Zuweisen einer Rolle zum Aktivieren der reinen Microsoft Entra-Authentifizierung
Um die reine Microsoft Entra-Authentifizierung zu aktivieren oder zu deaktivieren, sind ausgewählte integrierte Rollen für die Microsoft Entra-Benutzer erforderlich, die diese Vorgänge in diesem Tutorial ausführen. In diesem Tutorial weisen wir dem Benutzer die Rolle SQL Security Manager zu.
In unserem Beispiel weisen wir dem Benutzer UserSqlSecurityManager@contoso.onmicrosoft.com die Rolle SQL Security Manager zu. Melden Sie sich mit dem privilegierten Benutzer, der Microsoft Entra-Rollen zuweisen kann, beim Azure-Portal an.
Wechseln Sie zu Ihrer SQL-Serverressource, und wählen Sie im Menü Zugriffssteuerung (IAM) aus. Klicken Sie auf die Schaltfläche Hinzufügen und dann im Dropdownmenü auf Rollenzuweisung hinzufügen.
Wählen Sie im Bereich Rollenzuweisung hinzufügen die Rolle SQL Security Manager aus, und wählen Sie dann den Benutzer aus, der die Berechtigung zum Aktivieren und Deaktivieren der reinen Microsoft Entra-Authentifizierung haben soll.
Klicken Sie auf Speichern.
Aktivieren der reinen Microsoft Entra-Authentifizierung
Wechseln Sie zu Ihrer SQL Server-Ressource, und wählen Sie im Menü Einstellungen die Option Microsoft Entra ID aus.
Wenn Sie keinen Microsoft Entra-Administrator hinzugefügt haben, müssen Sie diesen festlegen, bevor Sie die reine Microsoft Entra-Authentifizierung aktivieren können.
Aktivieren Sie das Kontrollkästchen Nur Microsoft Entra-Authentifizierung für diesen Server unterstützen.
Das Popupfenster Reine Microsoft Entra-Authentifizierung aktivieren wird angezeigt. Klicken Sie auf Ja, um das Feature zu aktivieren, und speichern Sie die Einstellung.
Aktivierung in SQL Managed Instance mithilfe des Azure-Portals
Führen Sie die folgenden Schritte aus, um die reine Microsoft Entra-Authentifizierung im Azure-Portal zu aktivieren.
Wechseln Sie zu Ihrer SQL Managed Instance-Ressource, und wählen Sie im Menü Einstellungen die Option Microsoft Entra-Administrator aus.
Wenn Sie keinen Microsoft Entra-Administrator hinzugefügt haben, müssen Sie diesen festlegen, bevor Sie die reine Microsoft Entra-Authentifizierung aktivieren können.
Aktivieren Sie das Kontrollkästchen Nur Microsoft Entra-Authentifizierung für diese verwaltete Instanz unterstützen.
Das Popupfenster Reine Microsoft Entra-Authentifizierung aktivieren wird angezeigt. Klicken Sie auf Ja, um das Feature zu aktivieren, und speichern Sie die Einstellung.
Aktivieren in der SQL-Datenbank mithilfe von Azure CLI
Der Microsoft Entra-Administrator muss für den Server festgelegt werden, bevor die reine Microsoft Entra-Authentifizierung aktiviert wird. Andernfalls wird der Azure CLI-Befehl nicht erfolgreich ausgeführt.
Informationen über Berechtigungen und Aktionen, die für das Ausführen dieser Befehle zur Aktivierung der reinen Microsoft Entra-Authentifizierung durch den Benutzer erforderlich sind, finden Sie im Artikel Reine Microsoft Entra-Authentifizierung.
Führen Sie den folgenden Befehl aus, und ersetzen Sie dabei <myserver> durch ihren SQL-Servernamen und <myresource> durch Ihre Azure-Ressource, die den SQL-Server enthält.
az sql server ad-only-auth enable --resource-group <myresource> --name <myserver>
Aktivieren in SQL Managed Instance mithilfe von Azure CLI
Führen Sie den folgenden Befehl aus, und ersetzen Sie dabei <myserver> durch ihren SQL-Servernamen und <myresource> durch Ihre Azure-Ressource, die den SQL-Server enthält.
az sql mi ad-only-auth enable --resource-group <myresource> --name <myserver>
Aktivieren in der SQL-Datenbank mithilfe von PowerShell
Verwenden Sie die folgenden Befehle, um die reine Microsoft Entra-Authentifizierung in Azure SQL-Datenbank mithilfe von PowerShell zu aktivieren. Zum Ausführen dieser Befehle ist das Modul Az.Sql 2.10.0 oder höher erforderlich. Weitere Informationen über diese Befehle finden Sie unter Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication.
