Skonfiguruj tożsamość zarządzaną i uwierzytelnianie Microsoft Entra dla SQL Server obsługiwanego przez Azure Arc

Dotyczy: SQL Server 2025 (17.x)

Ten artykuł zawiera instrukcje krok po kroku dotyczące ustawiania i konfigurowania zarządzanej tożsamości Microsoft Entra ID dla SQL Server obsługiwanej przez Azure Arc.

Aby zapoznać się z omówieniem tożsamości zarządzanej z SQL Server, zobacz Zarządzana tożsamość SQL Server włączona przez Azure Arc.

Wymagania wstępne

Przed użyciem tożsamości zarządzanej z funkcją SQL Server włączoną przez Azure Arc, upewnij się, że spełniasz następujące wymagania wstępne:

Obsługiwane dla SQL Server 2025 i nowszych, uruchomionych na systemie Windows.
Połączenie SQL Server z Azure Arc.
Najnowsza wersja rozszerzenia Azure dla SQL Server.

Włącz podstawową tożsamość zarządzaną

Jeśli na serwerze zainstalowano rozszerzenie Azure dla SQL Server, możesz włączyć podstawową tożsamość zarządzaną dla wystąpienia SQL Server bezpośrednio z portalu Azure. Istnieje również możliwość ręcznego włączenia podstawowej tożsamości zarządzanej przez zaktualizowanie rejestru, ale należy zachować szczególną ostrożność.

Portal Azure
Ręcznie

Aby włączyć podstawową tożsamość zarządzaną w portalu Azure, wykonaj następujące kroki:

Przejdź do zasobu SQL Server zarządzanego przez Azure Arc w portalu Azure.
W obszarze Settings wybierz Microsoft Entra ID i Purview aby otworzyć stronę Microsoft Entra ID i Purview.

Uwaga / Notatka

Jeśli nie widzisz opcji Enable Microsoft Entra ID authentication upewnij się, że wystąpienie SQL Server jest połączone z Azure Arc i że masz zainstalowane najnowsze rozszerzenie SQL.
Na stronie Microsoft Entra ID i Purview zaznacz pole wyboru obok Użyj podstawowej tożsamości zarządzanej a następnie użyj Zapisz aby zastosować konfigurację:

Istnieje możliwość ręcznego włączenia podstawowej tożsamości zarządzanej dla wystąpienia SQL Server przez zaktualizowanie rejestru, ale należy to zrobić z najwyższą ostrożnością.

Udzielanie uprawnień do folderu Tokens

Nadaj Read & execute uprawnienia systemowe do folderu C:\ProgramData\AzureConnectedMachineAgent\Tokens\ na konto usługi wystąpienia SQL Server 2025. Domyślnie konto usługi to NT Service\MSSQLSERVER, a dla nazwanych wystąpień NT Service\MSSQL$<instancename>.

Zrzut ekranu przedstawiający kartę Właściwości zabezpieczeń folderu Tokens.

Może być konieczne przyznanie uprawnień administratora dla konta usługi SQL Server w folderze AzureConnectedMachineAgent przed folderem Tokens:

Zrzut ekranu przedstawiający kartę Właściwości zabezpieczeń folderu AzureConnectedMachineAgent.

Dodawanie konta usługi SQL Server do grupy aplikacji rozszerzenia agenta hybrydowego

Dodaj konto usługi SQL Server (domyślne: NT Service\MSSQLSERVER lub NT Service\MSSQL$instancename dla nazwanych wystąpień) do grupy Hybrid agent extension applications.

Otwórz Windows Computer Management.
Przejdź do pozycji Użytkownicy i grupy lokalne i wybierz pozycję Grupy.
Dodaj konto usługi SQL Server do grupy aplikacji rozszerzeń agenta Hybrid.

Zrzut ekranu przedstawiający zarządzanie komputerem z grupą aplikacji rozszerzenia agenta hybrydowego.

Zrzut ekranu przedstawiający właściwości grupy aplikacji rozszerzenia agenta hybrydowego.

Aktualizowanie rejestru

Ostrzeżenie

Niewłaściwe edytowanie rejestru może poważnie uszkodzić system. Przed wprowadzeniem zmian w rejestrze zalecamy wykonanie kopii zapasowej wszystkich wartościowych danych na komputerze.

W rejestrze zaktualizuj \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17. MSSQLSERVER\MSSQLServer\FederatedAuthentication podklucz.

