Microsoft Entra-verificatie configureren en beheren met Azure SQL

Voer de volgende stappen uit om de Microsoft Entra-beheerder in te stellen voor uw logische server in Azure Portal:

1. Kies in het deelvenster Directory's en abonnementen van Azure Portal de map die uw Azure SQL-resource bevat als de huidige map.

2. Zoek naar SQL-servers en selecteer vervolgens de logische server voor uw databaseresource om het deelvenster SQL-server te openen.

   

3. Selecteer in het deelvenster SQL-server voor uw logische server Microsoft Entra-id onder Instellingen om het deelvenster Microsoft Entra-id te openen.

4. Selecteer In het deelvenster Microsoft Entra-id de optie Beheerder instellen om het deelvenster Microsoft Entra-id te openen.

   

5. In het deelvenster Microsoft Entra-id worden alle gebruikers, groepen en toepassingen in uw huidige map weergegeven en kunt u zoeken op naam, alias of id. Zoek uw gewenste identiteit voor uw Microsoft Entra-beheerder en selecteer deze en selecteer vervolgens Selecteren om het deelvenster te sluiten.

6. Selecteer Opslaan bovenaan de pagina Microsoft Entra-id voor uw logische server.

   

   De object-id wordt weergegeven naast de beheerdersnaam voor Microsoft Entra-gebruikers en -groepen. Voor toepassingen (service-principals) wordt de toepassings-id weergegeven.

Het wijzigen van de beheerder kan enkele minuten duren. Vervolgens wordt de nieuwe beheerder weergegeven in het microsoft-entra-beheerveld .

Als u de beheerder wilt verwijderen, selecteert u bovenaan de pagina Microsoft Entra-id de optie Beheerder verwijderen en selecteert u Opslaan. Als u de Microsoft Entra-beheerder verwijdert, wordt Microsoft Entra-verificatie voor uw logische server uitgeschakeld.

Als u PowerShell-cmdlets wilt uitvoeren, moet Azure PowerShell zijn geïnstalleerd en uitgevoerd. Zie Azure PowerShell installeren en configureren voor gedetailleerde informatie.

De volgende Azure PowerShell-cmdlets kunnen worden gebruikt voor het instellen en beheren van een Microsoft Entra-beheerder voor Azure SQL Database en Azure Synapse Analytics:

Gebruik de PowerShell-opdracht get-help voor meer informatie voor elk van deze opdrachten. Bijvoorbeeld: get-help Set-AzSqlServerActiveDirectoryAdministrator.

Met het volgende script wordt een Microsoft Entra-beheerdersgroep met de naam aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb (voorbeeldobject-id) ingesteld voor de voorbeeldserver van de voorbeeldserver in een voorbeeldresourcegroep met de naam Example-Resource-Group:

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    ServerName = "example-server"
    DisplayName = "DBA_Group"
}

Set-AzSqlServerActiveDirectoryAdministrator @parameters

De parameter DisplayName accepteert de weergavenaam van Microsoft Entra ID of de User Principal Name, zoals de volgende voorbeelden: DisplayName="Adrian King" en DisplayName="adrian@contoso.com". Als u een Microsoft Entra-groep gebruikt, wordt alleen de weergavenaam ondersteund.

In het volgende voorbeeld wordt de optionele ObjectID-parameter gebruikt:

$parameters = @{
  ResourceGroupName = "Example-Resource-Group"
  ServerName = "example-server"
  DisplayName = "DBA_Group"
  ObjectId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
}
Set-AzSqlServerActiveDirectoryAdministrator @parameters

In het volgende voorbeeld wordt informatie geretourneerd over de huidige Microsoft Entra-beheerder voor de server:

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    ServerName = "example-server"
}

Get-AzSqlServerActiveDirectoryAdministrator @parameters | Format-List

In het volgende voorbeeld wordt een Microsoft Entra-beheerder verwijderd:

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    ServerName = "example-server"
}

Remove-AzSqlServerActiveDirectoryAdministrator @parameters

U kunt een Microsoft Entra-beheerder voor Azure SQL Database en Azure Synapse Analytics instellen met de volgende Azure CLI-opdrachten:

Zie az sql server voor meer CLI-opdrachten.

