Ověřování pouze pomocí Microsoft Entra s Azure SQL

Platí pro:Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics (pouze vyhrazené fondy SQL)

Ověřování Microsoft Entra je funkce v Rámci Azure SQL , která umožňuje službě podporovat pouze ověřování Microsoft Entra a je podporována pro Azure SQL Database a Azure SQL Managed Instance.

Poznámka:

ID Microsoft Entra se dříve označovalo jako Azure Active Directory (Azure AD).

Ověřování Microsoft Entra-only je také k dispozici pro vyhrazené fondy SQL (dříve SQL DW) na samostatných serverech. Ověřování Microsoft Entra-only je možné povolit pro pracovní prostor Azure Synapse. Další informace najdete v tématu Ověřování pouze Microsoft Entra s pracovními prostory Azure Synapse.

Ověřování SQL je zakázáno při povolování ověřování microsoft Entra-only v prostředí Azure SQL, včetně připojení od správců SQL Serveru, přihlášení a uživatelů. K připojení k serveru nebo databázi mají oprávnění pouze uživatelé používající ověřování Microsoft Entra.

Ověřování Microsoft Entra je možné povolit nebo zakázat pomocí webu Azure Portal, Azure CLI, PowerShellu nebo rozhraní REST API. Ověřování Microsoft Entra-only je také možné nakonfigurovat během vytváření serveru pomocí šablony Azure Resource Manageru (ARM).

Další informace o ověřování Azure SQL najdete v tématu Ověřování a autorizace.

Popis funkce

Při povolování ověřování microsoft Entra-only je ověřování SQL zakázáno na úrovni serveru nebo spravované instance a zabraňuje veškerému ověřování na základě přihlašovacích údajů ověřování SQL. Uživatelé ověřování SQL se nebudou moct připojit k logickému serveru pro Azure SQL Database nebo spravovanou instanci, včetně všech jejích databází. I když je ověřování SQL zakázané, můžou nové přihlašovací údaje a uživatelé ověřování SQL vytvářet účty Microsoft Entra se správnými oprávněními. Nově vytvořené účty ověřování SQL se nebudou moct připojit k serveru. Povolení ověřování Microsoft Entra-only neodebere stávající přihlašovací údaje a uživatelské účty ověřování SQL. Tato funkce brání těmto účtům v připojení k serveru a jakékoli databázi vytvořené pro tento server.

Můžete také vynutit, aby se servery vytvořily s povoleným ověřováním Microsoft Entra pomocí služby Azure Policy. Další informace najdete v tématu Azure Policy pro ověřování pouze Microsoft Entra.

Oprávnění

Ověřování Microsoft Entra může povolit nebo zakázat uživatelé Microsoft Entra, kteří jsou členy vysoce privilegovaných předdefinovaných rolí Microsoft Entra, jako jsou vlastníci předplatného Azure, přispěvatelé a globální Správa istrátory. Kromě toho může role SQL Security Manager také povolit nebo zakázat funkci ověřování pouze Microsoft Entra.

Role Přispěvatel SQL Serveru a Přispěvatel spravované instance SQL nemají oprávnění k povolení nebo zakázání funkce ověřování pouze Microsoft Entra. To je konzistentní s přístupem oddělení povinností , kdy uživatelé, kteří můžou vytvořit server Azure SQL nebo vytvořit správce Microsoft Entra, nemohou povolit nebo zakázat funkce zabezpečení.

Požadované akce

Do role Správce zabezpečení SQL se přidají následující akce, které umožňují správu funkce ověřování pouze Microsoft Entra.

• Microsoft.Sql/servers/azureADOnlyAuthentications/*
• Microsoft.Sql/servers/administrators/read – vyžaduje se jenom pro uživatele, kteří přistupují k nabídce Microsoft Entra ID webu Azure Portal.
• Microsoft.Sql/managedInstances/azureADOnlyAuthentications/*
• Microsoft.Sql/managedInstances/read

Výše uvedené akce je také možné přidat do vlastní role pro správu ověřování Microsoft Entra-only. Další informace najdete v tématu Vytvoření a přiřazení vlastní role v Microsoft Entra ID.

Správa ověřování microsoft Entra-only pomocí rozhraní API

Důležité

Před povolením ověřování pouze Microsoft Entra musí být nastaven správce Microsoft Entra.

