Создание сервера с включенной проверкой подлинности только в Microsoft Entra в SQL Azure

Применимо к: База данных SQL Azure Управляемый экземпляр SQL Azure

В этом руководстве описаны действия по созданию логического сервера для База данных SQL Azure или Управляемый экземпляр SQL Azure с включенной проверкой подлинности только для Microsoft Entra во время подготовки. Функция проверки подлинности только для Microsoft Entra запрещает пользователям подключаться к серверу или управляемому экземпляру с помощью проверки подлинности SQL и разрешает только подключения, прошедшие проверку подлинности с помощью идентификатора Microsoft Entra (ранее — Azure Active Directory).

Примечание.

Идентификатор Microsoft Entra ранее был известен как Azure Active Directory (Azure AD).

Необходимые компоненты

  • При использовании Azure CLI требуется версия 2.26.1 или более поздняя. Дополнительные сведения об установке Azure CLI и последней версии см. в этой статье.
  • При использовании PowerShell необходимо использовать модуль AZ 6.1.0 или выше.
  • Когда вы подготавливаете управляемый экземпляр с помощью Azure CLI, PowerShell или REST API, перед началом работы необходимо создать виртуальную сеть и подсеть. Дополнительные сведения см. в статье о создании виртуальной сети для Управляемого экземпляра SQL Azure.

Разрешения

Чтобы подготовить к работе логический сервер или управляемый экземпляр, необходимы соответствующие разрешения для создания этих ресурсов. Пользователи Azure с разрешениями более высокого уровня, например владельцы подписок, участники, администраторы служб и соадминистраторы, имеют право на создание сервера SQL или управляемого экземпляра. Чтобы создать эти ресурсы с минимально привилегированной ролью Azure RBAC, используйте роль Участник SQL Server для Базы данных SQL и роль Участник управляемого экземпляра SQL для Управляемого экземпляра SQL.

Роль Диспетчера безопасности SQL Azure RBAC не имеет достаточных разрешений для создания сервера или экземпляра с включенной проверкой подлинности только для Microsoft Entra. Роль диспетчера безопасности SQL потребуется для управления функцией проверки подлинности только для Microsoft Entra после создания сервера или экземпляра.

Подготовка с включенной проверкой подлинности только для Microsoft Entra

В следующем разделе приведены примеры и сценарии по созданию логического сервера или управляемого экземпляра с набором администраторов Microsoft Entra для сервера или экземпляра и включена проверка подлинности только для Microsoft Entra во время создания сервера. Дополнительные сведения о функции см. в статье microsoft Entra-only authentication with Azure SQL.

В наших примерах мы включаем проверку подлинности только для Microsoft Entra во время создания сервера или управляемого экземпляра с администратором сервера и паролем назначаемого системой. Это позволит предотвратить доступ администратора сервера, если включена проверка подлинности только для Microsoft Entra, и только администратор Microsoft Entra может получить доступ к ресурсу. Необязательно добавлять параметры в интерфейсы API, чтобы включить собственный администратор сервера и пароль во время создания сервера. Однако пароль нельзя сбросить, пока не отключите проверку подлинности только для Microsoft Entra. Пример использования этих необязательных параметров для указания имени пользователя администратора сервера представлен на вкладке PowerShell на этой странице.

Примечание.

Чтобы изменить имеющиеся свойства после создания сервера или управляемого экземпляра, следует использовать другие имеющиеся интерфейсы API. Дополнительные сведения см. в разделе "Управление проверкой подлинности только для Microsoft Entra" с помощью API и настройки проверки подлинности Microsoft Entra с помощью SQL Azure и управления ими.

Если для проверки подлинности microsoft Entra задано значение false, то по умолчанию администратор сервера и пароль должны быть включены во все API во время создания сервера или управляемого экземпляра.

База данных SQL Azure

  1. Перейдите на страницу Выберите вариант развертывания SQL на портале Azure.

  2. Если вы еще не вошли на портал Azure, выполните вход при появлении соответствующего запроса.

  3. В разделе Базы данных SQL оставьте для параметра Тип ресурса значение Отдельная база данных и нажмите кнопку Создать.

  4. На вкладке Основные сведения формы Создание базы данных SQL в разделе Сведения о проекте выберите подходящую подписку Azure.

  5. В разделе Группа ресурсов щелкните Создать новую, введите имя группы ресурсов и нажмите ОК.

  6. В поле Имя базы данных введите имя для вашей базы данных.

