Freigeben über


Tutorial: Verwenden der Automatisierung zum Einrichten des*der Microsoft Entra-Administrators*Administratorin für SQL Server

Gilt für: SQL Server 2022 (16.x)

Hinweis

Dieses Feature ist in SQL Server 2022 (16.x) oder höheren Versionen verfügbar und wird nur für SQL Server on-premises, für Windows- und Linux-Hosts und SQL Server 2022 auf Windows Azure VMs unterstützt.

In diesem Artikel erfahren Sie, wie Sie den Microsoft Entra-Administrator einrichten, um die Authentifizierung mit Microsoft Entra ID zu ermöglichen (vormals Azure Active Directory) für SQL Server mithilfe der Azure-Portal und APIs wie:

  • PowerShell
  • Die Azure-CLI
  • ARM-Vorlage

Außerdem werden wir die aktualisierte Funktionalität zum Einrichten eines Microsoft Entra-Administrators für SQL Server in der Azure-Portal durchgehen, die die automatisierte Erstellung von Zertifikaten und die Anwendungsregistrierung ermöglichen würde. Zuvor erforderte das Einrichten der Microsoft Entra-Authentifizierung für SQL Server manuelle Einrichtung des Microsoft Entra-Administrators mit einem Azure-Zertifikat und einer Anwendungsregistrierung.

Hinweis

Während Microsoft Entra-ID der neue Name für Azure Active Directory (Azure AD) ist, bleibt Azure AD in einigen fest kodierten Elementen wie Benutzeroberfläche-Feldern, Verbindungsanbietern, Fehlercodes und Cmdlets erhalten, um Störungen in bestehenden Umgebungen zu vermeiden. In diesem Artikel sind die beiden Namen austauschbar.

Voraussetzungen

Vorbereitung vor dem Festlegen des Microsoft Entra-Administrators

Die folgenden Berechtigungen sind erforderlich, um Microsoft Entra admin in den Ressourcen SQL Server – Azure Arc und Key vault einzurichten.

Konfigurieren von Berechtigungen für Azure Arc

Befolgen Sie die Anleitung, um sicherzustellen, dass Ihr SQL Server mit Azure Arc verbunden ist. Der Benutzer, der Microsoft Entra admin für die Ressource SQL Server – Azure Arc einrichtet, sollte die Rolle Mitwirkender für den Server haben.

  1. Navigieren Sie zum Azure-Portal.
  2. Wählen Sie SQL Server – Azure Arc, und wählen Sie die Instanz für Ihren SQL Server-Host.
  3. Wählen Sie Zugriffssteuerung (IAM) aus.
  4. Wählen Sie Hinzufügen>Rollenzuweisung hinzufügen, um dem Benutzer, der den Microsoft Entra-Admin einrichtet, die Mitwirkender-Rolle hinzuzufügen.

Konfigurieren von Berechtigungen für Azure Key Vault

Erstellen Sie einen Azure Key Vault, wenn Sie noch keinen haben. Der Benutzer bzw. die Benutzerin, der bzw. die den Azure AD-Administrator bzw. die Microsoft Entra-Administratorin einrichtet, muss für Ihren Azure Key Vault über die Rolle Mitwirkender verfügen. So fügen Sie einem Benutzer in Azure Key Vault eine Rolle hinzu:

  1. Navigieren Sie zum Azure-Portal.
  2. Navigieren Sie zu Ihrer Key vault-Ressource.
  3. Wählen Sie die Zugriffssteuerung (IAM) aus.
  4. Wählen Sie Hinzufügen>Rollenzuweisung hinzufügen, um dem Benutzer, der den Microsoft Entra-Admin einrichtet, die Mitwirkender-Rolle hinzuzufügen.

Festlegen von Zugriffsrichtlinien für den SQL Server-Host

  1. Navigieren Sie im Azure-Portal zu Ihrer Azure Key Vault-Instanz, und wählen Sie Zugriffsrichtlinien aus.

  2. Wählen Sie Zugriffsrichtlinie hinzufügen aus.

  3. Für Schlüsselberechtigungen verwenden Sie Unterschreiben.

  4. Wählen Sie für die Geheimnisberechtigungen die Optionen Get und List aus.

  5. Wählen Sie für Zertifikatsberechtigungen Abrufen und Liste aus.

  6. Wählen Sie Weiter aus.

  7. Suchen Sie auf der Seite Prinzipal den Namen der Azure Arc-Instanz Ihres Computers, der dem Hostnamen des SQL Server-Hosts entspricht.

    Screenshot der Azure Arc Server Ressource im Portal.

  8. Überspringen Sie die Seite Anwendung (optional) indem Sie zweimal auf Weiter klicken, oder Prüfen und erstellen auswählen.

    Screenshot des Azure-Portals zum Überprüfen und Erstellen einer Zugriffsrichtlinie.

    Stellen Sie sicher, dass die „Objekt-ID“ des Prinzipals mit der Prinzipal-ID der verwalteten Identität übereinstimmt, die der Instanz zugewiesen ist.

    Screenshot der Portalsteuerung der JSON-Ansicht der Computerdefinition.

    Um dies zu bestätigen, wechseln Sie zur Ressourcenseite, und wählen Sie oben rechts im Feld Essentials in der Übersicht die JSON-Ansicht aus. Unter Identität finden Sie die principalId.

  9. Klicken Sie auf Erstellen.

Sie müssen auf Erstellen klicken, um sicherzustellen, dass die Berechtigungen angewendet werden. Um sicherzustellen, dass Berechtigungen gespeichert wurden, aktualisieren Sie das Browserfenster, und überprüfen Sie, ob die Zeile für die Azure Arc-Instanz noch vorhanden ist.

Festlegen von Zugriffsrichtlinien für Microsoft Entra-Benutzer

  1. Navigieren Sie im Azure-Portal zu Ihrer Azure Key Vault-Instanz, und wählen Sie Zugriffsrichtlinien aus.
  2. Wählen Sie Zugriffsrichtlinie hinzufügen aus.
  3. Wählen Sie für Schlüsselberechtigungen Abrufen, Auflisten und Erstellen.
  4. Wählen Sie für die Geheimnisberechtigungen die Optionen Abrufen, Auflisten und Festlegen.
  5. Wählen Sie für Zertifikatsberechtigungen Abrufen, Auflisten und Erstellen aus.
  6. Fügen Sie für Prinzipal auswählen den Microsoft Entra-Benutzer hinzu, den Sie zum Herstellen einer Verbindung mit SQL Server verwenden möchten.
  7. Klicken Sie auf Hinzufügen und dann auf Speichern.

Einrichten des Microsoft Entra-Administrators für SQL Server

Mit neuen APIs und Portalfunktionen können Benutzer einen Microsoft Entra-Administrator für SQL Server einrichten, ohne ein Azure-Zertifikat und eine Microsoft Entra-Anwendung separat erstellen zu müssen. Wählen Sie eine Registerkarte aus, um zu erfahren, wie Sie einen Microsoft Entra-Administrator für Ihren SQL Server einrichten, der mit Azure Arc verbunden ist, mit automatischer Zertifikat- und Anwendungserstellung.

Hinweis

Die ARM-Vorlage erfordert weiterhin die Erstellung eines Azure Key Vault-Zertifikats und einer Microsoft Entra-Anwendung, bevor Sie einen Microsoft Entra-Administrator einrichten. Weitere Informationen zu diesem Prozess finden Sie im Tutorial: Einrichten der Microsoft Entra-Authentifizierung für SQL Server.

Verwenden Sie das Azure-Portal, um einen Microsoft Entra-Administrator einzurichten, erstellen Sie ein Azure Key Vault-Zertifikat und eine Microsoft Entra-Anwendung im selben Prozess. Dies ist erforderlich, um die Microsoft Entra-Authentifizierung mit SQL Server zu verwenden.

Hinweis

Zuvor war vor dem Einrichten eines Microsoft Entra-Administrators ein Azure Key Vault-Zertifikat und eine Microsoft Entra-Anwendungsregistrierung erforderlich. Dies ist nicht mehr erforderlich, aber Benutzer können weiterhin ein eigenes Zertifikat und eine eigene Anwendung angeben, um den Microsoft Entra-Administrator einzurichten.

Einrichten des Microsoft Entra-Administrators mithilfe des Azure-Portals

  1. Wechseln Sie zum Azure-Portal, klicken Sie auf SQL Server – Azure Arc, und wählen Sie die Instanz für Ihren SQL Server-Host aus.

  2. Überprüfen Sie den Status Ihrer SQL Server – Azure Arc-Ressource, und testen Sie deren Verbindung, indem Sie zum Menü Eigenschaften navigieren. Weitere Informationen finden Sie unter Überprüfen der „SQL Server – Azure Arc“-Ressourcen.

