注意
Azure 監視器 SCOM 受控執行個體已不再受支援,而且計劃在 2026 年 9 月 30 日之前淘汰。 此內容將不再更新。 根據您的需求,建議使用 Azure 監視器 或 System Center Operations Manager 作為替代解決方案。
本文說明如何建立使用者指派的身分識別、為系統管理員提供 Azure SQL 受控執行個體的存取權,以及在金鑰保存庫上授與 [取得] 和 [列出] 存取權。
建立受控服務識別
受控服務識別 (MSI) 可為應用程式提供身分識別,以在其連線至支援 Microsoft Entra ID 驗證的資源時使用該身分識別。 針對 SCOM 受控執行個體,受控識別會取代傳統的四個 System Center Operations Manager 服務帳戶。 其用來存取 Azure SQL 受控執行個體資料庫。 其也可用來存取金鑰保存庫。
注意
- 確定您是建立 MSI 的訂用帳戶中的參與者。
- MSI 必須具有 SQL 受控執行個體的管理員權限,以及您用來儲存網域帳戶認證的金鑰保存庫讀取權限。
登入 Azure 入口網站。 搜尋並選取 [受控識別]。
在 [受控識別] 頁面上,選取 [建立]。
[建立使用者指派的受控識別] 窗格隨即開啟。
在 [基本]下方,執行下列步驟:
-
專案詳細資料:
- 訂用帳戶:選取您要在其中建立 SCOM 受控執行個體的 Azure 訂用帳戶。
- 資源群組:選取您要建立 SCOM 受控執行個體的資源群組。
-
執行個體詳細資料:
- 區域:選取要用來建立 SCOM 受控執行個體的區域。
- 名稱:輸入執行個體的名稱。
-
專案詳細資料:
選取 [下一步:標記]。
在 [標籤] 索引標籤上,輸入 [名稱] 值,然後選取資源。
標籤協助您將相同的標籤套用至多項資源與資源群組,以便替資源分類及檢視合併的帳單。 如需詳細資訊,請參閱使用標籤來組織 Azure 資源和管理階層。
完成時,選取 [下一步:檢閱 + 建立]。
在 [檢閱 + 建立] 索引標籤上檢閱您提供的資訊,然後選取 [建立]。
現在會在 Azure 建立您的部署。 您可以存取資源並檢視其詳細資料。
在 SQL 受控執行個體中設定 Microsoft Entra 系統管理員值
若要在您在步驟 3 中建立的 SQL 受控執行個體中設定 Microsoft Entra 系統管理員值,請遵循下列步驟:
注意
您必須具有訂用帳戶的特殊權限角色管理員權限,才能執行下列作業。
重要
目前不支援使用群組做為 Microsoft Entra 系統管理員。
開啟 SQL 受控執行個體。 在 [設定] 下,選取 [Microsoft Entra 系統管理員]。
選取錯誤方塊訊息,在 Microsoft Entra ID 上提供 SQL 受控執行個體的 [讀取] 權限。 [授與權限] 窗格隨即開啟,以授與權限。
選取 [授與權限] 以起始作業,一旦作業完成後,您就可以找到成功更新 Microsoft Entra 讀取權限的通知。
選取 [設定系統管理員],然後搜尋您的 MSI。 此 MSI 與您在 SCOM 受控執行個體建立流程期間所提供的 MSI 相同。 您會發現系統管理員已新增至 SQL 受控執行個體。
如果您在新增受控識別帳戶之後收到錯誤,表示尚未向您的身分識別提供讀取權限。 建立 SCOM 受控執行個體之前,請務必提供必要的權限,否則 SCOM 受控執行個體建立會失敗。
如需權限的詳細資訊,請參閱 Microsoft Entra ID 中 Azure SQL 的目錄讀取者角色。
授與金鑰保存庫的權限
若要授與您在步驟 4 中所建立金鑰保存庫的權限,請遵循下列步驟:
移至您在步驟 4 中所建立的金鑰保存庫資源,然後選取 [存取原則]。
在 [存取原則] 頁面上,選取 [建立]。
![顯示 [存取原則] 頁面的螢幕擷取畫面。](media/create-user-assigned-identity/access-policies.png)
在 [權限] 索引標籤中,選取 [取得] 和 [列出] 選項。
![顯示 [建立存取原則] 頁面的螢幕擷取畫面。](media/create-user-assigned-identity/create-access-policy.png)
選取 [下一步]。
在 [主體] 索引標籤上,輸入您所建立 MSI 的名稱。
選取 [下一步]。 選取您在 SQL 受控執行個體系統管理員設定中使用的相同 MSI。
![顯示 [主體] 索引標籤的螢幕擷取畫面。](media/create-user-assigned-identity/principal.png)
選取 [下一步]>[建立]。