Einrichten von verwalteten Identitäten und Microsoft Entra-Authentifizierung für SQL Server, aktiviert durch Azure Arc

Gilt für: SQL Server 2025 (17,x)

SQL Server 2022
SQL Server 2025
Azure SQL-Datenbank & Azure SQL Managed Instance
SQL Server auf Azure VMs

Dieser Artikel enthält schrittweise Anleitungen zum Einrichten und Konfigurieren der von Microsoft Entra ID verwalteten Identität für SQL Server, die durch Azure Arc aktiviert wird.

Eine Übersicht über verwaltete Identitäten mit SQL Server finden Sie unter Managed Identity for SQL Server enabled by Azure Arc.

Voraussetzungen

Bevor Sie eine verwaltete Identität mit SQL Server durch Azure Arc aktivieren können, stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllen:

Werden für SQL Server 2025 und höher unterstützt, die auf Windows ausgeführt werden.
Connect your SQL Server to Azure Arc.
Die neueste Version der Azure Extension für SQL Server.

Aktivieren der primären verwalteten Identität

Wenn Sie die Azure-Erweiterung für SQL Server auf Ihrem Server installiert haben, können Sie die primäre verwaltete Identität für Ihre SQL Server Instanz direkt über das Azure Portal aktivieren. Es ist auch möglich, die primäre verwaltete Identität manuell zu aktivieren, indem sie die Registrierung aktualisiert, sollte jedoch mit äußerster Vorsicht ausgeführt werden.

Azure Portal
Manuell

Führen Sie die folgenden Schritte aus, um die primäre verwaltete Identität im Azure-Portal zu aktivieren:

Navigieren Sie zu Ihrer Ressource SQL Server aktiviert durch Azure Arc im Azure-Portal.
Wählen Sie unter SettingsMicrosoft Entra ID und Purview aus, um die Seite Microsoft Entra ID und Purview zu öffnen.

Hinweis

Wenn die Option Enable Microsoft Entra ID Authentifizierung nicht angezeigt wird, stellen Sie sicher, dass Ihre SQL Server Instanz mit Azure Arc verbunden ist und die neueste SQL-Erweiterung installiert ist.
Aktivieren Sie auf der Seite Microsoft Entra ID und Purview das Kontrollkästchen neben Primäre verwaltete Identität verwenden und verwenden Sie dann Speichern, um Ihre Konfiguration anzuwenden:

Es ist möglich, die primäre verwaltete Identität für Ihre SQL Server Instanz manuell zu aktivieren, indem Sie die Registrierung aktualisieren, sollten aber mit äußerster Vorsicht vorgehen.

Erteilen Sie Berechtigungen für den Token-Ordner

Erteilen Sie Lesen & Ausführen Betriebssystemberechtigungen für den Ordner dem SQL Server 2025-Instanzdienstkonto. Standardmäßig ist NT Service\MSSQLSERVER das Dienstkonto, oder für benannte Instanzen NT Service\MSSQL$<instancename>.

Screenshot der Registerkarte

Möglicherweise müssen Sie Administratorberechtigungen für das SQL Server Dienstkonto im Ordner AzureConnectedMachineAgent vor dem Ordner Tokens erteilen:

Screenshot der Registerkarte

Hinzufügen SQL Server Dienstkontos zur Gruppe hybrider Agent-Erweiterungsanwendungen

Fügen Sie das SQL Server Dienstkonto (Standard: NT Service\MSSQLSERVER oder für benannte Instanzen, NT Service\MSSQL$instancename) zur Gruppe Hybrid-Agenterweiterungsanwendungen hinzu.

Öffnen Sie Windows Computerverwaltung.
Wechseln Sie zu lokalen Benutzern und Gruppen , und wählen Sie "Gruppen" aus.
Fügen Sie das SQL Server Dienstkonto zur Hybrid-Agenterweiterungsanwendungengruppe hinzu.

Screenshot der Computerverwaltung mit der Anwendungsgruppe für die Hybrid-Agent-Erweiterung.

Screenshot der Eigenschaften der Hybrid-Agent-Erweiterungsanwendungsgruppe.

Aktualisieren der Registrierung

Warnung

Die fehlerhafte Bearbeitung der Registrierung kann Ihr System erheblich beschädigen. Bevor Sie Änderungen an der Registrierung vornehmen, sollten Sie alle wichtigen Daten auf dem Computer sichern.

Aktualisieren Sie in der Registrierung die \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17. MSSQLSERVER\MSSQLServer\FederatedAuthentication-Unterschlüssel.

