Reine Microsoft Entra-Authentifizierung mit Azure SQL

Gilt für:Azure SQL-DatenbankAzure SQL Managed InstanceAzure Synapse Analytics (nur dedizierter SQL-Pool)

Die reine Microsoft Entra-Authentifizierung ist ein Feature in Azure SQL, das es dem Dienst ermöglicht, nur die Microsoft Entra-Authentifizierung zu unterstützen. Es wird für Azure SQL-Datenbank und Azure SQL Managed Instance unterstützt.

Hinweis

Microsoft Entra ID war zuvor als Azure Active Directory (Azure AD) bekannt.

Die reine Microsoft Entra-Authentifizierung ist auch für dedizierte SQL Pools (ehemals SQL DW) auf eigenständigen Servern verfügbar. Die reine Microsoft Entra-Authentifizierung kann für den Azure Synapse-Arbeitsbereich aktiviert werden. Weitere Informationen finden Sie unter Reine Microsoft Entra-Authentifizierung mit Azure Synapse-Arbeitsbereichen.

Wenn die reine Microsoft Entra-Authentifizierung in der Azure SQL-Umgebung aktiviert wird, wird die SQL-Authentifizierung deaktiviert – auch für Verbindungen von SQL Server-Administratoren, -Anmeldungen und -Benutzer. Nur Benutzer, die die Microsoft Entra-Authentifizierung verwenden, sind autorisiert, eine Verbindung mit dem Server oder der Datenbank herzustellen.

Die reine Microsoft Entra-Authentifizierung kann über das Azure-Portal, über die Azure CLI, mithilfe von PowerShell oder per REST-API aktiviert oder deaktiviert werden. Des Weiteren kann die reine Microsoft Entra-Authentifizierung im Rahmen der Servererstellung mit einer ARM-Vorlage (Azure Resource Manager) konfiguriert werden.

Weitere Informationen zur Azure SQL-Authentifizierung finden Sie unter Authentifizierung und Autorisierung.

Featurebeschreibung

Wenn Sie die reine Microsoft Entra-Authentifizierung aktivieren, wird die SQL-Authentifizierung auf Ebene des Servers oder der verwalteten Instanz deaktiviert und jegliche Authentifizierung verhindert, die auf Anmeldeinformationen für die SQL-Authentifizierung basiert. Benutzer*innen der SQL-Authentifizierung können keine Verbindung mit dem logischen Server für die Azure SQL-Datenbank oder für die verwaltete Instanz mehr herstellen – auch nicht mit deren Datenbanken. Trotz deaktivierter SQL-Authentifizierung können über Microsoft Entra-Konten mit entsprechenden Berechtigungen weiterhin neue Anmeldenamen und Benutzer für die SQL-Authentifizierung erstellt werden. Neu erstellte SQL-Authentifizierungskonten sind nicht berechtigt, eine Verbindung mit dem Server herzustellen. Durch das Aktivieren der reinen Microsoft Entra-Authentifizierung werden keine vorhandenen Anmeldungen und Benutzerkonten für die SQL-Authentifizierung entfernt. Durch das Feature wird lediglich verhindert, dass von diesen Konten eine Verbindung mit dem Server oder einer für diesen Server erstellten Datenbank hergestellt wird.

Sie können auch erzwingen, dass Server mit aktivierter reiner Microsoft Entra-Authentifizierung erstellt werden, indem Sie Azure Policy verwenden. Weitere Informationen zu diesem Feature finden Sie unter Azure Policy für reine Microsoft Entra-Authentifizierung.

Berechtigungen

Die reine Microsoft Entra-Authentifizierung kann von Microsoft Entra-Benutzern aktiviert oder deaktiviert werden, die einer integrierten Microsoft Entra-Rolle mit hohen Berechtigungen angehören. Hierzu zählen beispielsweise Besitzer, Mitwirkende und globale Administratoren eines Azure-Abonnements. Darüber hinaus kann die reine Microsoft Entra-Authentifizierung auch mit der Rolle SQL-Sicherheits-Manager aktiviert oder deaktiviert werden.

