Beheerde identiteit (preview) voor SQL Server mogelijk gemaakt door Azure Arc

2025-10-21

Van toepassing op: SQL Server 2025 (17.x) Preview

In dit artikel wordt beschreven hoe u beheerde identiteit voor Microsoft Entra ID configureert voor SQL Server die is ingeschakeld door Azure Arc.

SQL Server 2025 (17.x) Preview bevat ondersteuning voor beheerde identiteiten voor SQL Server in Windows. Gebruik een beheerde identiteit om te communiceren met resources in Azure met behulp van Microsoft Entra-verificatie.

Opmerking

Het gebruik van een beheerde identiteit met SQL Server 2025 is momenteel in preview.

Overzicht

SQL Server 2025 (17.x) Preview introduceert ondersteuning voor door Microsoft Entra beheerde identiteiten. Gebruik beheerde identiteiten om te verifiëren bij Azure-services zonder referenties te hoeven beheren. Beheerde identiteiten worden automatisch beheerd door Azure en kunnen worden gebruikt voor verificatie bij elke service die ondersteuning biedt voor Microsoft Entra-verificatie. Met SQL Server 2025 (17.x) Preview kunt u beheerde identiteiten gebruiken om binnenkomende verbindingen te verifiëren en ook om uitgaande verbindingen met Azure-services te verifiëren.

Wanneer u uw SQL Server-exemplaar verbindt met Azure Arc, wordt automatisch een door het systeem toegewezen beheerde identiteit gemaakt voor de SQL Server-hostnaam. Nadat de beheerde identiteit is gemaakt, moet u de identiteit koppelen aan het SQL Server-exemplaar en de Tenant-id van Microsoft Entra door het register bij te werken.

Houd rekening met het volgende wanneer u een beheerde identiteit gebruikt met SQL Server die is ingeschakeld door Azure Arc:

De beheerde identiteit wordt toegewezen op azure Arc-serverniveau.
Alleen door het systeem toegewezen beheerde identiteiten worden ondersteund.
SQL Server maakt gebruik van deze beheerde identiteit op Azure Arc-serverniveau als de primaire beheerde identiteit.
SQL Server kan deze primaire beheerde identiteit gebruiken in inbound en/of outbound verbindingen.
- Inbound connections zijn aanmeldingen en gebruikers die verbinding maken met SQL Server. Binnenkomende verbindingen kunnen ook worden bereikt met behulp van app-registratie, te beginnen in SQL Server 2022 (16.x).
- Outbound connections zijn SQL Server-verbindingen met Azure-resources, zoals back-up naar URL of verbinding maken met Azure Key Vault.
App-registratie kan een SQL Server niet toestaan om uitgaande verbindingen te maken. Uitgaande verbindingen hebben een primaire beheerde identiteit nodig die is toegewezen aan de SQL Server.
Voor SQL Server 2025 en hoger raden we u aan beheerde identiteiten te gebruiken op basis van Microsoft Entra setup, zoals beschreven in dit artikel. U kunt ook een app-registratie configureren voor SQL Server 2025.

Vereiste voorwaarden

Voordat u een beheerde identiteit kunt gebruiken waarvoor SQL Server is ingeschakeld door Azure Arc, moet u ervoor zorgen dat u voldoet aan de volgende vereisten:

Verbind uw SQL Server met Azure Arc.
De nieuwste versie van de Azure-extensie voor SQL Server.

De primaire beheerde identiteit inschakelen

Als u de Azure-extensie voor SQL Server op uw server hebt geïnstalleerd, kunt u de primaire beheerde identiteit voor uw SQL Server-exemplaar rechtstreeks vanuit Azure Portal inschakelen. Het is ook mogelijk om de primaire beheerde identiteit handmatig in te schakelen door het register bij te werken, maar moet uiterst voorzichtig zijn.

