設定適用于 Azure Active Directory 的 Windows 驗證Azure SQL 受控執行個體

本文說明如何設定受控執行個體,以支援 Azure AD 主體的 Windows 驗證。 針對傳入的信任型驗證流程新式互動式驗證流程,設定 Azure SQL 受控執行個體的步驟都相同。

必要條件

若要為 Azure AD 主體設定 Windows 驗證的受控執行個體,需要下列必要條件:

必要條件 描述
Az.Sql PowerShell 模組 此 PowerShell 模組提供 Azure SQL 資源的管理 Cmdlet。

執行下列 PowerShell 命令來安裝此模組:Install-Module -Name Az.Sql
Azure Active Directory PowerShell 模組 本模組提供 Azure AD 管理工作的管理 Cmdlet,例如使用者和服務主體管理。

執行下列 PowerShell 命令來安裝此模組:Install-Module –Name AzureAD
受控執行個體 您可以建立新的受控執行個體,或使用現有的受控執行個體。 您必須在受控執行個體上啟用 Azure AD 驗證

為 Azure SQL 受控執行個體設定 Azure AD 驗證

若要為 Azure AD 主體啟用 Windows 驗證,需在每個受控執行個體上啟用系統指派的服務主體。 系統指派的服務主體可讓受控執行個體使用者使用 Kerberos 通訊協定進行驗證。 您也需要將管理員同意授與給每個服務主體。

啟用系統指派的服務主體

如何為受控執行個體啟用系統指派的服務主體:

  1. 登入 Azure 入口網站
  2. 瀏覽至受控執行個體
  3. 選取 [身分識別]。
  4. 系統指派的服務主體設定為 [開啟]。 Azure 入口網站中受控實例的身分識別窗格螢幕擷取畫面。在 [系統指派的服務主體] 下,[狀態] 標籤旁的選項按鈕已設定為 [開啟]。
  5. 選取 [儲存]。
  1. 登入 Azure 入口網站

  2. 開啟 Azure Active Directory。

  3. 選取 應用程式註冊

  4. 選取 [所有應用程式]Azure 入口網站的螢幕擷取畫面。Azure Active Directory 已開啟。左窗格中已選取應用程式註冊。應用程式應用程式會在右窗格中反白顯示。

  5. 選取顯示名稱與您的受控執行個體相符的應用程式。 名稱的格式:<managedinstancename> principal

  6. 選取 [API 權限]

  7. 選取 [授與管理員同意]。

    應用程式所設定許可權Azure 入口網站的螢幕擷取畫面。範例應用程式的狀態為 「授與 aadsqlmi」。

  8. 出現系統提示時,請選取 [是],以授與管理員同意確認

使用 Windows 驗證連線到受控執行個體

如果您已經實作傳入的信任型驗證流程新式互動式驗證流程,視用戶端的版本而定,您現在可以測試使用 Windows 驗證連線到受控執行個體。

若要測試與 SQL Server Management Studio (SSMS) 的連線,請遵循快速入門:使用 SSMS 連線到 Azure SQL Database 或 Azure SQL 受控執行個體並進行查詢中的步驟。 選取 [Windows 驗證] 做為驗證類型。

[來自SQL Server Management Studio的對話方塊,其受控實例名稱位於 [伺服器名稱] 區域中,並將 [驗證] 設定為 [Windows 驗證]。

下一步

深入了解 Azure SQL 受控執行個體上 Azure AD 主體的 Windows 驗證: