQL 系統管理員已從先前的 Microsoft Entra Connect 備份還原 ADSync 資料庫,則必須使用現有資料庫安裝新的 Microsoft Entra Connect 伺服器。 如需以現有資料庫安裝 Microsoft Entra Connect 的詳細資訊,請參閱使用現有的 ADSync 資料庫安裝 Microsoft Entra Connect。