Kurz: Povolení ověřování microsoft Entra-only pomocí Azure SQL

Platí pro:Azure SQL DatabaseAzure SQL Managed Instance

Tento článek vás provede povolením funkce ověřování microsoft Entra-only v Azure SQL Database a Azure SQL Managed Instance. Pokud chcete zřídit službu SQL Database nebo SQL Managed Instance s povoleným ověřováním pouze Microsoft Entra, přečtěte si téma Vytvoření serveru s povoleným ověřováním pouze Microsoft Entra v Azure SQL.

Poznámka:

ID Microsoft Entra se dříve označovalo jako Azure Active Directory (Azure AD).

V tomto kurzu se naučíte:

• Přiřazení role pro povolení ověřování pouze Microsoft Entra
• Povolení ověřování pouze Microsoft Entra pomocí webu Azure Portal, Azure CLI nebo PowerShellu
• Zkontrolujte, jestli je povolené ověřování Microsoft Entra-only.
• Testování připojení k Azure SQL
• Zakázání ověřování pouze Microsoft Entra pomocí webu Azure Portal, Azure CLI nebo PowerShellu

Požadavky

• Tenant Microsoft Entra. Další informace najdete v tématu Konfigurace a správa ověřování Microsoft Entra pro Azure SQL.
• SQL Database nebo SQL Managed Instance s databází a přihlášeními nebo uživateli. Viz Rychlý start: Vytvoření izolované databáze Azure SQL Database, pokud jste ještě nevytvořili službu Azure SQL Database, nebo rychlý start: Vytvoření spravované instance Azure SQL.

Přiřazení role pro povolení ověřování pouze Microsoft Entra

Aby bylo možné povolit nebo zakázat ověřování pouze Microsoft Entra, jsou pro uživatele Microsoft Entra, kteří provádějí tyto operace v tomto kurzu, vyžadovány vybrané předdefinované role. V tomto kurzu přiřadíme uživateli roli Správce zabezpečení SQL.

Další informace o tom, jak přiřadit roli k účtu Microsoft Entra, naleznete v tématu Přiřazení rolí správce a nesprávce uživatelům pomocí Microsoft Entra ID.

Další informace o požadovaném oprávnění k povolení nebo zakázání ověřování pouze Microsoft Entra naleznete v části Oprávnění pouze microsoft Entra-only článek.

1. V našem příkladu přiřadíme uživateli UserSqlSecurityManager@contoso.onmicrosoft.comroli Správce zabezpečení SQL . Pomocí privilegovaného uživatele, který může přiřadit role Microsoft Entra, se přihlaste k webu Azure Portal.

2. Přejděte k prostředku SQL Serveru a v nabídce vyberte Řízení přístupu (IAM ). V rozevírací nabídce vyberte tlačítko Přidat a pak přidejte přiřazení role.

   

3. V podokně Přidat přiřazení role vyberte Správce zabezpečení SQL Role a vyberte uživatele, kterému chcete povolit nebo zakázat ověřování pouze Microsoft Entra.

   

4. Klikněte na Uložit.

Povolení ověřování pouze Microsoft Entra

Azure Portal

Povolení ve službě SQL Database pomocí webu Azure Portal

Pokud chcete povolit ověřování microsoft Entra-only na webu Azure Portal, postupujte takto:

1. Pomocí uživatele s rolí SPRÁVCE zabezpečení SQL přejděte na web Azure Portal.

2. Přejděte k prostředku SQL Serveru a v nabídce Nastavení vyberte IDMicrosoft Entra.

   

3. Pokud jste nepřidali správce Microsoft Entra, budete ho muset nastavit, abyste mohli povolit ověřování pouze Microsoft Entra.

4. Zaškrtněte políčko Pro podporu pouze ověřování Microsoft Entra pro tento server.

5. Zobrazí se automaticky otevírané okno Povolit ověřování Microsoft Entra-only. Chcete-li povolit funkci, vyberte možnost Ano a nastavení uložte .

Povolení ve službě SQL Managed Instance pomocí webu Azure Portal

Pokud chcete povolit ověřování Microsoft Entra-only na webu Azure Portal, přečtěte si následující postup.

1. Pomocí uživatele s rolí SPRÁVCE zabezpečení SQL přejděte na web Azure Portal.

2. Přejděte k prostředku spravované instance SQL a v nabídce Nastavení vyberte správce Microsoft Entra.

3. Pokud jste nepřidali správce Microsoft Entra, budete ho muset nastavit, abyste mohli povolit ověřování pouze Microsoft Entra.

4. Zaškrtněte políčko Podporovat pouze ověřování Microsoft Entra pro tuto spravovanou instanci .

5. Zobrazí se automaticky otevírané okno Povolit ověřování Microsoft Entra-only. Chcete-li povolit funkci, vyberte možnost Ano a nastavení uložte .