Azure CLI

Musíte mít Azure CLI verze 2.14.2 nebo vyšší.

nameodpovídá předponě názvu serveru nebo instance (například) a resource-group odpovídá prostředku, myserverdo který server patří (například myresource).

Azure SQL Database

Další informace najdete v tématu az sql server ad-only-auth.

Povolení nebo zakázání ve službě SQL Database

Povolit

az sql server ad-only-auth enable --resource-group myresource --name myserver

Zakázat

az sql server ad-only-auth disable --resource-group myresource --name myserver

Kontrola stavu ve službě SQL Database

az sql server ad-only-auth get --resource-group myresource --name myserver

Azure SQL Managed Instance

Další informace najdete v tématu az sql mi ad-only-auth.

Povolit

az sql mi ad-only-auth enable --resource-group myresource --name myserver

Zakázat

az sql mi ad-only-auth disable --resource-group myresource --name myserver

Kontrola stavu ve službě SQL Managed Instance

az sql mi ad-only-auth get --resource-group myresource --name myserver

PowerShell

Vyžaduje se modul Az.Sql 2.10.0 nebo vyšší.

ServerNamenebo InstanceName odpovídá předponě názvu serveru (například nebomyinstance) a ResourceGroupName odpovídá prostředku, myserver do který server patří (například myresource).

Azure SQL Database

Povolení nebo zakázání ve službě SQL Database

Povolit

Další informace najdete v tématu Enable-AzSqlServerActiveDirectoryOnlyAuthentication. Můžete také spustit get-help Enable-AzSqlServerActiveDirectoryOnlyAuthentication -full.

Enable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName myserver -ResourceGroupName myresource

Můžete také použít následující příkaz:

Get-AzSqlServer -ServerName myserver | Enable-AzSqlServerActiveDirectoryOnlyAuthentication

Zakázat

Další informace najdete v tématu Disable-AzSqlServerActiveDirectoryOnlyAuthentication.

Disable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName myserver -ResourceGroupName myresource

Kontrola stavu ve službě SQL Database

Get-AzSqlServerActiveDirectoryOnlyAuthentication  -ServerName myserver -ResourceGroupName myresource

Můžete také použít následující příkaz:

Get-AzSqlServer -ServerName myserver | Get-AzSqlServerActiveDirectoryOnlyAuthentication

Azure SQL Managed Instance

Povolení nebo zakázání ve službě SQL Managed Instance

Povolit

Další informace najdete v tématu Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication.

Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName myinstance -ResourceGroupName myresource

Můžete také použít následující příkaz:

Get-AzSqlInstance -InstanceName myinstance | Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication

Další informace o těchto příkazech PowerShellu potřebujete spustit get-help Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -full.

Zakázat

Další informace najdete v tématu Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication.

Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName myinstance -ResourceGroupName myresource

Kontrola stavu ve službě SQL Managed Instance

Get-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName myinstance -ResourceGroupName myresource

Můžete také použít následující příkaz:

Get-AzSqlInstance -InstanceName myinstance | Get-AzSqlInstanceActiveDirectoryOnlyAuthentication

REST API

Je potřeba definovat následující parametry:

• <subscriptionId> najdete tak, že přejdete na předplatná na webu Azure Portal.
• <myserver> odpovídá předponě názvu serveru nebo instance (například myserver).
• <myresource> odpovídá prostředku, do který server patří (například myresource)

Chcete-li použít nejnovější MSAL, stáhněte si jej z https://www.powershellgallery.com/packages/MSAL.PS.

$subscriptionId = '<subscriptionId>'
$serverName = "<myserver>"
$resourceGroupName = "<myresource>"

Azure SQL Database

Další informace najdete v dokumentaci k rozhraní REST API pouze pro ověřování Azure AD serveru.

Povolení nebo zakázání ve službě SQL Database

Povolit

$body = @{ properties = @{ azureADOnlyAuthentication = 1 } } | ConvertTo-Json
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Zakázat

$body = @{ properties = @{ azureADOnlyAuthentication = 0 } } | ConvertTo-Json
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Kontrola stavu ve službě SQL Database

Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method GET -Headers $authHeader  | Format-List

Azure SQL Managed Instance

Další informace najdete v dokumentaci k rozhraní REST API pouze pro spravovanou instanci Azure AD.

