Freigeben über


Azure Policy für die reine Microsoft Entra-Authentifizierung mit Azure SQL

Gilt für: Azure SQL-Datenbank Azure SQL Managed Instance

Azure Policy kann die Erstellung einer Azure SQL-Datenbank oder Azure SQL Managed Instance durchsetzen, bei der die reine Microsoft Entra-Authentifizierung während der Bereitstellung aktiviert ist. Wenn diese Richtlinie eingerichtet ist, schlagen alle Versuche, einen logischen Server in Azure oder eine verwaltete Instanz zu erstellen, fehl, wenn bei der Erstellung nicht die reine Microsoft Entra-Authentifizierung aktiviert ist.

Hinweis

Obwohl Azure Active Directory (Azure AD) in Microsoft Entra ID umbenannt wurde, enthalten die Richtliniennamen derzeit den ursprünglichen Azure AD-Namen, sodass „reine Microsoft Entra-Authentifizierung“ und „reine Azure AD-Authentifizierung“ in diesem Artikel austauschbar verwendet werden.

Azure Policy kann auf das gesamte Azure-Abonnement oder nur innerhalb einer Ressourcengruppe angewendet werden.

Zwei neue integrierte Richtlinien wurden in Azure Policy eingeführt:

  • Für Azure SQL-Datenbank darf nur die Azure Active Directory-Authentifizierung aktiviert sein
  • Für Azure SQL Managed Instance darf nur die Azure Active Directory-Authentifizierung aktiviert sein

Weitere Informationen zu Azure Policy finden Sie unter Was ist Azure Policy? und Struktur von Azure Policy-Definitionen.

Berechtigungen

Eine Übersicht über die Berechtigungen, die zum Verwalten von Azure Policy erforderlich sind, finden Sie unter Azure RBAC-Berechtigungen in Azure Policy.

Aktionen

Wenn Sie eine benutzerdefinierte Rolle zum Verwalten von Azure Policy verwenden, sind die folgenden Aktionen erforderlich.

  • */Lesen
  • Microsoft.Authorization/policyassignments/*
  • Microsoft.Authorization/policydefinitions/*
  • Microsoft.Authorization/policyexemptions/*
  • Microsoft.Authorization/policysetdefinitions/*
  • Microsoft.PolicyInsights/*

Weitere Informationen zu benutzerdefinierten Rollen finden Sie unter Benutzerdefinierte Azure-Rollen.

Verwalten von Azure Policy für die reine Azure AD-Authentifizierung

Die Richtlinien für die reine Azure AD-Authentifizierung können Sie verwalten, indem Sie zum Azure-Portal wechseln und nach dem Dienst Policy suchen. Suchen Sie unter Definitionen nach Azure Active Directory-only authentication (Reine Azure Active Directory-Authentifizierung).

Screenshot der Azure-Richtlinie für die reine Azure AD-Authentifizierung.

Eine Anleitung finden Sie unter Durchsetzen der reinen Microsoft Entra-Authentifizierung mit Azure SQL unter Verwendung von Azure Policy.

Für diese Richtlinien gibt es drei Auswirkungen:

  • Überwachung: Die Standardeinstellung, mit der ein Überwachungsbericht in den Azure Policy-Aktivitätsprotokollen erfasst wird
  • Verweigern: Verhindert die Erstellung eines logischen Servers oder einer verwalteten Instanz ohne aktivierte reine Microsoft Entra-Authentifizierung mit Azure SQL
  • Deaktiviert: Deaktiviert die Richtlinie und verhindert nicht, dass Benutzer einen logischen Server oder eine verwaltete Instanz ohne aktivierte reine Microsoft Entra-Authentifizierung erstellen

Wenn Azure Policy für die reine Azure AD-Authentifizierung auf Verweigern festgelegt ist, schlägt die Erstellung eines logischen Servers oder einer verwalteten Instanz fehl. Die Details zu diesem Fehler werden im Aktivitätsprotokoll der Ressourcengruppe aufgezeichnet.

Richtlinienkonformität

Über die Einstellung Konformität des Diensts Policy können Sie den Konformitätszustand anzeigen. Der Konformitätszustand gibt an, ob der Server oder die verwaltete Instanz derzeit mit aktivierter reiner Microsoft Entra-Authentifizierung konform ist.

Azure Policy kann verhindern, dass ein neuer logischer Server oder eine verwaltete Instanz erstellt wird, ohne dass die reine Microsoft Entra-Authentifizierung aktiviert ist. Das Feature kann jedoch nach der Erstellung des Servers oder der verwalteten Instanz geändert werden. Wenn ein Benutzer die reine Microsoft Entra-Authentifizierung deaktiviert hat, nachdem der Server oder die verwaltete Instanz erstellt wurde, ist der Konformitätszustand Non-compliant, wenn Azure Policy auf Verweigern festgelegt ist.

Screenshot: Azure Policy-Menü „Compliance“ für reine Azure AD-Authentifizierung.

Begrenzungen

  • Azure Policy erzwingt die reine Azure AD-Authentifizierung während der Erstellung eines logischen Servers oder einer verwalteten Instanz. Sobald der Server erstellt wurde, können autorisierte Microsoft Entra-Benutzer mit speziellen Rollen (z. B. SQL Security Manager) das Feature der reinen Azure AD-Authentifizierung deaktivieren. Azure Policy erlaubt dies, aber in diesem Fall wird der Server oder die verwaltete Instanz im Konformitätsbericht als Non-compliant aufgeführt, und der Bericht gibt den Namen des Servers oder der verwalteten Instanz an.
  • Weitere Hinweise, bekannte Probleme und die erforderlichen Berechtigungen finden Sie unter Reine Microsoft Entra-Authentifizierung mit Azure SQL.

Nächster Schritt