Die Rollen SQL Server-Mitwirkender und Mitwirkender für verwaltete SQL-Instanzen sind nicht zum Aktivieren oder Deaktivieren der reinen Microsoft Entra-Authentifizierung berechtigt. Dies entspricht dem Ansatz der Aufgabentrennung, der dafür sorgt, dass Benutzer, die einen Azure SQL-Server oder Microsoft Entra-Administrator erstellen können, keine Sicherheitsfeatures aktivieren oder deaktivieren können.

Aktionen erforderlich

Der Rolle SQL-Sicherheits-Manager werden folgende Aktionen hinzugefügt, um die Verwaltung der reinen Microsoft Entra-Authentifizierung zu ermöglichen:

• Microsoft.Sql/servers/azureADOnlyAuthentications/*
• Microsoft.Sql/servers/administrators/read: Nur für Benutzer erforderlich, die auf das Menü Microsoft Entra ID im Azure-Portal zugreifen
• Microsoft.Sql/managedInstances/azureADOnlyAuthentications/*
• Microsoft.Sql/managedInstances/read

Die oben angegebenen Aktionen können auch einer benutzerdefinierten Rolle für die Verwaltung der reinen Microsoft Entra-Authentifizierung hinzugefügt werden. Weitere Informationen finden Sie unter Erstellen und Zuweisen einer benutzerdefinierten Rolle in Microsoft Entra ID.

Verwalten der reinen Microsoft Entra-Authentifizierung mithilfe von APIs

Wichtig

Der Microsoft Entra-Administrator muss festgelegt werden, bevor die reine Microsoft Entra-Authentifizierung aktiviert wird.

Azure-Befehlszeilenschnittstelle

Sie benötigen mindestens die Azure CLI-Version 2.14.2.

name entspricht dem Präfix des Server- oder Instanznamens (beispielsweise myserver), und resource-group entspricht der Ressource, zu der der Server gehört (beispielsweise myresource).

Azure SQL-Datenbank

Weitere Informationen finden Sie unter az sql server ad-only-auth.

Aktivieren oder Deaktivieren in SQL-Datenbank

Aktivieren

az sql server ad-only-auth enable --resource-group myresource --name myserver

Deaktivieren

az sql server ad-only-auth disable --resource-group myresource --name myserver

Überprüfen des Status in SQL-Datenbank

az sql server ad-only-auth get --resource-group myresource --name myserver

Verwaltete Azure SQL-Instanz

Weitere Informationen finden Sie unter az sql mi ad-only-auth.

Aktivieren

az sql mi ad-only-auth enable --resource-group myresource --name myserver

Deaktivieren

az sql mi ad-only-auth disable --resource-group myresource --name myserver

Überprüfen des Status in SQL Managed Instance

az sql mi ad-only-auth get --resource-group myresource --name myserver

PowerShell

Sie benötigen mindestens das Modul Az.Sql 2.10.0.

ServerName oder InstanceName entspricht dem Präfix des Servernamens (beispielsweise myserver oder myinstance), und ResourceGroupName entspricht der Ressource, zu der der Server gehört (beispielsweise myresource).

Azure SQL-Datenbank

Aktivieren oder Deaktivieren in SQL-Datenbank

Aktivieren

Weitere Informationen finden Sie unter Enable-AzSqlServerActiveDirectoryOnlyAuthentication. Sie können auch get-help Enable-AzSqlServerActiveDirectoryOnlyAuthentication -full ausführen.

Enable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName myserver -ResourceGroupName myresource

Sie können auch den folgenden Befehl verwenden:

Get-AzSqlServer -ServerName myserver | Enable-AzSqlServerActiveDirectoryOnlyAuthentication

Deaktivieren

Weitere Informationen finden Sie unter Disable-AzSqlServerActiveDirectoryOnlyAuthentication.

Disable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName myserver -ResourceGroupName myresource

Überprüfen des Status in SQL-Datenbank

Get-AzSqlServerActiveDirectoryOnlyAuthentication  -ServerName myserver -ResourceGroupName myresource

Sie können auch den folgenden Befehl verwenden:

Get-AzSqlServer -ServerName myserver | Get-AzSqlServerActiveDirectoryOnlyAuthentication

Verwaltete Azure SQL-Instanz

Aktivieren oder Deaktivieren in SQL Managed Instance

Aktivieren

Weitere Informationen finden Sie unter Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication.

Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName myinstance -ResourceGroupName myresource

Sie können auch den folgenden Befehl verwenden:

Get-AzSqlInstance -InstanceName myinstance | Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication

Weitere Informationen zu diesen PowerShell-Befehlen erhalten Sie durch Ausführen von get-help Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -full.

Deaktivieren

Weitere Informationen finden Sie unter Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication.

Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName myinstance -ResourceGroupName myresource

Überprüfen des Status in SQL Managed Instance

Get-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName myinstance -ResourceGroupName myresource

Sie können auch den folgenden Befehl verwenden:

Get-AzSqlInstance -InstanceName myinstance | Get-AzSqlInstanceActiveDirectoryOnlyAuthentication

REST-API

Folgende Parameter müssen definiert werden:

• <subscriptionId> finden Sie im Azure-Portal unter Abonnements.
• <myserver> entspricht dem Präfix des Server- oder Instanznamens (beispielsweise myserver).
• <myresource> entspricht der Ressource, zu der der Server gehört (beispielsweise myresource).

Die aktuelle MSAL-Version können Sie hier herunterladen: https://www.powershellgallery.com/packages/MSAL.PS.

$subscriptionId = '<subscriptionId>'
$serverName = "<myserver>"
$resourceGroupName = "<myresource>"

Azure SQL-Datenbank

Weitere Informationen finden Sie in der REST-API-Dokumentation unter Reine Azure AD-Authentifizierungen für Server.

Aktivieren oder Deaktivieren in SQL-Datenbank

Aktivieren

$body = @{ properties = @{ azureADOnlyAuthentication = 1 } } | ConvertTo-Json
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Deaktivieren

$body = @{ properties = @{ azureADOnlyAuthentication = 0 } } | ConvertTo-Json
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Überprüfen des Status in SQL-Datenbank

Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method GET -Headers $authHeader  | Format-List

Verwaltete Azure SQL-Instanz

Weitere Informationen finden Sie in der REST-API-Dokumentation unter Reine Azure AD-Authentifizierungen für Managed Instance.

Aktivieren oder Deaktivieren in SQL Managed Instance

Aktivieren

$body = @{   properties = @{  azureADOnlyAuthentication = 1 }  } | ConvertTo-Json 
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Deaktivieren

$body = @{   properties = @{  azureADOnlyAuthentication = 0 }  } | ConvertTo-Json 
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Überprüfen des Status in SQL Managed Instance

Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method GET -Headers $authHeader  | Format-List

ARM-Vorlage

• Geben Sie den Microsoft Entra-Administrator für die Bereitstellung ein. Die Objekt-ID des Benutzers finden Sie im Azure-Portal unter Ihrer Microsoft Entra ID-Ressource. Wählen Sie unter Verwalten die Option Benutzer aus. Suchen Sie nach dem Benutzer, den Sie als Microsoft Entra-Administrator für Ihren Azure SQL-Server festlegen möchten. Wählen Sie den Benutzer aus. Auf der Seite Profil wird die Objekt-ID angezeigt.
• Die Mandanten-ID finden Sie auf der Seite Übersicht der Microsoft Entra ID-Ressource.

Azure SQL-Datenbank

Aktivieren

Durch die folgende ARM-Vorlage wird die reine Microsoft Entra-Authentifizierung in Ihrer Azure SQL-Datenbank aktiviert. Wenn Sie die reine Microsoft Entra-Authentifizierung deaktivieren möchten, legen Sie die Eigenschaft azureADOnlyAuthentication auf false fest.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "sqlServer_name": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String"
        },
        "aad_admin_objectid": {
            "type": "String"
        },
        "aad_admin_tenantid": {
            "type": "String"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers/administrators",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('sqlServer_name'), '/ActiveDirectory')]",
            "properties": {
                "administratorType": "ActiveDirectory",
                "login": "[parameters('aad_admin_name')]",
                "sid": "[parameters('aad_admin_objectid')]",
                "tenantId": "[parameters('aad_admin_tenantId')]"
            }
        },        
        {
            "type": "Microsoft.Sql/servers/azureADOnlyAuthentications",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('sqlServer_name'), '/Default')]",
            "dependsOn": [
                "[resourceId('Microsoft.Sql/servers/administrators', parameters('sqlServer_name'), 'ActiveDirectory')]"
            ],
            "properties": {
                "azureADOnlyAuthentication": true
            }
        }
    ]
}

Weitere Informationen finden Sie unter Microsoft.Sql servers/azureADOnlyAuthentications.

