Vytvoření serveru s povoleným ověřováním Microsoft Entra-only v Azure SQL

Platí pro: Azure SQL Database Azure SQL Managed Instance

Tento průvodce postupy popisuje postup vytvoření logického serveru pro Azure SQL Database nebo spravovanou instanci Azure SQL s povoleným ověřováním microsoft Entra-only během zřizování. Funkce ověřování Microsoft Entra-only brání uživatelům v připojení k serveru nebo spravované instanci pomocí ověřování SQL a povoluje pouze připojení ověřená pomocí Microsoft Entra ID (dříve Azure Active Directory).

Poznámka:

ID Microsoft Entra se dříve označovalo jako Azure Active Directory (Azure AD).

Požadavky

Oprávnění

Pokud chcete zřídit logický server nebo spravovanou instanci, budete muset mít příslušná oprávnění k vytvoření těchto prostředků. Uživatelé Azure s vyššími oprávněními, jako jsou vlastníci předplatného, přispěvatelé, správci služeb a spolusprávci, mají oprávnění k vytvoření SQL serveru nebo spravované instance. Pokud chcete vytvořit tyto prostředky s nejméně privilegovanou rolí Azure RBAC, použijte roli Přispěvatel SQL Serveru pro roli Přispěvatel SQL Database a Přispěvatel spravované instance SQL pro službu SQL Managed Instance.

Role Azure RBAC v Sql Security Manageru nemá dostatečná oprávnění k vytvoření serveru nebo instance s povoleným ověřováním Microsoft Entra-only. Po vytvoření serveru nebo instance bude vyžadována role Správce zabezpečení SQL ke správě funkce ověřování Microsoft Entra-only.

Zřízení s povoleným ověřováním Microsoft Entra-only

Následující část obsahuje příklady a skripty, jak vytvořit logický server nebo spravovanou instanci s nastaveným správcem Microsoft Entra pro server nebo instanci a povolit ověřování pouze Microsoft Entra během vytváření serveru. Další informace o této funkci najdete v tématu Ověřování pouze Microsoft Entra pomocí Azure SQL.

V našich příkladech povolujeme ověřování Microsoft Entra-only během vytváření serveru nebo spravované instance se systémem přiřazeným správcem serveru a heslem. To zabrání přístupu správce serveru, pokud je povolené ověřování pouze Microsoft Entra a umožní přístup k prostředku pouze správci Microsoft Entra. Do rozhraní API je volitelné přidat parametry, které při vytváření serveru zahrnou vlastního správce serveru a heslo. Heslo se ale nedá resetovat, dokud nezakažete ověřování microsoft Entra-only. Příklad použití těchto volitelných parametrů k určení přihlašovacího jména správce serveru se zobrazí na kartě PowerShellu na této stránce.

Poznámka:

Pokud chcete změnit existující vlastnosti po vytvoření serveru nebo spravované instance, měli byste použít další existující rozhraní API. Další informace naleznete v tématu Správa ověřování pouze Microsoft Entra pomocí rozhraní API a konfigurace a správa ověřování Microsoft Entra pomocí Azure SQL.

Pokud je ověřování Microsoft Entra-only nastaveno na false, což je ve výchozím nastavení, správce serveru a heslo musí být zahrnuty do všech rozhraní API během vytváření serveru nebo spravované instance.

Azure SQL Database

  1. Na webu Azure Portal přejděte na stránku Vybrat nasazení SQL.

  2. Pokud ještě nejste přihlášení k webu Azure Portal, přihlaste se po zobrazení výzvy.

  3. V části Databáze SQL ponechte typ prostředku nastavený na Jednoúčelová databáze a vyberte Vytvořit.

  4. Na kartě Základy ve formuláři Vytvořit databázi SQL v části Podrobnosti projektu vyberte požadované předplatné Azure.

  5. V části Skupina prostředků vyberte Vytvořit nový, zadejte název skupiny prostředků a vyberte OK.

  6. Jako název databáze zadejte název databáze.

  7. V části Server vyberte Vytvořit nový a vyplňte nový formulář serveru následujícími hodnotami:

    • Název serveru: Zadejte jedinečný název serveru. Názvy serverů musí být globálně jedinečné pro všechny servery v Azure, nejen jedinečné v rámci předplatného. Zadejte hodnotu a azure Portal vám dá vědět, jestli je dostupný nebo ne.
    • Umístění: Vyberte umístění z rozevíracího seznamu.
    • Metoda ověřování: Vyberte Použít ověřování pouze Microsoft Entra-only.
    • Výběrem možnosti Nastavit správce otevřete podokno Microsoft Entra ID a jako správce Microsoft Entra vyberte instanční objekt Microsoft Entra. Až budete hotovi, nastavte správce pomocí tlačítka Vybrat .

