使用 Azure Arc 的 SQL Server 設定受控身份及 Microsoft Entra 認證

適用於： SQL Server 2025 （17.x）

本文提供逐步指南，教您如何設定和配置由 Azure Arc 啟用的 Microsoft Entra ID 的受控身份，用於 SQL Server。

關於 SQL Server 管理身份的概述，請參見 Azure Arc 啟用的 SQL Server 管理身份。

先決條件

在使用 Azure Arc 啟用的 SQL Server 管理身份之前，請確保你符合以下先決條件：

支援 SQL Server 2025 及以後版本，運行於 Windows。
將您的 SQL Server 連線到 Azure Arc。
最新版的適用於 SQL Server 的 Azure 擴充功能。

啟用主要管理式識別

如果您已將適用於 SQL Server 的 Azure 擴充功能安裝到伺服器，您可以直接從 Azure 入口網站為您的 SQL Server 實例啟用主要受控識別。您也可以藉由更新登錄來手動啟用主要受控識別，但應謹慎執行。

Azure 入口網站
以手動方式

若要在 Azure 入口網站中啟用主要受控識別，請遵循下列步驟：

移至 Azure 入口網站，以查看由 Azure Arc 啟用的 SQL Server 資源。
在 [ 設定] 底下，選取 [Microsoft Entra ID 和 Purview ]，以開啟 [Microsoft Entra ID 和 Purview ] 頁面。

備註

如果您沒有看到 [ 啟用Microsoft專案標識符驗證 ] 選項，請確定您的 SQL Server 實例已連線到 Azure Arc，且已安裝最新的 SQL 擴充功能。
在 [Microsoft Entra ID 和 Purview ] 頁面上，核取 [ 使用主要受控識別 ] 旁的方塊，然後使用 [儲存 ] 來套用您的設定：

您可以藉由更新登錄來手動啟用 SQL Server 實例的主要受控識別，但應該謹慎執行。

將許可權授與 Tokens 資料夾

將資料夾的作業系統權限中的C:\ProgramData\AzureConnectedMachineAgent\Tokens\權限授予 SQL Server 2025 實例的服務帳戶。根據預設，服務帳戶為 NT Service\MSSQLSERVER，或針對具名實例，為 NT Service\MSSQL$<instancename>。

[令牌] 資料夾 [安全性屬性] 索引標籤的螢幕快照。

您可能需要先在 AzureConnectedMachineAgent 資料夾之前，為 Tokens 資料夾上的 SQL Server 服務帳戶授予管理員權限：

AzureConnectedMachineAgent 資料夾 [安全性屬性] 索引卷標的螢幕快照。

將 SQL Server 服務帳戶新增至混合式代理程式擴充應用程式群組

將 SQL Server 服務帳戶（預設值： NT Service\MSSQLSERVER 或具名實例） NT Service\MSSQL$instancename新增至 混合式代理程式擴充功能應用程式 群組。

開啟 [Windows 計算機管理]。
移至 [ 本機使用者和群組 ]，然後選取 [ 群組]。
將 SQL Server 服務帳戶新增至 混合式代理程式擴充功能應用程式 群組。

顯示混合式代理程式擴充功能應用程式群組的電腦管理螢幕快照。

混合式代理程式擴充功能應用程式群組屬性的螢幕快照。

更新登錄檔

警告

不正確編輯登錄可能會嚴重損壞您的系統。在變更登錄之前，建議您先備份電腦上的所有重要資料。

在登錄中，更新 \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17.MSSQLSERVER\MSSQLServer\FederatedAuthentication 子機碼。

建立下列項目：

Entry	價值觀
`ArcServerManagedIdentityClientId`	空白（無值）
`HIMDSApiVersion`	`2020-06-01`
`HIMDSEndpoint`	`http://localhost:40342/metadata/identity/oauth2/token`
`ArcServerSystemAssignedManagedIdentityTenantId`	`Arc-AAD-Tenant-ID`
`ArcServerSystemAssignedManagedIdentityClientId`	`Arc-Machine-Client-Id`
`PrimaryAADTenant`	`Arc-AAD-Tenant-ID`
`AADChannelMaxBufferedMessageSize`	`200000`
`AADGraphEndPoint`	`graph.windows.net`
`AADGroupLookupMaxRetryAttempts`	`10`
`AADGroupLookupMaxRetryDuration`	`30000`
`AADGroupLookupRetryInitialBackoff`	`100`
`AADServerAdminSid`	`00000000-0000-0000-0000-000000000000`
`AuthenticationEndpoint`	`login.microsoftonline.com`
`CacheMaxSize`	`300`
`ClientCertBlackList`	空白（無值）
`FederationMetadataEndpoint`	`login.windows.net`
`GraphAPIEndpoint`	`graph.windows.net`
`IssuerURL`	`https://sts.windows.net/`
`OnBehalfOfAuthority`	`https://login.windows.net/`
`STSURL`	`https://login.windows.net/`
`MsGraphEndPoint`	`graph.microsoft.com`
`SendX5c`	`false`
`ServicePrincipalName`	`https://database.windows.net/`
`ServicePrincipalNameForArcadia`	`https://sql.azuresynapse.net`
`ServicePrincipalNameForArcadiaDogfood`	`https://sql.azuresynapse-dogfood.net`
`ServicePrincipalNameNoSlash`	`https://database.windows.net`
`AADBecWSConnectionPoolMaxSize`	`500`

