Erstellen eines Servers mit aktivierter reiner Microsoft Entra-Authentifizierung in Azure SQL

Gilt für: Azure SQL-Datenbank Azure SQL Managed Instance

In dieser Schrittanleitung sind die Schritte zum Erstellen eines logischen Servers für Azure SQL-Datenbank oder einer Azure SQL Managed Instance mit aktivierter reiner Microsoft Entra-Authentifizierung während der Bereitstellung beschrieben. Mit dem Feature für die reine Microsoft Entra-Authentifizierung wird verhindert, dass Benutzer eine Verbindung mit dem Server oder der verwalteten Instanz per SQL-Authentifizierung herstellen. Die Verbindung kann also nur über die Microsoft Entra ID-Authentifizierung (früher Azure Active Directory) hergestellt werden.

Hinweis

Microsoft Entra ID war zuvor als Azure Active Directory (Azure AD) bekannt.

Voraussetzungen

  • Bei Verwendung der Azure CLI wird Version 2.26.1 oder höher benötigt. Weitere Informationen zur Installation und zur neuesten Version finden Sie unter Installieren der Azure CLI.
  • Bei Verwendung von PowerShell wird das Modul Az 6.1.0 oder höher benötigt.
  • Wenn Sie eine verwaltete Instanz mit der Azure CLI, mit PowerShell oder der REST-API bereitstellen, müssen Sie zunächst ein virtuelles Netzwerk und ein Subnetz erstellen. Weitere Informationen finden Sie unter Erstellen eines virtuellen Netzwerks für Azure SQL Managed Instance.

Berechtigungen

Um einen logischen Server oder eine verwaltete Instanz bereitzustellen, müssen Sie über die entsprechenden Berechtigungen zur Erstellung dieser Ressourcen verfügen. Azure-Benutzer mit höherem Berechtigungsgrad, z. B. Besitzer, Mitwirkende, Dienstadministratoren und Co-Admins von Abonnements, sind zum Erstellen eines SQL-Servers oder einer verwalteten Instanz berechtigt. Verwenden Sie zum Erstellen dieser Ressourcen mit der Azure RBAC-Rolle mit den geringstmöglichen Rechten die Rolle Mitwirkender von SQL Server für SQL-Datenbank und Mitwirkender für verwaltete SQL-Instanzen für SQL Managed Instance.

Die Azure RBAC-Rolle SQL-Sicherheits-Manager verfügt nicht über einen ausreichend hohen Berechtigungsgrad für die Erstellung eines Servers oder einer Instanz mit aktivierter reiner Microsoft Entra-Authentifizierung. Die Rolle SQL-Sicherheits-Manager ist erforderlich, um das Feature für die reine Microsoft Entra-Authentifizierung nach der Erstellung des Servers bzw. der Instanz verwalten zu können.

Durchführen der Bereitstellung mit aktivierter reiner Microsoft Entra-Authentifizierung

Der folgende Abschnitt enthält Beispiele und Skripts zur Erstellung eines logischen Servers oder einer verwalteten Instanz, wobei ein Microsoft Entra-Administrator für den Server bzw. die Instanz festgelegt ist und während der Servererstellung die reine Microsoft Entra-Authentifizierung aktiviert wird. Weitere Informationen zu diesem Feature finden Sie unter Reine Microsoft Entra-Authentifizierung mit Azure SQL.

In unseren Beispielen aktivieren wir die reine Microsoft Entra-Authentifizierung während der Erstellung eines Servers oder einer verwalteten Instanz mit einem systemseitig zugewiesenen Serveradministrator und Kennwort. Hierdurch wird der Zugriff des Serveradministrators verhindert, wenn die reine Microsoft Entra-Authentifizierung aktiviert ist, sodass nur der Microsoft Entra-Administrator auf die Ressource zugreifen kann. Optional können Sie den APIs Parameter hinzufügen, um während der Servererstellung Ihren eigenen Serveradministrator und Ihr Kennwort einzubeziehen. Das Kennwort kann aber erst zurückgesetzt werden, nachdem Sie die reine Microsoft Entra-Authentifizierung deaktiviert haben. Ein Beispiel für die Verwendung dieser optionalen Parameter zur Angabe des Anmeldenamens des Administrators auf dem Server finden Sie auf der Registerkarte PowerShell auf dieser Seite.

