Azure Active Directory 中適用於 Azure SQL 的 Directory 讀者角色

適用于:Azure SQL Database Azure SQL 受控執行個體 Azure Synapse Analytics

Azure Active Directory (Azure AD) 導入了使用 Azure AD 群組來管理角色指派的功能。 此功能可將 Azure AD 角色指派給群組。

注意

有了適用於 Azure SQL 的 Microsoft Graph 支援,您可以使用較低層級的權限取代「目錄讀取者」角色。 如需詳細資訊,請參閱 Azure AD 中適用於 Azure SQL 的使用者指派受控識別

為 Azure SQL Database、Azure SQL 受控執行個體或 Azure Synapse Analytics 啟用受控識別時,可以將 Azure AD 目錄讀者角色指派給身分識別,以允許存取 Microsoft Graph API。 SQL Database 和 Azure Synapse 的受控識別稱為伺服器身分識別。 SQL 受控執行個體的受控識別稱為受控執行個體身分識別,會在執行個體建立時自動指派。 如需將伺服器身分識別指派給 SQL Database 或 Azure Synapse 的詳細資訊,請參閱啟用服務主體以建立 Azure AD 使用者

目錄讀者角色可作為伺服器或執行個體身分識別,以利:

  • 建立 SQL 受控執行個體的 Azure AD 登入
  • 在 Azure SQL 中模擬 Azure AD 使用者
  • 將使用 Windows 驗證的 SQL Server 使用者遷移至使用 Azure AD 驗證的 SQL 受控執行個體 (使用 ALTER USER (Transact-SQL) 命令)
  • 變更 SQL 受控執行個體的 Azure AD 管理員
  • 允許服務主體 (應用程式) 在 Azure 中建立 Azure AD 使用者 SQL

指派目錄讀者角色

若要將目錄讀者角色指派給身分識別,需要具有全域管理員特殊權限角色管理員權限的使用者。 經常管理或部署 SQL Database、SQL 受控執行個體或 Azure Synapse 的使用者,可能無權存取這些高特殊權限的角色。 如果使用者建立了未規劃的 Azure SQL 資源,或需要高特殊權限的角色成員予以協助,然而在大型組織中通常無法接觸到這些成員,這常會帶來麻煩。

針對 SQL 受控執行個體,必須先將目錄讀者角色指派給受控執行個體身分識別,才能設定受控執行個體的 Azure AD 管理員

設定邏輯伺服器的 Azure AD 管理員時,對於 SQL Database 或 Azure Synapse,不需要將目錄讀者角色指派給伺服器身分識別。 不過,若要在 SQL Database 或 Azure Synapse 中代表 Azure AD 應用程式啟用 Azure AD 物件建立,則需要目錄讀者角色。 如果角色未指派給 SQL 邏輯伺服器身分識別,將無法在 Azure SQL 中建立 Azure AD 使用者。 如需詳細資訊,請參閱使用 Azure SQL 的 Azure Active Directory 服務主體

將目錄讀者角色授與 Azure AD 群組

現在,您可以讓全域管理員特殊權限角色管理員建立 Azure AD 群組,並將目錄讀者權限指派給該群組。 這將使此群組的成員能夠存取 Microsoft Graph API。 此外,也允許擁有此群組的 Azure AD 使用者指派此群組的新成員,包括 Azure SQL 邏輯伺服器的身分識別。

此解決方案仍需要由具高權限的使用者 (全域管理員或特殊權限角色管理員) 一次性建立群組並指派使用者,但 Azure AD 群組擁有者後續將能夠指派其他成員。 如此,您往後就不需要由高特殊權限使用者在其 Azure AD 租用戶中設定所有的 SQL Database、SQL 受控執行個體或 Azure Synapse 伺服器。

後續步驟