Rola Czytelników katalogów w identyfikatorze Entra firmy Microsoft dla usługi Azure SQL
Dotyczy:
Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics
Identyfikator Entra firmy Microsoft (dawniej Azure Active Directory) wprowadził przy użyciu grup do zarządzania przypisaniami ról. Dzięki temu role entra firmy Microsoft mogą być przypisane do grup.
Uwaga
Dzięki obsłudze programu Microsoft Graph dla usługi Azure SQL rola Czytelników katalogów może zostać zastąpiona przy użyciu uprawnień niższego poziomu. Aby uzyskać więcej informacji, zobacz Tożsamość zarządzana przypisana przez użytkownika w usłudze Microsoft Entra for Azure SQL.
W przypadku włączenia tożsamości zarządzanej dla usługi Azure SQL Database, usługi Azure SQL Managed Instance lub usługi Azure Synapse Analytics można przypisać rolę Czytelnicy katalogu Entra ID firmy Microsoft do tożsamości, aby zezwolić na dostęp do odczytu do interfejsu API programu Microsoft Graph. Tożsamość zarządzana usługi SQL Database i Azure Synapse jest określana jako tożsamość serwera. Tożsamość zarządzana usługi SQL Managed Instance jest określana jako tożsamość wystąpienia zarządzanego i jest automatycznie przypisywana podczas tworzenia wystąpienia. Aby uzyskać więcej informacji na temat przypisywania tożsamości serwera do usługi SQL Database lub Azure Synapse, zobacz Włączanie jednostek usługi w celu utworzenia użytkowników usługi Microsoft Entra.
Rolę Czytelnicy katalogu można użyć jako tożsamości serwera lub wystąpienia, aby ułatwić:
- Tworzenie identyfikatorów logowania usługi Microsoft Entra dla usługi SQL Managed Instance
- Personifikuj użytkowników aplikacji Microsoft Entra w usłudze Azure SQL
- Migrowanie użytkowników programu SQL Server korzystających z uwierzytelniania systemu Windows do usługi SQL Managed Instance przy użyciu uwierzytelniania firmy Microsoft Entra (przy użyciu polecenia ALTER USER (Transact-SQL)
- Zmienianie administratora usługi Microsoft Entra dla usługi SQL Managed Instance
- Zezwalaj jednostkom usługi (aplikacjom) na tworzenie użytkowników usługi Microsoft Entra w usłudze Azure SQL
Uwaga
Microsoft Entra ID był wcześniej znany jako Azure Active Directory (Azure AD).
Przypisywanie roli Czytelnicy katalogu
Aby przypisać rolę Czytelników katalogu do tożsamości, wymagany jest użytkownik z uprawnieniami globalnego Administracja istratora lub Administracja istratora ról uprzywilejowanych. Użytkownicy, którzy często zarządzają usługą SQL Database, wystąpieniem zarządzanym SQL lub usługą Azure Synapse, często zarządzają usługą SQL Database lub usługą Azure Synapse, mogą nie mieć dostępu do tych ról o wysokim poziomie uprawnień. Może to często powodować komplikacje dla użytkowników, którzy tworzą nieplanowane zasoby usługi Azure SQL lub potrzebują pomocy od wysoce uprzywilejowanych członków ról, które są często niedostępne w dużych organizacjach.
W przypadku usługi SQL Managed Instance rola Czytelnicy katalogu musi być przypisana do tożsamości wystąpienia zarządzanego, zanim będzie można skonfigurować administratora usługi Microsoft Entra dla wystąpienia zarządzanego.
Przypisanie roli Czytelników katalogu do tożsamości serwera nie jest wymagane w przypadku usługi SQL Database ani Usługi Azure Synapse podczas konfigurowania administratora usługi Microsoft Entra dla serwera logicznego. Jednak aby włączyć tworzenie obiektów Entra firmy Microsoft w usłudze SQL Database lub Azure Synapse w imieniu aplikacji Firmy Microsoft Entra, wymagana jest rola Czytelnicy katalogu. Jeśli rola nie jest przypisana do tożsamości serwera logicznego, tworzenie użytkowników usługi Microsoft Entra w usłudze Azure SQL zakończy się niepowodzeniem. Aby uzyskać więcej informacji, zobacz Microsoft Entra service principal with Azure SQL (Jednostka usługi Microsoft Entra w usłudze Azure SQL).
Udzielanie roli Czytelnicy katalogu grupie Microsoft Entra
Teraz możesz mieć Administracja istrator globalny lub rola uprzywilejowana Administracja istrator utworzyć grupę Microsoft Entra i przypisać czytelnikom katalogu uprawnienie do grupy. Umożliwi to dostęp do interfejsu API programu Microsoft Graph dla członków tej grupy. Ponadto użytkownicy firmy Microsoft Entra, którzy są właścicielami tej grupy, mogą przypisywać nowych członków tej grupy, w tym tożsamości serwerów logicznych.
To rozwiązanie nadal wymaga użytkownika o wysokim poziomie uprawnień (globalnego Administracja istratora lub roli uprzywilejowanej Administracja istratora) w celu utworzenia grupy i przypisania użytkowników jako jednorazowego działania, ale właściciele grupy Entra firmy Microsoft będą mogli przypisywać kolejnych członków w przyszłości. Eliminuje to konieczność zaangażowania użytkownika z wysokimi uprawnieniami w przyszłości w celu skonfigurowania wszystkich baz danych SQL, wystąpień zarządzanych SQL lub serwerów usługi Azure Synapse w dzierżawie firmy Microsoft Entra.
Następne kroki
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla