Erstellen einer benutzerseitig zugewiesenen Identität für Azure Monitor SCOM verwaltete Instanz

In diesem Artikel wird beschrieben, wie Sie eine benutzerseitig zugewiesene Identität erstellen, Administratorzugriff auf Azure SQL Managed Instance gewähren und Get- und Listenzugriff auf einen Schlüsseltresor gewähren.

Hinweis

Weitere Informationen zur Architektur von Azure Monitor SCOM verwaltete Instanz finden Sie unter Azure Monitor SCOM verwaltete Instanz.

Erstellen einer verwalteten Dienstidentität

Die verwaltete Dienstidentität (Managed Service Identity, MSI) stellt eine Identität für Anwendungen bereit, die verwendet werden können, wenn sie eine Verbindung mit Ressourcen herstellen, die Microsoft Entra ID Authentifizierung unterstützen. Bei SCOM verwaltete Instanz ersetzt eine verwaltete Identität die herkömmlichen vier System Center Operations Manager-Dienstkonten. Es wird verwendet, um auf die Azure SQL Managed Instance-Datenbank zuzugreifen. Sie wird auch für den Zugriff auf den Schlüsseltresor verwendet.

Hinweis

• Stellen Sie sicher, dass Sie ein Mitwirkender in dem Abonnement sind, in dem Sie die MSI erstellen.
• Die MSI muss über Administratorberechtigungen für SQL Managed Instance und Leseberechtigung für den Schlüsseltresor verfügen, den Sie zum Speichern der Anmeldeinformationen für das Domänenkonto verwenden.

1. Melden Sie sich beim Azure-Portal an. Search für verwaltete Identitäten aus, und wählen Sie sie aus.

   

2. Wählen Sie auf der Seite Verwaltete Identitätendie Option Erstellen aus.

   

   Der Bereich Benutzerseitig zugewiesene verwaltete Identität erstellen wird geöffnet.

3. Gehen Sie unter Grundlagen wie folgt vor:

   • Projektdetails:
     • Abonnement: Wählen Sie das Azure-Abonnement aus, in dem Sie die SCOM-verwaltete Instanz erstellen möchten.
     • Ressourcengruppe: Wählen Sie die Ressourcengruppe aus, in der Sie die SCOM-verwaltete Instanz erstellen möchten.
   • Instanzdetails:
     • Region: Wählen Sie die Region aus, in der Sie die SCOM-verwaltete Instanz erstellen möchten.
     • Name: Geben Sie einen Namen für die instance ein.

   

4. Klicken Sie auf Weiter: Tags.

5. Geben Sie auf der Registerkarte Tags den Wert Name ein, und wählen Sie die Ressource aus.

   Tags helfen Ihnen beim Kategorisieren von Ressourcen und beim Anzeigen der konsolidierten Abrechnung, indem sie dieselben Tags auf mehrere Ressourcen und Ressourcengruppen anwenden. Unter Verwenden von Tags zum Organisieren von Azure-Ressourcen und Verwaltungshierarchie erhalten Sie weitere Informationen.

6. Klicken Sie auf Weiter: Überprüfen + erstellen.

7. Überprüfen Sie auf der Registerkarte Überprüfen + erstellen alle von Ihnen bereitgestellten Informationen, und wählen Sie Erstellen aus.

   

Ihre Bereitstellung wird jetzt in Azure erstellt. Sie können auf die Ressource zugreifen und ihre Details anzeigen.

Festlegen des Microsoft Entra-Administratorwerts im verwalteten SQL-instance

Führen Sie die folgenden Schritte aus, um den Microsoft Entra-Administratorwert in der verwalteten SQL-instance festzulegen, die Sie in Schritt 3 erstellt haben:

Hinweis

Sie müssen über die Berechtigungen "Globaler Administrator" oder "Administrator für privilegierte Rollen" verfügen, damit das Abonnement die folgenden Vorgänge ausführen kann.

Wichtig

Die Verwendung von Gruppen als Microsoft Entra Administrator wird derzeit nicht unterstützt.

1. Öffnen Sie die verwaltete SQL-instance. Wählen Sie unter Einstellungendie Option Microsoft Entra Administrator aus.

   

2. Wählen Sie die Fehlermeldung aus, um leseberechtigungen für den verwalteten SQL-instance auf Microsoft Entra ID bereitzustellen. Der Bereich Berechtigungen erteilen wird geöffnet, um die Berechtigungen zu erteilen.

   

3. Wählen Sie Berechtigungen erteilen aus, um den Vorgang zu initiieren. Nach Abschluss finden Sie eine Benachrichtigung zum erfolgreichen Aktualisieren der Microsoft Entra Leseberechtigungen.

   

4. Wählen Sie Administrator festlegen aus, und suchen Sie nach Ihrer MSI. Diese MSI ist dieselbe, die Sie während des SCOM-verwaltete Instanz-Erstellungsflows bereitgestellt haben. Sie finden den Administrator, der dem verwalteten SQL-instance hinzugefügt wurde.

   

5. Wenn Sie nach dem Hinzufügen eines Kontos für eine verwaltete Identität eine Fehlermeldung erhalten, weist dies darauf hin, dass Für Ihre Identität noch keine Leseberechtigungen bereitgestellt wurden. Stellen Sie sicher, dass Sie die erforderlichen Berechtigungen bereitstellen, bevor Sie Ihre SCOM-verwaltete Instanz erstellen, andernfalls schlägt die Erstellung der SCOM-verwaltete Instanz fehl.

   

Weitere Informationen zu Berechtigungen finden Sie unter Verzeichnisleserrolle in Microsoft Entra ID für Azure SQL.

Erteilen der Berechtigung für den Schlüsseltresor

Führen Sie die folgenden Schritte aus, um die Berechtigung für den Schlüsseltresor zu erteilen, den Sie in Schritt 4 erstellt haben:

1. Wechseln Sie zur Schlüsseltresorressource, die Sie in Schritt 4 erstellt haben, und wählen Sie Zugriffsrichtlinien aus.

2. Wählen Sie auf der Seite Zugriffsrichtlinien die Option Erstellen aus.

   

3. Wählen Sie auf der Registerkarte Berechtigungen die Optionen Abrufen und Liste aus.

   

4. Wählen Sie Weiter aus.

5. Geben Sie auf der Registerkarte Prinzipal den Namen der erstellten MSI ein.

6. Wählen Sie Weiter aus. Wählen Sie dieselbe MSI aus, die Sie in der SQL Managed Instance Administratorkonfiguration verwendet haben.

   

7. Wählen Sie Weiter>Erstellen aus.

Nächste Schritte

• Erstellen eines gMSA-Kontos