Delen via

Zelfstudie: De rol Directory Readers toewijzen aan een Microsoft Entra-groep en het beheren van roltoewijzingen.

  • Artikel

van toepassing op:Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics-

In dit artikel wordt u begeleid bij het maken van een groep in Microsoft Entra ID (voorheen Azure Active Directory) en het toewijzen van die groep de rol Directory Readers . Met de machtigingen Directory Readers kunnen de groepseigenaren extra leden toevoegen aan de groep, zoals een beheerde identiteit van Azure SQL Database, Azure SQL Managed Instance en Azure Synapse Analytics. Hierdoor hoeft een Bevoorrechte Rollen Beheerder de rol Directory Readers niet direct toe te wijzen aan elke logische server in de tenant.

Notitie

Microsoft Entra ID voorheen Azure Active Directory (Azure AD) werd genoemd.

In deze zelfstudie wordt de functie gebruikt die is geïntroduceerd in Microsoft Entra-groepen gebruiken om roltoewijzingen te beheren.

Zie de rol Directory Readers in Microsoft Entra ID voor Azure SQL voor meer informatie over de voordelen van het toewijzen van de rol Directory Readers aan een Microsoft Entra-groep voor Azure SQL.

Notitie

Met Microsoft Graph-ondersteuning voor Azure SQL kan de rol Directory Readers worden vervangen door het gebruik van machtigingen op lager niveau. Raadpleeg voor meer informatie door de gebruiker toegewezen beheerde identiteit in Microsoft Entra ID voor Azure SQL.

Vereiste voorwaarden

Roltoewijzing voor Directory-lezer via de Azure-portal

Een nieuwe groep maken en eigenaars en rol toewijzen

  1. Een gebruiker met machtigingen voor bevoorrechte rolbeheerder is vereist voor deze eerste installatie.

  2. Laat de bevoegde gebruiker zich aanmelden bij Azure Portal.

  3. Ga naar de Microsoft Entra ID-resource . Ga onder Beheerd naar Groepen. Selecteer Nieuwe groep om een nieuwe groep te maken.

  4. Selecteer Beveiliging als groepstype en vul de rest van de velden in. Zorg ervoor dat de instelling microsoft Entra-rollen kunnen worden toegewezen aan de groep , is overgeschakeld op Ja. Wijs vervolgens de rol Directory-lezers van Microsoft Entra ID toe aan de groep.

  5. Wijs Microsoft Entra-gebruikers toe als eigenaar(s) aan de groep die is gemaakt. Een groepseigenaar kan een gewone AD-gebruiker zijn zonder een Microsoft Entra-beheerdersrol toegewezen. De eigenaar moet een gebruiker zijn die uw SQL Database, SQL Managed Instance of Azure Synapse beheert.

    Microsoft Entra ID-new-group

  6. Selecteer Creëren

De groep controleren die is gemaakt

Notitie

Zorg ervoor dat het groepstypebeveiliging is. Microsoft 365-groepen worden niet ondersteund voor Azure SQL.

Als u de groep wilt controleren en beheren die is gemaakt, gaat u terug naar het deelvenster Groepen in Azure Portal en zoekt u de naam van uw groep. Extra eigenaren en leden kunnen worden toegevoegd onder het menu Eigenaren en Leden van de instelling Beheren nadat u de groep hebt geselecteerd. U kunt ook de toegewezen rollen voor de groep bekijken.

Schermopname van een deelvenster Groep met de koppelingen waarmee de menu's Instellingen voor leden, eigenaren en toegewezen rollen zijn gemarkeerd.

Beheerde Azure SQL-identiteit toevoegen aan de groep

Notitie

We gebruiken SQL Managed Instance voor dit voorbeeld, maar vergelijkbare stappen kunnen worden toegepast voor SQL Database of Azure Synapse om dezelfde resultaten te bereiken.

Voor de volgende stappen is de Beheerder van bevoorrechte rollen niet meer nodig.

  1. Meld u aan bij het Azure-portaal als de gebruiker die de SQL Managed Instance beheert en de eigenaar is van de eerder gemaakte groep.

  2. Zoek de naam van uw SQL Managed Instance-resource in de Azure-portal.

    Schermopname van het scherm met beheerde SQL-exemplaren, met de SQL-exemplaarnaam ssomitest en de subnetnaam ManagedInstance gemarkeerd.

    Tijdens het inrichten van SQL Managed Instance wordt een Microsoft Entra-identiteit gemaakt voor uw exemplaar, waarbij deze wordt geregistreerd als een Microsoft Entra-toepassing. De identiteit heeft dezelfde naam als het voorvoegsel van de SQL Managed Instance-naam. U vindt de identiteit (ook wel de service-principal genoemd) voor uw SQL Managed Instance door de volgende stappen uit te voeren:

    • Ga naar de Microsoft Entra ID-resource . Selecteer Onder de instelling Beherende optie Bedrijfstoepassingen. De object-id is de identiteit van het exemplaar.

    Schermopname van de pagina Bedrijfstoepassingen voor een Microsoft Entra ID-resource met de object-id van het met SQL beheerde exemplaar gemarkeerd.

