Azure SQL용 Microsoft Entra ID의 디렉터리 읽기 권한자 역할
적용 대상: Azure SQL 데이터베이스 Azure SQL Managed Instance Azure Synapse Analytics
Microsoft Entra ID(이전의 Azure Active Directory)는 그룹을 사용하여 역할 할당을 관리할 수 있게 해줍니다. 이렇게 하면 Microsoft Entra 역할을 그룹에 할당할 수 있습니다.
참고 항목
Azure SQL에 대한 Microsoft Graph 지원을 통해 디렉터리 읽기 권한자 역할을 더 낮은 수준의 권한을 사용하여 대체할 수 있습니다. 자세한 내용은 Azure SQL을 사용한 Microsoft Entra의 사용자 할당 관리 ID를 참조하세요.
Azure SQL 데이터베이스, Azure SQL Managed Instance 또는 Azure Synapse Analytics에 관리 ID를 사용하도록 설정하는 경우 Microsoft Entra ID 디렉터리 읽기 권한자 역할을 ID에 할당하여 Microsoft Graph API에 대한 읽기 권한을 허용할 수 있습니다. SQL Database 및 Azure Synapse의 관리 ID를 서버 ID라고 합니다. SQL Managed Instance의 관리 ID는 관리형 인스턴스 ID라고 하며, 인스턴스를 만들 때 자동으로 할당됩니다. SQL Database 또는 Azure Synapse에서 서버 ID를 설정하는 방법에 대한 자세한 내용은 서비스 주체를 사용하여 Microsoft Entra 사용자 만들기를 참조하세요.
디렉터리 읽기 권한자 역할은 다음을 돕기 위해 서버 또는 인스턴스 ID로 사용할 수 있습니다.
- SQL Managed Instance를 위한 Microsoft Entra 관리자 만들기.
- Azure SQL에서 Microsoft Entra 사용자 가장하기
- Microsoft Entra 인증을 사용하여 SQL Managed Instance로 Windows 인증을 사용하는 SQL Server 사용자 마이그레이션(ALTER USER(Transact-SQL) 명령)하기
- SQL Managed Instance에 대한 Microsoft Entra 관리자 변경.
- 서비스 주체(애플리케이션)가 Azure SQL에서 Microsoft Entra 사용자를 만들 수 있도록 허용하기
참고 항목
Microsoft Entra ID는 이전의 Azure AD(Azure Active Directory)입니다.
디렉터리 읽기 권한자 역할 할당
디렉터리 읽기 권한자 역할을 ID에 할당하려면전역 관리자 또는 권한 있는 역할 관리자 권한이 있는 사용자가 필요합니다. SQL Database, SQL Managed Instance 또는 Azure Synapse를 자주 관리하거나 배포하는 사용자는 이러한 높은 권한을 가지고 있지 않을 수 있습니다. 이로 인해 계획되지 않은 Azure SQL 리소스를 만들 때 문제가 생기거나 대규모 조직에서 연락하기 어려운 높은 권한을 가진 역할 멤버의 도움이 필요할 수도 있습니다.
SQL Managed Instance의 경우 관리형 인스턴스에 대한 Microsoft Entra 관리자를 설정하려면 먼저 관리형 인스턴스 ID에 디렉터리 읽기 권한자 역할을 할당해야 합니다.
논리 서버의 Microsoft Entra 관리자를 설정할 때는 SQL Database 또는 Azure Synapse에 디렉터리 읽기 권한자 역할을 서버 ID에 할당할 필요가 없습니다. 그러나 Microsoft Entra 애플리케이션을 대신하여 SQL Database 또는 Azure Synapse에서 Microsoft Entra 개체를 만들 수 있도록 하려면 디렉터리 읽기 권한자 역할이 필요합니다. 역할이 논리 서버 ID에 할당되지 않은 경우 Azure SQL에서 Microsoft Entra 사용자를 만들 수 없습니다. 자세한 내용은 Azure SQL을 사용한 Microsoft Entra 서버 보안 주체를 참조하세요.
Microsoft Entra 그룹에 디렉터리 읽기 권한자 역할 부여하기
이제 전역 관리자 또는 권한 있는 역할 관리자가 Microsoft Entra 그룹을 만들고 디렉터리 읽기 권한자 권한을 그룹에 할당할 수 있게 할 수 있습니다. 이렇게 하면 이 그룹의 멤버가 Microsoft Graph API에 액세스할 수 있습니다. 또한 이 그룹의 소유자인 Microsoft Entra 사용자는 논리 서버의 ID를 포함하여 이 그룹에 대한 새 멤버를 할당할 수 있습니다.
이 해결 방안은 그룹을 만들고 사용자를 일회성 활동으로 할당하려면 높은 권한의 사용자(전역 관리자 또는 권한 있는 역할관리)를 요구하지만, 이를 사용하면 Microsoft Entra 그룹 소유자는 추가 구성원을 할당할 수 있게 됩니다. 이렇게 하면 나중에 높은 권한의 사용자가 Microsoft Entra 테넌트에서 모든 SQL Database, SQL Managed Instances 또는 Azure Synapse 서버를 구성할 필요가 없습니다.