Zum Hauptinhalt gehen

3: Einrichtung der Azure SQL-Datenbank

Aktualisiert

DvSchemaSync synchronisiert Dataverse-Daten mit einer Azure SQL-Datenbank. Auf dieser Seite wird das Erstellen einer Datenbank und das Konfigurieren des Zugriffs behandelt.

Erforderliche Berechtigungen

Die erforderlichen Berechtigungen hängen davon ab, ob Sie neue Ressourcen erstellen oder vorhandene konfigurieren:

So erstellen Sie eine Azure SQL-Datenbank und einen Server:

• Rolle „Mitwirkender“ oder „SQL-DB-Mitwirkender“: In der Ressourcengruppe, in der die Datenbank erstellt wird

• Rolle „Eigentümer”: Erforderlich, wenn Sie auch anderen Benutzern Rollen zuweisen müssen

So konfigurieren Sie die Microsoft Entra-Authentifizierung in Azure SQL:

• Rolle „SQL Server-Mitwirkender“: Auf dem SQL Server, um den Microsoft Entra-Administrator festzulegen

• Rolle „db_owner“: In der Zieldatenbank, um externe Benutzer zu erstellen (als Entra-Administrator ausführen)

So erstellen Sie eine SQL Server-Anmeldung (SQL-Authentifizierung):

• Server-Administratoranmeldeinformationen: Die SQL Server-Administratoranmeldung, die bei der Bereitstellung des Servers erstellt wurde

• Rolle „db_owner“: Erstellen Sie in der Zieldatenbank Benutzer und erteilen Sie Berechtigungen.

💡 Hinweis: Wenn Sie eine vorhandene Azure SQL-Datenbank verwenden, die von Ihrem DBA-Team verwaltet wird, geben Sie diesem die App-Registrierungsdetails (oder fordern Sie eine SQL-Anmeldung an) und bitten Sie es, db_owner-Berechtigungen für Ihre Zieldatenbank zu erteilen.

Erstellen einer Azure SQL-Datenbank

Wenn Sie noch keine Azure SQL-Datenbank haben, führen Sie die folgenden Schritte aus, um eine zu erstellen:

  1. Melden Sie sich beim Azure-Portal (https://portal.azure.com) an.
  2. Klicken Sie auf „Ressource erstellen“ und suchen Sie nach „SQL-Datenbank“.
  3. Klicken Sie auf „Erstellen”.
  4. Wählen Sie Ihr Abonnement und Ihre Ressourcengruppe aus.
  5. Geben Sie einen Datenbanknamen ein (z. B. „DataverseSync“).
  6. Klicken Sie unter „Server“ auf „Neu erstellen“ oder wählen Sie einen vorhandenen Server aus.
  7. Wenn Sie einen neuen SQL-Datenbankserver erstellen, empfehlen wir Ihnen, den neuen SQL-Server auf „Nur Microsoft Entra-Authentifizierung verwenden“ zu setzen und entweder sich selbst oder Ihren DBA als Administrator festzulegen. Klicken Sie anschließend auf „OK“.
  8. Konfigurieren Sie Rechenleistung und Speicherplatz entsprechend Ihrem Datenvolumen.
  9. Klicken Sie auf „Überprüfen + erstellen“ und dann auf „Erstellen“.

⚠ Wichtig: Die Verwendung von SQL-Server-Anmeldeinformationen wird zwar unterstützt, ist jedoch nicht empfohlen. Verwenden Sie stattdessen Entra AD.

Netzwerkzugriffsoptionen für Remote-Benutzer

Wenn Sie sich von außerhalb Ihres Unternehmensnetzwerks (Homeoffice, auf Reisen usw.) mit Azure SQL verbinden, stehen Ihnen mehrere Optionen mit unterschiedlichen Kompromissen zwischen Sicherheit und Komfort zur Verfügung.

Option 1: VPN + privater Endpunkt (am sichersten)

Verbinden Sie Ihren Computer mit einem Azure VPN-Gateway, sodass er Teil des virtuellen Azure-Netzwerks wird. Greifen Sie über den privaten Endpunkt auf die SQL-Datenbank zu, ohne dass diese öffentlich im Internet sichtbar ist.

Vorteile: Keine öffentliche Exposition; funktioniert von jedem Standort aus (zu Hause, im Hotel, im Café); Sicherheit auf Unternehmensniveau

Nachteile: Erfordert die Einrichtung eines Azure VPN-Gateways; erfordert mehr Azure-Netzwerkkenntnisse

Option 2: Öffentlicher Zugriff + IP-Whitelisting (einfachste Option)

Erlauben Sie Verbindungen von bestimmten IP-Adressen über Firewall-Regeln. Funktioniert aus der Ferne, solange Ihre öffentliche IP-Adresse auf der Whitelist steht.

Vorteile: Einfachste Einrichtung; funktioniert von überall, wenn die IP auf der Whitelist steht

Nachteile: SQL Server ist dem Internet ausgesetzt; IP-Änderungen unterbrechen die Verbindung; Firewall muss bei Netzwerkwechsel aktualisiert werden

Option 3: Öffentlicher Zugriff + Microsoft Entra-Authentifizierung (ausgewogen)

Kombiniert öffentlichen Zugriff mit stärkerer Authentifizierung über Entra-Token. Verbessert die Sicherheit auch bei einem öffentlich erreichbaren SQL-Server.

Vorteile: Starke tokenbasierte Authentifizierung; funktioniert von überall; keine passwortbasierten SQL-Anmeldungen

Nachteile: Immer noch nicht so sicher wie private Netzwerke; erfordert weiterhin Firewall-Regeln für Ihre IP-Adresse

Was für Remote-Benutzer nicht funktioniert:

Service-Endpunkte: Diese funktionieren nur innerhalb von Azure Virtual Networks. Ihr Laptop kann sie nicht direkt von zu Hause oder auf Reisen verwenden.