  3. Ga naar de Microsoft Entra ID-resource . Ga onder Beheerd naar Groepen. Selecteer de groep die u hebt gemaakt. Selecteer Leden onder de beheerde instelling van uw groep. Selecteer Leden toevoegen en voeg de service-principal van SQL Managed Instance toe als lid van de groep door te zoeken naar de bovenstaande naam.

    Schermopname van de pagina Leden voor een Microsoft Entra-resource met de opties gemarkeerd voor het toevoegen van een met SQL beheerd exemplaar als nieuw lid.

Notitie

Het kan enkele minuten duren voordat de machtigingen van de service-principal via het Azure-systeem worden doorgegeven en toegang tot Microsoft Graph API is toegestaan. Mogelijk moet u enkele minuten wachten voordat u een Microsoft Entra-beheerder inricht voor SQL Managed Instance.

Opmerkingen

Voor SQL Database en Azure Synapse kan de serveridentiteit worden gemaakt tijdens het maken van de logische server of nadat de server is gemaakt. Voor meer informatie over het maken of instellen van de serveridentiteit in SQL Database of Azure Synapse, zie Service-principals inschakelen om Microsoft Entra-gebruikers te maken.

Voor SQL Managed Instance moet de rol Directory Readers worden toegewezen aan de identiteit van het beheerde exemplaar voordat u een Microsoft Entra-beheerder voor het beheerde exemplaar kunt instellen.

Het toewijzen van de rol Directory Readers aan de serveridentiteit is niet vereist voor SQL Database of Azure Synapse bij het instellen van een Microsoft Entra-beheerder voor de logische server. Als u het maken van Microsoft Entra-objecten echter wilt inschakelen in SQL Database of Azure Synapse namens een Microsoft Entra-toepassing, is de rol Directory Readers vereist. Als de rol niet is toegewezen aan de identiteit van de logische server, mislukt het maken van Microsoft Entra-gebruikers in Azure SQL. Zie Microsoft Entra-service-principal met Azure SQL voor meer informatie.

Roltoewijzing adreslijstlezers met behulp van PowerShell

Belangrijk

Een beheerder van een bevoorrechte rol moet deze eerste stappen uitvoeren. Naast PowerShell biedt Microsoft Entra ID Microsoft Graph API aan voor het maken van een groep die kan worden toegewezen aan rollen in Microsoft Entra-id.

  1. Download de Microsoft Graph PowerShell-module met behulp van de volgende opdrachten. Mogelijk moet u PowerShell uitvoeren als beheerder.

    Install-Module Microsoft.Graph.Authentication
Import-Module Microsoft.Graph.Authentication
# To verify that the module is ready to use, run the following command:
Get-Module Microsoft.Graph.Authentication

  2. Maak verbinding met uw Microsoft Entra-tenant.

    Connect-MgGraph

  3. Maak een beveiligingsgroep om de rol Adreslijstlezers toe te wijzen.

    • DirectoryReaderGroup, Directory Reader Groupen DirRead kan worden gewijzigd op basis van uw voorkeur.
    $group = New-MgGroup -DisplayName "DirectoryReaderGroup" -Description "Directory Reader Group" -SecurityEnabled:$true -IsAssignableToRole:$true -MailEnabled:$false -MailNickname "DirRead"
$group

  4. Wijs de rol Adreslijstlezers toe aan de groep.

    # Displays the Directory Readers role information
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Directory Readers'"
$roleDefinition

    # Assigns the Directory Readers role to the group
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id
$roleAssignment

  5. Wijs eigenaren toe aan de groep.

    • Vervang <username> door de gebruiker die u eigenaar wilt zijn van deze groep. U kunt verschillende eigenaren toevoegen door deze stappen te herhalen.
    $newGroupOwner = Get-MgUser -UserId "<username>"
$newGroupOwner

    $GrOwner = New-MgGroupOwnerByRef -GroupId $group.Id -OdataId "https://graph.microsoft.com/v1.0/users/$($newGroupOwner.Id)"

    Controleer de eigenaren van de groep:

    Get-MgGroupOwner -GroupId $group.Id

    U kunt ook de eigenaren van de groep verifiëren in Azure Portal. Volg de stappen in Controleren van de groep die is gemaakt.

De service-principal toewijzen als lid van de groep

Voor de volgende stappen hoeft de gebruiker Privileged Role Administrator niet meer te worden gebruikt.

  1. Voer met behulp van een eigenaar van de groep die ook de Azure SQL-resource beheert de volgende opdracht uit om verbinding te maken met uw Microsoft Entra-id.

    Connect-MgGraph

  2. Wijs de service-principal toe als lid van de groep die is gemaakt.

    # Returns the service principal of your Azure SQL resource
$managedIdentity = Get-MgServicePrincipal -Filter "displayName eq '<ServerName>'"
$managedIdentity

    # Adds the service principal to the group
New-MgGroupMember -GroupId $group.Id -DirectoryObjectId $managedIdentity.Id

    Met de volgende opdracht wordt de object-id van de service-principal geretourneerd die aangeeft dat deze is toegevoegd aan de groep:

    Get-MgGroupMember -GroupId $group.Id -Filter "Id eq '$($managedIdentity.Id)'"

Volgende stappen