The Azure CLI

Povolení ve službě SQL Database pomocí Azure CLI

Pokud chcete povolit ověřování Microsoft Entra-only ve službě Azure SQL Database pomocí Azure CLI, přečtěte si následující příkazy. Nainstalujte nejnovější verzi Azure CLI. Musíte mít Azure CLI verze 2.14.2 nebo vyšší. Další informace o těchtopříkazch

Další informace o správě ověřování pouze Microsoft Entra pomocí rozhraní API naleznete v tématu Správa ověřování pouze Microsoft Entra-only pomocí rozhraní API.

Poznámka:

Správce Microsoft Entra musí být nastaven pro server před povolením ověřování pouze Microsoft Entra. Jinak příkaz Azure CLI selže.

Informace o oprávněních a akcích vyžadovaných uživatelem provádějícím tyto příkazy k povolení ověřování pouze Microsoft Entra najdete v článku ověřování pouze microsoft Entra.

1. Přihlaste se k Azure pomocí účtu s rolí SQL Security Manageru .

   az login
   

2. Spusťte následující příkaz, nahraďte <myserver> názvem sql serveru a <myresource> prostředkem Azure, který obsahuje SQL Server.

   az sql server ad-only-auth enable --resource-group <myresource> --name <myserver>
   

Povolení ve službě SQL Managed Instance pomocí Azure CLI

Pokud chcete povolit ověřování Microsoft Entra only ve službě Azure SQL Managed Instance pomocí Azure CLI, přečtěte si následující příkazy. Nainstalujte nejnovější verzi Azure CLI.

1. Přihlaste se k Azure pomocí účtu s rolí SQL Security Manageru .

   az login
   

2. Spusťte následující příkaz, nahraďte <myserver> názvem sql serveru a <myresource> prostředkem Azure, který obsahuje SQL Server.

   az sql mi ad-only-auth enable --resource-group <myresource> --name <myserver>
   

PowerShell

Povolení ve službě SQL Database pomocí PowerShellu

Pokud chcete povolit ověřování Microsoft Entra-only ve službě Azure SQL Database pomocí PowerShellu, přečtěte si následující příkazy. K provedení těchto příkazů se vyžaduje modul Az.Sql 2.10.0 nebo vyšší. Další informace o těchto příkazech najdete v tématu Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication.

Další informace o správě ověřování pouze Microsoft Entra pomocí rozhraní API naleznete v tématu Správa ověřování pouze Microsoft Entra pomocí rozhraní API.

Poznámka:

Správce Microsoft Entra musí být nastaven pro server před povolením ověřování pouze Microsoft Entra. Jinak příkaz PowerShellu selže.

Informace o oprávněních a akcích vyžadovaných uživatelem provádějícím tyto příkazy k povolení ověřování pouze Microsoft Entra najdete v článku ověřování pouze microsoft Entra. Pokud má uživatel nedostatečná oprávnění, zobrazí se následující chyba:

Enable-AzSqlServerActiveDirectoryOnlyAuthentication : The client
'UserSqlServerContributor@contoso.onmicrosoft.com' with object id
'<guid>' does not have authorization to perform
action 'Microsoft.Sql/servers/azureADOnlyAuthentications/write' over scope
'/subscriptions/<guid>...'

1. Přihlaste se k Azure pomocí účtu s rolí SQL Security Manageru .

   Connect-AzAccount
   

2. Spusťte následující příkaz, nahraďte <myserver> názvem sql serveru a <myresource> prostředkem Azure, který obsahuje SQL Server.

   Enable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName <myserver>  -ResourceGroupName <myresource>
   

Povolení ve službě SQL Managed Instance pomocí PowerShellu

Pokud chcete povolit ověřování Microsoft Entra-only ve službě Azure SQL Managed Instance pomocí PowerShellu, přečtěte si následující příkazy. K provedení těchto příkazů se vyžaduje modul Az.Sql 2.10.0 nebo vyšší.

Další informace o správě ověřování pouze Microsoft Entra pomocí rozhraní API naleznete v tématu Správa ověřování pouze Microsoft Entra-only pomocí rozhraní API.

1. Přihlaste se k Azure pomocí účtu s rolí SQL Security Manageru .

   Connect-AzAccount
   

2. Spusťte následující příkaz, nahraďte <myinstance> názvem spravované instance SQL a <myresource> prostředkem Azure, který obsahuje spravovanou instanci SQL.

   Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
   

Kontrola stavu ověřování pouze Microsoft Entra

Zkontrolujte, jestli je pro váš server nebo instanci povolené ověřování microsoft Entra-only.

Azure Portal

Kontrola stavu ve službě SQL Database

Na webu Azure Portal přejděte k prostředku SQL Serveru. V nabídce Nastavení vyberte IDMicrosoft Entra.

Kontrola stavu ve službě SQL Managed Instance

Na webu Azure Portal přejděte k prostředku spravované instance SQL. V nabídce Nastavení vyberte správceMicrosoft Entra.

The Azure CLI

Tyto příkazy je možné použít ke kontrole, jestli je pro logický server pro službu Azure SQL Database nebo spravovaná instance SQL povolená ověřování Microsoft Entra-only. Členové role Přispěvatel SQL Serveru a Přispěvatel spravované instance SQL můžou pomocí těchto příkazů zkontrolovat stav ověřování pouze microsoft Entra, ale nemůžou tuto funkci povolit nebo zakázat.

Kontrola stavu ve službě SQL Database

1. Přihlaste se k Azure pomocí účtu s rolí SQL Security Manageru . Další informace o správě ověřování pouze Microsoft Entra pomocí rozhraní API naleznete v tématu Správa ověřování pouze Microsoft Entra pomocí rozhraní API.

   az login
   

2. Spusťte následující příkaz, nahraďte <myserver> názvem sql serveru a <myresource> prostředkem Azure, který obsahuje SQL Server.

   az sql server ad-only-auth get --resource-group <myresource> --name <myserver>
   

3. Měl by se zobrazit následující výstup:

   {
    "azureAdOnlyAuthentication": true,
    "/subscriptions/<guid>/resourceGroups/mygroup/providers/Microsoft.Sql/servers/myserver/azureADOnlyAuthentications/Default",
    "name": "Default",
    "resourceGroup": "myresource",
    "type": "Microsoft.Sql/servers"
   }
   

Kontrola stavu ve službě SQL Managed Instance

1. Přihlaste se k Azure pomocí účtu s rolí SQL Security Manageru .

   az login
   

2. Spusťte následující příkaz, nahraďte <myserver> názvem sql serveru a <myresource> prostředkem Azure, který obsahuje SQL Server.

   az sql mi ad-only-auth get --resource-group <myresource> --name <myserver>
   

3. Měl by se zobrazit následující výstup:

   {
    "azureAdOnlyAuthentication": true,
    "id": "/subscriptions/<guid>/resourceGroups/myresource/providers/Microsoft.Sql/managedInstances/myinstance/azureADOnlyAuthentications/Default",
    "name": "Default",
    "resourceGroup": "myresource",
    "type": "Microsoft.Sql/managedInstances"
   }
   

PowerShell

Tyto příkazy je možné použít ke kontrole, jestli je pro logický server pro službu Azure SQL Database nebo spravovaná instance SQL povolená ověřování Microsoft Entra-only. Členové role Přispěvatel SQL Serveru a Přispěvatel spravované instance SQL můžou pomocí těchto příkazů zkontrolovat stav ověřování pouze microsoft Entra, ale nemůžou tuto funkci povolit nebo zakázat.

Stav vrátí hodnotu True , pokud je tato funkce povolená, a nepravda , pokud je zakázaná.

Kontrola stavu ve službě SQL Database

1. Přihlaste se k Azure pomocí účtu s rolí SQL Security Manageru . Další informace o správě ověřování pouze Microsoft Entra pomocí rozhraní API naleznete v tématu Správa ověřování pouze Microsoft Entra pomocí rozhraní API.

   Connect-AzAccount
   

2. Spusťte následující příkaz, nahraďte <myserver> názvem sql serveru a <myresource> prostředkem Azure, který obsahuje SQL Server.

   Get-AzSqlServerActiveDirectoryOnlyAuthentication  -ServerName <myserver> -ResourceGroupName <myresource>
   

Kontrola stavu ve službě SQL Managed Instance

1. Přihlaste se k Azure pomocí účtu s rolí SQL Security Manageru .

   Connect-AzAccount
   

2. Spusťte následující příkaz, nahraďte <myinstance> názvem spravované instance SQL a <myresource> prostředkem Azure, který obsahuje spravovanou instanci SQL.

   Get-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
   

Testování ověřování SQL s chybou připojení

Po povolení ověřování microsoft Entra-only otestujte sql Server Management Studio (SSMS) a připojte se ke službě SQL Database nebo sql Managed Instance. Pro připojení použijte ověřování SQL.

Měla by se zobrazit zpráva o neúspěšném přihlášení podobná následujícímu výstupu:

Cannot connect to <myserver>.database.windows.net.
Additional information:
  Login failed for user 'username'. Reason: Azure Active Directory only authentication is enabled.
  Please contact your system administrator. (Microsoft SQL Server, Error: 18456)

Zakázání ověřování pouze Microsoft Entra

Zakázáním funkce ověřování microsoft Entra-only povolíte ověřování SQL i ověřování Microsoft Entra pro Azure SQL.

