使用 SQL 委派的系統管理員許可權安裝 Microsoft Entra 連線
在最新的 Microsoft Entra 連線組建之前,不支援在部署必要 SQL 的設定時,系統管理委派。 想要安裝 Microsoft Entra 的使用者連線需要有 SQL Server 的伺服器管理員 (SA) 許可權。
使用最新版的 Microsoft Entra 連線,現在可以由 SQL 系統管理員執行資料庫布建,然後由具有資料庫擁有者許可權的 Microsoft Entra 連線 系統管理員安裝。
開始之前
若要使用這項功能,您必須瞭解有數個移動元件,而且每個元件都可能涉及您組織中的不同系統管理員。 下表摘要說明使用此功能部署 Microsoft Entra 連線的個別角色及其各自的職責。
| 角色 | 描述 |
|---|---|
| 網域或樹系 AD 系統管理員 | 建立 Microsoft Entra 連線用來執行同步服務的網域層級服務帳戶。 如需服務帳戶的詳細資訊,請參閱 帳戶和許可權 。 |
| SQL 系統管理員 | 建立 ADSync 資料庫,並將登入 + dbo 存取權授與 Microsoft Entra 連線 系統管理員,以及網域/樹系管理員所建立的服務帳戶。 |
| Microsoft Entra 連線 系統管理員 | 安裝 Microsoft Entra 連線,並在自訂安裝期間指定服務帳戶。 |
使用 SQL 委派許可權安裝 Microsoft Entra 連線的步驟
若要在頻外布建資料庫,並使用資料庫擁有者許可權安裝 Microsoft Entra 連線,請使用下列步驟。
注意
雖然並非必要, 但強烈建議 在建立資料庫時選取Latin1_General_CI_AS定序。
讓 SQL 管理員istrator 使用不區分大小寫的定序序列 (Latin1_General_CI_AS) 建立 ADSync 資料庫。 安裝 Microsoft Entra 連線 時,復原模式、相容性層級和內含專案類型會更新為正確的值。 不過,SQL 系統管理員必須正確設定定序順序,否則 Microsoft Entra 連線會封鎖安裝。 若要復原 SA,必須刪除並重新建立資料庫。
將下列許可權授與 Microsoft Entra 連線 系統管理員和網域服務帳戶:
- SQL 登入
- 資料庫擁有者(dbo) 許可權。
注意
Microsoft Entra 連線不支援具有巢狀成員資格的登入。 這表示您的 Microsoft Entra 連線系統管理員帳戶和網域服務帳戶必須連結到已授與 dbo 許可權的登入。 它不能只是指派給具有 dbo 許可權之登入的群組成員。
傳送電子郵件給 Microsoft Entra 連線系統管理員,指出安裝 Microsoft Entra 連線時應該使用的 SQL 伺服器和實例名稱。
其他資訊
布建資料庫之後,Microsoft Entra 連線系統管理員可以在方便時安裝及設定內部部署同步處理。
如果 SQL 管理員istrator 已從先前的 Microsoft Entra 連線備份還原 ADSync 資料庫,您必須使用現有的資料庫來安裝新的 Microsoft Entra 連線 伺服器。 如需使用現有資料庫安裝 Microsoft Entra 連線的詳細資訊,請參閱 使用現有的 ADSync 資料庫 安裝 Microsoft Entra 連線。