Der Microsoft Entra-Administrator muss für den Server festgelegt werden, bevor die reine Microsoft Entra-Authentifizierung aktiviert wird. Andernfalls wird der PowerShell-Befehl nicht erfolgreich ausgeführt.
Informationen über Berechtigungen und Aktionen, die für das Ausführen dieser Befehle zur Aktivierung der reinen Microsoft Entra-Authentifizierung durch den Benutzer erforderlich sind, finden Sie im Artikel Reine Microsoft Entra-Authentifizierung. Wenn der Benutzer nicht über ausreichende Berechtigungen verfügt, erhalten Sie die folgende Fehlermeldung:
Enable-AzSqlServerActiveDirectoryOnlyAuthentication : The client
'UserSqlServerContributor@contoso.onmicrosoft.com' with object id
'<guid>' does not have authorization to perform
action 'Microsoft.Sql/servers/azureADOnlyAuthentications/write' over scope
'/subscriptions/<guid>...'
Führen Sie den folgenden Befehl aus, und ersetzen Sie dabei <myserver> durch ihren SQL-Servernamen und <myresource> durch Ihre Azure-Ressource, die den SQL-Server enthält.
Aktivieren in SQL Managed Instance mithilfe von PowerShell
Verwenden Sie die folgenden Befehle, um die reine Microsoft Entra-Authentifizierung in Azure SQL Managed Instance mithilfe von PowerShell zu aktivieren. Zum Ausführen dieser Befehle ist das Modul Az.Sql 2.10.0 oder höher erforderlich.
Führen Sie den folgenden Befehl aus, und ersetzen Sie dabei <myinstance> durch den Namen Ihrer SQL Managed Instance-Instanz und <myresource> durch Ihre Azure-Ressource, die die SQL Managed Instance-Instanz enthält.
Navigieren Sie im Azure-Portal zu Ihrer SQL Server-Ressource. Wählen Sie im Menü Einstellungen die Option Microsoft Entra ID aus.
Überprüfen des Status in SQL Managed Instance
Öffnen Sie Ihre SQL Managed Instance-Ressource im Azure-Portal. Wählen Sie im Menü Einstellungen die Option Microsoft Entra-Administrator aus.
Mit diesen Befehlen kann überprüft werden, ob die reine Microsoft Entra-Authentifizierung für den logischen Server für Azure SQL-Datenbank oder SQL Managed Instance aktiviert ist. Mitglieder der Rollen SQL Server-Mitwirkender und SQL Managed Instance-Mitwirkender können diese Befehle verwenden, um den Status der reinen Microsoft Entra-Authentifizierung zu überprüfen. Sie können das Feature allerdings nicht aktivieren oder deaktivieren.
Führen Sie den folgenden Befehl aus, und ersetzen Sie dabei <myserver> durch ihren SQL-Servernamen und <myresource> durch Ihre Azure-Ressource, die den SQL-Server enthält.
az sql server ad-only-auth get --resource-group <myresource> --name <myserver>
Führen Sie den folgenden Befehl aus, und ersetzen Sie dabei <myserver> durch ihren SQL-Servernamen und <myresource> durch Ihre Azure-Ressource, die den SQL-Server enthält.
az sql mi ad-only-auth get --resource-group <myresource> --name <myserver>
Mit diesen Befehlen kann überprüft werden, ob die reine Microsoft Entra-Authentifizierung für den logischen Server für Azure SQL-Datenbank oder SQL Managed Instance aktiviert ist. Mitglieder der Rollen SQL Server-Mitwirkender und SQL Managed Instance-Mitwirkender können diese Befehle verwenden, um den Status der reinen Microsoft Entra-Authentifizierung zu überprüfen. Sie können das Feature allerdings nicht aktivieren oder deaktivieren.
Der Status gibt True zurück, wenn die Funktion aktiviert ist, und False, wenn sie deaktiviert ist.
Führen Sie den folgenden Befehl aus, und ersetzen Sie dabei <myserver> durch ihren SQL-Servernamen und <myresource> durch Ihre Azure-Ressource, die den SQL-Server enthält.