Azure-portal
Handmatig

Voer de volgende stappen uit om de primaire beheerde identiteit in azure Portal in te schakelen:

Ga in Azure Portal naar uw SQL Server die is ingeschakeld door Azure Arc-resource .
Selecteer onder Instellingende Microsoft Entra-id en Purview om de pagina Microsoft Entra-id en Purview te openen.

Opmerking

Als u de optie Microsoft Entra ID-verificatie inschakelen niet ziet, controleert u of uw SQL Server-exemplaar is verbonden met Azure Arc en of u de nieuwste SQL-extensie hebt geïnstalleerd.
Schakel op de pagina Microsoft Entra-id en Purview het selectievakje in naast Een primaire beheerde identiteit gebruiken en gebruik Opslaan om uw configuratie toe te passen:

Het is mogelijk om de primaire beheerde identiteit voor uw SQL Server-exemplaar handmatig in te schakelen door het register bij te werken, maar moet uiterst voorzichtig zijn.

Machtigingen verlenen aan de map Tokens

Verleen lees- en uitvoermachtigingen voor het besturingssysteem op de map C:\ProgramData\AzureConnectedMachineAgent\Tokens\ aan het service-account van de SQL Server 2025-instance. Standaard is het serviceaccount NT Service\MSSQLSERVER, of voor benoemde exemplaren NT Service\MSSQL$<instancename>.

Schermopname van tabblad Beveiliging van tokensmap.

Mogelijk moet u beheerdersmachtigingen verlenen voor het SQL Server-serviceaccount voor de AzureConnectedMachineAgent map vóór de Tokens map:

Schermopname van het tabblad Beveiligingseigenschappen van de map AzureConnectedMachineAgent.

SQL Server-serviceaccount toevoegen aan de groep toepassingen voor hybride agent-extensie

Voeg het SQL Server-serviceaccount (standaard: NT Service\MSSQLSERVER of voor benoemde exemplaren) NT Service\MSSQL$instancenametoe aan de groep toepassingen voor hybride agentuitbreidingen .

Open Windows-Computerbeheer.
Ga naar Lokale gebruikers en groepen en selecteer Groepen.
Voeg het SQL Server-serviceaccount toe aan de groep toepassingen voor hybride agentuitbreidingen .

Schermopname van Computerbeheer met de toepassingsgroep voor hybride agentextensie.

Schermopname van de eigenschappen van de toepassingsgroep voor de hybride agentextensie.

Het register bijwerken

Waarschuwing

Het onjuist bewerken van het register kan uw systeem ernstig beschadigen. Voordat u wijzigingen aanbrengt in het register, raden we u aan een back-up te maken van waardegegevens op de computer.

Werk de \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17.MSSQLSERVER\MSSQLServer\FederatedAuthentication subsleutel bij in het register.

Maak de volgende vermeldingen:

Ingang	Waarde
`ArcServerManagedIdentityClientId`	Leeg (geen waarde)
`HIMDSApiVersion`	`2020-06-01`
`HIMDSEndpoint`	`http://localhost:40342/metadata/identity/oauth2/token`
`ArcServerSystemAssignedManagedIdentityTenantId`	`Arc-AAD-Tenant-ID`
`ArcServerSystemAssignedManagedIdentityClientId`	`Arc-Machine-Client-Id`
`PrimaryAADTenant`	`Arc-AAD-Tenant-ID`
`AADChannelMaxBufferedMessageSize`	`200000`
`AADGraphEndPoint`	`graph.windows.net`
`AADGroupLookupMaxRetryAttempts`	`10`
`AADGroupLookupMaxRetryDuration`	`30000`
`AADGroupLookupRetryInitialBackoff`	`100`
`AADServerAdminSid`	`00000000-0000-0000-0000-000000000000`
`AuthenticationEndpoint`	`login.microsoftonline.com`
`CacheMaxSize`	`300`
`ClientCertBlackList`	Leeg (geen waarde)
`FederationMetadataEndpoint`	`login.windows.net`
`GraphAPIEndpoint`	`graph.windows.net`
`IssuerURL`	`https://sts.windows.net/`
`OnBehalfOfAuthority`	`https://login.windows.net/`
`STSURL`	`https://login.windows.net/`
`MsGraphEndPoint`	`graph.microsoft.com`
`SendX5c`	`false`
`ServicePrincipalName`	`https://database.windows.net/`
`ServicePrincipalNameForArcadia`	`https://sql.azuresynapse.net`
`ServicePrincipalNameForArcadiaDogfood`	`https://sql.azuresynapse-dogfood.net`
`ServicePrincipalNameNoSlash`	`https://database.windows.net`
`AADBecWSConnectionPoolMaxSize`	`500`

