Hanterad identitet (förhandsversion) för SQL Server som aktiveras av Azure Arc

2025-10-21

Gäller för: Förhandsversion av SQL Server 2025 (17.x)

I den här artikeln beskrivs hur du konfigurerar Microsoft Entra ID-hanterad identitet för SQL Server som aktiveras av Azure Arc.

Förhandsversionen av SQL Server 2025 (17.x) innehåller stöd för hanterad identitet för SQL Server i Windows. Använd en hanterad identitet för att interagera med resurser i Azure med hjälp av Microsoft Entra-autentisering.

Anmärkning

Användning av en hanterad identitet med SQL Server 2025 är för närvarande i förhandsversion.

Översikt

Förhandsversionen av SQL Server 2025 (17.x) ger stöd för Microsoft Entra-hanterade identiteter. Använd hanterade identiteter för att autentisera till Azure-tjänster utan att behöva hantera autentiseringsuppgifter. Hanterade identiteter hanteras automatiskt av Azure och kan användas för att autentisera till alla tjänster som stöder Microsoft Entra-autentisering. Med förhandsversionen av SQL Server 2025 (17.x) kan du använda hanterade identiteter både för att autentisera inkommande anslutningar och även för att autentisera utgående anslutningar till Azure-tjänster.

När du ansluter SQL Server-instansen till Azure Arc skapas automatiskt en systemtilldelad hanterad identitet för SQL Server-värdnamnet. När den hanterade identiteten har skapats måste du associera identiteten med SQL Server-instansen och Microsoft Entra-klient-ID:t genom att uppdatera registret.

Tänk på följande när du använder hanterad identitet med SQL Server aktiverat av Azure Arc:

Den hanterade identiteten tilldelas på Azure Arc-servernivå.
Endast systemtilldelade hanterade identiteter stöds.
SQL Server använder den här hanterade identiteten på Azure Arc-servernivå som den primära hanterade identiteten.
SQL Server kan använda den här primära hanterade identiteten i antingen inbound och/eller outbound anslutningar.
- Inbound connections är användarinloggningar och användare som ansluter till SQL Server. Inkommande anslutningar kan också uppnås med appregistrering från och med SQL Server 2022 (16.x).
- Outbound connections är SQL Server-anslutningar till Azure-resurser, till exempel säkerhetskopiering till URL eller anslutning till Azure Key Vault.
Appregistrering kan inte aktivera en SQL Server för att etablera utgående anslutningar. Utgående anslutningar behöver en primär hanterad identitet tilldelad till SQL Server.
För SQL Server 2025 och senare rekommenderar vi att du använder en hanterad identitetsbaserad Microsoft Entra-installation, enligt beskrivningen i den här artikeln. Du kan också konfigurera en appregistrering för SQL Server 2025.

Förutsättningar

Innan du kan använda en hanterad identitet med SQL Server aktiverat av Azure Arc kontrollerar du att du uppfyller följande krav:

Anslut DIN SQL Server till Azure Arc.
Den senaste versionen av Azure-tillägget för SQL Server.

Aktivera den primära hanterade identiteten

Om du har installerat Azure-tillägget för SQL Server på servern kan du aktivera den primära hanterade identiteten för SQL Server-instansen direkt från Azure-portalen. Det är också möjligt att aktivera den primära hanterade identiteten manuellt genom att uppdatera registret, men bör göras med stor försiktighet.

Azure Portal
manuellt

Följ dessa steg för att aktivera den primära hanterade identiteten i Azure-portalen:

Gå till din SQL Server som är aktiverad av Azure Arc-resursen i Azure-portalen.
Under Inställningar väljer du Microsoft Entra-ID och Purview för att öppna sidan Microsoft Entra-ID och Purview .

Anmärkning

Om du inte ser alternativet Aktivera Microsoft Entra-ID-autentisering kontrollerar du att SQL Server-instansen är ansluten till Azure Arc och att du har det senaste SQL-tillägget installerat.
På sidan Microsoft Entra-ID och Purview markerar du kryssrutan bredvid Använd en primär hanterad identitet och använder sedan Spara för att tillämpa konfigurationen:

Det går att aktivera den primära hanterade identiteten manuellt för SQL Server-instansen genom att uppdatera registret, men det bör göras med stor försiktighet.

Bevilja behörighet till mappen Tokens

Bevilja läs- och kör operativsystembehörigheter för mappen C:\ProgramData\AzureConnectedMachineAgent\Tokens\ till SQL Server 2025-instanstjänstkontot. Som standard är tjänstkontot NT Service\MSSQLSERVER, eller för namngivna instanser NT Service\MSSQL$<instancename>.

Skärmbild av fliken Säkerhetsegenskaper för tokenmappen.