U kunt ook de AZURE AD Administrator REST API's van Server gebruiken om de Microsoft Entra-beheerder voor Azure SQL Database en Azure Synapse Analytics te maken, bij te werken, te verwijderen en op te halen.

Als u uw met SQL beheerde exemplaar leesmachtigingen wilt verlenen aan Microsoft Entra ID met behulp van Azure Portal, meldt u zich aan als beheerder van bevoorrechte rollen en voert u de volgende stappen uit:

1. Selecteer in azure Portal in de rechterbovenhoek uw account en kies vervolgens Schakelen tussen mappen om te bevestigen welke map uw huidige map is. Schakel indien nodig tussen mappen.

   

2. Kies in het deelvenster Directory's en abonnementen van Azure Portal de map die uw beheerde exemplaar bevat als de huidige map.''

3. Zoek naar met SQL beheerde exemplaren en selecteer vervolgens uw beheerde exemplaar om het deelvenster sql Managed Instance te openen. Selecteer vervolgens Microsoft Entra-id onder Instellingen om het deelvenster Microsoft Entra-id voor uw exemplaar te openen.

   

4. Selecteer In het microsoft Entra-beheervenster De beheerder instellen in de navigatiebalk om het deelvenster Microsoft Entra-id te openen.

   

5. Zoek in het deelvenster Microsoft Entra-id naar een gebruiker, schakel het selectievakje in naast de gebruiker of groep als beheerder en druk op Selecteren om het deelvenster te sluiten en terug te gaan naar de Microsoft Entra-beheerpagina voor uw beheerde exemplaar.

   In het deelvenster Microsoft Entra-id worden alle leden en groepen in uw huidige map weergegeven. Grijs weergegeven gebruikers of groepen kunnen niet worden geselecteerd omdat ze niet worden ondersteund als Microsoft Entra-beheerders. Selecteer de identiteit die u als beheerder wilt toewijzen.

6. Selecteer Opslaan op de navigatiebalk van de Microsoft Entra-beheerpagina voor uw beheerde exemplaar om uw Microsoft Entra-beheerder te bevestigen.

   

   Nadat de wijzigingsbewerking van de beheerder is voltooid, wordt de nieuwe beheerder weergegeven in het veld Microsoft Entra-beheerder.

   De object-id wordt weergegeven naast de beheerdersnaam voor Microsoft Entra-gebruikers en -groepen. Voor toepassingen (service-principals) wordt de toepassings-id weergegeven.

Als u PowerShell-cmdlets wilt uitvoeren, moet Azure PowerShell zijn geïnstalleerd en uitgevoerd. Zie Azure PowerShell installeren en configureren voor gedetailleerde informatie.

De volgende tabel bevat de PowerShell-cmdlets die u kunt gebruiken om de Microsoft Entra-beheerder voor beheerde exemplaren te definiëren en te beheren:

Met deze voorbeeldopdracht wordt informatie opgehaald over een Microsoft Entra-beheerder voor een beheerd exemplaar met de naam Sample-Instance dat is gekoppeld aan een resourcegroep met de naam Example-Resource-Group.

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    InstanceName = "Sample-Instance"
}

Get-AzSqlInstanceActiveDirectoryAdministrator @parameters

Met deze voorbeeldopdracht stelt u de Microsoft Entra-beheerder in op een groep met de naam DBA's (met voorbeeldobject-id aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) voor het met SQL beheerde exemplaar met de naam Sample-Instance. Deze server is gekoppeld aan de resourcegroep 'Example-Resource-Group'.

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    InstanceName = "Sample-Instance"
    DisplayName = "DBAs"
    ObjectId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
}

Set-AzSqlInstanceActiveDirectoryAdministrator @parameters

Met deze voorbeeldopdracht verwijdert u de Microsoft Entra-beheerder voor het met SQL beheerde exemplaar met de naam Sample-Instance dat is gekoppeld aan de resourcegroep 'Example-Resource-Group'.