Utwórz następujące wpisy:

Entry	Wartość
`ArcServerManagedIdentityClientId`	Puste (bez wartości)
`HIMDSApiVersion`	`2020-06-01`
`HIMDSEndpoint`	`http://localhost:40342/metadata/identity/oauth2/token`
`ArcServerSystemAssignedManagedIdentityTenantId`	`Arc-AAD-Tenant-ID`
`ArcServerSystemAssignedManagedIdentityClientId`	`Arc-Machine-Client-Id`
`PrimaryAADTenant`	`Arc-AAD-Tenant-ID`
`AADChannelMaxBufferedMessageSize`	`200000`
`AADGraphEndPoint`	`graph.windows.net`
`AADGroupLookupMaxRetryAttempts`	`10`
`AADGroupLookupMaxRetryDuration`	`30000`
`AADGroupLookupRetryInitialBackoff`	`100`
`AADServerAdminSid`	`00000000-0000-0000-0000-000000000000`
`AuthenticationEndpoint`	`login.microsoftonline.com`
`CacheMaxSize`	`300`
`ClientCertBlackList`	Puste (bez wartości)
`FederationMetadataEndpoint`	`login.windows.net`
`GraphAPIEndpoint`	`graph.windows.net`
`IssuerURL`	`https://sts.windows.net/`
`OnBehalfOfAuthority`	`https://login.windows.net/`
`STSURL`	`https://login.windows.net/`
`MsGraphEndPoint`	`graph.microsoft.com`
`SendX5c`	`false`
`ServicePrincipalName`	`https://database.windows.net/`
`ServicePrincipalNameForArcadia`	`https://sql.azuresynapse.net`
`ServicePrincipalNameForArcadiaDogfood`	`https://sql.azuresynapse-dogfood.net`
`ServicePrincipalNameNoSlash`	`https://database.windows.net`
`AADBecWSConnectionPoolMaxSize`	`500`

Tworzenie kopii zapasowej i edytowanie rejestru

W poniższych sekcjach opisano sposób tworzenia kopii zapasowej i edytowania rejestru za pomocą Edytora rejestru.

Otwórz Edytor rejestru

Naciśnij klawisz Windows + R aby otworzyć okno dialogowe Uruchamianie.
Wpisz regedit i naciśnij Enter.
Jeśli zostanie wyświetlony monit o kontrolę konta użytkownika, wybierz pozycję Tak.

Tworzenie kopii zapasowej klucza rejestru

Ten etap wykonuje kopię zapasową rejestru przed wprowadzeniem jakichkolwiek zmian. Ten plik można zaimportować z powrotem do rejestru później, jeśli zmiany spowodują problem.

Wybierz pozycję Plik z menu.
Wybierz Eksportuj.
W oknie dialogowym Eksportowanie pliku rejestru wybierz lokalizację do zapisania kopii zapasowej.
Wprowadź nazwę pliku kopii zapasowej w polu Nazwa pliku .
Upewnij się, że wybrano pozycję Wszystko w zakresie Eksportuj.
Wybierz Zapisz.

Dodawanie wpisów

W tym kroku dodasz wpisy do rejestru za pomocą Edytora rejestru.

Przejdź do tego podklucza: \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17.MSSQLSERVER\MSSQLServer\FederatedAuthentication.
Kliknij prawym przyciskiem myszy pozycję FederatedAuthentication i wybierz pozycję Wartość ciągu.
Powtórz dla każdego wpisu wymienionego w temacie Aktualizowanie rejestru

Ten obraz przedstawia poprawnie skonfigurowany rejestr:

Przywracanie klucza rejestru (w razie potrzeby)

Jeśli musisz przywrócić do poprzednich ustawień rejestru, wykonaj następujące kroki.

Otwórz Edytor rejestru zgodnie z wcześniejszym opisem.
Wybierz pozycję Plik z menu.
Wybierz Importuj.
Przejdź do lokalizacji zapisanego pliku kopii zapasowej.
Wybierz plik kopii zapasowej i wybierz pozycję Otwórz.

Aby uzyskać szczegółowe informacje, zobacz How to add, modify, or delete registry subkeys and values by using a .reg file (Jak dodawać, modyfikować lub usuwać podklucze i wartości rejestru przy użyciu pliku .reg).

Przyznawanie uprawnień aplikacji dla tożsamości

Ważne

Tylko administrator ról uprzywilejowanych lub wyższa rola może przyznać te uprawnienia.

