適用於:
SQL Server 2025 (17.x)
SQL Server 2025(17.x)在 Windows 上支援 SQL Server 的管理身份。 使用受控識別,使用 Microsoft Entra 驗證來與 Azure 中的資源互動。
概觀
SQL Server 2025 (17.x) 新增對 Microsoft Entra 管理身份的支援。 使用受控識別向 Azure 服務進行驗證,而不需要管理認證。 受控識別會自動由 Azure 管理,並可用來向支援 Microsoft Entra 驗證的任何服務進行驗證。 在 SQL Server 2025(17.x)中,你可以使用受管理身份來驗證入站連線,也能驗證 Azure 服務的出站連線。
當您將 SQL Server 實例連線到 Azure Arc 時,系統指派的受控識別會自動為 SQL Server 主機名建立。 建立受控識別之後,您必須藉由更新登錄,將身分識別與 SQL Server 實例和 Microsoft Entra 租使用者識別碼產生關聯。
若需逐步設定的說明,請參閱 透過 Azure Arc 啟用的 SQL Server 管理識別設定。
搭配 Azure Arc 啟用的 SQL Server 使用受控識別時,請考慮下列事項:
- 受管理的身分識別是在 Azure Arc 伺服器層級上指派的。
- 僅支援系統指派的受控識別。
- SQL Server 會使用此 Azure Arc 伺服器層級受控識別作為 主要受控識別。
- SQL Server 可以在
inbound和/或outbound連線中使用這個主要受控識別。-
Inbound connections是登入,而用戶會連線到 SQL Server。 從 SQL Server 2022 (16.x) 開始,也可以使用 應用程式註冊來達成輸入連線。 -
Outbound connections是 Azure 資源的 SQL Server 連線,例如備份至 URL 或連線到 Azure Key Vault。
-
- 應用程式註冊 無法 讓 SQL Server 進行輸出連線。 輸出連線需要指派給 SQL Server 的主要受控識別。
- 針對 SQL Server 2025 和更新版本,建議您使用受控識別型Microsoft Entra 安裝程式,如本文所述。 或者,您可以 設定 SQL Server 2025 的應用程式註冊。
先決條件
在您使用受控身分識別與藉由 Azure Arc 啟用的 SQL Server 之前,請確保符合下列必要條件:
詳細設定說明請參閱 Azure Arc 啟用的 SQL Server 管理身份設定。
局限性
搭配 SQL Server 2025 使用受控識別時,請考慮下列限制:
- Microsoft Entra 驗證的受控識別設定僅支援已啟用 Azure Arc 的 SQL Server 2025,在 Windows Server 上執行。
- SQL Server 需要存取 Azure 公用雲端,才能使用 Microsoft Entra 驗證。
- 不支援在故障轉移叢集實例中使用 Microsoft Entra 驗證。
- Microsoft啟用 Entra 驗證之後,不建議停用。 藉由刪除登錄項目強制停用 Microsoft Entra 驗證,可能會導致 SQL Server 2025 出現不可預測的行為。
- 目前不支援使用 Microsoft Entra 驗證並透過FIDO2 方法來對 Arc 機器上的 SQL Server 進行身份驗證。
-
OPENROWSET BULK 作業也可以讀取 token 資料夾
C:\ProgramData\AzureConnectedMachineAgent\Tokens\。 選項BULK需要ADMINISTER BULK OPERATIONS或ADMINISTER DATABASE BULK OPERATIONS許可權。 這些許可權應視為相當於 系統管理員。