    Snímek obrazovky s vytvářením serveru s povoleným ověřováním Microsoft Entra-only

  8. Vyberte Další: Sítě v dolní části stránky.

  9. Na kartě Sítě vyberte pro metodu připojení veřejný koncový bod.

  10. U pravidel brány firewall nastavte možnost Přidat aktuální IP adresu klienta na hodnotu Ano. Ponechte možnost Povolit službám a prostředkům Azure přístup k tomuto serveru na hodnotu Ne.

  11. U zásad připojení a nastavení minimální verze protokolu TLS ponechte výchozí hodnotu.

  12. Vyberte Další: Zabezpečení v dolní části stránky. Nakonfigurujte všechna nastavení pro Microsoft Defender for SQL, Ledger, Identity a transparentní šifrování dat pro vaše prostředí. Tato nastavení můžete také přeskočit.

    Poznámka:

    Použití spravované identity přiřazené uživatelem, protože identita serveru je podporována ověřováním pouze Microsoft Entra. Pokud se chcete připojit k instanci jako identitu, přiřaďte ji k virtuálnímu počítači Azure a spusťte na tomto virtuálním počítači SSMS. V produkčních prostředích se doporučuje použití spravované identity pro správce Microsoft Entra z důvodu vylepšených a zjednodušených bezpečnostních opatření s ověřováním bez hesla k prostředkům Azure.

  13. Vyberte Zkontrolovat a vytvořit v dolní části stránky.

  14. Na stránce Zkontrolovat a vytvořit vyberte po kontrole možnost Vytvořit.

Azure SQL Managed Instance

  1. Na webu Azure Portal přejděte na stránku Vybrat nasazení SQL.

  2. Pokud ještě nejste přihlášení k webu Azure Portal, přihlaste se po zobrazení výzvy.

  3. V části Spravované instance SQL ponechte typ prostředku nastavený na Jednu instanci a vyberte Vytvořit.

  4. Vyplňte povinné informace požadované na kartě Základy pro podrobnosti projektu a podrobnosti o spravované instanci. Jedná se o minimální sadu informací potřebných ke zřízení spravované instance SQL.

    Snímek obrazovky webu Azure Portal s kartou Vytvořit spravovanou instanci SQL

    Další informace o možnostech konfigurace najdete v tématu Rychlý start: Vytvoření spravované instance Azure SQL.

  5. V části Ověřování vyberte Použít ověřování pouze Microsoft Entra-only pro metodu ověřování.

  6. Výběrem možnosti Nastavit správce otevřete podokno Microsoft Entra ID a jako správce spravované instance vyberte instanční objekt Microsoft Entra. Až budete hotovi, nastavte správce pomocí tlačítka Vybrat .

    Snímek obrazovky webu Azure Portal s vybranou kartou Vytvořit spravovanou instanci SQL a vybranou možností ověřování Microsoft Entra-only

  7. Zbývající nastavení můžete ponechat ve výchozím nastavení. Další informace o sítích, zabezpečení nebo jiných kartách a nastaveních najdete v průvodci rychlým startem: Vytvoření spravované instance Azure SQL.

  8. Až dokončíte konfiguraci nastavení, pokračujte výběrem možnosti Zkontrolovat a vytvořit . Výběrem možnosti Vytvořit zahájíte zřizování spravované instance.

Udělení oprávnění čtenáři adresáře

Po dokončení nasazení pro spravovanou instanci si můžete všimnout, že spravovaná instance SQL potřebuje oprávnění ke čtení pro přístup k Microsoft Entra ID. Oprávnění ke čtení je možné udělit tak, že na zobrazené zprávě na webu Azure Portal vybere osoba s dostatečnými oprávněními. Další informace najdete v tématu Role Čtenáře adresáře v Microsoft Entra ID pro Azure SQL.

Snímek obrazovky s nabídkou správce Microsoft Entra na webu Azure Portal zobrazující potřebná oprávnění ke čtení

Omezení

  • Chcete-li resetovat heslo správce serveru, musí být zakázáno ověřování microsoft Entra-only.
  • Pokud je ověřování Microsoft Entra-only zakázané, musíte při použití všech rozhraní API vytvořit server se správcem serveru a heslem.