Microsoft Entra-hitelesítés konfigurálása és kezelése az Azure SQL-lel

A következőkre vonatkozik:Azure SQL Database Felügyelt Azure SQL-példány Azure Synapse Analytics

Ez a cikk bemutatja, hogyan használhatja a Microsoft Entra ID-t az Azure SQL Database,az Azure SQL Managed Instance és az Azure Synapse Analytics hitelesítéséhez.

Megjegyzés:

A Microsoft Entra ID-t korábban Azure Active Directorynak (Azure AD) nevezték.

Másik lehetőségként konfigurálhatja a Microsoft Entra-hitelesítést az SQL Serverhez az Azure-beli virtuális gépeken.

Előfeltételek

A Microsoft Entra-hitelesítés Azure SQL-erőforrással való használatához a következő előfeltételekre van szükség:

Egy Microsoft Entra-bérlő, amely felhasználókkal és csoportokkal van feltöltve.
Egy meglévő Azure SQL-erőforrás, például az Azure SQL Database vagy a felügyelt Azure SQL-példány.

Microsoft Entra-bérlő létrehozása és feltöltése

Mielőtt konfigurálhatja a Microsoft Entra-hitelesítést az Azure SQL-erőforráshoz, létre kell hoznia egy Microsoft Entra-bérlőt, és fel kell töltenie a felhasználókkal és csoportokkal. A Microsoft Entra-bérlők teljes mértékben felügyelhetők az Azure-ban, vagy használhatók egy helyszíni Active Directory tartományi szolgáltatás összevonásához.

További információkért lásd:

Microsoft Entra-rendszergazda beállítása

A Microsoft Entra-hitelesítés erőforrással való használatához rendelkeznie kell a Microsoft Entra rendszergazdájával. Bár a lépések elméletileg megegyeznek az Azure SQL Database, az Azure Synapse Analytics és a felügyelt Azure SQL-példány esetében, ez a szakasz részletesen ismerteti a termékenkénti különböző API-kat és portálszolgáltatásokat.

A Microsoft Entra rendszergazdája az Azure SQL-erőforrás létrehozásakor is konfigurálható. Ha egy Microsoft Entra-rendszergazda már konfigurálva van, hagyja ki ezt a szakaszt.

Azure SQL Database és Azure Synapse Analytics

A Microsoft Entra-rendszergazda beállítása lehetővé teszi a Microsoft Entra-hitelesítést az Azure SQL Database és az Azure Synapse Analytics logikai kiszolgálójához . Microsoft Entra-rendszergazdát állíthat be a kiszolgálóhoz az Azure Portal, a PowerShell, az Azure CLI vagy a REST API-k használatával.

Az Azure Portalon megtalálhatja a logikai kiszolgáló nevét

Az Azure SQL Database Áttekintés lapján található kiszolgálónév mezőben.
Az Azure Synapse Analytics önálló dedikált SQL-készletének Áttekintés lapján található kiszolgálónév mezőben.
Az Azure Synapse Analytics-munkaterület Áttekintés lapján található megfelelő SQL-végponton.

Ha az Azure Portalon szeretné beállítani a Microsoft Entra rendszergazdáját a logikai kiszolgálóhoz, kövesse az alábbi lépéseket:

Az Azure Portal Címtárak + előfizetések paneljén válassza ki azt a könyvtárat, amely az Azure SQL-erőforrást tartalmazza aktuális könyvtárként.
Keresse meg az SQL-kiszolgálókat , majd válassza ki az adatbázis-erőforrás logikai kiszolgálóját az SQL Server panel megnyitásához.
A logikai kiszolgáló SQL Server paneljén válassza a Microsoft Entra-azonosítót a Beállítások területen a Microsoft Entra ID panel megnyitásához.
A Microsoft Entra ID panelen válassza a Rendszergazda beállítása lehetőséget a Microsoft Entra ID panel megnyitásához .
A Microsoft Entra ID panel az aktuális címtár összes felhasználóját, csoportját és alkalmazását megjeleníti, és lehetővé teszi a név, alias vagy azonosító szerinti keresést. Keresse meg a kívánt identitást a Microsoft Entra rendszergazdai fiókhoz, és válassza ki, majd kattintson a Kijelölés gombra a panel bezárásához.
A logikai kiszolgáló Microsoft Entra-azonosító lapjának tetején válassza a Mentés lehetőséget.

Az objektumazonosító a Microsoft Entra-felhasználók és -csoportok rendszergazdai neve mellett jelenik meg. Az alkalmazások (szolgáltatásnevek) esetében megjelenik az alkalmazásazonosító .

A rendszergazda módosításának folyamata több percet is igénybe vehet. Ezután megjelenik az új rendszergazda a Microsoft Entra rendszergazdai mezőjében.

A rendszergazda eltávolításához a Microsoft Entra ID lap tetején válassza a Rendszergazda eltávolítása, majd a Mentés lehetőséget. A Microsoft Entra-rendszergazda eltávolítása letiltja a Logikai kiszolgáló Microsoft Entra-hitelesítését.

A PowerShell-parancsmagok futtatásához telepítenie és futtatnia kell az Azure PowerShellt. Részletes információkért tekintse meg az Azure PowerShell telepítését és konfigurálását ismertető témakört.

A következő Azure PowerShell-parancsmagok segítségével állíthat be és kezelhet Microsoft Entra-rendszergazdát az Azure SQL Database-hez és az Azure Synapse Analyticshez:

Parancsmag neve	Description
Set-AzSqlServerActiveDirectoryAdministrator	Beállít egy Microsoft Entra-rendszergazdát az SQL Database-t vagy az Azure Synapse-t üzemeltető kiszolgálóhoz.
Remove-AzSqlServerActiveDirectoryAdministrator	Eltávolít egy Microsoft Entra-rendszergazdát az SQL Database-t vagy az Azure Synapse-t üzemeltető kiszolgálóhoz.
Get-AzSqlServerActiveDirectoryAdministrator	Az SQL Database-t vagy az Azure Synapse-t üzemeltető kiszolgálóhoz jelenleg konfigurált Microsoft Entra-rendszergazda adatait adja vissza.

A PowerShell-parancsok súgójában további információkat talál az egyes parancsokról. Például: get-help Set-AzSqlServerActiveDirectoryAdministrator.

A következő szkript egy DBA_Group nevű Microsoft Entra-rendszergazdacsoportot (mintaobjektum-azonosítót aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) állít be a példakiszolgáló mintakiszolgálójához egy Példaerőforrás-csoport nevű mintaerőforrás-csoportban:

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    ServerName = "example-server"
    DisplayName = "DBA_Group"
}

Set-AzSqlServerActiveDirectoryAdministrator @parameters

A DisplayName paraméter elfogadja a Microsoft Entra-azonosító megjelenítendő nevét vagy a felhasználónév nevét, például a következő példákat: DisplayName="Adrian King" és DisplayName="adrian@contoso.com". Ha Microsoft Entra-csoportot használ, akkor csak a megjelenített név támogatott.

Az alábbi példa az opcionális ObjectID paramétert használja:

$parameters = @{
  ResourceGroupName = "Example-Resource-Group"
  ServerName = "example-server"
  DisplayName = "DBA_Group"
  ObjectId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
}
Set-AzSqlServerActiveDirectoryAdministrator @parameters

Megjegyzés:

Az ObjectID-et akkor kell megadni, ha a DisplayName nem egyedi. Az ObjectID és a DisplayName értékek lekéréséhez megtekintheti egy felhasználó vagy csoport tulajdonságait az Azure Portal Microsoft Entra ID szakaszában.

Az alábbi példa a kiszolgáló jelenlegi Microsoft Entra-rendszergazdájával kapcsolatos információkat adja vissza:

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    ServerName = "example-server"
}

Get-AzSqlServerActiveDirectoryAdministrator @parameters | Format-List

Az alábbi példa eltávolít egy Microsoft Entra-rendszergazdát:

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    ServerName = "example-server"
}

Remove-AzSqlServerActiveDirectoryAdministrator @parameters

Az Azure SQL Database-hez és az Azure Synapse Analyticshez a következő Azure CLI-parancsokkal állíthat be Microsoft Entra-rendszergazdát:

Command	Description
az sql server ad-admin létrehozása	Beállít egy Microsoft Entra-rendszergazdát az SQL Database-t vagy az Azure Synapse Analyticset futtató logikai kiszolgálóhoz.
az sql server ad-admin delete	Eltávolít egy Microsoft Entra-rendszergazdát az SQL Database-t vagy az Azure Synapse Analyticset futtató logikai kiszolgálóról.
az sql server ad-admin list	Az SQL Database-t vagy az Azure Synapse Analyticset üzemeltető kiszolgálóhoz konfigurált Microsoft Entra-rendszergazda adatait adja vissza.
az sql server ad-admin update - Az SQL Server Active Directory adminisztrátor frissítése	Frissíti a Microsoft Entra rendszergazdát az SQL Database-t vagy az Azure Synapse Analyticset futtató kiszolgálóhoz.

