使用 SQL 委派的系統管理員許可權安裝 Microsoft Entra Connect
在最新的 Microsoft Entra Connect 版本之前,當部署 SQL 所需的設定時,不支援管理委派。 想要安裝 Microsoft Entra Connect 的使用者,需要在 SQL Server 上擁有伺服器管理員 (SA) 許可權。
使用最新版的 Microsoft Entra Connect,SQL 系統管理員現在可以將資料庫布建到頻外,而 Microsoft Entra Connect 系統管理員可以使用資料庫擁有者許可權來安裝資料庫。
開始之前
若要使用這項功能,您必須瞭解有數個移動元件,而且每個元件都可能涉及您組織中的不同系統管理員。 下表摘要說明個別角色及其各自在部署 Microsoft Entra Connect 與這項功能的職責。
| 角色 | 描述 |
|---|---|
| 網域或樹系AD系統管理員 | 建立 Microsoft Entra Connect 用來執行同步服務的網域層級服務帳戶。 如需服務帳戶的詳細資訊,請參閱 帳戶和許可權。 |
| SQL 系統管理員 | 建立 ADSync 資料庫,並將登入和 dbo 存取權授予由網域/樹系管理員建立的 Microsoft Entra Connect 管理員和服務帳戶。 |
| Microsoft Entra Connect 系統管理員 | 安裝 Microsoft Entra Connect,並在自定義安裝期間指定服務帳戶。 |
使用 SQL 委派許可權安裝 Microsoft Entra Connect 的步驟
若要將資料庫布建到頻外,並使用資料庫擁有者許可權安裝 Microsoft Entra Connect,請使用下列步驟。
注意
雖然並非必要 ,但強烈建議 建立資料庫時選取Latin1_General_CI_AS定序。
讓 SQL 管理員建立 ADSync 資料庫,並使用不區分大小寫的排序規則 (Latin1_General_CI_AS)。 安裝 Microsoft Entra Connect 時,恢復模式、相容性層級和內含項目類型會更新為正確的值。 不過,SQL 系統管理員必須正確設定定序順序。 否則,Microsoft Entra Connect 會封鎖安裝。 若要復原 SA,必須刪除並重新建立資料庫。
將下列許可權授與 Microsoft Entra Connect 系統管理員和網域服務帳戶:
- SQL 登入
- 資料庫擁有者(dbo) 權限。
注意
Microsoft Entra Connect 不支援具有巢狀成員資格的登入。 這表示您的 Microsoft Entra Connect 管理員帳戶和網域服務帳戶必須與具有 dbo 權限的登入連結。 它不能僅僅是僅具有 dbo 權限的登入組的成員。
傳送電子郵件給 Microsoft Entra Connect 系統管理員,指出安裝 Microsoft Entra Connect 時應該使用的 SQL 伺服器和實例名稱。
其他資訊
布建資料庫之後,Microsoft Entra Connect 系統管理員可以在方便時安裝及設定內部部署同步處理。
如果 SQL 系統管理員已從先前的 Microsoft Entra Connect 備份還原 ADSync 資料庫,您必須使用現有的資料庫來安裝新的 Microsoft Entra Connect 伺服器。 如需使用現有資料庫安裝 Microsoft Entra Connect 的詳細資訊,請參閱 使用現有的 ADSync 資料庫安裝 Microsoft Entra Connect。
後續步驟
- 使用快速設定 開始使用 Microsoft Entra Connect
- Microsoft Entra Connect 的自定義安裝
- 使用現有的ADSync資料庫 安裝 Microsoft Entra Connect