Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Применимо к:
База данных SQL Azure Управляемый экземпляр SQL Azure
В этой статье описано, как создать Политика Azure, которая будет применять проверку подлинности только для Microsoft Entra, когда пользователи создают Управляемый экземпляр SQL Azure или логический сервер для База данных SQL Azure. Дополнительные сведения о проверке подлинности только для Microsoft Entra во время создания ресурсов см. в статье "Создание сервера с включенной проверкой подлинности только для записей Майкрософт" в SQL Azure.
Примечание.
Azure Active Directory (Azure AD) переименован в идентификатор Microsoft Entra.
Вы узнаете, как выполнять следующие задачи:
- Создание политики Azure, которая применяет создание логического сервера или управляемого экземпляра с проверкой подлинности только для Microsoft Entra с включенной функцией SQL Azure
- Проверить соответствие Политики Azure
Предварительные требования
- Наличие разрешений на управление Политикой Azure. Подробнее см. в статье Разрешения Azure RBAC в Политике Azure.
Создание Политики Azure
Начните с создания политики Azure, применяющей развертывание базы данных SQL или Управляемого экземпляра SQL с включенной проверкой подлинности, использующей только Microsoft Entra.
Переход на портал Azure.
Найдите политику службы.
В разделе разработки выберите элемент Определения.
В поле поиска найдите Microsoft Entra-only authentication.
Существует несколько встроенных политик, доступных для принудительной проверки подлинности только для Microsoft Entra. Найдите один из доступных для вашей службы:
- База данных SQL Azure должна иметь включенную проверку подлинности только для Microsoft Entra
- Управляемый экземпляр SQL Azure должен иметь включенную проверку подлинности исключительно через Microsoft Entra.
Выберите имя политики для службы. В этом примере мы будем использовать Базу данных SQL Azure. Выберите базу данных Azure SQL, у которой включена только аутентификация Microsoft Entra.
Выберите "Назначить политику " в новом меню.
Примечание.
Сценарий JSON в меню показывает встроенное определение политики, которое можно использовать в качестве шаблона для создания настраиваемой Политики Azure для Базы данных SQL. По умолчанию используется значение
Audit.
На вкладке основных сведений добавьте Область, щелкнув селектор (...) рядом с полем.
В области области выберите подписку в раскрывающемся меню и выберите группу ресурсов для этой политики. Когда все будет готово, нажмите кнопку Выбрать, чтобы сохранить выбор элементов.
Примечание.
Если вы не выберете группу ресурсов, политика применяется ко всей подписке.
Вернувшись на вкладку основных сведений, настройте Имя назначения, при желании добавьте Описание. Убедитесь, что параметру Применение политики присвоено значение Включено.
Откройте вкладку Параметры. Снимите флажок Показывать только параметры, требующие ввода.
В разделе Эффект выберите Запретить. Этот параметр предотвращает создание логического сервера без включения проверки подлинности только для Microsoft Entra.
На вкладке Сообщения о несоответствии требованиям можно настроить сообщение политики, которое отображается в случае нарушения политики. Благодаря этому сообщению пользователи будут знать, какая политика применена при создании сервера.
Выберите Review + create (Просмотреть и создать). Просмотрите политику и нажмите кнопку Создать. Для принудительного применения новой политики может потребоваться некоторое время.
Проверка соответствия политикам
Чтобы узнать состояние соответствия требованиям, можно проверить параметр Соответствие требованиям в службе Политика.
Найдите имя назначения, которое вы ранее присвоили политике.
После создания логического сервера с аутентификацией только с помощью Microsoft Entra отчет о политике увеличит счетчик в разделе «Ресурсы по состоянию соответствия» визуализации. Вы сможете увидеть, какие ресурсы соответствуют требованиям или не соответствуют требованиям.
Если выбранная политика группа ресурсов содержит уже созданные серверы, отчет политики будет указывать на те ресурсы, которые соответствуют требованиям и не соответствуют требованиям.
Обновление отчета о соответствии может занять некоторое время. Изменения, связанные с созданием ресурсов или параметрами проверки подлинности только для Microsoft Entra, не сообщаются немедленно.
Подготовка сервера
Затем можно попытаться подготовить логический сервер или управляемый экземпляр в группе ресурсов, назначенной Политике Azure. Если во время создания сервера включена аутентификация только через Microsoft Entra, подготовка завершится успешно. Если не включена аутентификация только для Microsoft Entra, операция завершится сбоем.
Дополнительные сведения см. в статье "Создание сервера с включенной проверкой подлинности только для Записи Майкрософт" в SQL Azure.