使用 Azure 原則對 Azure SQL 強制執行僅限 Microsoft Entra 驗證
適用於: Azure SQL 資料庫 Azure SQL 受控執行個體
本文將引導您建立 Azure 原則,當使用者建立 Azure SQL 受控執行個體或 Azure SQL 資料庫邏輯伺服器時,該原則會強制執行僅限 Microsoft Entra 驗證。 若要深入了解僅限 Microsoft Entra 驗證,請參閱在 Azure SQL 中建立啟用僅限 Microsoft Entra 驗證的伺服器。
注意
雖然 Azure Active Directory (Azure AD) 已重新命名為 Microsoft Entra ID,但原則名稱目前包含原始的 Azure AD 名稱,因此本文將交換使用僅限 Microsoft Entra 驗證和僅限 Azure AD 驗證。
在本文中,您將學會如何:
- 建立 Azure 原則,以強制建立啟用僅限 Microsoft Entra 驗證的邏輯伺服器或受控執行個體
- 檢查 Azure 原則合規性
先決條件
- 具有管理 Azure 原則的權限。 如需詳細資訊,請參閱 Azure 原則中的 Azure RBAC 權限。
建立 Azure 原則
一開始,建立 Azure 原則,強制佈建啟用僅限 Azure AD 驗證的 SQL Database 或受控執行個體。
前往 Azure 入口網站。
搜尋服務原則。
在 [編寫] 設定下,選取 [定義]。
在 [搜尋] 方塊中,搜尋僅限 Azure Active Directory 驗證。
有兩個內建原則可用於強制執行僅限 Azure AD 驗證。 一個用於 SQL Database,一個用於 SQL 受控執行個體。
- Azure SQL 資料庫應已啟用僅限 Azure Active Directory 驗證
- Azure SQL 受控執行個體應該已啟用僅限 Azure Active Directory 的驗證
選取服務的原則名稱。 在本範例中,我們將使用 Azure SQL 資料庫。 選取 Azure SQL 資料庫應已啟用僅限 Azure Active Directory 驗證。
在新功能表中,選取 [指派]。
注意
功能表中的 JSON 指令碼會顯示內建原則定義,可用作範本來建置 SQL Database 的自訂 Azure 原則。 預設值會設定為
Audit
。在 [基本資料] 索引標籤中,使用方塊側邊的選取器 (...) 來新增範圍。
在 [範圍] 窗格中,從下拉式功能表中選取您的訂用帳戶,然後選取此原則的資源群組。 完成後,請使用 [選取] 按鈕儲存所選內容。
注意
如果未選取資源群組,原則將會套用至整個訂用帳戶。
回到 [基本資料] 索引標籤之後,自訂 [指派名稱],並選擇性地提供 [描述]。 確定 [原則強制執行] 為 [已啟用]。
移至 [參數] 索引標籤。取消選取 [僅顯示需要輸入的參數] 選項。
在 [效果] 下,選取 [拒絕]。 此設定可防止建立未啟用僅限 Azure AD 驗證的邏輯伺服器。
在 [不合規訊息] 索引標籤中,您可以自訂原則訊息,以在違反原則時顯示。 訊息將告知使用者伺服器建立期間會強制執行的原則。
選取 [檢閱 + 建立]。 檢閱原則,然後選取 [建立] 按鈕。
注意
可能需要一些時間才能強制執行新建立的原則。
檢查原則合規性
您可以檢查 [原則] 服務底下的 [合規性] 設定,以查看合規性狀態。
搜尋您先前為原則指定的指派名稱。
使用僅限 Azure AD 驗證建立邏輯伺服器之後,原則報告將增大 [按合規性狀態劃分的資源] 視覺物件底下的計數器。 您將可以看到哪些資源合規,哪些不合規。
如果選擇的原則覆蓋的資源群組包含已建立的伺服器,原則報告會指出合規及不合規的資源。
注意
更新更新狀態報告可能需要一些時間。 與資源建立或僅限 Microsoft Entra 驗證設定相關的變更不會立即報告。
佈建伺服器
然後,您可以嘗試在指派 Azure 原則的資源群組中佈建邏輯伺服器或受控執行個體。 如果在伺服器建立期間啟用僅限 Azure AD 驗證,則佈建會成功。 若未啟用僅限 Azure AD 驗證,佈建將會失敗。
如需詳細資訊,請參閱在 Azure SQL 中建立啟用僅限 Microsoft Entra 驗證的伺服器。