Peran Pembaca Direktori di ID Microsoft Entra untuk Azure SQL
Berlaku untuk:
Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics
ID Microsoft Entra (sebelumnya Azure Active Directory) telah diperkenalkan menggunakan grup untuk mengelola penetapan peran. Ini memungkinkan peran Microsoft Entra ditetapkan ke grup.
Catatan
Dengan dukungan Microsoft Graph untuk Azure SQL, peran Pembaca Direktori dapat diganti dengan menggunakan izin tingkat yang lebih rendah. Untuk informasi selengkapnya, lihat Identitas terkelola yang ditetapkan pengguna di Microsoft Entra untuk Azure SQL.
Saat mengaktifkan identitas terkelola untuk Azure SQL Database, Azure SQL Managed Instance, atau Azure Synapse Analytics, peran Pembaca Direktori Id Entra Microsoft dapat ditetapkan ke identitas untuk memungkinkan akses baca ke Microsoft Graph API. Identitas terkelola SQL Database dan Azure Synapse disebut sebagai identitas server. Identitas terkelola instans SQL Managed Instance disebut sebagai identitas instans terkelola, dan secara otomatis ditetapkan saat instans dibuat. Untuk informasi selengkapnya tentang menetapkan identitas server ke SQL Database atau Azure Synapse, lihat Mengaktifkan perwakilan layanan untuk membuat pengguna Microsoft Entra.
Peran Pembaca Direktori dapat digunakan sebagai identitas instans atau server untuk membantu:
- Membuat login Microsoft Entra untuk SQL Managed Instance
- Meniru pengguna Microsoft Entra di Azure SQL
- Memigrasikan pengguna SQL Server yang menggunakan autentikasi Windows ke SQL Managed Instance dengan autentikasi Microsoft Entra (menggunakan perintah ALTER USER (Transact-SQL)
- Mengubah admin Microsoft Entra untuk SQL Managed Instance
- Mengizinkan perwakilan layanan (Aplikasi) untuk membuat pengguna Microsoft Entra di Azure SQL
Catatan
ID Microsoft Entra sebelumnya dikenal sebagai Azure Active Directory (Azure AD).
Menetapkan peran Pembaca Direktori
Untuk menetapkan peran Pembaca Direktori ke sebuah identitas, diperlukan pengguna dengan izin akses Administrator Global atau Administrator dengan Peran Istimewa. Pengguna yang sering mengelola atau menyebarkan SQL Database, SQL Managed Instance, atau Azure Synapse mungkin tidak memiliki akses ke peran yang sangat istimewa ini. Ini sering dapat menyebabkan komplikasi bagi pengguna yang membuat sumber daya Azure SQL yang tidak direncanakan, atau membutuhkan bantuan dari anggota dengan peran yang sangat istimewa yang sering tidak dapat diakses di organisasi besar.
Untuk SQL Managed Instance, peran Pembaca Direktori harus ditetapkan ke identitas instans terkelola sebelum Anda dapat menyiapkan admin Microsoft Entra untuk instans terkelola.
Menetapkan peran Pembaca Direktori ke identitas server tidak diperlukan untuk SQL Database atau Azure Synapse saat menyiapkan admin Microsoft Entra untuk server logis. Namun, untuk mengaktifkan pembuatan objek Microsoft Entra di SQL Database atau Azure Synapse atas nama aplikasi Microsoft Entra, peran Pembaca Direktori diperlukan. Jika peran tidak ditetapkan ke identitas server logis, membuat pengguna Microsoft Entra di Azure SQL akan gagal. Untuk informasi selengkapnya, lihat Perwakilan layanan Microsoft Entra dengan Azure SQL.
Memberikan peran Pembaca Direktori ke grup Microsoft Entra
Anda sekarang dapat meminta Administrator Global atau Administrator Peran Istimewa membuat grup Microsoft Entra dan menetapkan izin Pembaca Direktori ke grup. Tindakan ini akan memungkinkan akses ke API Microsoft Graph untuk para anggota grup ini. Selain itu, pengguna Microsoft Entra yang merupakan pemilik grup ini diizinkan untuk menetapkan anggota baru untuk grup ini, termasuk identitas server logis.
Solusi ini masih memerlukan pengguna hak istimewa tinggi (Administrator Global atau Administrator Peran Istimewa) untuk membuat grup dan menetapkan pengguna sebagai aktivitas satu kali, tetapi pemilik grup Microsoft Entra akan dapat menetapkan anggota tambahan ke depannya. Ini menghilangkan kebutuhan untuk melibatkan pengguna hak istimewa tinggi di masa mendatang untuk mengonfigurasi semua SQL Database, SQL Managed Instances, atau server Azure Synapse di penyewa Microsoft Entra mereka.
Langkah berikutnya
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk