Azure Policy voor uitsluitend Microsoft Entra-verificatie met Azure SQL

Van toepassing op:Azure SQL DatabaseAzure SQL Managed Instance

Azure Policy kan het maken van een Azure SQL Database of Azure SQL Managed Instance met alleen Microsoft Entra-verificatie ingeschakeld afdwingen tijdens het inrichten. Als dit beleid is ingesteld, mislukken pogingen om een logische server te maken in Azure of het beheerde exemplaar als deze niet is gemaakt met alleen-Microsoft Entra-verificatie ingeschakeld.

Het Azure Policy kan worden toegepast op het hele Azure-abonnement of alleen binnen een resourcegroep.

Er zijn twee nieuwe ingebouwde beleidsregels geïntroduceerd in Azure Policy:

• Azure SQL Database moet alleen Azure Active Directory-verificatie hebben ingeschakeld
• Voor Azure SQL Managed Instance moet alleen verificatie van Azure Active Directory zijn ingeschakeld

Zie Wat is Azure Policy? en de definitiestructuur van Azure Policy voor meer informatie over Azure Policy.

Permissions

Zie Azure RBAC-machtigingen in Azure Policy voor een overzicht van de machtigingen die nodig zijn voor het beheren van Azure Policy.

Acties

Als u een aangepaste rol gebruikt om Azure Policy te beheren, zijn de volgende acties nodig.

• */lezen
• Microsoft.Authorization/policyassignments/*
• Microsoft.Authorization/policydefinitions/*
• Microsoft.Authorization/policyexemptions/*
• Microsoft.Authorization/policysetdefinitions/*
• Microsoft.PolicyInsights/*

Zie Aangepaste Azure-rollen voor meer informatie over aangepaste rollen.

Azure Policy beheren voor verificatie met alleen Azure AD

Het verificatiebeleid voor alleen Azure AD kan worden beheerd door naar Azure Portal te gaan en te zoeken naar de beleidsservice . Zoek onder Definities naar verificatie met alleen Azure Active Directory.

Zie voor een handleiding Azure Policy gebruiken voor het afdwingen van Microsoft Entra-only verificatie met Azure SQL.

Er zijn drie effecten voor dit beleid:

• Controle : de standaardinstelling en legt alleen een auditrapport vast in de activiteitenlogboeken van Azure Policy
• Weigeren - Hiermee voorkomt u dat een logische server of een beheerd exemplaar wordt gemaakt zonder Microsoft Entra-only authenticatie met Azure SQL ingeschakeld
• Uitgeschakeld : hiermee wordt het beleid uitgeschakeld en worden gebruikers niet beperkt tot het maken van een logische server of een beheerd exemplaar zonder alleen Microsoft Entra-verificatie ingeschakeld

Als Azure Policy voor alleen Azure AD-verificatie is ingesteld op Weigeren, mislukt het aanmaken van een logische server of een beheerd exemplaar. De details van deze fout worden vastgelegd in het activiteitenlogboek van de resourcegroep.

Beleidsnaleving

U kunt de instelling Naleving bekijken onder de beleidsservice om de nalevingsstatus te bekijken. De nalevingsstatus geeft aan of de server of het beheerde exemplaar momenteel voldoet aan het feit dat alleen Microsoft Entra-verificatie is ingeschakeld.

Het Azure Policy kan voorkomen dat een nieuwe logische server of een beheerd exemplaar wordt gemaakt zonder dat alleen Microsoft Entra-verificatie is ingeschakeld, maar de functie kan worden gewijzigd nadat de server of het beheerde exemplaar is gemaakt. Als een gebruiker Microsoft Entra-only-verificatie heeft uitgeschakeld nadat de server of het beheerde exemplaar is gemaakt, is de nalevingsstatus Non-compliant als de Azure Policy is ingesteld op Weigeren.

Beperkingen

• Azure Policy dwingt uitsluitend Azure AD-verificatie af tijdens de creatie van een logische server of beheerd exemplaar. Zodra de server is gemaakt, kunnen geautoriseerde Microsoft Entra-gebruikers met speciale rollen (bijvoorbeeld SQL Security Manager) de alleen-Azure AD-verificatiefunctie uitschakelen. Het Azure Policy staat dit toe, maar in dit geval wordt de server of het beheerde exemplaar vermeld in het nalevingsrapport en Non-compliant wordt in het rapport de naam van de server of het beheerde exemplaar aangegeven.
• Zie Microsoft Entra-only-verificatie met Azure SQL voor meer opmerkingen, bekende problemen en benodigde machtigingen.

Volgende stap