  7. В группе Сервер выберите Создать и заполните форму создания сервера следующим образом:

    • В поле Имя сервера введите уникальное имя сервера. Имена серверов должны быть глобально уникальными для всех серверов в Azure, а не только в рамках подписки. Введите значение, и портал Azure сообщит вам, доступно оно или нет.
    • Расположение. Выберите расположение из раскрывающегося списка.
    • Метод проверки подлинности: выбор проверки подлинности только для Microsoft Entra.
    • Выберите "Задать администратора", чтобы открыть область идентификатора Microsoft Entra и выбрать субъект Microsoft Entra в качестве администратора логического сервера Microsoft Entra. Когда все будет готово, нажать кнопку Выбрать, чтобы задать администратора.

    Снимок экрана: создание сервера с включенной проверкой подлинности только для Microsoft Entra.

  8. В нижней части страницы нажмите кнопку Далее: сети.

  9. На вкладке Сеть в разделе Метод подключения выберите Общедоступная конечная точка.

  10. В разделе Правила брандмауэра установите переключатель Добавить текущий IP-адрес клиента в положение Да. Оставьте значение Нет для параметра Разрешить доступ к серверу службам и ресурсам Azure.

  11. Оставьте для параметров Политика подключения и Минимальная версия протокола TLS значения по умолчанию.

  12. Выберите Далее: безопасность доступа в нижней части страницы. Настройте любые параметры Microsoft Defender для SQL, реестра, удостоверений и прозрачного шифрования данных для своей среды. Вы также можете пропустить эти параметры.

    Примечание.

    Использование управляемого удостоверения, назначаемого пользователем, в качестве удостоверения сервера поддерживается только для проверки подлинности Microsoft Entra. Чтобы подключиться к экземпляру в качестве удостоверения, назначьте его виртуальной машине Azure и запустите SSMS на этой виртуальной машине. Для рабочих сред рекомендуется использовать управляемое удостоверение администратора Microsoft Entra из-за расширенных упрощенных мер безопасности с проверкой подлинности без пароля в ресурсах Azure.

  13. В нижней части страницы выберите Review + create (Проверить и создать).

  14. На странице Просмотр и создание после проверки нажмите кнопку Создать.

Управляемый экземпляр SQL Azure

  1. Перейдите на страницу Выберите вариант развертывания SQL на портале Azure.

  2. Если вы еще не вошли на портал Azure, выполните вход при появлении соответствующего запроса.

  3. В разделе Управляемые экземпляры SQL оставьте для параметра Тип ресурса значение Отдельная база данных и нажмите кнопку Создать.

  4. Заполните обязательные поля на вкладке Основное в разделах Сведения о проекте и Сведения об управляемом экземпляре. Это минимальный набор необходимых сведений для подготовки Управляемого экземпляра SQL.

    портал Azure снимок экрана: вкладка

    Дополнительные сведения о параметрах конфигурации см. в кратком руководстве по созданию Управляемый экземпляр SQL Azure.

  5. В разделе "Проверка подлинности" выберите "Использовать проверку подлинности только для Microsoft Entra" для метода проверки подлинности.

  6. Выберите "Задать администратора" , чтобы открыть область идентификатора Microsoft Entra и выбрать субъект Microsoft Entra в качестве администратора Microsoft Entra. Когда все будет готово, нажать кнопку Выбрать, чтобы задать администратора.

    портал Azure снимок экрана: вкладка

  7. Для остальных параметров можно оставить значения по умолчанию. Дополнительные сведения о вкладках и параметрах сети, безопасности и других параметров см. в руководстве по созданию Управляемый экземпляр SQL Azure.

  8. Настроив параметры, выберите Проверить и создать чтобы продолжить. Выберите Создать, чтобы начать подготовку управляемого экземпляра.

Предоставление разрешений для роли "Читатели каталогов"

После завершения развертывания для управляемого экземпляра можно заметить, что Управляемый экземпляр SQL требует разрешений на чтение для доступа к идентификатору Microsoft Entra. Разрешения на чтение можно предоставить, выбрав отображаемое сообщение в портал Azure человека с достаточными привилегиями. Дополнительные сведения см. в разделе "Читатели каталогов" в идентификаторе Microsoft Entra для SQL Azure.

Снимок экрана: меню администратора Microsoft Entra в портал Azure с необходимыми разрешениями на чтение.

Ограничения

  • Чтобы сбросить пароль администратора сервера, необходимо отключить проверку подлинности только для Microsoft Entra.
  • Если проверка подлинности только для Microsoft Entra отключена, необходимо создать сервер с администратором сервера и паролем при использовании всех API.