Hinweis

Sie sollten andere verfügbare APIs verwenden, um die vorhandenen Eigenschaften nach der Erstellung des Servers oder der verwalteten Instanz zu ändern. Weitere Informationen finden Sie unter Verwalten der reinen Microsoft Entra-Authentifizierung mithilfe von APIs und Konfigurieren und Verwalten der Microsoft Entra-Authentifizierung mit Azure SQL.

Wenn für die reine Microsoft Entra-Authentifizierung „false“ festgelegt ist (Standardeinstellung), muss bei der Erstellung des Servers oder der verwalteten Instanz in allen APIs ein Serveradministrator mit zugehörigem Kennwort angegeben werden.

Azure SQL-Datenbank

  1. Navigieren Sie in dem Azure-Portal zur Optionsseite SQL Bereitstellung auswählen.

  2. Wenn Sie nicht schon im Azure-Portal angemeldet sind, melden Sie sich auf Aufforderung an.

  3. Behalten Sie unter SQL-Datenbanken für Einzeldatenbank den festgelegten Wert Ressourcentyp bei, und wählen Sie Erstellen aus.

  4. Wählen Sie auf der Registerkarte Grundeinstellungen des Formulars SQL-Datenbank erstellen unter Projektdetails das gewünschte Abonnement für Azure aus.

  5. Wählen Sie unter Ressourcengruppe die Option Neu erstellen aus, geben Sie einen Namen für Ihre Ressourcengruppe ein, und wählen Sie OK aus.

  6. Geben Sie unter Datenbanknameeinen Namen für Ihre Datenbank ein.

  7. Wählen Sie unter Server die Option Neu erstellen aus, und füllen Sie das Formular Neuer Server mit den folgenden Werten aus:

    • Servername: Geben Sie einen eindeutigen Servernamen ein. Servernamen müssen global für alle Server in Azure eindeutig sein, nicht nur eindeutig innerhalb eines Abonnements. Geben Sie einen Wert ein, und das Azure-Portal teilt Ihnen mit, ob er verfügbar ist oder nicht.
    • Speicherort: Wählen Sie einen Speicherort aus der Dropdown-Liste
    • Authentifizierungsmethode: Wählen Sie Reine Microsoft Entra-Authentifizierung verwenden aus.
    • Wählen Sie Administrator festlegen aus, um den Bereich Microsoft Entra ID zu öffnen und einen Microsoft Entra-Prinzipal als Microsoft Entra-Administrator für logische Server auszuwählen. Wenn Sie fertig sind, verwenden Sie die Schaltfläche Auswählen, um Ihren Administrator festzulegen.

    Screenshot: Erstellung eines Servers mit aktivierter reiner Microsoft Entra-Authentifizierung.

  8. Klicken Sie auf Weiter: Netzwerk aus (im unteren Bereich der Seite).

  9. Wählen Sie auf der Registerkarte Netzwerk als Konnektivitätsmethode die Option Öffentlicher Endpunkt aus.

  10. Legen Sie bei Firewallregeln die Option Aktuelle Client-IP-Adresse hinzufügen auf Ja fest. Behalten Sie für Azure-Diensten und -Ressourcen den Zugriff auf diese Servergruppe gestatten den Wert Nein bei.

  11. Belassen Sie die Einstellungen für Verbindungsrichtlinie und TLS-Mindestversion auf ihren Standardwerten.

  12. Wählen Sie Weiter: Sicherheit unten auf der Seite aus. Konfigurieren Sie eine der Einstellungen für Microsoft Defender für SQL, Ledger,Identität und Transparente Datenverschlüsselung für Ihre Umgebung. Sie können diese Einstellungen auch überspringen.

