Поделиться через

Настройка проверки подлинности Windows для Microsoft Entra ID в Управляемом экземпляре Azure SQL.

  • Статья

Область применения: Управляемый экземпляр SQL Azure

В этой статье описывается, как настроить управляемый экземпляр для поддержки проверки подлинности Windows для субъектов в идентификаторе Microsoft Entra (ранее — Azure Active Directory). Действия по настройке Управляемого экземпляра SQL Azure для входящих потоков проверки подлинности на основе доверия и современных интерактивных потоков проверки подлинности одинаковы.

Необходимые компоненты

Чтобы настроить проверку подлинности Windows для субъектов Microsoft Entra в управляемом экземпляре, необходимо выполнить следующие предварительные требования:

Предварительные требования Описание
Модуль PowerShell Az.Sql Этот модуль PowerShell предоставляет командлеты управления для ресурсов Azure SQL.

Установите этот модуль, выполнив следующую команду PowerShell: Install-Module -Name Az.Sql
Модуль Microsoft Graph PowerShell Этот модуль предоставляет командлеты управления для выполнения административных задач Microsoft Entra, таких как управление пользователями и субъектами-службами.

Установите этот модуль, выполнив следующую команду PowerShell: Install-Module –Name Microsoft.Graph
Управляемый экземпляр. Вы можете создать новый управляемый экземпляр или использовать существующий управляемый экземпляр. Необходимо включить проверку подлинности Microsoft Entra в управляемом экземпляре.

Настройка проверки подлинности Microsoft Entra для Управляемый экземпляр SQL Azure

Чтобы включить проверку подлинности Windows для субъектов Microsoft Entra, необходимо включить субъект-службу, назначаемый системой, на каждом управляемом экземпляре. Субъект-служба, назначаемый системой, позволяет пользователям управляемого экземпляра проходить проверку подлинности с помощью протокола Kerberos. Кроме того, необходимо предоставить согласие администратора каждому субъекту-службе.

Включение субъекта-службы, назначаемого системой

Чтобы включить назначаемый системой субъект-службу для управляемого экземпляра, выполните следующие действия:

  1. Войдите на портал Azure.
  2. Перейдите к управляемому экземпляру.
  3. Выберите Удостоверение.
  4. Задайте для параметра Субъект-служба, назначаемый системой значение Включено. Снимок экрана: панель удостоверений для управляемого экземпляра в портал Azure с параметром
  5. Выберите Сохранить.

  1. Войдите на портал Azure.

  2. Откройте Microsoft Entra ID.

  3. Щелкните Регистрация приложений.

  4. Выберите Все приложения. Снимок экрана: ресурс идентификатора Microsoft Entra в портал Azure с Регистрация приложений, выбранным в левой области.

  5. Выберите приложение с отображаемым именем, соответствующим управляемому экземпляру. Имя будет иметь следующий формат: <managedinstancename> principal.

  6. Выберите Разрешения API.

  7. Выберите Предоставить согласие администратора.

    Снимок экрана: портал Azure настроенных разрешений для приложений. Состояние примера приложения —

  8. Выберите Да в ответ на запрос Предоставить подтверждение согласия администратора.

Подключение к управляемому экземпляру с проверкой подлинности Windows

Если вы уже реализовали входящий поток проверки подлинности на основе доверия или современный интерактивный поток проверки подлинности в зависимости от версии клиента, то теперь можно проверить подключение к управляемому экземпляру с использованием проверки подлинности Windows.

Чтобы проверить подключение с помощью SQL Server Management Studio (SSMS), выполните действия, описанные в разделе Краткое руководство. Использование SSMS для подключения к Базе данных SQL Azure или Управляемому экземпляру SQL Azure. Выберите Проверку подлинности Windows в качестве типа проверки подлинности.

Диалоговое окно из SQL Server Management Studio с именем управляемого экземпляра в области

Следующие шаги

Дополнительные сведения о реализации проверки подлинности Windows для субъектов Microsoft Entra в Управляемый экземпляр SQL Azure: