Platí pro:
Azure SQL DatabaseAzure SQL Managed Instance
Tento článek vás provede povolením ověřování Microsoft Entra-only pomocí funkce Azure SQL v rámci Azure SQL Database a Azure SQL Managed Instance. Pokud chcete zřídit službu SQL Database nebo SQL Managed Instance s povoleným ověřováním pouze Microsoft Entra, přečtěte si téma Vytvoření serveru s povoleným ověřováním pouze Microsoft Entra v Azure SQL.
Poznámka:
ID Microsoft Entra se dříve označovalo jako Azure Active Directory (Azure AD).
V tomto kurzu se naučíte:
- Přiřazení role pro povolení ověřování pouze Microsoft Entra
- Povolení ověřování pouze Microsoft Entra pomocí webu Azure Portal, Azure CLI nebo PowerShellu
- Zkontrolujte, jestli je povolené ověřování Microsoft Entra-only.
- Testování připojení k Azure SQL
- Zakázání ověřování pouze Microsoft Entra pomocí webu Azure Portal, Azure CLI nebo PowerShellu
Požadavky
Přiřazení role pro povolení ověřování pouze Microsoft Entra
Aby bylo možné povolit nebo zakázat ověřování pouze Microsoft Entra, jsou pro uživatele Microsoft Entra, kteří provádějí tyto operace v tomto kurzu, vyžadovány vybrané předdefinované role.
V tomto kurzu přiřadíme uživateli roli Správce zabezpečení SQL.
Další informace o tom, jak přiřadit roli k účtu Microsoft Entra, naleznete v tématu Přiřazení rolí správce a nesprávce uživatelům pomocí Microsoft Entra ID.
Další informace o požadovaném oprávnění k povolení nebo zakázání ověřování pouze Microsoft Entra naleznete v části Oprávnění pouze microsoft Entra-only článek.
V našem příkladu SQL . Pomocí privilegovaného uživatele, který může přiřadit role Microsoft Entra, se přihlaste k webu Azure Portal.
Přejděte k prostředku SQL Serveru a v nabídce vyberte Řízení přístupu (IAM ). Vyberte tlačítko Přidat a pak v rozevíracím seznamu přidejte přiřazení role .
V podokně Přidat přiřazení role vyberte Správce zabezpečení SQL Role a vyberte uživatele, kterému chcete povolit nebo zakázat ověřování pouze Microsoft Entra.
Vyberte Uložit.
Povolení ověřování pouze Microsoft Entra
Povolení ve službě SQL Database pomocí webu Azure Portal
Pokud chcete povolit ověřování microsoft Entra-only na webu Azure Portal, postupujte takto:
Pomocí uživatele s rolí SPRÁVCE zabezpečení SQL přejděte na web Azure Portal.
Přejděte k prostředku SQL Serveru a v nabídce Nastavení vyberte Microsoft Entra ID.
Pokud jste nepřidali správce Microsoft Entra, budete ho muset nastavit, abyste mohli povolit ověřování pouze Microsoft Entra.
Zaškrtněte políčko Pro podporu pouze ověřování Microsoft Entra pro tento server.
Zobrazí se automaticky otevírané okno Povolit ověřování Microsoft Entra-only. Chcete-li povolit funkci, vyberte možnost Ano a nastavení uložte .
Povolení ve službě SQL Managed Instance pomocí webu Azure Portal
Pokud chcete povolit ověřování Microsoft Entra-only na webu Azure Portal, přečtěte si následující postup.
Pomocí uživatele s rolí SPRÁVCE zabezpečení SQL přejděte na web Azure Portal.
Přejděte k prostředku spravované instance SQL a v nabídce Nastavení vyberte správceMicrosoft Entra.
Pokud jste nepřidali správce Microsoft Entra, budete ho muset nastavit, abyste mohli povolit ověřování pouze Microsoft Entra.
Zaškrtněte políčko Podporovat pouze ověřování Microsoft Entra pro tuto spravovanou instanci .
Zobrazí se automaticky otevírané okno Povolit ověřování Microsoft Entra-only. Chcete-li povolit funkci, vyberte možnost Ano a nastavení uložte .
Povolení ve službě SQL Database pomocí Azure CLI
Pokud chcete povolit ověřování Microsoft Entra-only ve službě Azure SQL Database pomocí Azure CLI, přečtěte si následující příkazy.