✓ Empfehlungen:

Maximale Sicherheit: VPN-Gateway + privater Endpunkt – funktioniert von überall aus, während Ihr SQL-Server vollständig vom öffentlichen Internet abgeschirmt bleibt.

Ausgewogenes Verhältnis zwischen Komfort und Sicherheit: Öffentlicher Zugriff + IP-Whitelist + Microsoft Entra-Authentifizierung.

Einfachste Option: Öffentlicher Zugriff + IP-Whitelist (am wenigsten sicher, aber ausreichend für nicht sensible Entwicklungs-/Testumgebungen).

Konfigurieren von Firewall-Regeln (siehe Netzwerkzugriffsoptionen für Remote-Benutzer)

⚠ Wichtig: Azure SQL Database blockiert standardmäßig alle Verbindungen. Sie MÜSSEN Firewall-Regeln konfigurieren, bevor DvSchemaSync eine Verbindung herstellen kann.

Ihr Azure SQL-Server muss Verbindungen von dem Computer zulassen, auf dem DvSchemaSync ausgeführt wird. Wenn Sie Ihre Azure SQL-Datenbank für den öffentlichen Zugriff eingerichtet haben, müssen Sie Ihre IP-Adresse auf die Whitelist setzen, bevor Sie die Anwendung verwenden können.

  1. Navigieren Sie im Azure-Portal zu Ihrem SQL-Server (nicht zur Datenbank).
  2. Wählen Sie im linken Menü unter „Sicherheit“ die Option „Netzwerk“ aus.
  3. Wählen Sie unter „Öffentlicher Zugriff“ die Option „Ausgewählte Netzwerke“ aus.
  4. Klicken Sie unter „Firewall-Regeln“ auf „Ihre Client-IPv4-Adresse hinzufügen“.
  5. Alternativ können Sie einen bestimmten IP-Bereich für Ihre Organisation hinzufügen.
  6. Klicken Sie auf „Speichern“.

Häufiger Firewall-Fehler:

Der vom Login angeforderte Server „yourserver“ kann nicht geöffnet werden. Der Client mit der IP-Adresse „x.x.x.x“ hat keinen Zugriff auf den Server.

Dieser Fehler bedeutet, dass Ihre IP-Adresse nicht in der Zulassungsliste der Firewall enthalten ist. Fügen Sie die in der Fehlermeldung angezeigte IP-Adresse zu den Firewall-Regeln hinzu.

💡 Tipp: Wenn sich Ihre IP-Adresse häufig ändert (z. B. Heimnetzwerk, VPN), sollten Sie für Produktionsumgebungen die Verwendung von „VPN + privater Endpunkt“ in Betracht ziehen.

Konfigurieren der Microsoft Entra-Authentifizierung

⚠ Erforderlich für die App-Registrierung: Wir empfehlen Ihnen, die Microsoft Entra-App-Registrierung für die Authentifizierung bei Azure SQL (anstelle von SQL-Benutzername/Passwort) zu verwenden. Dazu MÜSSEN Sie zunächst einen Microsoft Entra-Administrator auf Ihrem SQL Server einrichten. Ohne diesen kann die App-Registrierung keine Authentifizierung durchführen.

Schritt 1: Einrichten eines Microsoft Entra-Administrators auf dem SQL-Server

  1. Navigieren Sie im Azure-Portal zu Ihrem SQL-Server.
  2. Wählen Sie im linken Menü unter „Einstellungen“ die Option „Microsoft Entra ID“ aus.
  3. Aktivieren Sie idealerweise die Option „Nur Microsoft Entra-Authentifizierung für diesen Server unterstützen“.
  4. Klicken Sie auf „Administrator festlegen“ und wählen Sie einen Benutzer oder eine Gruppe als Entra-Administrator aus.
  5. Klicken Sie auf „Speichern“.

Schritt 2: Erstellen Sie einen Datenbankbenutzer für Ihre App-Registrierung

  1. Stellen Sie mit dem Entra-Administratorkonto eine Verbindung zur Datenbank her (z. B. über Azure Data Studio oder SSMS).
  2. Führen Sie die folgende SQL-Anweisung aus, um Zugriff auf Ihre App-Registrierung zu gewähren:

-- Ersetzen Sie „YourAppName“ durch den Anzeigenamen Ihrer App-Registrierung

CREATE USER [YourAppName] FROM EXTERNAL PROVIDER;

ALTER ROLE db_owner ADD MEMBER [YourAppName];

Häufiger Entra-Authentifizierungsfehler:

Die Anmeldung für den Benutzer „<token-identified principal>” ist fehlgeschlagen. Der Server ist derzeit nicht für die Annahme dieses Tokens konfiguriert.

Dieser Fehler bedeutet, dass auf dem SQL Server kein Microsoft Entra-Administrator festgelegt wurde. Führen Sie Schritt 1 oben aus, um das Problem zu beheben.

💡 Tipp: Der in CREATE USER verwendete Name der App-Registrierung muss genau übereinstimmen. Den Anzeigenamen finden Sie im Azure-Portal → App-Registrierungen → Ihre App → Übersicht.

Aufzeichnen Ihrer Verbindungsdetails

Für DvSchemaSync benötigen Sie die folgenden Informationen:

Servername: Zu finden auf der Seite „Übersicht“ (z. B. yourserver.database.windows.net)

Datenbankname: Der Name, den Sie beim Erstellen der Datenbank angegeben haben

Authentifizierung: Entweder SQL-Anmeldeinformationen (Benutzername/Passwort) oder Microsoft Entra-App-Registrierungsdetails

Verknüpfung mit