Povolení nebo zakázání ve službě SQL Managed Instance

Povolit

$body = @{   properties = @{  azureADOnlyAuthentication = 1 }  } | ConvertTo-Json 
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Zakázat

$body = @{   properties = @{  azureADOnlyAuthentication = 0 }  } | ConvertTo-Json 
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Kontrola stavu ve službě SQL Managed Instance

Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method GET -Headers $authHeader  | Format-List

Šablona ARM

• Zadejte správce Microsoft Entra pro nasazení. ID objektu uživatele najdete tak, že přejdete na web Azure Portal a přejdete k prostředku Microsoft Entra ID . V části Spravovat vyberte Uživatelé. Vyhledejte uživatele, kterého chcete nastavit jako správce Microsoft Entra pro váš server Azure SQL. Vyberte uživatele a na jeho stránce Profil se zobrazí ID objektu.
• ID tenanta najdete na stránce Přehled vašeho prostředku Microsoft Entra ID .

Azure SQL Database

Povolit

Následující šablona ARM umožňuje ověřování microsoft Entra-only ve službě Azure SQL Database. Chcete-li zakázat ověřování pouze Microsoft Entra-only, nastavte azureADOnlyAuthentication vlastnost na false.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "sqlServer_name": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String"
        },
        "aad_admin_objectid": {
            "type": "String"
        },
        "aad_admin_tenantid": {
            "type": "String"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers/administrators",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('sqlServer_name'), '/ActiveDirectory')]",
            "properties": {
                "administratorType": "ActiveDirectory",
                "login": "[parameters('aad_admin_name')]",
                "sid": "[parameters('aad_admin_objectid')]",
                "tenantId": "[parameters('aad_admin_tenantId')]"
            }
        },        
        {
            "type": "Microsoft.Sql/servers/azureADOnlyAuthentications",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('sqlServer_name'), '/Default')]",
            "dependsOn": [
                "[resourceId('Microsoft.Sql/servers/administrators', parameters('sqlServer_name'), 'ActiveDirectory')]"
            ],
            "properties": {
                "azureADOnlyAuthentication": true
            }
        }
    ]
}

Další informace najdete v tématu Servery Microsoft.Sql/azureADOnlyAuthentications.

Azure SQL Managed Instance

Povolit

Následující šablona ARM umožňuje ověřování Microsoft Entra-only ve službě Azure SQL Managed Instance. Chcete-li zakázat ověřování pouze Microsoft Entra-only, nastavte azureADOnlyAuthentication vlastnost na false.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "instance": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String"
        },
        "aad_admin_objectid": {
            "type": "String"
        },
        "aad_admin_tenantid": {
            "type": "String"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/managedInstances/administrators",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('instance'), '/ActiveDirectory')]",
            "properties": {
                "administratorType": "ActiveDirectory",
                "login": "[parameters('aad_admin_name')]",
                "sid": "[parameters('aad_admin_objectid')]",
                "tenantId": "[parameters('aad_admin_tenantId')]"
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances/azureADOnlyAuthentications",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('instance'), '/Default')]",
            "dependsOn": [
                "[resourceId('Microsoft.Sql/managedInstances/administrators', parameters('instance'), 'ActiveDirectory')]"
            ],
            "properties": {
                "azureADOnlyAuthentication": true
            }
        }
    ]
}

Další informace najdete v tématu Microsoft.Sql managedInstances/azureADOnlyAuthentications.

Kontrola ověřování microsoft Entra-only pomocí T-SQL

ServerPROPERTY IsExternalAuthenticationOnly byl přidán, aby se zkontrolovalo, jestli je pro server nebo spravovanou instanci povolené ověřování Microsoft Entra-only. 1 označuje, že je funkce povolená a 0 představuje tuto funkci je zakázaná.

SELECT SERVERPROPERTY('IsExternalAuthenticationOnly') 