Nainstalujte nejnovější verzi Azure CLI. Musíte mít Azure CLI verze 2.14.2 nebo vyšší. Další informace o těchtopříkazch
Další informace o správě ověřování pouze Microsoft Entra pomocí rozhraní API naleznete v tématu Správa ověřování pouze Microsoft Entra-only pomocí rozhraní API.
Poznámka:
Správce Microsoft Entra musí být nastaven pro server před povolením ověřování pouze Microsoft Entra. Jinak příkaz Azure CLI selže.
Informace o oprávněních a akcích vyžadovaných uživatelem provádějícím tyto příkazy k povolení ověřování pouze Microsoft Entra najdete v článku ověřování pouze microsoft Entra.
Přihlaste se k Azure pomocí účtu s rolí SQL Security Manageru .
az login
Spusťte následující příkaz, nahraďte <myserver> názvem sql serveru a <myresource> prostředkem Azure, který obsahuje SQL Server.
az sql server ad-only-auth enable --resource-group <myresource> --name <myserver>
Povolení ve službě SQL Managed Instance pomocí Azure CLI
Pokud chcete povolit ověřování Microsoft Entra only ve službě Azure SQL Managed Instance pomocí Azure CLI, přečtěte si následující příkazy.
Nainstalujte nejnovější verzi Azure CLI.
Přihlaste se k Azure pomocí účtu s rolí SQL Security Manageru .
az login
Spusťte následující příkaz, nahraďte <myserver> názvem sql serveru a <myresource> prostředkem Azure, který obsahuje SQL Server.
az sql mi ad-only-auth enable --resource-group <myresource> --name <myserver>
Povolení ve službě SQL Database pomocí PowerShellu
Pokud chcete povolit ověřování Microsoft Entra-only ve službě Azure SQL Database pomocí PowerShellu, přečtěte si následující příkazy.
K provedení těchto příkazů se vyžaduje modul Az.Sql 2.10.0 nebo vyšší. Další informace o těchto příkazech najdete v tématu Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication.
Další informace o správě ověřování pouze Microsoft Entra pomocí rozhraní API naleznete v tématu Správa ověřování pouze Microsoft Entra pomocí rozhraní API.
Poznámka:
Správce Microsoft Entra musí být nastaven pro server před povolením ověřování pouze Microsoft Entra. Jinak příkaz PowerShellu selže.
Informace o oprávněních a akcích vyžadovaných uživatelem provádějícím tyto příkazy k povolení ověřování pouze Microsoft Entra najdete v článku ověřování pouze microsoft Entra. Pokud má uživatel nedostatečná oprávnění, zobrazí se následující chyba:
Enable-AzSqlServerActiveDirectoryOnlyAuthentication : The client
'UserSqlServerContributor@contoso.onmicrosoft.com' with object id
'<guid>' does not have authorization to perform
action 'Microsoft.Sql/servers/azureADOnlyAuthentications/write' over scope
'/subscriptions/<guid>...'
Přihlaste se k Azure pomocí účtu s rolí SQL Security Manageru .
Connect-AzAccount
Spusťte následující příkaz, nahraďte <myserver> názvem sql serveru a <myresource> prostředkem Azure, který obsahuje SQL Server.
Enable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName <myserver> -ResourceGroupName <myresource>
Povolení ve službě SQL Managed Instance pomocí PowerShellu
Pokud chcete povolit ověřování Microsoft Entra-only ve službě Azure SQL Managed Instance pomocí PowerShellu, přečtěte si následující příkazy.
K provedení těchto příkazů se vyžaduje modul Az.Sql 2.10.0 nebo vyšší.
Další informace o správě ověřování pouze Microsoft Entra pomocí rozhraní API naleznete v tématu Správa ověřování pouze Microsoft Entra-only pomocí rozhraní API.
Přihlaste se k Azure pomocí účtu s rolí SQL Security Manageru .
Connect-AzAccount
Spusťte následující příkaz, nahraďte <myinstance> názvem spravované instance SQL a <myresource> prostředkem Azure, který obsahuje spravovanou instanci SQL.
Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
Kontrola stavu ověřování pouze Microsoft Entra
Zkontrolujte, jestli je pro váš server nebo instanci povolené ověřování microsoft Entra-only.
