Share via

Azure Policy gebruiken voor het afdwingen van Microsoft Entra-only-verificatie met Azure SQL

  • Artikel

Van toepassing op: Azure SQL DatabaseAzure SQL Managed Instance

In dit artikel wordt u begeleid bij het maken van een Azure Policy waarmee alleen-Microsoft Entra-verificatie wordt afgedwongen wanneer gebruikers een met Azure SQL beheerd exemplaar of een logische server voor Azure SQL Database maken. Zie Server maken met alleen Microsoft Entra-verificatie ingeschakeld in Azure SQL voor meer informatie over Microsoft Entra-verificatie tijdens het maken van resources.

Notitie

Hoewel De naam van Azure Active Directory (Azure AD) is gewijzigd in Microsoft Entra-id, bevatten de beleidsnamen momenteel de oorspronkelijke Azure AD-naam, dus Microsoft Entra-only en Alleen Azure AD-verificatie worden door elkaar gebruikt in dit artikel.

In dit artikel leert u het volgende:

  • Een Azure Policy maken waarmee het maken van logische servers of beheerde exemplaren wordt afgedwongen met alleen Microsoft Entra-verificatie ingeschakeld
  • Naleving van Azure Policy controleren

Vereiste

Een Azure Policy maken

Begin met het maken van een Azure Policy waarbij inrichting van SQL Database of Managed Instance wordt afgedwongen met alleen Azure AD-verificatie ingeschakeld.

  1. Ga naar de Azure-portal.

  2. Zoek naar het servicebeleid.

  3. Selecteer Definities onder de ontwerpinstellingen.

  4. Zoek in het zoekvak alleen naar azure Active Directory-verificatie.

    Er zijn twee ingebouwde beleidsregels beschikbaar voor het afdwingen van alleen Azure AD-verificatie. De ene is voor SQL Database en de andere is voor SQL Managed Instance.

    • Azure SQL Database moet alleen Azure Active Directory-verificatie hebben ingeschakeld
    • Voor Azure SQL Managed Instance moet alleen verificatie van Azure Active Directory zijn ingeschakeld

    Screenshot of Azure Policy for Azure AD-only authentication

  5. Selecteer de beleidsnaam voor uw service. In dit voorbeeld gebruiken we Azure SQL Database. Selecteer Azure SQL Database moet alleen Azure Active Directory-verificatie hebben ingeschakeld.

  6. Selecteer Toewijzen in het nieuwe menu.

    Notitie

    Het JSON-script in het menu toont de ingebouwde beleidsdefinitie die als sjabloon kan worden gebruikt om een aangepast Azure Policy voor SQL Database te maken. De standaardwaarde is ingesteld op Audit.

    Screenshot of assigning Azure Policy for Azure AD-only authentication

  7. Voeg op het tabblad Basisbeginselen een bereik toe met behulp van de selector (...) aan de zijkant van het vak.

    Screenshot of selecting Azure Policy scope for Azure AD-only authentication

  8. Selecteer in het deelvenster Bereik uw abonnement in de vervolgkeuzelijst en selecteer een resourcegroep voor dit beleid. Zodra u klaar bent, gebruikt u de knop Selecteren om de selectie op te slaan.

    Notitie

    Als u geen resourcegroep selecteert, is het beleid van toepassing op het hele abonnement.

    Screenshot of adding Azure Policy scope for Azure AD-only authentication.

  9. Wanneer u weer terug bent op het tabblad Basisbeginselen , past u de naam van de opdracht aan en geeft u een optionele beschrijving op. Zorg ervoor dat het afdwingen van beleid is ingeschakeld.

  10. Ga naar het tabblad Parameters . Schakel de optie Alleen parameters weergeven waarvoor invoer is vereist, uit.

  11. Selecteer Weigeren onder Effect. Met deze instelling voorkomt u dat er een logische server wordt gemaakt zonder dat alleen Azure AD-verificatie is ingeschakeld.

    Screenshot of Azure Policy effect parameter for Azure AD-only authentication.

  12. Op het tabblad Niet-nalevingsberichten kunt u het beleidsbericht aanpassen dat wordt weergegeven als er een schending van het beleid is opgetreden. Het bericht laat gebruikers weten welk beleid is afgedwongen tijdens het maken van de server.

    Screenshot of Azure Policy non-compliance message for Azure AD-only authentication.

  13. Selecteer Controleren + maken. Controleer het beleid en selecteer de knop Maken .

Notitie

Het kan enige tijd duren voordat het zojuist gemaakte beleid wordt afgedwongen.

Naleving van beleid controleren

U kunt de instelling Naleving controleren onder de beleidsservice om de nalevingsstatus te zien.

Zoek de toewijzingsnaam die u eerder aan het beleid hebt gegeven.

Screenshot of Azure Policy compliance for Azure AD-only authentication.

Zodra de logische server is gemaakt met alleen Azure AD-verificatie, verhoogt het beleidsrapport het prestatiemeteritem onder de visual Resources door de nalevingsstatus . U kunt zien welke resources compatibel of niet-compatibel zijn.

Als de resourcegroep die door het beleid is gekozen, al gemaakte servers bevat, wordt in het beleidsrapport aangegeven welke resources compatibel en niet-compatibel zijn.

Notitie

Het bijwerken van het nalevingsrapport kan enige tijd duren. Wijzigingen met betrekking tot het maken van resources of verificatie-instellingen van Microsoft Entra worden niet onmiddellijk gerapporteerd.

Een server inrichten

Vervolgens kunt u proberen een logische server of een beheerd exemplaar in te richten in de resourcegroep waaraan u het Azure Policy hebt toegewezen. Als alleen-Azure AD-verificatie is ingeschakeld tijdens het maken van de server, slaagt de inrichting. Als azure AD-verificatie niet is ingeschakeld, mislukt de inrichting.

Zie Server maken met alleen Microsoft Entra-verificatie ingeschakeld in Azure SQL voor meer informatie.

Volgende stappen