Poznámky

• Přispěvatel SQL Serveru může nastavit nebo odebrat správce Microsoft Entra, ale nemůže nastavit pouze ověřování Microsoft Entra. Správce zabezpečení SQL nemůže nastavit nebo odebrat správce Microsoft Entra, ale může nastavit pouze ověřování Microsoft Entra. Pouze účty s vyššími rolemi Azure RBAC nebo vlastními rolemi, které obsahují obě oprávnění, můžou nastavit nebo odebrat správce Microsoft Entra a nastavit pouze nastavení ověřování Microsoft Entra. Jednou z těchto rolí je role Přispěvatel .
• Po povolení nebo zakázání ověřování Microsoft Entra pouze na webu Azure Portal se položka protokolu aktivit zobrazí v nabídce SERVERU SQL .
• Nastavení ověřování Microsoft Entra může povolit nebo zakázat pouze uživatelé se správnými oprávněními, pokud je zadaný správce Microsoft Entra. Pokud není nastavený správce Microsoft Entra, nastavení ověřování Microsoft Entra zůstane neaktivní a nelze ho povolit ani zakázat. Pokud správce Microsoft Entra nenastavil nastavení správce Microsoft Entra, použití rozhraní API k povolení ověřování microsoft Entra selže.
• Změna správce Microsoft Entra, pokud je povoleno ověřování pouze Microsoft Entra, je podporováno pro uživatele s příslušnými oprávněními.
• Změna správce Microsoft Entra a povolení nebo zakázání ověřování Microsoft Entra je povolené na webu Azure Portal pro uživatele s příslušnými oprávněními. Obě operace je možné dokončit jedním uložením na webu Azure Portal. Aby bylo možné povolit ověřování pouze microsoftu, musí být nastaven správce Microsoft Entra.
• Odebrání správce Microsoft Entra, pokud je povolená funkce ověřování pouze Microsoft Entra, není podporována. Použití rozhraní API k odebrání správce Microsoft Entra selže, pokud je povoleno ověřování pouze Microsoft Entra.
  • Pokud je povolené nastavení ověřování Microsoft Entra, je tlačítko Odebrat správce neaktivní na webu Azure Portal.
• Odebrání správce Microsoft Entra a zakázání nastavení pouze ověřování Microsoft Entra je povolené, ale vyžaduje správné uživatelské oprávnění k dokončení operací. Obě operace je možné dokončit jedním uložením na webu Azure Portal.
• Uživatelé Microsoft Entra se správnými oprávněními můžou zosobnit stávající uživatele SQL.
  • Zosobnění pokračuje v práci mezi uživateli ověřování SQL i v případě, že je povolená funkce ověřování pouze Microsoft Entra.

Omezení ověřování microsoft Entra-only ve službě SQL Database

Pokud je pro službu SQL Database povolené ověřování microsoft Entra-only, nejsou podporované následující funkce:

• Role serveru Azure SQL Database jsou podporovány pro objekty zabezpečení serveru Microsoft Entra, ale ne v případě, že přihlášení Microsoft Entra je skupina.
• Elastické úlohy
• Synchronizace dat SQL
• Zachytávání dat změn (CDC) – Pokud vytvoříte databázi ve službě Azure SQL Database jako uživatel Microsoft Entra a povolíte zachytávání dat změn, uživatel SQL nebude moct artefakty CDC zakázat ani provádět změny. Jiný uživatel Microsoft Entra však bude moct povolit nebo zakázat CDC ve stejné databázi. Podobně pokud vytvoříte azure SQL Database jako uživatel SQL, povolení nebo zakázání CDC jako uživatel Microsoft Entra nebude fungovat.
• Transakční replikace – Vzhledem k tomu, že se pro připojení mezi účastníky replikace vyžaduje ověřování SQL, pokud je povolené ověřování pouze Microsoft Entra, nepodporuje se transakční replikace pro sql Database pro scénáře, kdy se transakční replikace používá k nabízení změn provedených ve spravované instanci Azure SQL, místním SQL Serveru nebo instanci SQL Serveru virtuálního počítače Azure do databáze v Azure SQL Database.
• SQL Přehledy (Preview)
• Příkaz EXEC AS pro účty členů skupiny Microsoft Entra

Omezení ověřování microsoft Entra-only ve spravované instanci

Pokud je pro spravovanou instanci povolené ověřování pouze Microsoft Entra, následující funkce se nepodporují:

• Transakční replikace
• Úlohy agenta SQL ve spravované instanci podporují ověřování pouze Microsoft Entra. Nicméně uživatel Microsoft Entra, který je členem skupiny Microsoft Entra, která má přístup ke spravované instanci, nemůže vlastnit úlohy agenta SQL.
• SQL Přehledy (Preview)
• Příkaz EXEC AS pro účty členů skupiny Microsoft Entra

Další omezení najdete v tématu Rozdíly mezi SQL Serverem a službou Azure SQL Managed Instance.

Další kroky

Kurz: Povolení ověřování microsoft Entra-only pomocí Azure SQL

Vytvoření serveru s povoleným ověřováním Microsoft Entra-only v Azure SQL