Aby włączyć uwierzytelnianie Microsoft Entra dla wystąpień SQL Server, każda systemowo przypisana tożsamość zarządzana wymaga User.Read.All, GroupMember.Read.All i Application.Read.All uprawnień do wykonywania zapytań Microsoft Graph. Aby uzyskać więcej informacji na temat tych uprawnień, zobacz:

User.Read.All: Zezwala na dostęp do Microsoft Entra informacji o użytkowniku.
GroupMember.Read.All: Zezwala na dostęp do Microsoft Entra informacji o grupie.
Application.Read.All: Zezwala na dostęp do informacji o jednostce usługi Microsoft Entra (aplikacji).

Te uprawnienia to uprawnienia na poziomie aplikacji (role aplikacji) i muszą być przypisane bezpośrednio do każdej tożsamości zarządzanej. Nie można przypisać ich ręcznie do grupy zabezpieczeń Microsoft Entra i przyznać członkom za pośrednictwem członkostwa w grupie. W przypadku środowisk z wieloma maszynami alternatywą jest przypisanie roli Directory Readers do grupy zabezpieczeń Microsoft Entra, której można przypisywać role, i dodanie tożsamości zarządzanych jako członków. W przeciwieństwie do uprawnień roli aplikacji, tę rolę w Microsoft Entra można przyznać na poziomie grupy, upraszczając zarządzanie na dużą skalę. Jednak Directory Readers przyznaje szeroki dostęp do odczytu we wszystkich obiektach katalogu, co znacznie przekracza trzy docelowe uprawnienia Graph API. Rola Czytelnicy katalogu nie jest zalecana w środowiskach produkcyjnych, w których wymagany jest dostęp z najniższymi uprawnieniami.

Poniższy skrypt programu PowerShell przyznaje wymagane uprawnienia tożsamości zarządzanej. Upewnij się, że ten skrypt jest uruchamiany w programie PowerShell 7.5 lub nowszej wersji i ma zainstalowany moduł Microsoft.Graph 2.28 lub nowszy.

# Set your Azure tenant and managed identity name
$tenantID = '<Enter-Your-Azure-Tenant-Id>'
$managedIdentityName = '<Enter-Your-Arc-HostMachine-Name>'

# Connect to Microsoft Graph
try {
    Connect-MgGraph -TenantId $tenantID -ErrorAction Stop
    Write-Output "Connected to Microsoft Graph successfully."
}
catch {
    Write-Error "Failed to connect to Microsoft Graph: $_"
    return
}

# Get Microsoft Graph service principal
$graphAppId = '00000003-0000-0000-c000-000000000000'
$graphSP = Get-MgServicePrincipal -Filter "appId eq '$graphAppId'"
if (-not $graphSP) {
    Write-Error "Microsoft Graph service principal not found."
    return
}

# Get the managed identity service principal
$managedIdentity = Get-MgServicePrincipal -Filter "displayName eq '$managedIdentityName'"
if (-not $managedIdentity) {
    Write-Error "Managed identity '$managedIdentityName' not found."
    return
}

# Define roles to assign
$requiredRoles = @(
    "User.Read.All",
    "GroupMember.Read.All",
    "Application.Read.All"
)

# Assign roles using scoped syntax
foreach ($roleValue in $requiredRoles) {
    $appRole = $graphSP.AppRoles | Where-Object {
        $_.Value -eq $roleValue -and $_.AllowedMemberTypes -contains "Application"
    }

    if ($appRole) {
        try {
            New-MgServicePrincipalAppRoleAssignment   -ServicePrincipalId $managedIdentity.Id `
                -PrincipalId $managedIdentity.Id `
                -ResourceId $graphSP.Id `
                -AppRoleId $appRole.Id `
                -ErrorAction Stop

            Write-Output "Successfully assigned role '$roleValue' to '$managedIdentityName'."
        }
        catch {
            Write-Warning "Failed to assign role '$roleValue': $_"
        }
    }
    else {
        Write-Warning "Role '$roleValue' not found in Microsoft Graph AppRoles."
    }
}

Twórz loginy i użytkowników

Wykonaj kroki opisane w samouczku Microsoft Entra aby utworzyć identyfikatory logowania i użytkowników dla tożsamości zarządzanej.

Opinia

Czy ta strona była pomocna?

Last updated on 2026-04-17