Tyto příkazy je možné použít ke kontrole, jestli je pro logický server pro službu Azure SQL Database nebo spravovaná instance SQL povolená ověřování Microsoft Entra-only.
Členové role Přispěvatel SQL Serveru a Přispěvatel spravované instance SQL můžou pomocí těchto příkazů zkontrolovat stav ověřování pouze microsoft Entra, ale nemůžou tuto funkci povolit nebo zakázat.
Kontrola stavu ve službě SQL Database
Přihlaste se k Azure pomocí účtu s rolí SQL Security Manageru . Další informace o správě ověřování pouze Microsoft Entra pomocí rozhraní API naleznete v tématu Správa ověřování pouze Microsoft Entra pomocí rozhraní API.
az login
Spusťte následující příkaz, nahraďte <myserver> názvem sql serveru a <myresource> prostředkem Azure, který obsahuje SQL Server.
az sql server ad-only-auth get --resource-group <myresource> --name <myserver>
Měl by se zobrazit následující výstup:
{
"azureAdOnlyAuthentication": true,
"/subscriptions/<guid>/resourceGroups/mygroup/providers/Microsoft.Sql/servers/myserver/azureADOnlyAuthentications/Default",
"name": "Default",
"resourceGroup": "myresource",
"type": "Microsoft.Sql/servers"
}
Kontrola stavu ve službě SQL Managed Instance
Přihlaste se k Azure pomocí účtu s rolí SQL Security Manageru .
az login
Spusťte následující příkaz, nahraďte <myserver> názvem sql serveru a <myresource> prostředkem Azure, který obsahuje SQL Server.
az sql mi ad-only-auth get --resource-group <myresource> --name <myserver>
Měl by se zobrazit následující výstup:
{
"azureAdOnlyAuthentication": true,
"id": "/subscriptions/<guid>/resourceGroups/myresource/providers/Microsoft.Sql/managedInstances/myinstance/azureADOnlyAuthentications/Default",
"name": "Default",
"resourceGroup": "myresource",
"type": "Microsoft.Sql/managedInstances"
}
Tyto příkazy je možné použít ke kontrole, jestli je pro logický server pro službu Azure SQL Database nebo spravovaná instance SQL povolená ověřování Microsoft Entra-only.
Členové role Přispěvatel SQL Serveru a Přispěvatel spravované instance SQL můžou pomocí těchto příkazů zkontrolovat stav ověřování pouze microsoft Entra, ale nemůžou tuto funkci povolit nebo zakázat.
Stav vrátí hodnotu True , pokud je tato funkce povolená, a nepravda , pokud je zakázaná.
Kontrola stavu ve službě SQL Database
Přihlaste se k Azure pomocí účtu s rolí SQL Security Manageru . Další informace o správě ověřování pouze Microsoft Entra pomocí rozhraní API naleznete v tématu Správa ověřování pouze Microsoft Entra pomocí rozhraní API.
Connect-AzAccount
Spusťte následující příkaz, nahraďte <myserver> názvem sql serveru a <myresource> prostředkem Azure, který obsahuje SQL Server.
Get-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName <myserver> -ResourceGroupName <myresource>
Kontrola stavu ve službě SQL Managed Instance
Přihlaste se k Azure pomocí účtu s rolí SQL Security Manageru .
Connect-AzAccount
Spusťte následující příkaz, nahraďte <myinstance> názvem spravované instance SQL a <myresource> prostředkem Azure, který obsahuje spravovanou instanci SQL.
Get-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
Testování ověřování SQL s chybou připojení
Po povolení ověřování microsoft Entra-only otestujte sql Server Management Studio (SSMS) a připojte se ke službě SQL Database nebo sql Managed Instance. Pro připojení použijte ověřování SQL.
Měla by se zobrazit zpráva o neúspěšném přihlášení podobná následujícímu výstupu:
Cannot connect to <myserver>.database.windows.net.
Additional information:
Login failed for user 'username'. Reason: Azure Active Directory only authentication is enabled.
Please contact your system administrator. (Microsoft SQL Server, Error: 18456)
Zakázání ověřování pouze Microsoft Entra
Zakázáním funkce ověřování microsoft Entra-only povolíte ověřování SQL i ověřování Microsoft Entra pro Azure SQL.