    Hinweis

    Der Gebrauch einer benutzerseitig zugewiesenen verwalteten Identität als Serveridentität wird bei der reinen Microsoft Entra-Authentifizierung nicht unterstützt. Um eine Verbindung mit der Instanz als Identität herzustellen, weisen Sie sie einer Azure Virtual Machine zu, und führen Sie SSMS auf dieser VM aus. Für Produktionsumgebungen wird die Verwendung einer verwalteten Identität für den Microsoft Entra-Administrator aufgrund der verbesserten, vereinfachten Sicherheitsmaßnahmen mit kennwortloser Authentifizierung für Azure-Ressourcen empfohlen.

  13. Wählen Sie am unteren Rand der Seite die Option Bewerten + erstellen aus.

  14. Wählen Sie nach Überprüfung auf der Seite Überprüfen + erstellen die Option Erstellenaus.

Verwaltete Azure SQL-Instanz

  1. Navigieren Sie in dem Azure-Portal zur Optionsseite SQL Bereitstellung auswählen.

  2. Wenn Sie nicht schon im Azure-Portal angemeldet sind, melden Sie sich auf Aufforderung an.

  3. Lassen Sie den Ressourcentyp unter Verwaltete SQL-Instanzen auf Einfache Instanz festgelegt, und wählen Sie Erstellen aus.

  4. Geben Sie die für Projektdetails undDetails der verwalteten Instanz erforderlichen Informationen auf der Registerkarte Grundlagen an. Hierbei handelt es sich um die mindestens erforderlichen Informationen, die zum Bereitstellen einer verwalteten SQL-Instanz benötigt werden.

    Screenshot: Registerkarte „Grundlagen“ zum Erstellen einer SQL Managed Instance im Azure-Portal.

    Weitere Informationen zu den Konfigurationsoptionen finden Sie unter Schnellstart: Erstellen einer Instanz von Azure SQL Managed Instance.

  5. Wählen Sie unter Authentifizierung die Option Reine Microsoft Entra-Authentifizierung verwenden als Authentifizierungsmethode aus.

  6. Wählen Sie Administrator festlegen aus, um den Bereich Microsoft Entra ID zu öffnen, und wählen Sie einen Microsoft Entra-Prinzipal als Microsoft Entra-Administrator der verwalteten Instanz aus. Wenn Sie fertig sind, verwenden Sie die Schaltfläche Auswählen, um Ihren Administrator festzulegen.

    Azure-Portal-Screenshot der Registerkarte „SQL-verwaltete Instanz erstellen“ mit ausgewählter reiner Microsoft Entra-Authentifizierung des Benutzers.

  7. Sie können den Rest der Einstellungen unverändert lassen. Weitere Informationen zu den Registerkarten Netzwerk, Sicherheit oder anderen Registerkarten und Einstellungen finden Sie im Artikel Schnellstart: Erstellen einer Instanz von Azure SQL Managed Instance.

  8. Wenn Sie mit dem Konfigurieren Ihrer Einstellungen fertig sind, wählen Sie Überprüfen + erstellen aus, um fortzufahren. Wählen Sie Erstellen aus, um die Bereitstellung der verwalteten Instanz zu starten.

Gewähren von Berechtigungen der Art „Verzeichnisleseberechtigte“

Nachdem die Bereitstellung für Ihre verwaltete Instanz abgeschlossen ist, bemerken Sie ggf., dass SQL Managed Instance für den Zugriff auf Microsoft Entra ID Berechtigungen vom Typ Lesen benötigt. Leseberechtigungen können gewährt werden, indem im Azure-Portal von einer Person mit ausreichenden Berechtigungen die angezeigte Meldung ausgewählt wird. Weitere Informationen finden Sie unter Rolle „Verzeichnisleseberechtigte“ in Microsoft Entra ID für Azure SQL.

Screenshot: Microsoft Entra-Administratormenü im Azure-Portal mit erforderlichen Leseberechtigungen.

Begrenzungen

  • Damit das Kennwort des Serveradministrators zurückgesetzt werden kann, muss die reine Microsoft Entra-Authentifizierung deaktiviert werden.
  • Wenn die reine Microsoft Entra-Authentifizierung deaktiviert ist, müssen Sie bei Verwendung aller APIs einen Server mit einem Serveradministrator und einem Kennwort erstellen.