Skapa en logisk server för Azure SQL Database, konfigurerad med en användartilldelad hanterad identitet och en CMK för flera klienter för TDE.

2025-09-18

I den här guiden går vi igenom stegen för att skapa en logisk server i Azure SQL Database med transparent datakryptering (TDE) och kundhanterade nycklar (CMK) och använder en användartilldelad hanterad identitet för att få åtkomst till ett Azure Key Vault i en annan Microsoft Entra-klientorganisation än den logiska serverns klientorganisation. För mer information, se kundhanterade nycklar som delas mellan klientorganisationer med transparent datakryptering.

Not

Microsoft Entra ID tidigare kallades Azure Active Directory (Azure AD).

Förutsättningar

Den här guiden förutsätter att du har två Microsoft Entra-klienter.
- Den första innehåller Azure SQL Database-resursen, ett Microsoft Entra-program med flera klientorganisationer och en användartilldelad hanterad identitet.
- Den andra hyresgästen rymmer Azure Key Vault.
Omfattande anvisningar om hur du konfigurerar CMK för flera klientorganisationer och de RBAC-behörigheter som krävs för att konfigurera Microsoft Entra-program och Azure Key Vault finns i någon av följande guider:
- Konfigurera tvärgående klienthanterade nycklar för ett nytt lagringskonto
- Konfigurera kundhanterade nycklar mellan klientorganisationer för ett befintligt lagringskonto

Nödvändiga resurser för den första hyresgästen

I denna handledning förutsätter vi att den första hyresgästen tillhör en oberoende programvaruleverantör (ISV) och att den andra hyresgästen är från deras klient. Mer information om det här scenariot finns i kundhanterade nycklar mellan klientorganisationer med transparent datakryptering.

Innan vi kan konfigurera TDE för Azure SQL Database med en CMK för flera klientorganisationer måste vi ha ett Microsoft Entra-program med flera klienter som har konfigurerats med en användartilldelad hanterad identitet tilldelad som en federerad identitetsautentiseringsuppgift för programmet. Följ en av guiderna i avsnittet Förutsättningar.

I den första klientorganisationen där du vill skapa Azure SQL Database skapa och konfigurera ett Microsoft Entra-program med flera klienter
Skapa en användartilldelad hanterad identitet
Konfigurera den användartilldelade hanterade identiteten som en federerad identitetsreferens för flertenantapplikationen
Registrera programnamnet och program-ID:t. Detta finns i Azure-portalen>Microsoft Entra ID>Enterprise-appar och sök efter det skapade programmet

Nödvändiga resurser hos den andra klientorganisationen

Not

Azure AD- och MSOnline PowerShell-moduler är inaktuella från och med den 30 mars 2024. Mer information finns i utfasningsuppdatering. Efter det här datumet är stödet för dessa moduler begränsat till migreringshjälp till Microsoft Graph PowerShell SDK och säkerhetskorrigeringar. De inaktuella modulerna fortsätter att fungera till och med mars 30 2025.

Vi rekommenderar att du migrerar till Microsoft Graph PowerShell- för att interagera med Microsoft Entra-ID (tidigare Azure AD). För vanliga migreringsfrågor, se Migrering FAQ. Obs! version 1.0.x av MSOnline kan uppleva störningar efter den 30 juni 2024.

På den andra klientorganisationen där Azure Key Vault finns skapa ett tjänsthuvudnamn (program) med hjälp av program-ID:t från det registrerade programmet från den första klientorganisationen. Här är några exempel på hur du registrerar programmet för flera klientorganisationer. Ersätt <TenantID> och <ApplicationID> med klient-ID Tenant ID från Microsoft Entra-ID och med program-ID Application ID från många klienters applikation:
- PowerShell:
```
Connect-AzureAD -TenantID <TenantID>
New-AzADServicePrincipal  -ApplicationId <ApplicationID>
```
- Azure CLI-:
```
az login --tenant <TenantID>
az ad sp create --id <ApplicationID>
```
Gå till Azure-portalen>Microsoft Entra ID>Enterprise-applikationer och sök efter programmet som just skapades.
Skapa en Azure Key Vault- om du inte har en och skapa en nyckel
Skapa eller ange åtkomstprincipen.
1. Välj behörigheterna Get, Wrap Key, Unwrap Key under Key-behörigheter när du skapar åtkomstpolicyn
2. Välj multitenant-applikationen som skapades i det första steget under Principal vid skapandet av åtkomstprincipen.
När åtkomstprincipen och nyckeln har skapats hämtar du nyckeln från Azure Key Vault och registrerar nyckelidentifieraren