Een back-up van het register maken en bewerken

In de volgende secties wordt beschreven hoe u een back-up van het register maakt en bewerkt met de Register-editor.

De Register-editor openen

Druk op Windows+R om het dialoogvenster Uitvoeren te openen.
Typ regedit en druk op Enter.
Als u hierom wordt gevraagd door Gebruikersaccountbeheer, selecteert u Ja.

Een back-up maken van de registersleutel

Met deze stap maakt u een back-up van het register voordat u wijzigingen aanbrengt. U kunt dit bestand later weer importeren in het register als uw wijzigingen een probleem veroorzaken.

Selecteer Bestand in het menu.
Selecteer exporteren.
Kies in het dialoogvenster Registerbestand exporteren een locatie om de back-up op te slaan.
Voer een naam in voor het back-upbestand in het veld Bestandsnaam .
Zorg ervoor dat Alles is geselecteerd in het exportbereik.
Selecteer Opslaan.

Vermeldingen toevoegen

In deze stap voegt u vermeldingen toe aan het register met de Register-editor.

Navigeer door deze subsleutel: \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17.MSSQLSERVER\MSSQLServer\FederatedAuthentication.
Klik met de rechtermuisknop op FederatedAuthentication en selecteer Tekenreekswaarde.
Herhaal dit voor elke vermelding die wordt vermeld bij Het register bijwerken

Deze afbeelding toont een correct geconfigureerd register.

De registersleutel herstellen (indien nodig)

Als u wilt herstellen naar eerdere registerinstellingen, volgt u deze stappen.

Open de Register-editor zoals eerder beschreven.
Selecteer Bestand in het menu.
Selecteer Importeren.
Navigeer naar de locatie van het opgeslagen back-upbestand.
Selecteer het back-upbestand en selecteer Openen.

Raadpleeg voor meer informatie hoe u registersubsleutels en -waarden toevoegt, wijzigt of verwijdert met behulp van een .reg-bestand.

Toepassingsmachtigingen verlenen aan de identiteit

Belangrijk

Alleen een beheerder van bevoorrechte rollen of een hogere rol kan deze machtigingen verlenen.

De door het systeem toegewezen beheerde identiteit, die gebruikmaakt van de naam van de machine met Arc, moet beschikken over de volgende Microsoft Graph-toepassingsmachtigingen (app-rollen):

User.Read.All: staat toegang tot Microsoft Entra-gebruikersgegevens toe.
GroupMember.Read.All: hiermee heeft u toegang tot microsoft Entra-groepsinformatie.
Application.Read.ALL: hiermee hebt u toegang tot microsoft Entra-service-principalgegevens (toepassingsinformatie).

U kunt PowerShell gebruiken om vereiste machtigingen toe te kennen aan de beheerde identiteit. U kunt ook een roltoewijzingsgroep maken. Nadat de groep is gemaakt, wijst u de rol Directory Readers of de User.Read.All, GroupMember.Read.Allen Application.Read.All machtigingen toe aan de groep en voegt u alle door het systeem toegewezen beheerde identiteiten voor uw Azure Arc-machines toe aan de groep. Het wordt afgeraden de rol Directory Readers te gebruiken in uw productieomgeving.