  3. Wählen Sie im Ressourcenmenü unter Einstellungen die Option Microsoft Entra ID und Purview aus.

  4. Wählen Sie Administrator festlegen, um den Bereich Microsoft Entra ID zu öffnen, und wählen Sie ein Konto, das als Admin-Anmeldung zu SQL Server hinzugefügt wird.

  5. Wählen Sie Dienstverwaltetes Zertifikat aus.

  6. Wählen Sie Schlüsseltresor ändern und wählen Sie Ihre vorhandene Azure Key Vault-Ressource aus.

  7. Wählen Sie Vom Dienst verwaltete App-Registrierung.

  8. Wählen Sie Speichern. Dadurch wird eine Anforderung an den Arc-Server-Agent gesendet, der die Microsoft Entra-Authentifizierung für diese SQL Server-Instanz konfiguriert. Der Vorgang kann mehrere Minuten dauern; Warten Sie, bis der Speichervorgang mit Saved successfully bestätigt wurde, bevor Sie eine Microsoft Entra-Anmeldung versuchen.

    Die dienstverwaltete App-Registrierung führt folgendes für Sie aus:

    • Erstellt ein Zertifikat im Schlüsseltresor mit einem Namen im Formular <hostname>-<instanceName><uniqueNumber>.
    • Erstellt eine Microsoft Entra-Anwendung mit einem Namen wie <hostname>-<instanceName><uniqueNumber>, und weist dieser Anwendung die erforderlichen Berechtigungen zu. Weitere Informationen finden Sie unter Erteilung von Anwendungsberechtigungen.
    • Weist das neue Zertifikat im Azure Key Vault der Anwendung zu.
    • Speichert diese Einstellungen in Azure Arc.

    Screenshot der Einstellung der Microsoft Entra-Authentifizierung mit automatischer Zertifikat- und Anwendungsgenerierung im Azure-Portal.

Hinweis

Die für Microsoft Entra erstellten Zertifikate werden nicht automatisch gedreht. Kunden können ein eigenes Zertifikat und eine eigene Anwendung für das Microsoft Entra-Administratorsetup bereitstellen. Weitere Informationen finden Sie unter Tutorial: Microsoft Entra-Authentifizierung für SQL Server einrichten.

Nachdem der Microsoft Entra-Administrator eingerichtet wurde, können Sie mithilfe der Microsoft Entra-Administratoranmeldeinformationen eine Verbindung mit SQL Server herstellen. Alle weiteren Datenbankaktivitäten, die das Erstellen neuer Microsoft Entra-Anmeldungen und Benutzer betreffen, schlagen jedoch fehl, bis der Microsoft Entra-Anwendung die Administratoreinwilligung erteilt wird.

Hinweis

Um die Administratoreinwilligung für die Anwendung zu erteilen, benötigt das Konto, das die Zustimmung erteilt, die Rolle Microsoft Entra ID Globaler Administrator oder Administrator für privilegierte Rollen. Diese Rollen sind erforderlich, um der Anwendung Administratoreinwilligung zu erteilen, ist jedoch nicht erforderlich, um den Microsoft Entra-Administrator einzurichten.

  1. Wählen Sie im Azure-Portal die Microsoft Entra ID aus >App-Registrierungen die neu erstellte Anwendung aus. Die Anwendung sollte einen Namen wie <hostname>-<instanceName><uniqueNumber> haben.

  2. Wählen Sie das Menü API-Berechtigungen aus.

  3. Wählen Sie Administratoreinwilligung erteilen aus.

    Screenshot der Anwendungsberechtigungen im Azure-Portal.

Ohne Administratoreinwilligung für die Anwendung zu erteilen, führt das Erstellen einer Microsoft Entra-Anmeldung oder eines Benutzers in SQL Server zu folgendem Fehler:

Msg 37455, Level 16, State 1, Line 2
Server identity does not have permissions to access MS Graph.

Herstellen einer Verbindung mit SQL Server mithilfe der Microsoft Entra-Authentifizierung

Die Microsoft Entra-Authentifizierung ist jetzt für Ihren SQL Server eingerichtet, der mit Azure Arc verbunden ist. Folgen Sie den Abschnitten nach dem Einrichten des Microsoft Entra-Administrators im Artikel Tutorial: Einrichten der Microsoft Entra-Authentifizierung für SQL Server zum Herstellen einer Verbindung mit SQL Server mithilfe der Microsoft Entra-Authentifizierung.

Siehe auch