Du kan behöva bevilja administratörsbehörigheter för SQL Server-tjänstkontot i AzureConnectedMachineAgent mappen före Tokens mappen:

Skärmbild av fliken Säkerhetsegenskaper för AzureConnectedMachineAgent-mapp.

Lägga till SQL Server-tjänstkonto i programgruppen hybridagenttillägg

Lägg till SQL Server-tjänstkontot (standard: NT Service\MSSQLSERVER eller för namngivna instanser, NT Service\MSSQL$instancename) i programgruppen hybridagenttillägg .

Öppna Windows Datorhantering.
Gå till Lokala användare och grupper och välj Grupper.
Lägg till SQL Server-tjänstkontot i programgruppen hybridagenttillägg .

Skärmbild av Datorhantering som visar programgruppen för hybridagenttillägget.

Skärmbild av egenskaperna för hybridagenttilläggets programgrupp.

Uppdatera registret

Varning

Felaktig redigering av registret kan allvarligt skada systemet. Innan du gör ändringar i registret rekommenderar vi att du säkerhetskopierar alla värdefulla data på datorn.

Uppdatera undernyckeln \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17.MSSQLSERVER\MSSQLServer\FederatedAuthentication i registret.

Skapa följande poster:

Inträde	Värde
`ArcServerManagedIdentityClientId`	Tom (inget värde)
`HIMDSApiVersion`	`2020-06-01`
`HIMDSEndpoint`	`http://localhost:40342/metadata/identity/oauth2/token`
`ArcServerSystemAssignedManagedIdentityTenantId`	`Arc-AAD-Tenant-ID`
`ArcServerSystemAssignedManagedIdentityClientId`	`Arc-Machine-Client-Id`
`PrimaryAADTenant`	`Arc-AAD-Tenant-ID`
`AADChannelMaxBufferedMessageSize`	`200000`
`AADGraphEndPoint`	`graph.windows.net`
`AADGroupLookupMaxRetryAttempts`	`10`
`AADGroupLookupMaxRetryDuration`	`30000`
`AADGroupLookupRetryInitialBackoff`	`100`
`AADServerAdminSid`	`00000000-0000-0000-0000-000000000000`
`AuthenticationEndpoint`	`login.microsoftonline.com`
`CacheMaxSize`	`300`
`ClientCertBlackList`	Tom (inget värde)
`FederationMetadataEndpoint`	`login.windows.net`
`GraphAPIEndpoint`	`graph.windows.net`
`IssuerURL`	`https://sts.windows.net/`
`OnBehalfOfAuthority`	`https://login.windows.net/`
`STSURL`	`https://login.windows.net/`
`MsGraphEndPoint`	`graph.microsoft.com`
`SendX5c`	`false`
`ServicePrincipalName`	`https://database.windows.net/`
`ServicePrincipalNameForArcadia`	`https://sql.azuresynapse.net`
`ServicePrincipalNameForArcadiaDogfood`	`https://sql.azuresynapse-dogfood.net`
`ServicePrincipalNameNoSlash`	`https://database.windows.net`
`AADBecWSConnectionPoolMaxSize`	`500`

Säkerhetskopiera och redigera registret

I följande avsnitt beskrivs hur du säkerhetskopierar och redigerar registret med Registereditorn.

Öppna Registereditorn

Tryck på Windows-tangenten + R för att öppna dialogrutan Kör.
Skriv regedit och tryck på Retur.
Om du uppmanas av User Account Control väljer du Ja.

Säkerhetskopiera registernyckeln

Det här steget säkerhetskopierar registret innan du gör några ändringar. Du kan importera tillbaka den här filen till registret senare om dina ändringar orsakar ett problem.

Välj Arkiv på menyn.
Välj Exportera.
I dialogrutan Exportera registerfil väljer du en plats för att spara säkerhetskopian.
Ange ett namn för säkerhetskopieringsfilen i fältet Filnamn .
Kontrollera att Alla är markerat i exportintervallet.
Välj Spara.

Lägg till poster

I det här steget lägger du till poster i registret med Registereditorn.

Navigera i den här undernyckeln: \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17.MSSQLSERVER\MSSQLServer\FederatedAuthentication.
Högerklicka på FederatedAuthentication och välj Strängvärde.
Upprepa för varje post som anges i Uppdatera registret

Den här avbildningen visar ett korrekt konfigurerat register:

Återställa registernyckeln (om det behövs)

Följ dessa steg om du behöver återställa till tidigare registerinställningar.

Öppna Registereditorn enligt beskrivningen tidigare.
Välj Arkiv på menyn.
Välj Importera.
Navigera till platsen för den sparade säkerhetskopieringsfilen.
Välj säkerhetskopieringsfilen och välj Öppna.

Mer information finns i Lägga till, ändra eller ta bort registerundernycklar och värden med hjälp av en .reg fil.