További parancssori felületi parancsok: az sql server.

A kiszolgálói Azure AD-rendszergazda REST API-kkal is létrehozhatja, frissítheti, törölheti és lekérheti a Microsoft Entra-rendszergazdát az Azure SQL Database-hez és az Azure Synapse Analyticshez.

API	Description
Létrehozás vagy frissítés	Létrehoz vagy frissít egy meglévő Microsoft Entra-rendszergazdát.
Törlés	Törli a Microsoft Entra rendszergazdát a megadott névvel.
Kap	Lekéri a Microsoft Entra rendszergazdát a nevesített kiszolgálóhoz.
Lista kiszolgáló szerint	Lekéri a Microsoft Entra-rendszergazdák listáját egy kiszolgálón.

Megjegyzés:

A Microsoft Entra-rendszergazda a kiszolgáló adatbázisában master lesz tárolva felhasználóként (adatbázisnévként). Mivel az egyszerű adatbázisneveknek egyedinek kell lenniük, a rendszergazda megjelenítendő neve nem lehet ugyanaz, mint a kiszolgáló master adatbázisában lévő felhasználók neve. Ha már létezik ilyen nevű felhasználó, a Microsoft Entra rendszergazdai beállítása meghiúsul, és visszagördül, jelezve, hogy a név már használatban van.

Azure SQL Managed Instance

A Microsoft Entra-rendszergazda beállítása lehetővé teszi a Felügyelt Azure SQL-példány Microsoft Entra-hitelesítését. A felügyelt SQL-példányhoz Microsoft Entra-rendszergazdát állíthat be az Azure Portal, a PowerShell, az Azure CLI vagy a REST API-k használatával.

Ha olvasási engedélyeket szeretne adni a felügyelt SQL-példánynak a Microsoft Entra-azonosítóhoz az Azure Portal használatával, jelentkezzen be kiemelt szerepkör-rendszergazdaként , és kövesse az alábbi lépéseket:

Az Azure Portal jobb felső sarkában válassza ki a fiókját, majd válassza a Könyvtárváltás lehetőséget annak ellenőrzéséhez, hogy melyik könyvtár az Aktuális könyvtár. Szükség esetén váltson címtárakra.
Az Azure Portal Címtárak + előfizetések paneljén válassza ki azt a címtárat, amely a felügyelt példányt aktuális címtárként tartalmazza.'''
Keressen felügyelt SQL-példányokat , majd válassza ki a felügyelt példányt a felügyelt SQL-példány panel megnyitásához. Ezután válassza a Microsoft Entra-azonosítót a Beállítások területen a Példány Microsoft Entra ID paneljének megnyitásához.
A Microsoft Entra Felügyeleti panelen válassza a Navigációs sávOn a Rendszergazda beállítása lehetőséget a Microsoft Entra ID panel megnyitásához.
A Microsoft Entra ID panelen keressen egy felhasználót, jelölje be a felhasználó vagy csoport melletti jelölőnégyzetet rendszergazdaként, majd nyomja le a Kiválasztás billentyűt a panel bezárásához, és lépjen vissza a felügyelt példány Microsoft Entra felügyeleti lapjára.

A Microsoft Entra ID panel az aktuális címtárban lévő összes tagot és csoportot megjeleníti. A kiszürkített felhasználók vagy csoportok nem jelölhetők ki, mert nem támogatottak Microsoft Entra-rendszergazdákként. Válassza ki a rendszergazdaként hozzárendelni kívánt identitást.
A felügyelt példány Microsoft Entra felügyeleti oldalának navigációs sávján válassza a Mentés lehetőséget a Microsoft Entra-rendszergazda megerősítéséhez.

A rendszergazdai módosítási művelet befejeződése után az új rendszergazda megjelenik a Microsoft Entra rendszergazdai mezőjében.

