Tutorial: Aktivieren der reinen Microsoft Entra-Authentifizierung mit Azure SQL

Gilt für:Azure SQL-DatenbankAzure SQL Managed Instance

Dieser Artikel beschreibt die Vorgehensweise zur Aktivierung der reinen Microsoft Entra-Authentifizierung in Azure SQL-Datenbank und Azure SQL Managed Instance. Wenn Sie eine SQL-Datenbank- oder eine SQL Managed Instance-Instanz bereitstellen möchten, für die ausschließlich die Microsoft Entra-Authentifizierung aktiviert ist, finden Sie weitere Informationen unter Erstellen eines Servers mit aktivierter reiner Microsoft Entra-Authentifizierung in Azure SQL.

Hinweis

Microsoft Entra ID war zuvor als Azure Active Directory (Azure AD) bekannt.

In diesem Tutorial lernen Sie Folgendes:

• Zuweisen einer Rolle zum Aktivieren der reinen Microsoft Entra-Authentifizierung
• Aktivieren der reinen Microsoft Entra-Authentifizierung mithilfe von Azure-Portal, Azure CLI oder PowerShell
• Prüfen, ob die Option für die reine Microsoft Entra-Authentifizierung aktiviert ist
• Testen der Verbindung mit Azure SQL-DB
• Deaktivieren der reinen Microsoft Entra-Authentifizierung mithilfe von Azure-Portal, Azure CLI oder PowerShell

Voraussetzungen

• Ein Microsoft Entra-Mandant. Weitere Informationen finden Sie unter Konfigurieren und Verwalten der Microsoft Entra-Authentifizierung mit Azure SQL.
• Eine SQL-Datenbank oder SQL Managed Instance mit einer Datenbank sowie Anmeldungen oder Benutzern. Weitere Informationen finden Sie unter Schnellstart: Erstellen einer Azure SQL-Einzeldatenbank, wenn Sie noch keine Azure SQL-Datenbank erstellt haben, oder Schnellstart: Erstellen einer verwalteten Azure SQL-Instanz.

Zuweisen einer Rolle zum Aktivieren der reinen Microsoft Entra-Authentifizierung

Um die reine Microsoft Entra-Authentifizierung zu aktivieren oder zu deaktivieren, sind ausgewählte integrierte Rollen für die Microsoft Entra-Benutzer erforderlich, die diese Vorgänge in diesem Tutorial ausführen. In diesem Tutorial weisen wir dem Benutzer die Rolle SQL Security Manager zu.

Weitere Informationen zum Zuweisen von Rollen zu einem Microsoft Entra-Konto finden Sie unter Zuweisen von Administrator- und anderen Rollen zu Benutzern mithilfe von Microsoft Entra ID.

Weitere Informationen über die erforderliche Berechtigung zum Aktivieren oder Deaktivieren der reinen Microsoft Entra-Authentifizierung finden Sie im Abschnitt „Berechtigungen“ des Artikels zur reinen Microsoft Entra-Authentifizierung.

1. In unserem Beispiel weisen wir dem Benutzer UserSqlSecurityManager@contoso.onmicrosoft.com die Rolle SQL Security Manager zu. Melden Sie sich mit dem privilegierten Benutzer, der Microsoft Entra-Rollen zuweisen kann, beim Azure-Portal an.

2. Wechseln Sie zu Ihrer SQL-Serverressource, und wählen Sie im Menü Zugriffssteuerung (IAM) aus. Klicken Sie auf die Schaltfläche Hinzufügen und dann im Dropdownmenü auf Rollenzuweisung hinzufügen.

   

3. Wählen Sie im Bereich Rollenzuweisung hinzufügen die Rolle SQL Security Manager aus, und wählen Sie dann den Benutzer aus, der die Berechtigung zum Aktivieren und Deaktivieren der reinen Microsoft Entra-Authentifizierung haben soll.

