Поделиться через

Использование Политика Azure для принудительной проверки подлинности только для Microsoft Entra с помощью SQL Azure

  • Статья

Применимо к: База данных SQL Azure Управляемый экземпляр SQL Azure

В этой статье описано, как создать Политика Azure, которая будет применять проверку подлинности только для Microsoft Entra, когда пользователи создают Управляемый экземпляр SQL Azure или логический сервер для База данных SQL Azure. Дополнительные сведения о проверке подлинности только для Microsoft Entra во время создания ресурсов см. в статье "Создание сервера с включенной проверкой подлинности только для записей Майкрософт" в SQL Azure.

Примечание.

Хотя Azure Active Directory (Azure AD) переименован в идентификатор Microsoft Entra, имена политик в настоящее время содержат исходное имя Azure AD, поэтому в этой статье используется проверка подлинности только для Microsoft Entra и Azure AD.

Вы узнаете, как выполнять следующие задачи:

  • Создание Политика Azure, которое обеспечивает создание логического сервера или управляемого экземпляра с включенной проверкой подлинности только для Microsoft Entra
  • Проверить соответствие Политики Azure

Предварительные требования

Создание Политики Azure

Для начала создайте Политику Azure, которая принудительно задает подготовку Базы данных SQL или Управляемого экземпляра, у которых включена проверка подлинности с поддержкой только Azure AD.

  1. Переход на портал Azure.

  2. Найдите политику службы.

  3. В разделе разработки выберите элемент Определения.

  4. С помощью поля Поиск найдите элемент Проверка подлинности с поддержкой только Azure AD.

    Существуют две встроенные политики, которые могут задавать применение проверки подлинности с поддержкой только Azure AD. Один для База данных SQL, а другой — для Управляемый экземпляр SQL.

    • Для Базы данных SQL Azure должна быть включена проверка подлинности с поддержкой только Azure Active Directory.
    • Для Управляемого экземпляра SQL Azure должна быть включена проверка подлинности с поддержкой только Azure Active Directory.

    Снимок экрана: Политика Azure для применения проверки подлинности в поддержкой только Azure AD

  5. Выберите имя политики для службы. В этом примере мы будем использовать Базу данных SQL Azure. Выберите элемент В Базе данных SQL Azure должна быть включена проверка подлинности с поддержкой только Azure Active Directory.

  6. Щелкните Назначить в меню создания.

    Примечание.

    Сценарий JSON в меню показывает встроенное определение политики, которое можно использовать в качестве шаблона для создания настраиваемой Политики Azure для Базы данных SQL. По умолчанию используется значение Audit.

    Снимок экрана: назначение Политики Azure для применения проверки подлинности с поддержкой только Azure AD

  7. На вкладке основных сведений добавьте Область, щелкнув селектор (...) рядом с полем.

    Снимок экрана: выбор области действия Политики Azure для применения проверки подлинности с поддержкой только Azure AD

  8. В области области выберите подписку в раскрывающемся меню и выберите группу ресурсов для этой политики. Когда все будет готово, нажмите кнопку Выбрать, чтобы сохранить выбор элементов.

    Примечание.

    Если вы не выберете группу ресурсов, политика будет действовать для всей подписки.

    Снимок экрана: добавление области Политика Azure для проверки подлинности только для Azure AD.

  9. Вернувшись на вкладку основных сведений, настройте Имя назначения, при желании добавьте Описание. Убедитесь, что параметру Применение политики присвоено значение Включено.

  10. Откройте вкладку Параметры. Снимите флажок Показывать только параметры, требующие ввода.

  11. В разделе Эффект выберите Запретить. Этот параметр предотвращает создание логического сервера без включения проверки подлинности только Для Azure AD.

    Снимок экрана: параметр эффекта Политика Azure для проверки подлинности только для Azure AD.

  12. На вкладке Сообщения о несоответствии требованиям можно настроить сообщение политики, которое отображается в случае нарушения политики. Благодаря этому сообщению пользователи будут знать, какая политика применена при создании сервера.

    Снимок экрана: Политика Azure сообщение о несоответствии для проверки подлинности только для Azure AD.

  13. Выберите Review + create (Просмотреть и создать). Просмотрите политику и нажмите кнопку Создать.

Примечание.

Применение новой политики может занять некоторое время.

Проверка соответствия политикам

Чтобы узнать состояние соответствия требованиям, можно проверить параметр Соответствие требованиям в службе Политика.

Найдите имя назначения, которое вы ранее присвоили политике.

Снимок экрана: соответствие требованиям Политика Azure для проверки подлинности только для Azure AD.

После создания логического сервера, применяющего проверку подлинности с поддержкой только Azure AD, в отчете политики увеличится счетчик под визуальным элементом Ресурсы согласно состоянию соответствия требованиям. Вы сможете узнать, какие ресурсы соответствуют или не соответствуют требованиям.

Если группа ресурсов, для которой выбрана политика, содержит уже созданные серверы, в отчете политики будет указано, какие их этих ресурсов соответствуют или не соответствуют требованиям.

Примечание.

Обновление отчета о соответствии требованиям может занять некоторое время. Изменения, связанные с созданием ресурсов или параметрами проверки подлинности только для Microsoft Entra, не сообщаются немедленно.

Подготовка сервера

Затем можно попытаться подготовить логический сервер или управляемый экземпляр в группе ресурсов, назначенной Политике Azure. Если во время создания сервера включена проверка подлинности с поддержкой только Azure AD, подготовка будет успешной. В противном случае подготовка завершится сбоем.

Дополнительные сведения см. в статье "Создание сервера с включенной проверкой подлинности только для Записи Майкрософт" в SQL Azure.

Следующие шаги