Az objektumazonosító a Microsoft Entra-felhasználók és -csoportok rendszergazdai neve mellett jelenik meg. Az alkalmazások (szolgáltatásnevek) esetében megjelenik az alkalmazásazonosító .

Jótanács

A rendszergazda eltávolításához válassza a Microsoft Entra ID lap tetején a Rendszergazda eltávolítása lehetőséget, majd válassza a Mentés lehetőséget.

Az alábbi táblázat felsorolja a Felügyelt példányok Microsoft Entra-rendszergazdájának definiálásához és kezeléséhez használható PowerShell-parancsmagokat:

Parancsmag neve	Description
Set-AzSqlInstanceActiveDirectoryAdministrator	Beállít egy Microsoft Entra-rendszergazdát a felügyelt példányhoz.
Remove-AzSqlInstanceActiveDirectoryAdministrator	Eltávolítja a felügyelt példány Microsoft Entra-rendszergazdáit.
Get-AzSqlInstanceActiveDirectoryAdministrator	A felügyelt példány Microsoft Entra-rendszergazdájának adatait adja vissza.

Ez a példaparancs a "Example-Resource-Group" nevű erőforráscsoporthoz társított "Sample-Instance" nevű felügyelt példány Microsoft Entra-rendszergazdájával kapcsolatos információkat kér le.

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    InstanceName = "Sample-Instance"
}

Get-AzSqlInstanceActiveDirectoryAdministrator @parameters

Ez a példaparancs beállítja a Microsoft Entra rendszergazdáját a "Sample-Instance" nevű felügyelt SQL-példányhoz tartozó ADATBÁZIS-azonosítók (mintaobjektum-azonosító aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) nevű csoportra. Ez a kiszolgáló a "Example-Resource-Group" erőforráscsoporthoz van társítva.

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    InstanceName = "Sample-Instance"
    DisplayName = "DBAs"
    ObjectId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
}

Set-AzSqlInstanceActiveDirectoryAdministrator @parameters

Ez a példaparancs eltávolítja a Microsoft Entra rendszergazdáját a "Example-Resource-Group" erőforráscsoporthoz társított "Sample-Instance" nevű felügyelt SQL-példányhoz.

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    InstanceName = "Sample-Instance"
    Confirm = $true
    PassThru = $true
}

Remove-AzSqlInstanceActiveDirectoryAdministrator @parameters

A felügyelt SQL-példányhoz microsoft entra-rendszergazdát állíthat be és kezelhet a következő Azure CLI-parancsok meghívásával:

Command	Description
az sql mi ad-admin create	Kiépít egy Microsoft Entra-rendszergazdát a felügyelt SQL-példányhoz.
az sql mi ad-admin delete	Eltávolít egy Microsoft Entra-rendszergazdát a felügyelt SQL-példányhoz.
az sql mi ad-admin list	A felügyelt SQL-példányhoz jelenleg konfigurált Microsoft Entra-rendszergazda adatait adja vissza.
az sql mi ad-admin frissítés	Frissíti a Microsoft Entra rendszergazdát a felügyelt SQL-példányhoz.

További parancssori felületi parancsokért lásd az sql mi parancsot.

A felügyelt példánygazdák REST API-jaival létrehozhatja, frissítheti, törölheti és lekérheti a Felügyelt SQL-példányok Microsoft Entra-rendszergazdáit.

API	Description
Létrehozás vagy frissítés	Létrehoz vagy frissít egy meglévő Microsoft Entra-rendszergazdát.
Törlés	Törli a Microsoft Entra rendszergazdát a névvel ellátott felügyelt példányról.
Kap	Lekéri a Microsoft Entra rendszergazdát a nevesített felügyelt példányhoz.
Lista példány szerint	Lekéri a Microsoft Entra-rendszergazdák listáját egy felügyelt példányban.

Microsoft Graph-engedélyek hozzárendelése

A felügyelt SQL-példánynak engedélyre van szüksége a Microsoft Entra-azonosító olvasásához olyan forgatókönyvekhez, mint például a biztonsági csoporttagságon keresztül csatlakozó felhasználók engedélyezése és az új felhasználók létrehozása. Ahhoz, hogy a Microsoft Entra-hitelesítés működjön, hozzá kell rendelnie a felügyelt példány identitását a Címtárolvasók szerepkörhöz. Ezt az Azure Portalon vagy a PowerShellben teheti meg.