   

4. Klicken Sie auf Speichern.

Aktivieren der reinen Microsoft Entra-Authentifizierung

Portal

Aktivieren in der SQL-Datenbank mithilfe von Azure-Portal

Führen Sie diese Schritte aus, um die reine Microsoft Entra-Authentifizierung im Azure-Portal zu aktivieren:

1. Melden Sie sich mit dem Benutzer mit der zugewiesenen Rolle SQL Security Manager im Azure-Portal an.

2. Wechseln Sie zu Ihrer SQL Server-Ressource, und wählen Sie im Menü Einstellungen die Option Microsoft Entra ID aus.

   

3. Wenn Sie keinen Microsoft Entra-Administrator hinzugefügt haben, müssen Sie diesen festlegen, bevor Sie die reine Microsoft Entra-Authentifizierung aktivieren können.

4. Aktivieren Sie das Kontrollkästchen Nur Microsoft Entra-Authentifizierung für diesen Server unterstützen.

5. Das Popupfenster Reine Microsoft Entra-Authentifizierung aktivieren wird angezeigt. Klicken Sie auf Ja, um das Feature zu aktivieren, und speichern Sie die Einstellung.

Aktivierung in SQL Managed Instance mithilfe des Azure-Portals

Führen Sie die folgenden Schritte aus, um die reine Microsoft Entra-Authentifizierung im Azure-Portal zu aktivieren.

1. Melden Sie sich mit dem Benutzer mit der zugewiesenen Rolle SQL Security Manager im Azure-Portal an.

2. Wechseln Sie zu Ihrer SQL Managed Instance-Ressource, und wählen Sie im Menü Einstellungen die Option Microsoft Entra-Administrator aus.

3. Wenn Sie keinen Microsoft Entra-Administrator hinzugefügt haben, müssen Sie diesen festlegen, bevor Sie die reine Microsoft Entra-Authentifizierung aktivieren können.

4. Aktivieren Sie das Kontrollkästchen Nur Microsoft Entra-Authentifizierung für diese verwaltete Instanz unterstützen.

5. Das Popupfenster Reine Microsoft Entra-Authentifizierung aktivieren wird angezeigt. Klicken Sie auf Ja, um das Feature zu aktivieren, und speichern Sie die Einstellung.

Die Azure-CLI

Aktivieren in der SQL-Datenbank mithilfe von Azure CLI

Verwenden Sie die folgenden Befehle, um die reine Microsoft Entra-Authentifizierung in Azure SQL-Datenbank mithilfe von Azure CLI zu aktivieren. Installieren Sie die neueste Version der Azure-Befehlszeilenschnittstelle. Sie benötigen mindestens die Azure CLI-Version 2.14.2. Weitere Informationen über diese Befehle finden Sie unter az sql server ad-only-auth.

Weitere Informationen über das Verwalten der reinen Microsoft Entra-Authentifizierung mithilfe von APIs finden Sie unter Verwalten der reinen Microsoft Entra-Authentifizierung mithilfe von APIs.

Hinweis

Der Microsoft Entra-Administrator muss für den Server festgelegt werden, bevor die reine Microsoft Entra-Authentifizierung aktiviert wird. Andernfalls wird der Azure CLI-Befehl nicht erfolgreich ausgeführt.

Informationen über Berechtigungen und Aktionen, die für das Ausführen dieser Befehle zur Aktivierung der reinen Microsoft Entra-Authentifizierung durch den Benutzer erforderlich sind, finden Sie im Artikel Reine Microsoft Entra-Authentifizierung.

1. Melden Sie sich bei Azure mit dem Konto mit der Rolle SQL Security Manager an.

   az login
   

2. Führen Sie den folgenden Befehl aus, und ersetzen Sie dabei <myserver> durch ihren SQL-Servernamen und <myresource> durch Ihre Azure-Ressource, die den SQL-Server enthält.

   az sql server ad-only-auth enable --resource-group <myresource> --name <myserver>
   

Aktivieren in SQL Managed Instance mithilfe von Azure CLI

Verwenden Sie die folgenden Befehle, um die reine Microsoft Entra-Authentifizierung in Azure SQL Managed Instance mithilfe von Azure CLI zu aktivieren. Installieren Sie die neueste Version der Azure-Befehlszeilenschnittstelle.

