Freigeben über


Tutorial: Aktivieren der reinen Microsoft Entra-Authentifizierung mit Azure SQL

Gilt für: Azure SQL-Datenbank Azure SQL Managed Instance

Dieser Artikel beschreibt die Vorgehensweise zur Aktivierung der reinen Microsoft Entra-Authentifizierung in Azure SQL-Datenbank und Azure SQL Managed Instance. Wenn Sie eine SQL-Datenbank- oder eine SQL Managed Instance-Instanz bereitstellen möchten, für die ausschließlich die Microsoft Entra-Authentifizierung aktiviert ist, finden Sie weitere Informationen unter Erstellen eines Servers mit aktivierter reiner Microsoft Entra-Authentifizierung in Azure SQL.

Hinweis

Microsoft Entra ID war zuvor als Azure Active Directory (Azure AD) bekannt.

In diesem Tutorial lernen Sie Folgendes:

  • Zuweisen einer Rolle zum Aktivieren der reinen Microsoft Entra-Authentifizierung
  • Aktivieren der reinen Microsoft Entra-Authentifizierung mithilfe von Azure-Portal, Azure CLI oder PowerShell
  • Prüfen, ob die Option für die reine Microsoft Entra-Authentifizierung aktiviert ist
  • Testen der Verbindung mit Azure SQL-DB
  • Deaktivieren der reinen Microsoft Entra-Authentifizierung mithilfe von Azure-Portal, Azure CLI oder PowerShell

Voraussetzungen

Zuweisen einer Rolle zum Aktivieren der reinen Microsoft Entra-Authentifizierung

Um die reine Microsoft Entra-Authentifizierung zu aktivieren oder zu deaktivieren, sind ausgewählte integrierte Rollen für die Microsoft Entra-Benutzer erforderlich, die diese Vorgänge in diesem Tutorial ausführen. In diesem Tutorial weisen wir dem Benutzer die Rolle SQL Security Manager zu.

Weitere Informationen zum Zuweisen von Rollen zu einem Microsoft Entra-Konto finden Sie unter Zuweisen von Administrator- und anderen Rollen zu Benutzern mithilfe von Microsoft Entra ID.

Weitere Informationen über die erforderliche Berechtigung zum Aktivieren oder Deaktivieren der reinen Microsoft Entra-Authentifizierung finden Sie im Abschnitt „Berechtigungen“ des Artikels zur reinen Microsoft Entra-Authentifizierung.

  1. In unserem Beispiel weisen wir dem Benutzer UserSqlSecurityManager@contoso.onmicrosoft.com die Rolle SQL Security Manager zu. Melden Sie sich mit dem privilegierten Benutzer, der Microsoft Entra-Rollen zuweisen kann, beim Azure-Portal an.

  2. Wechseln Sie zu Ihrer SQL-Serverressource, und wählen Sie im Menü Zugriffssteuerung (IAM) aus. Klicken Sie auf die Schaltfläche Hinzufügen und dann im Dropdownmenü auf Rollenzuweisung hinzufügen.

    Screenshot zeigt die Access–Control-Seite, wo Sie Rollenzuweisungen hinzufügen können.

  3. Wählen Sie im Bereich Rollenzuweisung hinzufügen die Rolle SQL Security Manager aus, und wählen Sie dann den Benutzer aus, der die Berechtigung zum Aktivieren und Deaktivieren der reinen Microsoft Entra-Authentifizierung haben soll.

    Bereich „Rollenzuweisung hinzufügen“ im Azure-Portal

  4. Klicken Sie auf Speichern.

Aktivieren der reinen Microsoft Entra-Authentifizierung

Aktivieren in der SQL-Datenbank mithilfe von Azure-Portal

Führen Sie diese Schritte aus, um die reine Microsoft Entra-Authentifizierung im Azure-Portal zu aktivieren:

  1. Melden Sie sich mit dem Benutzer mit der zugewiesenen Rolle SQL Security Manager im Azure-Portal an.

  2. Wechseln Sie zu Ihrer SQL Server-Ressource, und wählen Sie im Menü Einstellungen die Option Microsoft Entra ID aus.

    Screenshot zeigt die Option, für den Server nur die Microsoft Entra-Authentifizierung zu unterstützen.

  3. Wenn Sie keinen Microsoft Entra-Administrator hinzugefügt haben, müssen Sie diesen festlegen, bevor Sie die reine Microsoft Entra-Authentifizierung aktivieren können.

  4. Aktivieren Sie das Kontrollkästchen Nur Microsoft Entra-Authentifizierung für diesen Server unterstützen.

  5. Das Popupfenster Reine Microsoft Entra-Authentifizierung aktivieren wird angezeigt. Klicken Sie auf Ja, um das Feature zu aktivieren, und speichern Sie die Einstellung.