Bizonyos műveletekhez az Azure SQL Database és az Azure Synapse Analytics a Microsoft Graph lekérdezéséhez is engedélyre van szükség, amely a Microsoft Graph engedélyeiben található. Az Azure SQL Database és az Azure Synapse Analytics támogatja a részletes gráfengedélyeket ezekhez a forgatókönyvekhez, míg a felügyelt SQL-példányhoz címtárolvasói szerepkör szükséges. A részletes engedélyeket és azok hozzárendelését részletesen ismertetjük a Microsoft Entra-felhasználók létrehozásához szükséges szolgáltatásnevek engedélyezésében.

Címtárolvasók szerepkör

Az Azure Portalon a felügyelt SQL-példány Microsoft Entra-azonosító lapja egy kényelmes szalagcímet jelenít meg, ha a példány nem rendelkezik címtárolvasó-engedélyekkel.

Válassza ki a Microsoft Entra ID oldal tetején látható szalagcímet, és adjon engedélyt a példányt jelképező rendszer által hozzárendelt vagy felhasználó által hozzárendelt felügyelt identitásnak. Ezt a műveletet csak emelt szintű szerepkörgazdák vagy magasabb szintű bérlői szerepkör végezheti el.
Ha a művelet sikeres, megjelenik egy sikerességi értesítés a jobb felső sarokban:

Az alábbi PowerShell-szkript identitást ad hozzá a Címtárolvasók szerepkörhöz. Ezzel engedélyeket rendelhet egy felügyelt példányhoz vagy elsődleges kiszolgálói identitáshoz a logikai kiszolgálóhoz (vagy bármely Microsoft Entra-identitáshoz).

# This script grants "Directory Readers" permission to a service principal representing a SQL Managed Instance or logical server.
# It can be executed only by a user who is a member of the **Privileged Roles Administrator** role.

Import-Module Microsoft.Graph.Authentication
$instanceName = "<InstanceName>"        # Enter the name of your managed instance or server
$tenantId = "<TenantId>"                       # Enter your tenant ID

Connect-MgGraph -TenantId $tenantId -Scopes "RoleManagement.ReadWrite.Directory"

# Get Microsoft Entra "Directory Readers" role and create if it doesn't exist
$roleName = "Directory Readers"
$role = Get-MgDirectoryRole -Filter "DisplayName eq '$roleName'"
if ($role -eq $null) {
    # Instantiate an instance of the role template
    $roleTemplate = Get-MgDirectoryRoleTemplate -Filter "DisplayName eq '$roleName'"
    New-MgDirectoryRoleTemplate -RoleTemplateId $roleTemplate.Id
    $role = Get-MgDirectoryRole -Filter "DisplayName eq '$roleName'"
}

# Get service principal for your SQL Managed Instance or logical server
$roleMember = Get-MgServicePrincipal -Filter "DisplayName eq '$instanceName'"
$roleMember.Count
if ($roleMember -eq $null) {
    Write-Output "Error: No service principal with name '$($instanceName)' found, make sure that instanceName parameter was entered correctly."
    exit
}
if (-not ($roleMember.Count -eq 1)) {
    Write-Output "Error: Multiple service principals with name '$($instanceName)'"
    Write-Output $roleMember | Format-List DisplayName, Id, AppId
    exit
}

# Check if service principal is already member of Directory Readers role
$isDirReader = Get-MgDirectoryRoleMember -DirectoryRoleId $role.Id -Filter "Id eq '$($roleMember.Id)'"
if ($isDirReader -eq $null) {
    # Add principal to Directory Readers role
    Write-Output "Adding service principal '$($instanceName)' to 'Directory Readers' role..."
    $body = @{
        "@odata.id"= "https://graph.microsoft.com/v1.0/directoryObjects/{$($roleMember.Id)}"
    }
    New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $body
    Write-Output "'$($instanceName)' service principal added to 'Directory Readers' role."
} else {
    Write-Output "Service principal '$($instanceName)' is already member of 'Directory Readers' role."
}

A Microsoft Entra rendszergazdája mostantól a Microsoft Entra-kiszolgálónevek (bejelentkezések) és az adatbázisnevek (felhasználók) létrehozására használható. További információ: Microsoft Entra integrálás felügyelt Azure SQL-példányokkal.