Erstellen Sie die folgenden Einträge:

Entry	Wert
`ArcServerManagedIdentityClientId`	Leer (kein Wert)
`HIMDSApiVersion`	`2020-06-01`
`HIMDSEndpoint`	`http://localhost:40342/metadata/identity/oauth2/token`
`ArcServerSystemAssignedManagedIdentityTenantId`	`Arc-AAD-Tenant-ID`
`ArcServerSystemAssignedManagedIdentityClientId`	`Arc-Machine-Client-Id`
`PrimaryAADTenant`	`Arc-AAD-Tenant-ID`
`AADChannelMaxBufferedMessageSize`	`200000`
`AADGraphEndPoint`	`graph.windows.net`
`AADGroupLookupMaxRetryAttempts`	`10`
`AADGroupLookupMaxRetryDuration`	`30000`
`AADGroupLookupRetryInitialBackoff`	`100`
`AADServerAdminSid`	`00000000-0000-0000-0000-000000000000`
`AuthenticationEndpoint`	`login.microsoftonline.com`
`CacheMaxSize`	`300`
`ClientCertBlackList`	Leer (kein Wert)
`FederationMetadataEndpoint`	`login.windows.net`
`GraphAPIEndpoint`	`graph.windows.net`
`IssuerURL`	`https://sts.windows.net/`
`OnBehalfOfAuthority`	`https://login.windows.net/`
`STSURL`	`https://login.windows.net/`
`MsGraphEndPoint`	`graph.microsoft.com`
`SendX5c`	`false`
`ServicePrincipalName`	`https://database.windows.net/`
`ServicePrincipalNameForArcadia`	`https://sql.azuresynapse.net`
`ServicePrincipalNameForArcadiaDogfood`	`https://sql.azuresynapse-dogfood.net`
`ServicePrincipalNameNoSlash`	`https://database.windows.net`
`AADBecWSConnectionPoolMaxSize`	`500`

Sichern und Bearbeiten der Registrierung

In den folgenden Abschnitten wird beschrieben, wie Sie die Registrierung mit dem Registrierungs-Editor sichern und bearbeiten.

Öffnen Sie den Registrierungs-Editor.

Drücken Sie Windows TASTE+R, um das Dialogfeld "Ausführen" zu öffnen.
Geben Sie regedit ein, und drücken Sie die EINGABETASTE.
Wenn Sie von der Benutzerkontensteuerung aufgefordert werden, wählen Sie "Ja" aus.

Sichern des Registrierungsschlüssels

In diesem Schritt wird die Registrierung gesichert, bevor Sie Änderungen vornehmen. Sie können diese Datei später wieder in die Registrierung importieren, wenn Ihre Änderungen ein Problem verursachen.

Wählen Sie im Menü "Datei" aus.
Wählen Sie Exportieren aus.
Wählen Sie im Dialogfeld "Registrierungsdatei exportieren" einen Speicherort aus, an dem die Sicherung gespeichert werden soll.
Geben Sie im Feld "Dateiname " einen Namen für die Sicherungsdatei ein.
Stellen Sie sicher, dass "Alle " im Exportbereich ausgewählt ist.
Wählen Sie Speichern aus.

Hinzufügen von Einträgen

In diesem Schritt fügen Sie der Registrierung Einträge mit dem Registrierungs-Editor hinzu.

Navigieren Sie in diesem Unterschlüssel: \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17.MSSQLSERVER\MSSQLServer\FederatedAuthentication.
Klicken Sie mit der rechten Maustaste auf "FederatedAuthentication ", und wählen Sie "Zeichenfolgenwert" aus.
Wiederholen Sie diesen Vorgang für jeden Eintrag, der bei Update der Registrierung aufgeführt ist.

Diese Abbildung zeigt eine ordnungsgemäß konfigurierte Registrierung:

Wiederherstellen des Registrierungsschlüssels (falls erforderlich)

Wenn Sie die vorherigen Registrierungseinstellungen wiederherstellen müssen, führen Sie die folgenden Schritte aus.

Öffnen Sie den Registrierungs-Editor wie zuvor beschrieben.
Wählen Sie im Menü "Datei" aus.
Klicken Sie auf Importieren.
Navigieren Sie zum Speicherort Der gespeicherten Sicherungsdatei.
Wählen Sie die Sicherungsdatei und dann "Öffnen" aus.

Ausführliche Informationen hierzu erhalten Sie unter Verwendung einer .reg Datei zum Hinzufügen, Ändern oder Löschen von Registrierungsunterschlüsseln und -werten.