Skapa en server konfigurerad med TDE och en kundhanterad nyckel som fungerar över flera klientorganisationer (CMK)

Den här guiden beskriver hur du skapar en logisk server och databas i Azure SQL med en användartilldelad hanterad identitet samt hur du anger en kundhanterad nyckel för flera klientorganisationer. Den användartilldelade hanterade identiteten är ett måste för att konfigurera en kundhanterad nyckel för transparent datakryptering under fasen för att skapa servern.

Viktig

Användaren eller programmet som använder API:er för att skapa logiska SQL-servrar behöver SQL Server-bidragsgivare och Hanterad Identitetsoperator RBAC-roller eller högre på prenumerationen.

Gå till Azure SQL Hub på aka.ms/azuresqlhub.
I fönstret för Azure SQL Database väljer du Visa alternativ.
I fönstret Azure SQL Database-alternativ väljer du Skapa SQL Database.
På fliken Grundläggande i formuläret Skapa SQL Database går du till Projektinformationoch väljer önskad Azure -prenumeration.
För Resursgruppväljer du Skapa ny, anger ett namn för resursgruppen och väljer OK.
För databasnamn anger ett databasnamn. Till exempel ContosoHR.
För Serverväljer du Skapa nyoch fyller i formuläret Ny server med följande värden:
- Servernamn: Ange ett unikt servernamn. Servernamn måste vara globalt unika för alla servrar i Azure, inte bara unika i en prenumeration. Ange något i stil med mysqlserver135, så meddelar Azure-portalen dig om det är tillgängligt eller inte.
- Inloggning för serveradministratör: Ange ett inloggningsnamn för administratör, till exempel: azureuser.
- Lösenord: Ange ett lösenord som uppfyller lösenordskraven och ange det igen i fältet Bekräfta lösenord.
- Plats: Välj en plats i listrutan
Välj Nästa: Nätverk för att gå vidare till nästa steg.
På fliken Nätverk väljer du offentlig slutpunktför Anslutningsmetod.
För brandväggsregleranger du Lägg till aktuell klient-IP-adress till Ja. Låt Tillåt att Azure-tjänster och resurser får åtkomst till den här servern anges till Nej. Resten av valen på den här sidan kan lämnas som standard.
Välj Nästa: Säkerhet för att gå vidare till nästa steg.
På fliken Säkerhet går du till Identityoch väljer Konfigurera identiteter.
På menyn Identity väljer du Av för Systemtilldelad hanterad identitet och väljer sedan Lägg till under Användartilldelad hanterad identitet. Välj önskad Prenumeration och under Användartilldelade hanterade identiteterväljer du önskad användartilldelad hanterad identitet från den valda prenumerationen. Välj sedan knappen Lägg till.
Under Primär identitetväljer du samma användartilldelade hanterade identitet som valdes i föregående steg.
För federerad klientidentitetväljer du alternativet Ändra identitet och söker efter den multitenant applikation du skapade i Förutsättningar.

Not

Om programmet för flera klienter inte har lagts till i åtkomstprincipen för nyckelvalvet med de nödvändiga behörigheterna (Hämta, Omsluta nyckel, Packa upp nyckel), kommer ett felmeddelande att visas när programmet används för identitetsfederation i Azure-portalen. Kontrollera att behörigheterna är korrekt konfigurerade innan du konfigurerar den federerade klientidentiteten.
Välj Använd.
På fliken Säkerhet under Transparent datakrypteringsnyckelhantering kan du konfigurera en nyckel på servernivå eller en nyckel på databasnivå. Standardvärdet för en servernivånyckel är en tjänsthanterad nyckel. Välj Konfigurera transparent datakryptering om du vill konfigurera en kundhanterad nyckel för servern.
På sidan Transparent datakryptering väljer du Kundhanterad nyckel och ett alternativ för Att ange en nyckelidentifierare visas. Lägg till nyckelidentifierare hämtad från nyckeln i den andra klientorganisationen.

