使用 Azure 原則對 Azure SQL 強制執行僅限 Azure Active Directory 的驗證

適用于:Azure SQL資料庫 Azure SQL 受控執行個體

注意

此文章中討論的僅限 Azure AD 的驗證和相關聯的 Azure 原則功能目前為公開預覽狀態

此文章將引導您建立 Azure 原則,以便在使用者建立 Azure SQL 受控執行個體或適用於 Azure SQL Database 的邏輯伺服器時,強制執行僅限 Azure AD 的驗證。 若要在資源建立期間深入了解僅限 Azure AD 的驗證,請參閱在 Azure SQL 中建立伺服器並啟用僅限 Azure AD 的驗證

在本文中,您將學會如何:

  • 建立要強制執行邏輯伺服器或受控執行個體建立的 Azure 原則,並啟用僅限 Azure AD 的驗證
  • 檢查 Azure 原則合規性

必要條件

建立 Azure 原則

首先,建立 Azure 原則,以強制執行 SQL Database 或受控執行個體佈建,並啟用僅限 Azure AD 的驗證。

  1. 移至 Azure 入口網站

  2. 搜尋服務原則

  3. 在 [製作] 設定底下,選取 [定義]。

  4. 在 [定義] 方塊中,搜尋「僅限 Azure Active Directory 的驗證」。

    有兩個內建原則可用來強制執行僅限 Azure AD 的驗證。 其中一個適用於 SQL Database,另一個則適用於受控執行個體。

    • Azure SQL Database 應已啟用僅限 Azure Active Directory 驗證
    • Azure SQL 受控執行個體應已啟用僅限 Azure Active Directory 驗證

    僅限 Azure AD 驗證Azure 原則的螢幕擷取畫面

  5. 選取服務的原則名稱。 在此範例中,我們將使用 Azure SQL Database。 選取 [Azure SQL Database 應已啟用僅限 Azure Active Directory 驗證]。

  6. 選取新功能表中的 [指派]。

    注意

    功能表中的 JSON 指令碼會顯示內建原則定義,其可用來作為範本,以建置適用於 SQL Database 的自訂 Azure 原則。 預設值會設定為 Audit

    指派僅限 Azure AD 驗證Azure 原則的螢幕擷取畫面

  7. 在 [基本] 索引標籤中,使用方塊旁邊的選取器 (...) 來新增 [範圍]。

    選取僅限 Azure AD 驗證Azure 原則範圍的螢幕擷取畫面

  8. 在 [範圍] 窗格中,從下拉式功能表選取您的 [訂用帳戶],然後選取此原則的 [資源群組]。 完成之後,使用 [選取] 按鈕來儲存選取項目。

    注意

    如果您未選取資源群組,原則將會套用至整個訂用帳戶。

    新增僅限 Azure AD 驗證Azure 原則範圍的螢幕擷取畫面

  9. 當您回到 [基本] 索引標籤之後,自訂 [指派名稱],並提供選擇性的 [描述]。 請確定 [原則強制執行] 為 [已啟用]。

  10. 移至 [參數] 索引標籤。取消選取 [只顯示需要輸入的參數] 選項。

  11. 在 [效果] 底下,選取 [拒絕]。 此設定將可防止在未啟用僅限 Azure AD 驗證的情況下建立邏輯伺服器。

    僅限 Azure AD 驗證Azure 原則效果參數的螢幕擷取畫面

  12. 在 [不符合規範的訊息] 索引標籤中,您可以自訂原則訊息,以在發生原則違規時顯示。 此訊息可讓使用者知道在伺服器建立期間強制執行的原則。

    僅限 Azure AD 驗證Azure 原則不符合規範訊息的螢幕擷取畫面

  13. 選取 [檢閱 + 建立]。 檢閱原則,然後選取 [建立] 按鈕。

注意

可能需要一些時間,才能強制執行新建立的原則。

檢查原則合規性

您可以在 [原則] 服務底下檢查 [合規性] 設定,以查看合規性狀態。

搜尋您先前提供給原則的指派名稱。

僅限 Azure AD 驗證Azure 原則合規性的螢幕擷取畫面

使用僅限 Azure AD 的驗證來建立邏輯伺服器之後,原則報告將會在 [依合規性狀態分類的資源] 視覺效果底下增加計數器。 您將能夠看到符合規範或不符合規範的資源。

如果選擇原則所涵蓋的資源群組包含已建立的伺服器,原則報告將指出符合規範和不符合規範的資源。

注意

更新合規性報告可能需要一些時間。 與資源建立或僅限 Azure AD 的驗證設定相關的變更不會立即回報。

佈建伺服器

然後,您可以嘗試在指派 Azure 原則的資源群組中佈建邏輯伺服器或受控執行個體。 如果在伺服器建立期間啟用僅限 Azure AD 的驗證,佈建將會成功。 如果未啟用僅限 Azure AD 的驗證,佈建將會失敗。

如需詳細資訊,請參閱在 Azure SQL 中建立伺服器並啟用僅限 Azure AD 的驗證

後續步驟