Microsoft Entra-tagok létrehozása az SQL-ben

Az SQL Database-ben vagy az Azure Synapse Analyticsben lévő adatbázishoz Microsoft Entra-hitelesítéssel való csatlakozáshoz egy tagot kell konfigurálni az adatbázisban az adott identitáshoz legalább az CONNECT engedéllyel.

Adatbázis-felhasználói engedélyek

Amikor létrehoz egy adatbázis-felhasználót, alapértelmezés szerint megkapja az CONNECT adatbázis engedélyét. Az adatbázis-felhasználó két esetben is örökli az engedélyeket:

Ha a felhasználó tagja egy Microsoft Entra-csoportnak, amely szintén hozzárendelt engedélyeket a kiszolgálón.
Ha a felhasználó bejelentkezésből lett létrehozva, örökli az adatbázison érvényes bejelentkezés kiszolgálóhoz rendelt engedélyeit.

A kiszolgáló- és adatbázisnevek engedélyeinek kezelése az egyszerűség típusától függetlenül ugyanúgy működik (Microsoft Entra ID, SQL-hitelesítés stb.). Javasoljuk, hogy az engedélyeket az adatbázis-szerepkörök számára adja meg ahelyett, hogy közvetlenül engedélyeket adnánk a felhasználóknak. Ezután megfelelő engedélyekkel adhat hozzá felhasználókat a szerepkörökhöz. Ez leegyszerűsíti a hosszú távú engedélykezelést, és csökkenti annak valószínűségét, hogy az identitások megőrizzék a hozzáférésüket, ha szükséges.

További információkért lásd:

Tartalmazott adatbázis-felhasználók

A tartalmazott adatbázis-felhasználó olyan SQL-felhasználó, amely nem csatlakozik az master adatbázisban lévő bejelentkezéshez. A Microsoft Entra által tartalmazott adatbázis-felhasználó létrehozásához csatlakozzon az adatbázishoz olyan Microsoft Entra-identitással, amely legalább BÁRMELY ALTER FELHASZNÁLÓ** engedéllyel rendelkezik. Az alábbi T-SQL-példa létrehoz egy egyszerű adatbázist Microsoft_Entra_principal_name a Microsoft Entra ID-ból.

CREATE USER [<Microsoft_Entra_principal_name>] FROM EXTERNAL PROVIDER;

Ha tartalmazott adatbázis-felhasználót szeretne létrehozni egy Microsoft Entra-csoporthoz, adja meg a csoport megjelenítendő nevét:

CREATE USER [ICU Nurses] FROM EXTERNAL PROVIDER;

Ha egy felügyelt identitáshoz vagy szolgáltatásnévhez tartalmazott adatbázis-felhasználót szeretne létrehozni, adja meg az identitás megjelenítendő nevét:

CREATE USER [appName] FROM EXTERNAL PROVIDER;

Ha tartalmazott adatbázis-felhasználót szeretne létrehozni egy Microsoft Entra-felhasználóhoz, adja meg az identitás egyszerű nevét:

CREATE USER [adrian@contoso.com] FROM EXTERNAL PROVIDER;

Megjegyzés:

A Microsoft Entra-kiszolgálónevek (bejelentkezések) jelenleg nyilvános előzetes verzióban érhetők el az Azure SQL Database és az Azure Synapse Analytics számára. A Microsoft Entra-bejelentkezések általánosan elérhetők a felügyelt Azure SQL-példányokhoz és az SQL Server 2022-hez.

A Microsoft Entra-kiszolgálónevek (vagy bejelentkezések) támogatottak, ami azt jelenti, hogy a tartalmazott adatbázis-felhasználókra nincs szükség. Az adatbázisnevek (felhasználók) egy kiszolgálónév alapján hozhatók létre, ami azt jelenti, hogy a Microsoft Entra-felhasználók örökölhetik a bejelentkezés kiszolgálószintű hozzárendelt engedélyeit.

CREATE USER [appName] FROM LOGIN [appName];

További információkért tekintse meg a felügyelt SQL-példányok áttekintését. A Microsoft Entra-kiszolgálónevek (bejelentkezések) létrehozásával kapcsolatos szintaxisért lásd a CREATE LOGIN (BEJELENTKEZÉS LÉTREHOZÁSA) című témakört.