Verwaltete Azure SQL-Instanz

Aktivieren

Durch die folgende ARM-Vorlage wird die reine Microsoft Entra-Authentifizierung in Ihrer Azure SQL Managed Instance aktiviert. Wenn Sie die reine Microsoft Entra-Authentifizierung deaktivieren möchten, legen Sie die Eigenschaft azureADOnlyAuthentication auf false fest.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "instance": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String"
        },
        "aad_admin_objectid": {
            "type": "String"
        },
        "aad_admin_tenantid": {
            "type": "String"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/managedInstances/administrators",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('instance'), '/ActiveDirectory')]",
            "properties": {
                "administratorType": "ActiveDirectory",
                "login": "[parameters('aad_admin_name')]",
                "sid": "[parameters('aad_admin_objectid')]",
                "tenantId": "[parameters('aad_admin_tenantId')]"
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances/azureADOnlyAuthentications",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('instance'), '/Default')]",
            "dependsOn": [
                "[resourceId('Microsoft.Sql/managedInstances/administrators', parameters('instance'), 'ActiveDirectory')]"
            ],
            "properties": {
                "azureADOnlyAuthentication": true
            }
        }
    ]
}

Weitere Informationen finden Sie unter Microsoft.Sql managedInstances/azureADOnlyAuthentications.

Überprüfen der reinen Microsoft Entra-Authentifizierung mithilfe von T-SQL

SERVERPROPERTYIsExternalAuthenticationOnly wurde hinzugefügt, um zu überprüfen, ob die reine Microsoft Entra-Authentifizierung für Ihren Server oder Ihre verwaltete Instanz aktiviert ist. 1 gibt an, dass das Feature aktiviert ist. 0 bedeutet, dass das Feature deaktiviert ist.

SELECT SERVERPROPERTY('IsExternalAuthenticationOnly') 

Hinweise

• Ein SQL Server-Mitwirkender kann einen Microsoft Entra-Administrator festlegen oder entfernen, jedoch nicht die Einstellung für die reine Microsoft Entra-Authentifizierung festlegen. Ein SQL-Sicherheitsmanger kann einen Microsoft Entra-Administrator festlegen oder entfernen, jedoch nicht die Einstellung für die reine Microsoft Entra-Authentifizierung festlegen. Nur Konten mit höheren Azure RBAC-Rollen oder benutzerdefinierten Rollen, die beide Berechtigungen enthalten, können einen Microsoft Entra-Administrator festlegen oder entfernen und die Einstellung Reine Microsoft Entra-Authentifizierung festlegen. Hierzu zählt unter anderem die Rolle Mitwirkender.
• Nach der Aktivierung oder Deaktivierung der reinen Microsoft Entra-Authentifizierung im Azure-Portal wird im Menü SQL Server der Eintrag Aktivitätsprotokoll angezeigt.
• Die Einstellung Reine Microsoft Entra-Authentifizierung kann nur von Benutzern mit den passenden Berechtigungen aktiviert oder deaktiviert werden, wenn der Microsoft Entra-Administrator angegeben ist. Wenn der Microsoft Entra-Administrator nicht festgelegt ist, ist die Einstellung Reine Microsoft Entra-Authentifizierung inaktiv und kann nicht aktiviert oder deaktiviert werden. Die Verwendung von APIs zum Aktivieren der reinen Microsoft Entra-Authentifizierung schlägt auch fehl, wenn der Microsoft Entra-Administrator nicht festgelegt wurde.
• Bei aktivierter reiner Microsoft Entra-Authentifizierung kann der Microsoft Entra-Administrator von Benutzern mit entsprechenden Berechtigungen geändert werden.
• Über das Azure-Portal können Benutzer mit entsprechenden Berechtigungen den Microsoft Entra-Administrator ändern und die reine Microsoft Entra-Authentifizierung aktivieren oder deaktivieren. Beide Vorgänge können mit einem einzelnen Speichervorgang im Azure-Portal ausgeführt werden. Der Microsoft Entra-Administrator muss für den Server festgelegt werden, bevor die reine Microsoft Entra-Authentifizierung aktiviert werden kann.
• Das Entfernen eines Microsoft Entra-Administrators, wenn die Funktion der reinen Microsoft Entra-Authentifizierung aktiviert ist, wird nicht unterstützt. Die Verwendung von APIs zum Entfernen eines Microsoft Entra-Administrators schlägt fehl, wenn die reine Microsoft Entra-Authentifizierung aktiviert ist.
  • Wenn die Einstellung Reine Microsoft Entra-Authentifizierung aktiviert ist, ist die Schaltfläche Administrator entfernen im Azure-Portal inaktiv.
• Es ist möglich, einen Microsoft Entra-Administrator zu entfernen und die Einstellung Reine Microsoft Entra-Authentifizierung zu deaktivieren. Hierzu sind allerdings die passenden Berechtigungen für die Vorgänge erforderlich. Beide Vorgänge können mit einem einzelnen Speichervorgang im Azure-Portal ausgeführt werden.
• Microsoft Entra-Benutzer mit entsprechenden Berechtigungen können die Identität vorhandener SQL-Benutzer annehmen.
  • Der Identitätswechsel zwischen Benutzern mit SQL-Authentifizierung funktioniert weiterhin, auch wenn die reine Microsoft Entra-Authentifizierung aktiviert ist.