Führen Sie den folgenden Befehl aus, und ersetzen Sie dabei <myinstance> durch den Namen Ihrer SQL Managed Instance-Instanz und <myresource> durch Ihre Azure-Ressource, die die SQL Managed Instance-Instanz enthält.
Es wird in etwa folgende „Anmeldung fehlgeschlagen“-Meldung angezeigt:
Cannot connect to <myserver>.database.windows.net.
Additional information:
Login failed for user 'username'. Reason: Azure Active Directory only authentication is enabled.
Please contact your system administrator. (Microsoft SQL Server, Error: 18456)
Deaktivieren der reinen Microsoft Entra-Authentifizierung
Wenn Sie die reine Microsoft Entra-Authentifizierung deaktivieren, ermöglichen Sie sowohl die SQL-Authentifizierung als auch die Microsoft Entra-Authentifizierung für Azure SQL.
Wechseln Sie zu Ihrer SQL Server-Ressource, und wählen Sie im Menü Einstellungen die Option Microsoft Entra ID aus.
Deaktivieren Sie das Kontrollkästchen Nur Microsoft Entra-Authentifizierung für diesen Server unterstützen, und speichern Sie die Einstellung, um die reine Microsoft Entra-Authentifizierung zu deaktivieren.
Deaktivierung in SQL Managed Instance mithilfe des Azure-Portals
Wechseln Sie zu Ihrer SQL Managed Instance-Ressource, und wählen Sie im Menü Einstellungen die Option Active Directory-Administrator aus.
Deaktivieren Sie das Kontrollkästchen Nur Microsoft Entra-Authentifizierung für diese verwaltete Instanz unterstützen, und speichern Sie die Einstellung, um die reine Microsoft Entra-Authentifizierung zu deaktivieren.
Deaktivieren in der SQL-Datenbank mithilfe von Azure CLI
Verwenden Sie die folgenden Befehle, um die reine Microsoft Entra-Authentifizierung in Azure SQL-Datenbank mithilfe von Azure CLI zu deaktivieren.
Führen Sie den folgenden Befehl aus, und ersetzen Sie dabei <myserver> durch ihren SQL-Servernamen und <myresource> durch Ihre Azure-Ressource, die den SQL-Server enthält.
az sql server ad-only-auth disable --resource-group <myresource> --name <myserver>
Nachdem Sie die reine Microsoft Entra-Authentifizierung deaktiviert haben, sollte beim Überprüfen des Status die folgende Ausgabe angezeigt werden:
Deaktivieren in SQL Managed Instance mithilfe von Azure CLI
Verwenden Sie die folgenden Befehle, um die reine Microsoft Entra-Authentifizierung in Azure SQL Managed Instance mithilfe von Azure CLI zu deaktivieren.
Führen Sie den folgenden Befehl aus, und ersetzen Sie dabei <myserver> durch ihren SQL-Servernamen und <myresource> durch Ihre Azure-Ressource, die den SQL-Server enthält.
az sql mi ad-only-auth disable --resource-group <myresource> --name <myserver>
Nachdem Sie die reine Microsoft Entra-Authentifizierung deaktiviert haben, sollte beim Überprüfen des Status die folgende Ausgabe angezeigt werden:
Führen Sie den folgenden Befehl aus, und ersetzen Sie dabei <myserver> durch ihren SQL-Servernamen und <myresource> durch Ihre Azure-Ressource, die den SQL-Server enthält.
Deaktivieren in SQL Managed Instance mithilfe von PowerShell
Verwenden Sie die folgenden Befehle, um die reine Microsoft Entra-Authentifizierung in Azure SQL Managed Instance mithilfe von PowerShell zu deaktivieren.
Führen Sie den folgenden Befehl aus, und ersetzen Sie dabei <myinstance> durch den Namen Ihrer SQL Managed Instance-Instanz und <myresource> durch Ihre Azure-Ressource, die die verwaltete Instanz enthält.
Wiederholtes Testen der Verbindung mit Azure SQL-DB
Nachdem Sie die reine Microsoft Entra-Authentifizierung deaktiviert haben, testen Sie, ob Sie über die Anmeldedaten für die SQL-Authentifizierung eine Verbindung herstellen können. Sie sollten nun eine Verbindung mit Ihrem Server oder Ihrer Instanz herstellen können.