你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

为 Azure Monitor SCOM 托管实例创建用户分配的标识

本文介绍如何创建用户分配的标识、提供对 Azure SQL 托管实例的管理员访问权限，以及如何授予对密钥保管库的获取和列出访问权限。

注意

若要了解 Azure Monitor SCOM 托管实例体系结构，请参阅 Azure Monitor SCOM 托管实例。

创建托管服务标识

托管服务标识 (MSI) 为应用程序提供一个标识，可以在连接到支持 Microsoft Entra ID 身份验证的资源时使用。 对于 SCOM 托管实例，托管标识将替换传统的 4 个 System Center Operations Manager 服务帐户。 它用于访问 Azure SQL 托管实例数据库。 它还用于访问密钥保管库。

注意

• 确保你是在订阅中创建 MSI 的参与者。
• MSI 必须具有 SQL 托管实例的管理员权限，并且必须具有用于存储域帐户凭据的密钥保管库的读取权限。

1. 登录到 Azure 门户。 搜索并选择“托管标识”。

   

2. 在“托管标识”页上，选择“创建”。

   

   此时将打开“创建用户分配的托管标识”窗格。

3. 在“基本信息”下，执行以下步骤：

   • 项目详细信息：
     • 订阅：选择要在其中创建 SCOM 托管实例的 Azure 订阅。
     • 资源组：选择要在其中创建 SCOM 托管实例的资源组。
   • 实例详细信息：
     • 区域：选择要在其中创建 SCOM 托管实例的区域。
     • 名称：为实例输入一个名称。

   

4. 在完成时选择“下一步: 标记”。

5. 在“标记”选项卡上，输入“名称”值并选择资源。

   标记通过将相同的标记应用到多个资源和资源组，帮助对资源进行分类并查看合并的账单。 有关详细信息，请参阅使用标记对 Azure 资源和管理层次结构进行组织。

6. 在完成时选择“下一步: 查看 + 创建”。

7. 在“查看 + 创建”选项卡中查看你提供的所有信息，然后选择“创建”。

   

现已在 Azure 上创建部署。 你可以访问资源并查看其详细信息。

在 SQL 托管实例中设置 Microsoft Entra 管理员值

若要在步骤 3 创建的 SQL 托管实例中设置 Microsoft Entra 管理员值，请执行以下步骤：

注意

必须具有订阅的特权角色管理员权限才能执行以下操作。

重要

目前不支持将组用作 Microsoft Entra 管理员。

1. 打开 SQL 托管实例。 在“设置”下，选择“Microsoft Entra 管理员”。

   

2. 选择错误框消息，向 Microsoft Entra ID 上的 SQL 托管实例提供“读取”权限。 此时将打开“授予权限”窗格，以授予权限。

   

3. 选择“授予权限”以启动该操作，完成后，可以收到成功更新 Microsoft Entra 读取权限的通知。

   

4. 选择“设置管理员”，然后搜索 MSI。 此 MSI 与在 SCOM 托管实例创建流期间提供的 MSI 相同。 你将找到已添加到 SQL 托管实例的管理员。

   

5. 如果在添加托管标识帐户后收到错误，则表示尚未向标识提供读取权限。 在创建 SCOM 托管实例之前，请务必提供必要的权限，否则 SCOM 托管实例创建将失败。

   

有关权限的详细信息，请参阅适用于 Azure SQL 的 Microsoft Entra ID 中的目录读取者角色。

授予对密钥保管库的权限

若要授予对在步骤 4 中创建的密钥保管库的权限，请执行以下步骤：

1. 转到在步骤 4 中创建的密钥保管库资源，然后选择“访问策略”。

2. 在“访问策略”页面上，选择“创建”。

   

3. 在“权限”选项卡中，选择“获取”和“列出”权限。

   

4. 选择下一步。

5. 在“主体”选项卡上，输入创建的 MSI 的名称。

6. 选择下一步。 选择在 SQL 托管实例管理配置中使用的相同 MSI。

   

7. 选择“下一步”>“创建”。

后续步骤

• 创建 gMSA 帐户