Het volgende PowerShell-script verleent de vereiste machtigingen voor de beheerde identiteit. Zorg ervoor dat dit script wordt uitgevoerd op PowerShell 7.5 of hoger en dat de Microsoft.Graph module 2.28 of hoger is geïnstalleerd.

# Set your Azure tenant and managed identity name
$tenantID = '<Enter-Your-Azure-Tenant-Id>'
$managedIdentityName = '<Enter-Your-Arc-HostMachine-Name>'

# Connect to Microsoft Graph
try {
    Connect-MgGraph -TenantId $tenantID -ErrorAction Stop
    Write-Output "Connected to Microsoft Graph successfully."
}
catch {
    Write-Error "Failed to connect to Microsoft Graph: $_"
    return
}

# Get Microsoft Graph service principal
$graphAppId = '00000003-0000-0000-c000-000000000000'
$graphSP = Get-MgServicePrincipal -Filter "appId eq '$graphAppId'"
if (-not $graphSP) {
    Write-Error "Microsoft Graph service principal not found."
    return
}

# Get the managed identity service principal
$managedIdentity = Get-MgServicePrincipal -Filter "displayName eq '$managedIdentityName'"
if (-not $managedIdentity) {
    Write-Error "Managed identity '$managedIdentityName' not found."
    return
}

# Define roles to assign
$requiredRoles = @(
    "User.Read.All",
    "GroupMember.Read.All",
    "Application.Read.All"
)

# Assign roles using scoped syntax
foreach ($roleValue in $requiredRoles) {
    $appRole = $graphSP.AppRoles | Where-Object {
        $_.Value -eq $roleValue -and $_.AllowedMemberTypes -contains "Application"
    }

    if ($appRole) {
        try {
            New-MgServicePrincipalAppRoleAssignment   -ServicePrincipalId $managedIdentity.Id `
                -PrincipalId $managedIdentity.Id `
                -ResourceId $graphSP.Id `
                -AppRoleId $appRole.Id `
                -ErrorAction Stop

            Write-Output "Successfully assigned role '$roleValue' to '$managedIdentityName'."
        }
        catch {
            Write-Warning "Failed to assign role '$roleValue': $_"
        }
    }
    else {
        Write-Warning "Role '$roleValue' not found in Microsoft Graph AppRoles."
    }
}

Aanmeldingen en gebruikers maken

Volg de stappen in de zelfstudie Microsoft Entra om aanmeldingen en gebruikers voor de beheerde identiteit te maken.

Beperkingen

Houd rekening met de volgende beperkingen bij het gebruik van een beheerde identiteit met SQL Server 2025:

De installatie van de beheerde identiteit voor Microsoft Entra-verificatie wordt alleen ondersteund met SQL Server 2025 met Azure Arc, die wordt uitgevoerd op Windows Server.
SQL Server moet toegang hebben tot de openbare Azure-cloud om Microsoft Entra-verificatie te kunnen gebruiken.
Het gebruik van Microsoft Entra-verificatie met failovercluster-exemplaren wordt niet ondersteund.
Zodra Microsoft Entra-verificatie is ingeschakeld, is uitschakelen niet raadzaam. Als u Microsoft Entra-verificatie geforceerd uitschakelt door registervermeldingen te verwijderen, kan dit leiden tot onvoorspelbaar gedrag met SQL Server 2025.
Verificatie bij SQL Server op Arc-machines via Microsoft Entra-verificatie met behulp van de FIDO2-methode wordt momenteel niet ondersteund.
OPENROWSET BULK-bewerkingen kunnen ook de map C:\ProgramData\AzureConnectedMachineAgent\Tokens\ lezen. Voor de BULK optie zijn machtigingen ADMINISTER BULK OPERATIONS of ADMINISTER DATABASE BULK OPERATIONS vereist. Deze machtigingen moeten worden behandeld als gelijkwaardig aan sysadmin.

Feedback

Is deze pagina nuttig?