Information om hur du konfigurerar en nyckel på databasnivå finns i Identitets- och nyckelhantering för TDE med kundhanterade nycklar på databasnivå.
Välj Använd.
Välj Nästa: Ytterligare inställningar.
Välj Nästa: Taggar.
Överväg att använda Azure-taggar. Till exempel taggen "Ägare" eller "CreatedBy" för att identifiera vem som skapade resursen och taggen Miljö för att identifiera om den här resursen finns i Produktion, Utveckling osv. Mer information finns i Utveckla din namngivnings- och taggningsstrategi för Azure-resurser.
Välj Förhandsgranska + skapa.
På sidan Granska + skapa, efter granskning, väljer du Skapa.

Information om hur du installerar den aktuella versionen av Azure CLI finns i artikeln Installera Azure CLI.

Skapa en server med hjälp av kommandot az sql server create, konfigurerad med användartilldelad hanterad identitet och kundadministrerad TDE över klientorganisationer. nyckel-ID från den andra klienten kan användas i fältet key-id. Program-ID:t för multitenant-applikationen kan användas i fältet federated-client-id.

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid \
    --federated-client-id $federatedid

Skapa en databas med kommandot az sql db create.

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

Skapa en server som konfigurerats med användartilldelad hanterad identitet och kundhanterad TDE mellan klientorganisationer med hjälp av PowerShell.

Installationsinstruktioner för Az PowerShell-moduler finns i Installera Azure PowerShell.

Använd cmdleten New-AzSqlServer.

Ersätt följande värden i exemplet:

<ResourceGroupName>: Namnet på resursgruppen för din logiska Azure SQL-server
<Location>: Plats för servern, till exempel West USeller Central US
<ServerName>: Använd ett unikt namn på den logiska Azure SQL-servern
<ServerAdminName>: SQL-administratörsinloggningen
<ServerAdminPassword>: SQL-administratörslösenordet
<IdentityType>: Typ av identitet som ska tilldelas till servern. Möjliga värden är SystemAssigned, UserAssigned, SystemAssigned,UserAssigned och None
<UserAssignedIdentityId>: Listan över användartilldelade hanterade identiteter som ska tilldelas till servern (kan vara en eller flera)
<PrimaryUserAssignedIdentityId>: Den användartilldelade hanterade identiteten som ska användas som primär eller standard på den här servern
<CustomerManagedKeyId>: Nyckelidentifieraren från den andra klientens Azure Key Vault
<FederatedClientId>: program-ID för programmet för flera klientorganisationer

Om du vill hämta din användartilldelade hanterade identitet resurs-IDsöker du efter Hanterade Identiteter i Azure-Portalen. Hitta din hanterade identitet och gå till Egenskaper. Ett exempel på ditt resurs-ID för UMI ser ut som /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>

# create a server with user-assigned managed identity and cross-tenant customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
    FederatedClientId = "<FederatedClientId>"
}

New-AzSqlServer @params

Här är ett exempel på en ARM-mall som skapar en logisk Azure SQL-server med en användartilldelad hanterad identitet och kundhanterad TDE. För en cmk för flera klientorganisationer använder du nyckelidentifieraren från den andra klientorganisationen Azure Key Vault och program-ID:t från programmet för flera klienter.

Mallen lägger också till en Microsoft Entra-administratörsuppsättning för servern och aktiverar endast Microsoft Entra-autentisering med Azure SQL, men detta kan tas bort från mallexemplet.

Mer information och ARM-mallar finns i Azure Resource Manager-mallar för Azure SQL Database.

Använd en anpassad distribution i Azure-portalenoch Skapa en egen mall i redigeraren. Sedan Spara konfigurationen efter att du har klistrat in den i exemplet.

Om du vill hämta din användartilldelade hanterade identitet resurs-IDsöker du efter Hanterade Identiteter i Azure-Portalen. Hitta din hanterade identitet och gå till Egenskaper. Ett exempel på ditt UMI-resurs-ID ser ut som /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "federated_clientid": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Application ID of the multi-tenant application."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The key vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2022-05-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "federatedClientId": "[parameters('federated_clientid')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Feedback

Var den här sidan till hjälp?