1. Melden Sie sich bei Azure mit dem Konto mit der Rolle SQL Security Manager an.

   az login
   

2. Führen Sie den folgenden Befehl aus, und ersetzen Sie dabei <myserver> durch ihren SQL-Servernamen und <myresource> durch Ihre Azure-Ressource, die den SQL-Server enthält.

   az sql mi ad-only-auth enable --resource-group <myresource> --name <myserver>
   

PowerShell

Aktivieren in der SQL-Datenbank mithilfe von PowerShell

Verwenden Sie die folgenden Befehle, um die reine Microsoft Entra-Authentifizierung in Azure SQL-Datenbank mithilfe von PowerShell zu aktivieren. Zum Ausführen dieser Befehle ist das Modul Az.Sql 2.10.0 oder höher erforderlich. Weitere Informationen über diese Befehle finden Sie unter Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication.

Weitere Informationen über das Verwalten der reinen Microsoft Entra-Authentifizierung mithilfe von APIs finden Sie unter Verwalten der reinen Microsoft Entra-Authentifizierung mithilfe von APIs.

Hinweis

Der Microsoft Entra-Administrator muss für den Server festgelegt werden, bevor die reine Microsoft Entra-Authentifizierung aktiviert wird. Andernfalls wird der PowerShell-Befehl nicht erfolgreich ausgeführt.

Informationen über Berechtigungen und Aktionen, die für das Ausführen dieser Befehle zur Aktivierung der reinen Microsoft Entra-Authentifizierung durch den Benutzer erforderlich sind, finden Sie im Artikel Reine Microsoft Entra-Authentifizierung. Wenn der Benutzer nicht über ausreichende Berechtigungen verfügt, erhalten Sie die folgende Fehlermeldung:

Enable-AzSqlServerActiveDirectoryOnlyAuthentication : The client
'UserSqlServerContributor@contoso.onmicrosoft.com' with object id
'<guid>' does not have authorization to perform
action 'Microsoft.Sql/servers/azureADOnlyAuthentications/write' over scope
'/subscriptions/<guid>...'

1. Melden Sie sich bei Azure mit dem Konto mit der Rolle SQL Security Manager an.

   Connect-AzAccount
   

2. Führen Sie den folgenden Befehl aus, und ersetzen Sie dabei <myserver> durch ihren SQL-Servernamen und <myresource> durch Ihre Azure-Ressource, die den SQL-Server enthält.

   Enable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName <myserver>  -ResourceGroupName <myresource>
   

Aktivieren in SQL Managed Instance mithilfe von PowerShell

Verwenden Sie die folgenden Befehle, um die reine Microsoft Entra-Authentifizierung in Azure SQL Managed Instance mithilfe von PowerShell zu aktivieren. Zum Ausführen dieser Befehle ist das Modul Az.Sql 2.10.0 oder höher erforderlich.

Weitere Informationen über das Verwalten der reinen Microsoft Entra-Authentifizierung mithilfe von APIs finden Sie unter Verwalten der reinen Microsoft Entra-Authentifizierung mithilfe von APIs.

1. Melden Sie sich bei Azure mit dem Konto mit der Rolle SQL Security Manager an.

   Connect-AzAccount
   

2. Führen Sie den folgenden Befehl aus, und ersetzen Sie dabei <myinstance> durch den Namen Ihrer SQL Managed Instance-Instanz und <myresource> durch Ihre Azure-Ressource, die die SQL Managed Instance-Instanz enthält.

   Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
   

Überprüfen des Status der reinen Microsoft Entra-Authentifizierung

Überprüfen Sie, ob die reine Microsoft Entra-Authentifizierung für Ihren Server oder Ihre Instanz aktiviert ist.

Portal

Überprüfen des Status in SQL-Datenbank

Navigieren Sie im Azure-Portal zu Ihrer SQL Server-Ressource. Wählen Sie im Menü Einstellungen die Option Microsoft Entra ID aus.

Überprüfen des Status in SQL Managed Instance

Öffnen Sie Ihre SQL Managed Instance-Ressource im Azure-Portal. Wählen Sie im Menü Einstellungen die Option Microsoft Entra-Administrator aus.

Die Azure-CLI

Mit diesen Befehlen kann überprüft werden, ob die reine Microsoft Entra-Authentifizierung für den logischen Server für Azure SQL-Datenbank oder SQL Managed Instance aktiviert ist. Mitglieder der Rollen SQL Server-Mitwirkender und SQL Managed Instance-Mitwirkender können diese Befehle verwenden, um den Status der reinen Microsoft Entra-Authentifizierung zu überprüfen. Sie können das Feature allerdings nicht aktivieren oder deaktivieren.

Überprüfen des Status in SQL-Datenbank

1. Melden Sie sich bei Azure mit dem Konto mit der Rolle SQL Security Manager an. Weitere Informationen über das Verwalten der reinen Microsoft Entra-Authentifizierung mithilfe von APIs finden Sie unter Verwalten der reinen Microsoft Entra-Authentifizierung mithilfe von APIs.

   az login
   

2. Führen Sie den folgenden Befehl aus, und ersetzen Sie dabei <myserver> durch ihren SQL-Servernamen und <myresource> durch Ihre Azure-Ressource, die den SQL-Server enthält.

   az sql server ad-only-auth get --resource-group <myresource> --name <myserver>
   

3. Die folgende Ausgabe wird angezeigt.

   {
    "azureAdOnlyAuthentication": true,
    "/subscriptions/<guid>/resourceGroups/mygroup/providers/Microsoft.Sql/servers/myserver/azureADOnlyAuthentications/Default",
    "name": "Default",
    "resourceGroup": "myresource",
    "type": "Microsoft.Sql/servers"
   }
   

Überprüfen des Status in SQL Managed Instance

1. Melden Sie sich bei Azure mit dem Konto mit der Rolle SQL Security Manager an.

   az login
   

2. Führen Sie den folgenden Befehl aus, und ersetzen Sie dabei <myserver> durch ihren SQL-Servernamen und <myresource> durch Ihre Azure-Ressource, die den SQL-Server enthält.

   az sql mi ad-only-auth get --resource-group <myresource> --name <myserver>
   

3. Die folgende Ausgabe wird angezeigt.

   {
    "azureAdOnlyAuthentication": true,
    "id": "/subscriptions/<guid>/resourceGroups/myresource/providers/Microsoft.Sql/managedInstances/myinstance/azureADOnlyAuthentications/Default",
    "name": "Default",
    "resourceGroup": "myresource",
    "type": "Microsoft.Sql/managedInstances"
   }
   

PowerShell

Mit diesen Befehlen kann überprüft werden, ob die reine Microsoft Entra-Authentifizierung für den logischen Server für Azure SQL-Datenbank oder SQL Managed Instance aktiviert ist. Mitglieder der Rollen SQL Server-Mitwirkender und SQL Managed Instance-Mitwirkender können diese Befehle verwenden, um den Status der reinen Microsoft Entra-Authentifizierung zu überprüfen. Sie können das Feature allerdings nicht aktivieren oder deaktivieren.

Der Status gibt True zurück, wenn die Funktion aktiviert ist, und False, wenn sie deaktiviert ist.

Überprüfen des Status in SQL-Datenbank

1. Melden Sie sich bei Azure mit dem Konto mit der Rolle SQL Security Manager an. Weitere Informationen über das Verwalten der reinen Microsoft Entra-Authentifizierung mithilfe von APIs finden Sie unter Verwalten der reinen Microsoft Entra-Authentifizierung mithilfe von APIs.

   Connect-AzAccount
   

2. Führen Sie den folgenden Befehl aus, und ersetzen Sie dabei <myserver> durch ihren SQL-Servernamen und <myresource> durch Ihre Azure-Ressource, die den SQL-Server enthält.

   Get-AzSqlServerActiveDirectoryOnlyAuthentication  -ServerName <myserver> -ResourceGroupName <myresource>
   

Überprüfen des Status in SQL Managed Instance

1. Melden Sie sich bei Azure mit dem Konto mit der Rolle SQL Security Manager an.

   Connect-AzAccount
   

2. Führen Sie den folgenden Befehl aus, und ersetzen Sie dabei <myinstance> durch den Namen Ihrer SQL Managed Instance-Instanz und <myresource> durch Ihre Azure-Ressource, die die SQL Managed Instance-Instanz enthält.

   Get-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
   

Testen der SQL-Authentifizierung mit Verbindungsfehler

Nachdem Sie die reine Microsoft Entra-Authentifizierung aktiviert haben, testen Sie mithilfe von SQL Server Management Studio (SSMS), ob Sie eine Verbindung mit Ihrer SQL-Datenbank oder SQL Managed Instance herstellen können. Verwenden Sie die SQL-Authentifizierung für die Verbindung.

Es wird in etwa folgende „Anmeldung fehlgeschlagen“-Meldung angezeigt:

Cannot connect to <myserver>.database.windows.net.
Additional information:
  Login failed for user 'username'. Reason: Azure Active Directory only authentication is enabled.
  Please contact your system administrator. (Microsoft SQL Server, Error: 18456)

Deaktivieren der reinen Microsoft Entra-Authentifizierung

Wenn Sie die reine Microsoft Entra-Authentifizierung deaktivieren, ermöglichen Sie sowohl die SQL-Authentifizierung als auch die Microsoft Entra-Authentifizierung für Azure SQL.

Portal

Deaktivierung in SQL-Datenbank mithilfe des Azure-Portals

1. Melden Sie sich mit dem Benutzer mit der zugewiesenen Rolle SQL Security Manager im Azure-Portal an.
2. Wechseln Sie zu Ihrer SQL Server-Ressource, und wählen Sie im Menü Einstellungen die Option Microsoft Entra ID aus.
3. Deaktivieren Sie das Kontrollkästchen Nur Microsoft Entra-Authentifizierung für diesen Server unterstützen, und speichern Sie die Einstellung, um die reine Microsoft Entra-Authentifizierung zu deaktivieren.

Deaktivierung in SQL Managed Instance mithilfe des Azure-Portals

1. Melden Sie sich mit dem Benutzer mit der zugewiesenen Rolle SQL Security Manager im Azure-Portal an.
2. Wechseln Sie zu Ihrer SQL Managed Instance-Ressource, und wählen Sie im Menü Einstellungen die Option Active Directory-Administrator aus.
3. Deaktivieren Sie das Kontrollkästchen Nur Microsoft Entra-Authentifizierung für diese verwaltete Instanz unterstützen, und speichern Sie die Einstellung, um die reine Microsoft Entra-Authentifizierung zu deaktivieren.

Die Azure-CLI

Deaktivieren in der SQL-Datenbank mithilfe von Azure CLI

Verwenden Sie die folgenden Befehle, um die reine Microsoft Entra-Authentifizierung in Azure SQL-Datenbank mithilfe von Azure CLI zu deaktivieren.