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    InstanceName = "Sample-Instance"
    Confirm = $true
    PassThru = $true
}

Remove-AzSqlInstanceActiveDirectoryAdministrator @parameters

U kunt een Microsoft Entra-beheerder voor het met SQL beheerde exemplaar instellen en beheren door de volgende Azure CLI-opdrachten aan te roepen:

Zie az sql mi voor meer CLI-opdrachten.

U kunt de REST API's van Managed Instance-beheerders gebruiken om de Microsoft Entra-beheerder voor beheerde SQL-exemplaren te maken, bij te werken, te verwijderen en op te halen.

Op de pagina Microsoft Entra-id voor SQL Managed Instance in Azure Portal wordt een handige banner weergegeven wanneer aan het exemplaar geen machtigingen voor directorylezer zijn toegewezen.

1. Selecteer de banner boven op de pagina Microsoft Entra-id en verwijs toestemming voor de door het systeem toegewezen of door de gebruiker toegewezen beheerde identiteit die uw exemplaar vertegenwoordigt. Alleen een beheerder van bevoorrechte rollen of een hogere rol in uw tenant kan deze bewerking uitvoeren.

   

2. Wanneer de bewerking is geslaagd, wordt in de rechterbovenhoek een melding geslaagd weergegeven:

   

Met het volgende PowerShell-script wordt een identiteit toegevoegd aan de rol Directory Readers. Dit kan worden gebruikt om machtigingen toe te wijzen aan een beheerd exemplaar of een primaire serveridentiteit voor de logische server (of een Microsoft Entra-identiteit).

# This script grants "Directory Readers" permission to a service principal representing a SQL Managed Instance or logical server.
# It can be executed only by a user who is a member of the **Privileged Roles Administrator** role.

Import-Module Microsoft.Graph.Authentication
$instanceName = "<InstanceName>"        # Enter the name of your managed instance or server
$tenantId = "<TenantId>"                       # Enter your tenant ID

Connect-MgGraph -TenantId $tenantId -Scopes "RoleManagement.ReadWrite.Directory"

# Get Microsoft Entra "Directory Readers" role and create if it doesn't exist
$roleName = "Directory Readers"
$role = Get-MgDirectoryRole -Filter "DisplayName eq '$roleName'"
if ($role -eq $null) {
    # Instantiate an instance of the role template
    $roleTemplate = Get-MgDirectoryRoleTemplate -Filter "DisplayName eq '$roleName'"
    New-MgDirectoryRoleTemplate -RoleTemplateId $roleTemplate.Id
    $role = Get-MgDirectoryRole -Filter "DisplayName eq '$roleName'"
}

# Get service principal for your SQL Managed Instance or logical server
$roleMember = Get-MgServicePrincipal -Filter "DisplayName eq '$instanceName'"
$roleMember.Count
if ($roleMember -eq $null) {
    Write-Output "Error: No service principal with name '$($instanceName)' found, make sure that instanceName parameter was entered correctly."
    exit
}
if (-not ($roleMember.Count -eq 1)) {
    Write-Output "Error: Multiple service principals with name '$($instanceName)'"
    Write-Output $roleMember | Format-List DisplayName, Id, AppId
    exit
}

# Check if service principal is already member of Directory Readers role
$isDirReader = Get-MgDirectoryRoleMember -DirectoryRoleId $role.Id -Filter "Id eq '$($roleMember.Id)'"
if ($isDirReader -eq $null) {
    # Add principal to Directory Readers role
    Write-Output "Adding service principal '$($instanceName)' to 'Directory Readers' role..."
    $body = @{
        "@odata.id"= "https://graph.microsoft.com/v1.0/directoryObjects/{$($roleMember.Id)}"
    }
    New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $body
    Write-Output "'$($instanceName)' service principal added to 'Directory Readers' role."
} else {
    Write-Output "Service principal '$($instanceName)' is already member of 'Directory Readers' role."
}

Meer informatie over het toewijzen van Azure-rollen via de Azure CLI vindt u hier azure-rollen toewijzen met behulp van Azure CLI.

Wijs Azure-rollen toe met behulp van de REST API.