Azure Portal

Zákaz ve službě SQL Database pomocí webu Azure Portal

1. Pomocí uživatele s rolí SPRÁVCE zabezpečení SQL přejděte na web Azure Portal.
2. Přejděte k prostředku SQL Serveru a v nabídce Nastavení vyberte IDMicrosoft Entra.
3. Chcete-li zakázat funkci ověřování pouze Microsoft Entra, zrušte zaškrtnutí políčka Podpora pouze ověřování Microsoft Entra pro tento server a Uložit nastavení.

Zákaz ve službě SQL Managed Instance pomocí webu Azure Portal

1. Pomocí uživatele s rolí SPRÁVCE zabezpečení SQL přejděte na web Azure Portal.
2. Přejděte k prostředku spravované instance SQL a v nabídce Nastavení vyberte správce služby Active Directory.
3. Chcete-li zakázat funkci ověřování pouze Microsoft Entra, zrušte zaškrtnutí políčka Podpora pouze ověřování Microsoft Entra pro tuto spravovanou instanci a Uložit nastavení.

The Azure CLI

Zakázání ve službě SQL Database pomocí Azure CLI

Pokud chcete zakázat ověřování Microsoft Entra-only ve službě Azure SQL Database pomocí Azure CLI, přečtěte si následující příkazy.

1. Přihlaste se k Azure pomocí účtu s rolí SQL Security Manageru .

   az login
   

2. Spusťte následující příkaz, nahraďte <myserver> názvem sql serveru a <myresource> prostředkem Azure, který obsahuje SQL Server.

   az sql server ad-only-auth disable --resource-group <myresource> --name <myserver>
   

3. Po zakázání ověřování Microsoft Entra-only by se při kontrole stavu měl zobrazit následující výstup:

   {
    "azureAdOnlyAuthentication": false,
    "/subscriptions/<guid>/resourceGroups/mygroup/providers/Microsoft.Sql/servers/myserver/azureADOnlyAuthentications/Default",
    "name": "Default",
    "resourceGroup": "myresource",
    "type": "Microsoft.Sql/servers"
   }
   

Zákaz ve službě SQL Managed Instance pomocí Azure CLI

Pokud chcete zakázat ověřování Microsoft Entra-only ve službě Azure SQL Managed Instance pomocí Azure CLI, přečtěte si následující příkazy.

1. Přihlaste se k Azure pomocí účtu s rolí SQL Security Manageru .

   az login
   

2. Spusťte následující příkaz, nahraďte <myserver> názvem sql serveru a <myresource> prostředkem Azure, který obsahuje SQL Server.

   az sql mi ad-only-auth disable --resource-group <myresource> --name <myserver>
   

3. Po zakázání ověřování Microsoft Entra-only by se při kontrole stavu měl zobrazit následující výstup:

   {
    "azureAdOnlyAuthentication": false,
    "id": "/subscriptions/<guid>/resourceGroups/myresource/providers/Microsoft.Sql/managedInstances/myinstance/azureADOnlyAuthentications/Default",
    "name": "Default",
    "resourceGroup": "myresource",
    "type": "Microsoft.Sql/managedInstances"
   }
   

PowerShell

Zakázání ve službě SQL Database pomocí PowerShellu

Pokud chcete zakázat ověřování Microsoft Entra-only ve službě Azure SQL Database pomocí PowerShellu, přečtěte si následující příkazy.

1. Přihlaste se k Azure pomocí účtu s rolí SQL Security Manageru .

   Connect-AzAccount
   

2. Spusťte následující příkaz, nahraďte <myserver> názvem sql serveru a <myresource> prostředkem Azure, který obsahuje SQL Server.

   Disable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName <myserver>  -ResourceGroupName <myresource>
   

Zakázání ve službě SQL Managed Instance pomocí PowerShellu

Pokud chcete zakázat ověřování Microsoft Entra-only ve službě Azure SQL Managed Instance pomocí PowerShellu, přečtěte si následující příkazy.

1. Přihlaste se k Azure pomocí účtu s rolí SQL Security Manageru .

   Connect-AzAccount
   

2. Spusťte následující příkaz, nahraďte <myinstance> názvem spravované instance SQL a <myresource> prostředkem Azure, který obsahuje spravovanou instanci.

   Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
   

Znovu otestujte připojení k Azure SQL.

Po zakázání ověřování Microsoft Entra-only otestujte připojení pomocí přihlášení k ověřování SQL. Teď byste měli být schopni se připojit k serveru nebo instanci.

Další kroky

• Ověřování pouze pomocí Microsoft Entra s Azure SQL
• Vytvoření serveru s povoleným ověřováním Microsoft Entra-only v Azure SQL
• Použití Azure Policy k vynucení ověřování pouze Microsoft Entra pomocí Azure SQL