我们可以将用户添加到Azure AD域服务域吗_Azure_Azure Active Directory

我们可以将用户添加到Azure AD域服务域吗

azure azure-active-directory

我们可以将用户添加到Azure AD域服务域吗,azure,azure-active-directory,Azure,Azure Active Directory,我们已经设置了一个Azure AD域服务，与Azure AD租户绑定。是否有任何方法仅将用户添加到托管域（以运行服务），或者用户必须存在于父Azure AD中？AAD DS是一个类似AAD的B2C层，提供了更多安全功能。用户存储在您的AAD租户中。要运行和保护您的服务/资源，您应该使用托管身份和企业应用程序 Azure SQL Server托管标识将AAD用户管理员分配给您的服务器：在SQL Server中创建包含的用户： create user [my-app-service] fr

我们已经设置了一个Azure AD域服务，与Azure AD租户绑定。是否有任何方法仅将用户添加到托管域（以运行服务），或者用户必须存在于父Azure AD中？

AAD DS是一个类似AAD的B2C层，提供了更多安全功能。用户存储在您的AAD租户中。要运行和保护您的服务/资源，您应该使用托管身份和企业应用程序

Azure SQL Server托管标识

将AAD用户管理员分配给您的服务器：

在SQL Server中创建包含的用户：

create user [my-app-service] from external provider;
alter role db_datareader add member [my-app-service];
alter role db_datawriter add member [my-app-service];

create user [my-app-service/slots/staging] from external provider;
alter role db_datareader add member [my-app-service/slots/staging];
alter role db_datawriter add member [my-app-service/slots/staging];

我的应用程序服务是一个占位符。您需要将其替换为您自己的应用程序服务的名称。此外，对于系统分配的标识，不同的部署插槽具有各自的标识

更新SQL连接以使用托管标识

托管实例是在要与SQL Server通信的应用程序服务中创建的。以本帖为参考：

任何可以与AAD连接的资源都可以使用托管标识。托管身份：

希望能有所启发。

事实证明，您可以将自定义OU添加到托管域（）中，然后可以在其中创建一个用户以运行SQL Server。

理论上，您可以设置一个组管理服务帐户（gMSA），但我无法使其正常工作（使用创建的gMSA时存在一些权限问题）。

谢谢。我试图创建托管服务帐户，但无法使其运行。这是作为运行SQL Server。非常感谢-但我指的是实际运行SQL Server服务的用户。我们正在建立一个始终在线的AG，在两台机器上都有相同的服务用户，这使事情变得更容易。