Роль читателя каталогов в идентификаторе Microsoft Entra для SQL Azure

Область применения: База данных SQL Azure Управляемый экземпляр SQL Azure Azure Synapse Analytics

Идентификатор Microsoft Entra (прежнее название — Azure Active Directory) представил группы для управления назначениями ролей. Это позволяет назначать роли Microsoft Entra группам.

Примечание.

Благодаря поддержке Microsoft Graph для Azure SQL можно заменить роль "Читатели каталогов" разрешениями более низкого уровня. Дополнительные сведения см. в статье об управляемом удостоверении, назначаемом пользователем, в Microsoft Entra для SQL Azure.

При включении управляемого удостоверения для База данных SQL Azure, Управляемый экземпляр SQL Azure или Azure Synapse Analytics роль читателей каталогов идентификаторов Microsoft Entra можно назначить удостоверению, чтобы разрешить доступ к API Microsoft Graph для чтения. Управляемое удостоверение базы данных SQL и Azure Synapse называется удостоверением сервера. Управляемое удостоверение управляемого экземпляра SQL называется удостоверением управляемого экземпляра и автоматически назначается при создании экземпляра. Дополнительные сведения о назначении удостоверения сервера База данных SQL или Azure Synapse см. в статье "Включение субъектов-служб" для создания пользователей Microsoft Entra.

Роль Читатели каталога можно использовать в качестве удостоверения сервера для выполнения следующих задач:

  • Создание имен входа Microsoft Entra для Управляемый экземпляр SQL
  • Олицетворения пользователей Microsoft Entra в SQL Azure
  • Перенос пользователей SQL Server, использующих проверка подлинности Windows для Управляемый экземпляр SQL с проверкой подлинности Microsoft Entra (с помощью команды ALTER USER (Transact-SQL)
  • Изменение администратора Microsoft Entra для Управляемый экземпляр SQL
  • Разрешить субъектам-службам (приложениям) создавать пользователей Microsoft Entra в SQL Azure

Примечание.

Идентификатор Microsoft Entra ранее был известен как Azure Active Directory (Azure AD).

назначение роли "Читатели каталога".

Чтобы назначить роль "Читатели каталога" удостоверению, требуется пользователь с разрешениями Глобальный администратор или Администратор привилегированных ролей. У пользователей, которые часто работают с базой данных SQL, управляемым экземпляром SQL или Azure Synapse, может не быть доступа к ролям с таким высоким уровнем привилегий. Это часто может приводить к осложнениям для пользователей, которые создают незапланированные ресурсы SQL Azure или которым нужна помощь от участников с ролями с высоким уровнем привилегий, которые зачастую недоступны в крупных организациях.

Для Управляемый экземпляр SQL роль читателя каталогов должна быть назначена управляемому удостоверению экземпляра, прежде чем настроить администратора Microsoft Entra для управляемого экземпляра.

Назначение роли читателей каталогов удостоверению сервера не требуется для База данных SQL или Azure Synapse при настройке администратора Microsoft Entra для логического сервера. Однако для включения создания объекта Microsoft Entra в База данных SQL или Azure Synapse от имени приложения Microsoft Entra требуется роль читателей каталогов. Если роль не назначена логическому удостоверению сервера, создание пользователей Microsoft Entra в SQL Azure завершится ошибкой. Дополнительные сведения см. в статье Microsoft Entra Service Principal with Azure SQL.

Предоставление роли читателей каталогов группе Microsoft Entra

Теперь вы можете создать группу Microsoft Entra глобального администратора или администратора привилегированных ролей и назначить разрешение читателя каталогов группе. Члены этой группы получат доступ к API Microsoft Graph. Кроме того, пользователи Microsoft Entra, являющиеся владельцами этой группы, могут назначать новых участников для этой группы, включая удостоверения логических серверов.

Для этого решения по-прежнему требуется пользователь с высоким уровнем привилегий (глобальный администратор или администратор привилегированных ролей) для создания группы и назначения пользователей в качестве одного действия, но владельцы групп Microsoft Entra смогут назначать дополнительных участников. Это устраняет необходимость в будущем включать пользователя с высоким уровнем привилегий для настройки всех База данных SQL, Управляемый экземпляр SQL или серверов Azure Synapse в клиенте Microsoft Entra.

Следующие шаги