Einschränkungen für die reine Microsoft Entra-Authentifizierung in der SQL-Datenbank

Wenn die reine Microsoft Entra-Authentifizierung für die SQL-Datenbank aktiviert ist, werden die folgenden Features nicht unterstützt:

• Azure SQL-Datenbank-Serverrollen werden für Microsoft Entra-Dienstprinzipale unterstützt. Dies gilt jedoch nicht, wenn die Microsoft Entra-Anmeldung eine Gruppe ist.
• Elastische Aufträge
• SQL-Datensynchronisierung
• Change Data Capture (CDC) – Wenn Sie eine Datenbank als Microsoft Entra-Benutzer in Azure SQL-Datenbank erstellen und Change Data Capture für diese aktivieren, kann ein SQL-Benutzer keine Änderungen an CDC-Artefakten deaktivieren oder vornehmen. Ein anderer Microsoft Entra Benutzer kann jedoch CDC für dieselbe Datenbank aktivieren oder deaktivieren. Wenn Sie eine Azure SQL-Datenbank als SQL-Benutzer erstellen, funktioniert die Aktivierung oder Deaktivierung von CDC als Microsoft Entra-Benutzer ebenfalls nicht.
• Transaktionsreplikation: Die SQL-Authentifizierung ist für die Konnektivität zwischen Replikationsteilnehmern erforderlich. Wenn also die reine Microsoft Entra-Authentifizierung aktiviert ist, wird die Transaktionsreplikation für die SQL-Datenbank nicht für Szenarios unterstützt, in denen die Transaktionsreplikation zum Pushen von Änderungen in einer Azure SQL Managed Instance, auf einem lokalen SQL Server oder in einer Azure VM SQL Server-Instanz in eine Datenbank in Azure SQL-Datenbank verwendet wird.
• SQL Insights (Vorschau)
• EXEC AS-Anweisung für Microsoft Entra-Gruppenmitgliedskonten

Einschränkungen für die reine Microsoft Entra-Authentifizierung in einer verwalteten Instanz

Wenn die reine Microsoft Entra-Authentifizierung für Managed Instance aktiviert ist, werden die folgenden Features nicht unterstützt:

• Transaktionsreplikation
• SQL-Agent-Aufträge in Managed Instance unterstützt die reine Microsoft Entra-Authentifizierung. Der Microsoft Entra-Benutzer, der Mitglied einer Microsoft Entra-Gruppe ist, die Zugriff auf die verwaltete Instanz hat, können jedoch keine SQL-Agentaufträge besitzen.
• SQL Insights (Vorschau)
• EXEC AS-Anweisung für Microsoft Entra-Gruppenmitgliedskonten

Weitere Informationen zu Einschränkungen finden Sie unter T-SQL-Unterschiede zwischen SQL Server und Azure SQL Managed Instance.

Nächste Schritte

Tutorial: Aktivieren der reinen Microsoft Entra-Authentifizierung mit Azure SQL

Erstellen eines Servers mit aktivierter reiner Microsoft Entra-Authentifizierung in Azure SQL