Aktivierung in SQL Managed Instance mithilfe des Azure-Portals

Führen Sie die folgenden Schritte aus, um die reine Microsoft Entra-Authentifizierung im Azure-Portal zu aktivieren.

  1. Melden Sie sich mit dem Benutzer mit der zugewiesenen Rolle SQL Security Manager im Azure-Portal an.

  2. Wechseln Sie zu Ihrer SQL Managed Instance-Ressource, und wählen Sie im Menü Einstellungen die Option Microsoft Entra-Administrator aus.

  3. Wenn Sie keinen Microsoft Entra-Administrator hinzugefügt haben, müssen Sie diesen festlegen, bevor Sie die reine Microsoft Entra-Authentifizierung aktivieren können.

  4. Aktivieren Sie das Kontrollkästchen Nur Microsoft Entra-Authentifizierung für diese verwaltete Instanz unterstützen.

  5. Das Popupfenster Reine Microsoft Entra-Authentifizierung aktivieren wird angezeigt. Klicken Sie auf Ja, um das Feature zu aktivieren, und speichern Sie die Einstellung.

Überprüfen des Status der reinen Microsoft Entra-Authentifizierung

Überprüfen Sie, ob die reine Microsoft Entra-Authentifizierung für Ihren Server oder Ihre Instanz aktiviert ist.

Überprüfen des Status in SQL-Datenbank

Navigieren Sie im Azure-Portal zu Ihrer SQL Server-Ressource. Wählen Sie im Menü Einstellungen die Option Microsoft Entra ID aus.

Überprüfen des Status in SQL Managed Instance

Öffnen Sie Ihre SQL Managed Instance-Ressource im Azure-Portal. Wählen Sie im Menü Einstellungen die Option Microsoft Entra-Administrator aus.

Testen der SQL-Authentifizierung mit Verbindungsfehler

Nachdem Sie die reine Microsoft Entra-Authentifizierung aktiviert haben, testen Sie mithilfe von SQL Server Management Studio (SSMS), ob Sie eine Verbindung mit Ihrer SQL-Datenbank oder SQL Managed Instance herstellen können. Verwenden Sie die SQL-Authentifizierung für die Verbindung.

Es wird in etwa folgende „Anmeldung fehlgeschlagen“-Meldung angezeigt:

Cannot connect to <myserver>.database.windows.net.
Additional information:
  Login failed for user 'username'. Reason: Azure Active Directory only authentication is enabled.
  Please contact your system administrator. (Microsoft SQL Server, Error: 18456)

Deaktivieren der reinen Microsoft Entra-Authentifizierung

Wenn Sie die reine Microsoft Entra-Authentifizierung deaktivieren, ermöglichen Sie sowohl die SQL-Authentifizierung als auch die Microsoft Entra-Authentifizierung für Azure SQL.

Deaktivierung in SQL-Datenbank mithilfe des Azure-Portals

  1. Melden Sie sich mit dem Benutzer mit der zugewiesenen Rolle SQL Security Manager im Azure-Portal an.
  2. Wechseln Sie zu Ihrer SQL Server-Ressource, und wählen Sie im Menü Einstellungen die Option Microsoft Entra ID aus.
  3. Deaktivieren Sie das Kontrollkästchen Nur Microsoft Entra-Authentifizierung für diesen Server unterstützen, und speichern Sie die Einstellung, um die reine Microsoft Entra-Authentifizierung zu deaktivieren.

Deaktivierung in SQL Managed Instance mithilfe des Azure-Portals

  1. Melden Sie sich mit dem Benutzer mit der zugewiesenen Rolle SQL Security Manager im Azure-Portal an.
  2. Wechseln Sie zu Ihrer SQL Managed Instance-Ressource, und wählen Sie im Menü Einstellungen die Option Active Directory-Administrator aus.
  3. Deaktivieren Sie das Kontrollkästchen Nur Microsoft Entra-Authentifizierung für diese verwaltete Instanz unterstützen, und speichern Sie die Einstellung, um die reine Microsoft Entra-Authentifizierung zu deaktivieren.

Wiederholtes Testen der Verbindung mit Azure SQL-DB

Nachdem Sie die reine Microsoft Entra-Authentifizierung deaktiviert haben, testen Sie, ob Sie über die Anmeldedaten für die SQL-Authentifizierung eine Verbindung herstellen können. Sie sollten nun eine Verbindung mit Ihrem Server oder Ihrer Instanz herstellen können.

Nächste Schritte