Freigeben über


Konfiguration der Azure SQL Managed Instance für Windows-Authentifizierung für Microsoft Entra ID

Gilt für: Azure SQL Managed Instance

In diesem Artikel wird beschrieben, wie Sie eine verwaltete Instanz konfigurieren, um die Windows-Authentifizierung für Prinzipale in Microsoft Entra ID (ehemals Azure Active Directory) zu unterstützen. Die Schritte zum Einrichten von Azure SQL Managed Instance sind für den eingehenden vertrauensbasierten Authentifizierungsflow und den modernen interaktiven Authentifizierungsflow identisch.

Voraussetzungen

Die folgenden Voraussetzungen sind erforderlich, um eine verwaltete Instanz für die Windows-Authentifizierung für Microsoft Entra-Prinzipale zu konfigurieren:

Voraussetzung BESCHREIBUNG
PowerShell-Modul „Az.Sql“ Dieses PowerShell-Modul stellt Cmdlets für die Verwaltung von Azure SQL-Ressourcen zur Verfügung.

Installieren Sie dieses Modul, indem Sie den folgenden PowerShell-Befehl ausführen: Install-Module -Name Az.Sql
Microsoft Graph-PowerShell-Modul Dieses Modul bietet Verwaltungs-Cmdlets für Microsoft Entra-Verwaltungsaufgaben wie die Verwaltung von Benutzern und Dienstprinzipalen.

Installieren Sie dieses Modul, indem Sie den folgenden PowerShell-Befehl ausführen: Install-Module –Name Microsoft.Graph
Eine verwaltete Instanz Sie können eine neue verwaltete Instanz erstellen oder eine vorhandene verwaltete Instanz verwenden. Sie müssen für die verwaltete Instanz die Microsoft Entra-Authentifizierung aktivieren.

Konfiguration der Microsoft Entra-Authentifizierung für Azure SQL Managed Instance

Um die Windows-Authentifizierung für Microsoft Entra-Prinzipale zu aktivieren, müssen Sie für jede verwaltete Instanz einen systemseitig zugewiesenen Dienstprinzipal aktivieren. Der systemseitig zugewiesene Dienstprinzipal ermöglicht den Benutzern der verwalteten Instanz die Authentifizierung über das Kerberos-Protokoll. Außerdem müssen Sie für jeden Dienstprinzipal eine Administratoreinwilligung erteilen.

Aktivieren eines systemseitig zugewiesenen Dienstprinzipals

So aktivieren Sie einen systemseitig zugewiesenen Dienstprinzipal für eine verwaltete Instanz

  1. Melden Sie sich beim Azure-Portal an.
  2. Navigieren Sie zu Ihrer verwalteten Instanz.
  3. Wählen Sie Identität aus.
  4. Legen Sie Vom System zugewiesener Dienstprinzipal auf Ein fest. Screenshot: Bereich „Identität“ für eine verwaltete Instanz im Azure-Portal. Mit „Vom System zugewiesenen Dienstprinzipal“ auf „Ein“ festgelegt.
  5. Wählen Sie Speichern.
  1. Melden Sie sich beim Azure-Portal an.

  2. Öffnen Sie Microsoft Entra ID.

  3. Wählen Sie App-Registrierungen aus.

  4. Wählen Sie Alle Anwendungen aus. Screenshot der Microsoft Entra-ID-Ressource im Azure-Portal, wobei im linken Bereich App-Registrierungen ausgewählt ist.

  5. Wählen Sie die Anwendung aus, deren Anzeigename Ihrer verwalteten Instanz entspricht. Der Name weist folgendes Format auf: <managedinstancename> principal.

  6. Wählen Sie API-Berechtigungen anfordern aus.

  7. Wählen Sie Administratoreinwilligung erteilen aus.

    Screenshot: Azure-Portal mit den konfigurierten Berechtigungen für Anwendungen. Der Status für die Beispielanwendung lautet „Erteilt für aadsqlmi“.

  8. Wählen Sie bei Aufforderung zur Bestätigung der Administratoreinwilligung die Option Ja aus.

Herstellen einer Verbindung mit der verwalteten Instanz per Windows-Authentifizierung

Wenn Sie (je nach Version Ihres Clients) bereits entweder den eingehenden vertrauensbasierten Authentifizierungsflow oder den modernen interaktiven Authentifizierungsflow implementiert haben, können Sie jetzt die Verbindungsherstellung mit Ihrer verwalteten Instanz per Windows-Authentifizierung testen.

Zum Testen der Verbindung mit SQL Server Management Studio (SSMS) befolgen Sie die Schritte in Schnellstart: Verwenden von SSMS zum Herstellen einer Verbindung mit Azure SQL-Datenbank oder Azure SQL Managed Instance und Ausführen von Abfragen. Wählen Sie Windows-Authentifizierung als Authentifizierungstyp aus.

Dialogfeld von SQL Server Management Studio mit einem verwalteten Instanznamen im Bereich „Servername“ und „Authentifizierung“ festgelegt auf „Windows-Authentifizierung“.

Nächste Schritte

Erfahren Sie mehr über das Implementieren der Windows-Authentifizierung für Microsoft Entra-Prinzipale in Azure SQL Managed Instance: