為 Azure 監視器 SCOM 建立使用者指派的身分識別 受控執行個體

本文說明如何建立使用者指派的身分識別、提供系統管理員對 Azure SQL 受控執行個體的存取權，以及在密鑰保存庫上授與取得和列出存取權。

注意

若要瞭解 Azure 監視器 SCOM 受控執行個體 架構，請參閱 Azure 監視器 SCOM 受控執行個體。

建立受控服務識別

受控服務識別 (MSI) 提供身分識別，供應用程式連線到支援 Microsoft Entra ID 驗證的資源時使用。 針對 SCOM 受控執行個體，受控識別會取代傳統的四個 System Center Operations Manager 服務帳戶。 它用來存取 Azure SQL 受控執行個體 資料庫。 它也可用來存取金鑰保存庫。

注意

• 請確定您是建立 MSI 之訂用帳戶中的參與者。
• MSI 必須具有您用來儲存網域帳戶認證的金鑰保存庫 SQL 受管理執行個體 和讀取許可權的系統管理員許可權。

1. 登入 Azure 入口網站。 搜尋 ，然後選取 [受控識別]。

   

2. 在 [ 受控識別] 頁面上，選取 [ 建立]。

   

   [ 建立使用者指派的受控識別] 窗格隨即 開啟。

3. 在 [基本概念] 下，執行下列動作：

   • 專案詳細資料：
     • 訂用帳戶：選取您要在其中建立 SCOM 受控執行個體 的 Azure 訂用帳戶。
     • 資源群組：選取您要在其中建立 SCOM 受控執行個體 的資源群組。
   • 執行個體詳細資料：
     • 區域：選取您要在其中建立 SCOM 受控執行個體 的區域。
     • 名稱：輸入實例的名稱。

   

4. 完成時，選取 [下一步:標籤]。

5. 在 [ 標記] 索引 標籤上，輸入 [名稱 ] 值，然後選取資源。

   卷標可協助您將相同的標籤套用至多個資源和資源群組，以分類資源和檢視合併計費。 如需詳細資訊，請參閱使用標籤來組織 Azure 資源和管理階層。

6. 選取 [下一步：檢閱 + 建立]。

7. 在 [ 檢閱 + 建立 ] 索引標籤上，檢閱您提供的所有資訊，然後選取 [ 建立]。

   

您的部署現在會在 Azure 上建立。 您可以存取資源並檢視其詳細數據。

在 SQL 受控實例中設定 Microsoft Entra 管理員值

若要在步驟 3 中建立的 SQL 受控實例中設定 Microsoft Entra 管理員值，請遵循下列步驟：

注意

您必須擁有訂用帳戶的全域管理員或特殊許可權角色管理員許可權，才能執行下列作業。

重要

目前不支援使用群組作為 Microsoft Entra 系統管理員。

1. 開啟 SQL 受控實例。 在 [設定] 底下，選取 [Microsoft Entra 管理員]。

   

2. 選取錯誤方塊訊息，在 Microsoft Entra ID 上提供 SQL 受控實例的讀取許可權。 [授與許可權] 窗格隨即開啟，以授與許可權。

   

3. 選取 [授與許可權] 以起始作業，並在作業完成之後，您可以找到成功更新 Microsoft Entra 讀取許可權的通知。

   

4. 選取 [設定系統管理員]，然後搜尋您的 MSI。 此 MSI 與您在 SCOM 受控執行個體 建立流程期間所提供的 MSI 相同。 您會發現管理員已新增至 SQL 受控實例。

   

5. 如果您在新增受控識別帳戶之後收到錯誤，表示尚未提供您身分識別的讀取許可權。 請務必在建立 SCOM 受控執行個體 之前提供必要的許可權，否則 SCOM 受控執行個體 建立失敗。

   

如需許可權的詳細資訊，請參閱 Microsoft Entra ID 中適用於 Azure SQL 的目錄讀取者角色。

授與金鑰保存庫的許可權

若要授與您在 步驟 4 中建立之密鑰保存庫的許可權，請遵循下列步驟：

1. 移至您在 步驟 4 中建立的金鑰保存庫資源，然後選取 [ 存取原則]。

2. 在 [ 存取原則] 頁面上，選取 [ 建立]。

   

3. 在 [ 許可權] 索引 標籤上，選取 [取得 和 清單 ] 選項。

   

4. 選取 [下一步] 。

5. 在 [ 主體] 索引標籤上，輸入您建立的 MSI 名稱。

6. 選取 [下一步] 。 選取您在 SQL 受管理執行個體 系統管理員設定中使用的相同 MSI。

   

7. 選取 [下一步]>[建立]。

下一步

• 建立 gMSA 帳戶