1. Melden Sie sich bei Azure mit dem Konto mit der Rolle SQL Security Manager an.

   az login
   

2. Führen Sie den folgenden Befehl aus, und ersetzen Sie dabei <myserver> durch ihren SQL-Servernamen und <myresource> durch Ihre Azure-Ressource, die den SQL-Server enthält.

   az sql server ad-only-auth disable --resource-group <myresource> --name <myserver>
   

3. Nachdem Sie die reine Microsoft Entra-Authentifizierung deaktiviert haben, sollte beim Überprüfen des Status die folgende Ausgabe angezeigt werden:

   {
    "azureAdOnlyAuthentication": false,
    "/subscriptions/<guid>/resourceGroups/mygroup/providers/Microsoft.Sql/servers/myserver/azureADOnlyAuthentications/Default",
    "name": "Default",
    "resourceGroup": "myresource",
    "type": "Microsoft.Sql/servers"
   }
   

Deaktivieren in SQL Managed Instance mithilfe von Azure CLI

Verwenden Sie die folgenden Befehle, um die reine Microsoft Entra-Authentifizierung in Azure SQL Managed Instance mithilfe von Azure CLI zu deaktivieren.

1. Melden Sie sich bei Azure mit dem Konto mit der Rolle SQL Security Manager an.

   az login
   

2. Führen Sie den folgenden Befehl aus, und ersetzen Sie dabei <myserver> durch ihren SQL-Servernamen und <myresource> durch Ihre Azure-Ressource, die den SQL-Server enthält.

   az sql mi ad-only-auth disable --resource-group <myresource> --name <myserver>
   

3. Nachdem Sie die reine Microsoft Entra-Authentifizierung deaktiviert haben, sollte beim Überprüfen des Status die folgende Ausgabe angezeigt werden:

   {
    "azureAdOnlyAuthentication": false,
    "id": "/subscriptions/<guid>/resourceGroups/myresource/providers/Microsoft.Sql/managedInstances/myinstance/azureADOnlyAuthentications/Default",
    "name": "Default",
    "resourceGroup": "myresource",
    "type": "Microsoft.Sql/managedInstances"
   }
   

PowerShell

Deaktivieren in der SQL-Datenbank mithilfe von PowerShell

Verwenden Sie die folgenden Befehle, um die reine Microsoft Entra-Authentifizierung in Azure SQL-Datenbank mithilfe von PowerShell zu deaktivieren.

1. Melden Sie sich bei Azure mit dem Konto mit der Rolle SQL Security Manager an.

   Connect-AzAccount
   

2. Führen Sie den folgenden Befehl aus, und ersetzen Sie dabei <myserver> durch ihren SQL-Servernamen und <myresource> durch Ihre Azure-Ressource, die den SQL-Server enthält.

   Disable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName <myserver>  -ResourceGroupName <myresource>
   

Deaktivieren in SQL Managed Instance mithilfe von PowerShell

Verwenden Sie die folgenden Befehle, um die reine Microsoft Entra-Authentifizierung in Azure SQL Managed Instance mithilfe von PowerShell zu deaktivieren.

1. Melden Sie sich bei Azure mit dem Konto mit der Rolle SQL Security Manager an.

   Connect-AzAccount
   

2. Führen Sie den folgenden Befehl aus, und ersetzen Sie dabei <myinstance> durch den Namen Ihrer SQL Managed Instance-Instanz und <myresource> durch Ihre Azure-Ressource, die die verwaltete Instanz enthält.

   Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
   

Wiederholtes Testen der Verbindung mit Azure SQL-DB

Nachdem Sie die reine Microsoft Entra-Authentifizierung deaktiviert haben, testen Sie, ob Sie über die Anmeldedaten für die SQL-Authentifizierung eine Verbindung herstellen können. Sie sollten nun eine Verbindung mit Ihrem Server oder Ihrer Instanz herstellen können.

Nächste Schritte

• Reine Microsoft Entra-Authentifizierung mit Azure SQL
• Erstellen eines Servers mit aktivierter reiner Microsoft Entra-Authentifizierung in Azure SQL
• Durchsetzen der reinen Microsoft Entra-Authentifizierung mit Azure SQL unter Verwendung von Azure Policy