Berechtigung für die Identität gewähren

Von Bedeutung

Nur ein Privilegierter Rollenadministrator oder eine höhere Rolle kann diese Berechtigungen erteilen.

Um Microsoft Entra Authentifizierung für SQL Server Instanzen zu aktivieren, erfordert jede vom System zugewiesene verwaltete Identität User.Read.All, GroupMember.Read.All und Application.Read.All Berechtigungen zum Abfragen von Microsoft Graph. Weitere Informationen zu diesen Berechtigungen finden Sie unter:

User.Read.All: Ermöglicht den Zugriff auf Microsoft Entra Benutzerinformationen.
GroupMember.Read.All: Ermöglicht den Zugriff auf Microsoft Entra Gruppeninformationen.
Application.Read.All: Ermöglicht den Zugriff auf Microsoft Entra Dienstprinzipalinformationen (Anwendung).

Diese Berechtigungen sind Berechtigungen auf Anwendungsebene (App-Rollen) und müssen direkt jeder verwalteten Identität zugewiesen werden. Sie können einer Microsoft Entra Sicherheitsgruppe nicht manuell zugewiesen und Mitgliedern über die Gruppenmitgliedschaft gewährt werden. Für Umgebungen mit vielen Maschinen besteht die Alternative darin, die Directory Readers-Rolle zu einer role-assignable Microsoft Entra Sicherheitsgruppe zuzuweisen und das Hinzufügen der verwalteten Identitäten als Mitglieder. Im Gegensatz zu App-Rollenberechtigungen kann diese Microsoft Entra Rolle auf Gruppenebene gewährt werden, was die Verwaltung im großen Maßstab vereinfacht. Directory Readers gewährt jedoch allen Verzeichnisobjekten einen umfassenden Lesezugriff, der die drei gezielten Graph-API Berechtigungen erheblich überschreitet. Die Rolle " Verzeichnisleser " wird für Produktionsumgebungen nicht empfohlen, in denen der Zugriff auf die geringsten Rechte erforderlich ist.

Das folgende PowerShell-Skript gewährt die erforderlichen Berechtigungen für die verwaltete Identität. Stellen Sie sicher, dass dieses Skript auf PowerShell 7.5 oder einer höheren Version ausgeführt wird und das Microsoft.Graph Modul 2.28 oder höher installiert ist.

# Set your Azure tenant and managed identity name
$tenantID = '<Enter-Your-Azure-Tenant-Id>'
$managedIdentityName = '<Enter-Your-Arc-HostMachine-Name>'

# Connect to Microsoft Graph
try {
    Connect-MgGraph -TenantId $tenantID -ErrorAction Stop
    Write-Output "Connected to Microsoft Graph successfully."
}
catch {
    Write-Error "Failed to connect to Microsoft Graph: $_"
    return
}

# Get Microsoft Graph service principal
$graphAppId = '00000003-0000-0000-c000-000000000000'
$graphSP = Get-MgServicePrincipal -Filter "appId eq '$graphAppId'"
if (-not $graphSP) {
    Write-Error "Microsoft Graph service principal not found."
    return
}

# Get the managed identity service principal
$managedIdentity = Get-MgServicePrincipal -Filter "displayName eq '$managedIdentityName'"
if (-not $managedIdentity) {
    Write-Error "Managed identity '$managedIdentityName' not found."
    return
}

# Define roles to assign
$requiredRoles = @(
    "User.Read.All",
    "GroupMember.Read.All",
    "Application.Read.All"
)

# Assign roles using scoped syntax
foreach ($roleValue in $requiredRoles) {
    $appRole = $graphSP.AppRoles | Where-Object {
        $_.Value -eq $roleValue -and $_.AllowedMemberTypes -contains "Application"
    }

    if ($appRole) {
        try {
            New-MgServicePrincipalAppRoleAssignment   -ServicePrincipalId $managedIdentity.Id `
                -PrincipalId $managedIdentity.Id `
                -ResourceId $graphSP.Id `
                -AppRoleId $appRole.Id `
                -ErrorAction Stop

            Write-Output "Successfully assigned role '$roleValue' to '$managedIdentityName'."
        }
        catch {
            Write-Warning "Failed to assign role '$roleValue': $_"
        }
    }
    else {
        Write-Warning "Role '$roleValue' not found in Microsoft Graph AppRoles."
    }
}

Logins und Benutzer*innen erstellen

Führen Sie die Schritte im Lernprogramm Microsoft Entra aus, um Anmeldeinformationen und Benutzer für die verwaltete Identität zu erstellen.

Feedback

War diese Seite hilfreich?

Last updated on 2026-04-17