Role Čtenáři adresářů v Microsoft Entra ID pro Azure SQL
Platí pro: Azure SQL Database Azure SQL Managed InstanceAzure Synapse Analytics
Microsoft Entra ID (dříve Azure Active Directory) zavedl pomocí skupin pro správu přiřazení rolí. To umožňuje přiřazení rolí Microsoft Entra ke skupinám.
Poznámka:
S podporou Microsoft Graphu pro Azure SQL je možné roli Čtenáři adresáře nahradit pomocí oprávnění nižší úrovně. Další informace najdete v tématu Spravovaná identita přiřazená uživatelem v Microsoft Entra pro Azure SQL.
Při povolování spravované identity pro Azure SQL Database, Azure SQL Managed Instance nebo Azure Synapse Analytics je možné k identitě přiřadit roli Čtenáře adresáře Microsoft Entra ID, aby bylo možné povolit přístup pro čtení k rozhraní Microsoft Graph API. Spravovaná identita služby SQL Database a Azure Synapse se označuje jako identita serveru. Spravovaná identita služby SQL Managed Instance se označuje jako identita spravované instance a při vytváření instance se automaticky přiřadí. Další informace o přiřazování identity serveru ke službě SQL Database nebo Azure Synapse najdete v tématu Povolení instančních objektů k vytvoření uživatelů Microsoft Entra.
Roli Čtenáři adresáře je možné použít jako identitu serveru nebo instance, která vám pomůže:
- Vytvoření přihlášení Microsoft Entra pro službu SQL Managed Instance
- Zosobnění uživatelů Microsoft Entra v Azure SQL
- Migrace uživatelů SQL Serveru, kteří používají ověřování systému Windows do služby SQL Managed Instance s ověřováním Microsoft Entra (pomocí příkazu ALTER USER (Transact-SQL)
- Změna správce Microsoft Entra pro službu SQL Managed Instance
- Povolit instančním objektům (aplikacím) vytvářet uživatele Microsoft Entra v Azure SQL
Poznámka:
ID Microsoft Entra se dříve označovalo jako Azure Active Directory (Azure AD).
Přiřazení role Čtenáři adresáře
K přiřazení role Čtenáři adresáře k identitě je potřeba uživatel s oprávněními globálního správce nebo správce privilegovaných rolí. Uživatelé, kteří často spravují nebo nasazují službu SQL Database, SQL Managed Instance nebo Azure Synapse, nemusí mít k těmto vysoce privilegovaným rolím přístup. To může často způsobit komplikace pro uživatele, kteří vytvářejí neplánované prostředky Azure SQL, nebo potřebují pomoc od vysoce privilegovaných členů rolí, kteří jsou často nepřístupní ve velkých organizacích.
Pro spravovanou instanci SQL musí být role Čtenáři adresáře přiřazena identitě spravované instance, abyste mohli nastavit správce Microsoft Entra pro spravovanou instanci.
Přiřazení role Čtenáře adresáře k identitě serveru se při nastavování správce Microsoft Entra pro logický server nevyžaduje pro službu SQL Database ani Azure Synapse. Pokud však chcete povolit vytváření objektů Microsoft Entra ve službě SQL Database nebo Azure Synapse jménem aplikace Microsoft Entra, je vyžadována role Čtenáře adresáře. Pokud není role přiřazená k identitě logického serveru, vytvoření uživatelů Microsoft Entra v Azure SQL selže. Další informace najdete v tématu Instanční objekt Microsoft Entra s Azure SQL.
Udělení role Čtenáři adresáře skupině Microsoft Entra
Teď můžete mít globálního správce nebo správce privilegovaných rolí, vytvořit skupinu Microsoft Entra a přiřadit ke skupině oprávnění Čtenáře adresáře. To umožní přístup k rozhraní Microsoft Graph API pro členy této skupiny. Kromě toho mohou uživatelé Microsoft Entra, kteří jsou vlastníky této skupiny, přiřazovat nové členy této skupiny, včetně identit logických serverů.
Toto řešení stále vyžaduje uživatele s vysokými oprávněními (globální správce nebo správce privilegovaných rolí), který vytvoří skupinu a přiřadí uživatele jako jednorázovou aktivitu, ale vlastníci skupin Microsoft Entra budou moct přiřazovat další členy. To eliminuje nutnost zahrnout uživatele s vysokým oprávněním v budoucnu, aby nakonfiguroval všechny databáze SQL, spravované instance SQL nebo servery Azure Synapse ve svém tenantovi Microsoft Entra.