備份和編輯登錄

下列各節說明如何使用註冊表編輯器來備份和編輯登錄。

開啟註冊表編輯器

按 Windows 鍵 + R 以開啟 [執行] 對話框。
輸入 regedit ，然後按 Enter。
如果 [用戶帳戶控制] 出現提示，請選取 [ 是]。

備份登錄機碼

此步驟會先備份登錄，再進行任何變更。如果變更造成問題，您可以稍後將此檔案匯回登錄。

從功能表中選取 [ 檔案 ]。
選擇匯出。
在 [匯出登錄檔] 對話框中，選擇儲存備份的位置。
在 [檔案名] 欄位中輸入備份檔 的名稱 。
確定 [匯出範圍] 中已選取 [全部 ]。
選取 [儲存]。

新增項目

在此步驟中，您會使用註冊表編輯器將專案新增至登錄。

瀏覽此子機碼： \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17.MSSQLSERVER\MSSQLServer\FederatedAuthentication。
以滑鼠右鍵按兩下 FederatedAuthentication ，然後選取 [字串值]。
針對登錄中列出的每個項目進行重複操作

此圖片展示正確配置的註冊表：

還原登錄機碼（如有需要）

如果您需要還原至先前的登錄設定，請遵循下列步驟。

如先前所述開啟註冊表編輯器。
從功能表中選取 [ 檔案 ]。
選擇匯入。
流覽至已儲存備份檔的位置。
選取備份文件，然後選取 [開啟]。

如需詳細資訊，請參閱如何使用.reg檔案來新增、修改或刪除登錄子機碼和值。

將應用程式權限授予身份

這很重要

只有特殊許可權角色管理員或更高角色可以授與這些許可權。

系統指派的受控識別，其使用已啟用 Arc 的電腦名稱，必須具有下列Microsoft Graph 應用程式許可權（應用程式角色）：

User.Read.All：允許存取 Microsoft Entra 使用者資訊。
GroupMember.Read.All：允許存取 Microsoft Entra 群組資訊。
Application.Read.ALL：允許存取 Microsoft Entra 服務主體 (應用程式) 資訊。

您可以使用 PowerShell 將必要的許可權授與受控識別。或者，您可以建立可指派角色的群組。建立群組之後，請將目錄讀取者角色或 User.Read.All、和 GroupMember.Read.AllApplication.Read.All 許可權指派給群組，並將已啟用 Azure Arc 的機器的所有系統指派受控識別新增至群組。我們不建議在生產環境中使用 Directory Readers 角色。

下列 PowerShell 腳本會將必要的許可權授與受控識別。請確定此腳本是在 PowerShell 7.5 或更新版本上執行，並 Microsoft.Graph 已安裝模組 2.28 或更新版本。

# Set your Azure tenant and managed identity name
$tenantID = '<Enter-Your-Azure-Tenant-Id>'
$managedIdentityName = '<Enter-Your-Arc-HostMachine-Name>'

# Connect to Microsoft Graph
try {
    Connect-MgGraph -TenantId $tenantID -ErrorAction Stop
    Write-Output "Connected to Microsoft Graph successfully."
}
catch {
    Write-Error "Failed to connect to Microsoft Graph: $_"
    return
}

# Get Microsoft Graph service principal
$graphAppId = '00000003-0000-0000-c000-000000000000'
$graphSP = Get-MgServicePrincipal -Filter "appId eq '$graphAppId'"
if (-not $graphSP) {
    Write-Error "Microsoft Graph service principal not found."
    return
}

# Get the managed identity service principal
$managedIdentity = Get-MgServicePrincipal -Filter "displayName eq '$managedIdentityName'"
if (-not $managedIdentity) {
    Write-Error "Managed identity '$managedIdentityName' not found."
    return
}

# Define roles to assign
$requiredRoles = @(
    "User.Read.All",
    "GroupMember.Read.All",
    "Application.Read.All"
)

# Assign roles using scoped syntax
foreach ($roleValue in $requiredRoles) {
    $appRole = $graphSP.AppRoles | Where-Object {
        $_.Value -eq $roleValue -and $_.AllowedMemberTypes -contains "Application"
    }

    if ($appRole) {
        try {
            New-MgServicePrincipalAppRoleAssignment   -ServicePrincipalId $managedIdentity.Id `
                -PrincipalId $managedIdentity.Id `
                -ResourceId $graphSP.Id `
                -AppRoleId $appRole.Id `
                -ErrorAction Stop

            Write-Output "Successfully assigned role '$roleValue' to '$managedIdentityName'."
        }
        catch {
            Write-Warning "Failed to assign role '$roleValue': $_"
        }
    }
    else {
        Write-Warning "Role '$roleValue' not found in Microsoft Graph AppRoles."
    }
}

建立帳號和使用者

請遵循 Microsoft Entra 教學課程中的步驟，建立受控識別的登入和使用者。

意見反應

此頁面對您有幫助嗎？

Last updated on 2025-11-18