Zákaz ve službě SQL Database pomocí webu Azure Portal
- Pomocí uživatele s rolí SPRÁVCE zabezpečení SQL přejděte na web Azure Portal.
- Přejděte k prostředku SQL Serveru a v nabídce Nastavení vyberte Microsoft Entra ID.
- Chcete-li zakázat funkci ověřování pouze Microsoft Entra, zrušte zaškrtnutí políčka Podpora pouze ověřování Microsoft Entra pro tento server a Uložit nastavení.
Zákaz ve službě SQL Managed Instance pomocí webu Azure Portal
- Pomocí uživatele s rolí SPRÁVCE zabezpečení SQL přejděte na web Azure Portal.
- Přejděte do prostředku spravované instance SQL a v nabídce Nastavení vyberte správce služby Active Directory.
- Chcete-li zakázat funkci ověřování pouze Microsoft Entra, zrušte zaškrtnutí políčka Podpora pouze ověřování Microsoft Entra pro tuto spravovanou instanci a Uložit nastavení.
Zakázání ve službě SQL Database pomocí Azure CLI
Pokud chcete zakázat ověřování Microsoft Entra-only ve službě Azure SQL Database pomocí Azure CLI, přečtěte si následující příkazy.
Přihlaste se k Azure pomocí účtu s rolí SQL Security Manageru .
az login
Spusťte následující příkaz, nahraďte <myserver> názvem sql serveru a <myresource> prostředkem Azure, který obsahuje SQL Server.
az sql server ad-only-auth disable --resource-group <myresource> --name <myserver>
Po zakázání ověřování Microsoft Entra-only by se při kontrole stavu měl zobrazit následující výstup:
{
"azureAdOnlyAuthentication": false,
"/subscriptions/<guid>/resourceGroups/mygroup/providers/Microsoft.Sql/servers/myserver/azureADOnlyAuthentications/Default",
"name": "Default",
"resourceGroup": "myresource",
"type": "Microsoft.Sql/servers"
}
Zákaz ve službě SQL Managed Instance pomocí Azure CLI
Pokud chcete zakázat ověřování Microsoft Entra-only ve službě Azure SQL Managed Instance pomocí Azure CLI, přečtěte si následující příkazy.
Přihlaste se k Azure pomocí účtu s rolí SQL Security Manageru .
az login
Spusťte následující příkaz, nahraďte <myserver> názvem sql serveru a <myresource> prostředkem Azure, který obsahuje SQL Server.
az sql mi ad-only-auth disable --resource-group <myresource> --name <myserver>
Po zakázání ověřování Microsoft Entra-only by se při kontrole stavu měl zobrazit následující výstup:
{
"azureAdOnlyAuthentication": false,
"id": "/subscriptions/<guid>/resourceGroups/myresource/providers/Microsoft.Sql/managedInstances/myinstance/azureADOnlyAuthentications/Default",
"name": "Default",
"resourceGroup": "myresource",
"type": "Microsoft.Sql/managedInstances"
}
Zakázání ve službě SQL Database pomocí PowerShellu
Pokud chcete zakázat ověřování Microsoft Entra-only ve službě Azure SQL Database pomocí PowerShellu, přečtěte si následující příkazy.
Přihlaste se k Azure pomocí účtu s rolí SQL Security Manageru .
Connect-AzAccount
Spusťte následující příkaz, nahraďte <myserver> názvem sql serveru a <myresource> prostředkem Azure, který obsahuje SQL Server.
Disable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName <myserver> -ResourceGroupName <myresource>
Zakázání ve službě SQL Managed Instance pomocí PowerShellu
Pokud chcete zakázat ověřování Microsoft Entra-only ve službě Azure SQL Managed Instance pomocí PowerShellu, přečtěte si následující příkazy.
Přihlaste se k Azure pomocí účtu s rolí SQL Security Manageru .
Connect-AzAccount
Spusťte následující příkaz, nahraďte <myinstance> názvem spravované instance SQL a <myresource> prostředkem Azure, který obsahuje spravovanou instanci.
Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
Znovu otestujte připojení k Azure SQL.
Po zakázání ověřování Microsoft Entra-only otestujte připojení pomocí přihlášení k ověřování SQL. Teď byste měli být schopni se připojit k serveru nebo instanci.
Související obsah