Bevilja applikationsbehörigheter till identiteten

Viktigt!

Endast en privilegierad rolladministratör eller högre roll kan bevilja dessa behörigheter.

Den systemtilldelade hanterade identiteten, som använder det Arc-aktiverade datornamnet, måste ha följande Microsoft Graph-programbehörigheter (approller):

User.Read.All: Tillåter åtkomst till Microsoft Entra-användarinformation.
GroupMember.Read.All: Tillåter åtkomst till Microsoft Entra-gruppinformation.
Application.Read.ALL: Tillåter åtkomst till Microsoft Entra-tjänstens huvudnamn (program).

Du kan använda PowerShell för att bevilja nödvändiga behörigheter till den hanterade identiteten. Du kan också skapa en rolltilldelningsbar grupp. När gruppen har skapats tilldelar du rollen Katalogläsare eller behörigheten User.Read.All, GroupMember.Read.Alloch Application.Read.All till gruppen och lägger till alla systemtilldelade hanterade identiteter för dina Azure Arc-aktiverade datorer i gruppen. Vi rekommenderar inte att du använder rollen Katalogläsare i produktionsmiljön.

Följande PowerShell-skript ger den hanterade identiteten nödvändiga behörigheter. Kontrollera att skriptet körs på PowerShell 7.5 eller senare och att modulen Microsoft.Graph 2.28 eller senare är installerad.

# Set your Azure tenant and managed identity name
$tenantID = '<Enter-Your-Azure-Tenant-Id>'
$managedIdentityName = '<Enter-Your-Arc-HostMachine-Name>'

# Connect to Microsoft Graph
try {
    Connect-MgGraph -TenantId $tenantID -ErrorAction Stop
    Write-Output "Connected to Microsoft Graph successfully."
}
catch {
    Write-Error "Failed to connect to Microsoft Graph: $_"
    return
}

# Get Microsoft Graph service principal
$graphAppId = '00000003-0000-0000-c000-000000000000'
$graphSP = Get-MgServicePrincipal -Filter "appId eq '$graphAppId'"
if (-not $graphSP) {
    Write-Error "Microsoft Graph service principal not found."
    return
}

# Get the managed identity service principal
$managedIdentity = Get-MgServicePrincipal -Filter "displayName eq '$managedIdentityName'"
if (-not $managedIdentity) {
    Write-Error "Managed identity '$managedIdentityName' not found."
    return
}

# Define roles to assign
$requiredRoles = @(
    "User.Read.All",
    "GroupMember.Read.All",
    "Application.Read.All"
)

# Assign roles using scoped syntax
foreach ($roleValue in $requiredRoles) {
    $appRole = $graphSP.AppRoles | Where-Object {
        $_.Value -eq $roleValue -and $_.AllowedMemberTypes -contains "Application"
    }

    if ($appRole) {
        try {
            New-MgServicePrincipalAppRoleAssignment   -ServicePrincipalId $managedIdentity.Id `
                -PrincipalId $managedIdentity.Id `
                -ResourceId $graphSP.Id `
                -AppRoleId $appRole.Id `
                -ErrorAction Stop

            Write-Output "Successfully assigned role '$roleValue' to '$managedIdentityName'."
        }
        catch {
            Write-Warning "Failed to assign role '$roleValue': $_"
        }
    }
    else {
        Write-Warning "Role '$roleValue' not found in Microsoft Graph AppRoles."
    }
}

Skapa inloggningar och användare

Följ stegen i Microsoft Entra-självstudien för att skapa inlogg och användare för hanterad identitet.

Begränsningar

Tänk på följande begränsningar när du använder en hanterad identitet med SQL Server 2025:

Konfigurationen av hanterad identitet för Microsoft Entra-autentisering stöds endast med Azure Arc-aktiverad SQL Server 2025 som körs på Windows Server.
SQL Server behöver åtkomst till det offentliga Azure-molnet för att använda Microsoft Entra-autentisering.
Det går inte att använda Microsoft Entra-autentisering med redundansklusterinstanser.
När Microsoft Entra-autentisering har aktiverats rekommenderas inte inaktivering. Om du inaktiverar Microsoft Entra-autentisering med kraft genom att ta bort registerposter kan det leda till oförutsägbart beteende med SQL Server 2025.
För närvarande stöds inte autentisering till SQL Server på Arc-datorer via Microsoft Entra-autentisering med FIDO2-metoden .
OPENROWSET BULK-åtgärder kan också läsa tokenmappen C:\ProgramData\AzureConnectedMachineAgent\Tokens\. Alternativet BULK kräver antingen ADMINISTER BULK OPERATIONS eller ADMINISTER DATABASE BULK OPERATIONS behörigheter. Dessa behörigheter ska behandlas som likvärdiga med sysadmin.

Feedback

Var den här sidan till hjälp?