دور "Directory Readers" في Azure Active Directory لـ Azure SQL

ينطبق على: Azure SQL Database مثيل Azure SQL المُدار Azure Synapse Analytics

قدم Azure Active Directory (Azure AD) استخدام مجموعات Microsoft Azure Active Directory لإدارة تعيينات الأدوار. يسمح هذا بتعيين أدوار Microsoft Azure Active Directory للمجموعات.

ملاحظة

مع دعم Microsoft Graph لـ Azure SQL، يمكن استبدال دور "قارئي الدليل" باستخدام أذونات المستوى الأدنى. لمزيد من المعلومات، راجع الهوية المدارة المعينة بواسطة المستخدم في Azure AD لـ Azure SQL.

عند تمكين هوية مُدارةل Azure SQL Database أو مثيل Azure SQL المُدار أو Azure Synapse Analytics؛ يجب تعيين دور «قارئ الدليل»في Azure AD إلى الهوية للسماح بوصول القراءة إلى واجهة برمجة تطبيقات Microsoft Graph. يُشار إلى الهوية المُدارة لقاعدة بيانات SQL و Azure Synapse باسم هوية الخادم. يُشار إلى الهوية المُدارة لـ SQL Managed Instance على أنها هوية المثيل المُدارة، ويتم تعيينها تلقائيًا عند إنشاء المثيل. لمزيد من المعلومات حول تعيين هوية خادم لقاعدة بيانات SQL أو Azure Synapse؛ راجع تمكين أساسيات الخدمة لإنشاء مستخدمي Microsoft Azure Active Directory.

يمكن استخدام دور "قراء الدليل" كهوية الخادم أو المثيل للمساعدة:

• قم بإنشاء تسجيلات دخول Microsoft Azure Active Directory لمثيل SQL المُدار
• انتحال شخصية مستخدمي Microsoft Azure Active Directory في Azure SQL
• ترحيل مستخدمي SQL Server الذين يستخدمون مصادقة Windows إلى SQL Managed Instance مع مصادقة Microsoft Azure Active Directory (باستخدام الأمر ALTER USER (Transact-SQL))
• قم بتغيير مسؤول Microsoft Azure Active Directory لمثيل SQL المُدار
• السماح لمبادئ الخدمة (التطبيقات) بإنشاء مستخدمي Microsoft Azure Active Directory في Azure SQL

تعيين دور قراء الدليل

لتعيين دور قراء الدليل لهوية؛ يلزم وجود مستخدم لديه أذونات المسؤول العام أو مسؤول الدور المتميز. قد لا يتمكن المستخدمون الذين غالبًا ما يديرون أو ينشرون قاعدة بيانات SQL أو مثيل SQL المُدار أو Azure Synapse؛ من الوصول إلى هذه الأدوار ذات الامتيازات العالية. يمكن أن يتسبب هذا غالبًا في حدوث تعقيدات للمستخدمين الذين يقومون بإنشاء موارد Azure SQL غير المخطط لها، أو يحتاجون إلى مساعدة من أعضاء الأدوار المتميزة للغاية والتي يتعذر الوصول إليها غالبًا في المؤسسات الكبيرة.

بالنسبة SQL المثيل المدار؛ يجب تعيين دور "قراء الدليل" إلى هوية المثيل المدارة قبل أن تتمكن من إعداد مسؤول إعلان Azure للمثيل المدار.

تعيين دور "قراء الدليل" إلى هوية الملقم غير مطلوب لقاعدة بيانات SQL أو Azure Synapse عند إعداد مسؤول إعلان Azure للخادم المنطقي. ومع ذلك؛ لتمكين إنشاء كائن إعلان Azure في قاعدة بيانات SQL أو Azure Synapse نيابة عن تطبيق إعلان Azure مطلوب دور "قراء الدليل" . في حال لم يتم تعيين الدور إلى هوية الملقم المنطقية SQL فسيفشل إنشاء مستخدمي Microsoft Azure Active Directory في Azure SQL. لمزيد من المعلومات؛ راجع أساسيات خدمة Azure Active Directory مع Azure SQL.

منح دور قراء الدليل لمجموعة Microsoft Azure Active Directory

يمكنك الآن الحصول على مسؤول عام أو مسؤول دور متميز لإنشاء مجموعة Microsoft Azure Active Directory وتعيين إذن قراء الدليل للمجموعة. سيسمح هذا بالوصول إلى واجهة برمجة تطبيقات Microsoft Graph لأعضاء هذه المجموعة. بالإضافة إلى ذلك؛ يُسمح لمستخدمي Microsoft Azure Active Directory أصحاب هذه المجموعة بتعيين أعضاء جدد لهذه المجموعة، بما في ذلك هويات خوادم Azure SQL المنطقية.

لا يزال هذا الحل يتطلب مستخدمًا ذا امتياز عالٍ (مسؤول عام أو مسؤول دور متميز) لإنشاء مجموعة وتعيين المستخدمين كنشاط لمرة واحدة، ولكن سيتمكن مالكو مجموعة Microsoft Azure Active Directory من تعيين أعضاء إضافيين من الآن فصاعدًا. هذا يلغي الحاجة إلى إشراك مستخدم ذي امتياز عالي في المستقبل لتكوين جميع قواعد بيانات SQL أو مثيلات SQL المُدارة أو خوادم Azure Synapse في مستأجر Microsoft Azure Active Directory.

الخطوات التالية

البرنامج التعليمي: تعيين دور "قراء الدليل" إلى مجموعة إعلان Azure وإدارة تعيينات الأدوار