Külső felhasználók

Nem hozhat létre közvetlenül adatbázis-felhasználót egy másik Microsoft Entra-bérlőben kezelt identitáshoz, mint az Azure-előfizetéséhez társított. Más címtárak felhasználói azonban külső felhasználókként importálhatók a társított címtárba. Ezután olyan tárolt adatbázis-felhasználók létrehozására használhatók, amelyek hozzáférhetnek az adatbázishoz. A külső felhasználók a Microsoft Entra-csoportok tagságán keresztül is hozzáférhetnek.

Példák: Egy Microsoft Entra összevont vagy felügyelt tartományfelhasználót képviselő, tartalmazott adatbázis-felhasználó létrehozása:

CREATE USER [alice@fabrikam.com] FROM EXTERNAL PROVIDER;

A felügyelt tartományba külső felhasználóként importált összevont tartományi felhasználói fióknak a felügyelt tartomány identitását kell használnia.

Névvel kapcsolatos szempontok

Az olyan speciális karakterek, mint a kettőspont : vagy az ampers és & ha a T-SQL-ben CREATE LOGIN felhasználónevekként szerepelnek, és CREATE USER az utasítások nem támogatottak.

A Microsoft Entra ID és az Azure SQL egy kulcsfontosságú módon tér el a felhasználókezelési kialakításuktól: a Microsoft Entra ID lehetővé teszi a megjelenítendő nevek duplikálását egy bérlőn belül, míg az Azure SQL megköveteli, hogy a kiszolgálón vagy példányon lévő összes kiszolgálónév és az adatbázisban található összes adatbázisnév egyedi névvel rendelkezzen. Mivel az Azure SQL közvetlenül az identitás Microsoft Entra megjelenítendő nevét használja az egyszerű felhasználók létrehozásakor, ez hibákhoz vezethet a felhasználók létrehozásakor. A probléma megoldásához az Azure SQL előzetes verzióban adta ki a WITH OBJECT_ID fejlesztést, amely lehetővé teszi, hogy a felhasználók megadják a kiszolgálóhoz vagy példányhoz hozzáadott identitás Microsoft Entra objektumazonosítóját.

Microsoft Graph-engedélyek

A CREATE USER ... FROM EXTERNAL PROVIDER parancshoz azure SQL-hozzáférés szükséges a Microsoft Entra-azonosítóhoz (a "külső szolgáltatóhoz") a bejelentkezett felhasználó nevében. Néha olyan körülmények merülnek fel, amelyek miatt a Microsoft Entra ID kivételt ad vissza az Azure SQL-nek.

Előfordulhat, hogy a Microsoft Entra ID-specifikus hibaüzenetét tartalmazó 33134-s SQL-hiba jelenik meg. A hiba általában azt jelzi, hogy a hozzáférés megtagadva, a felhasználónak regisztrálnia kell az MFA-ban az erőforrás eléréséhez, vagy a külső alkalmazások közötti hozzáférést előhitelesítéssel kell kezelni. Az első két esetben a problémát általában a felhasználó Microsoft Entra-bérlőjében beállított feltételes hozzáférési szabályzatok okozzák: megakadályozzák, hogy a felhasználó hozzáférjen a külső szolgáltatóhoz. A "000000003-0000-0000-c000-0000-00000000000" alkalmazáshoz (a Microsoft Graph API alkalmazásazonosítója) való hozzáférés engedélyezéséhez frissítse a feltételes hozzáférési szabályzatokat. Ha a hiba azt jelzi, hogy a külső alkalmazások közötti hozzáférést előhitelesítéssel kell kezelni, a probléma az, hogy a felhasználó szolgáltatásnévként van bejelentkezve. A parancsnak sikeresnek kell lennie, ha azt egy felhasználó hajtja végre.
Ha lejárt kapcsolati időtúllépést kap, előfordulhat, hogy a TransparentNetworkIPResolution kapcsolati sztring paraméterét hamis értékre kell állítania. További információ: A .NET-keretrendszer 4.6.1 – TransparentNetworkIPResolution kapcsolati időtúllépési problémája.

A Microsoft Entra-identitásokon alapuló, tartalmazott adatbázis-felhasználók létrehozásáról további információt a CREATE USER (FELHASZNÁLÓ LÉTREHOZÁSA) című témakörben talál.

Többtényezős hitelesítés konfigurálása

Az Azure SQL-erőforrás nagyobb biztonsága érdekében fontolja meg a többtényezős hitelesítés (MFA) konfigurálását, amely arra kéri a felhasználót, hogy használjon egy második alternatív módszert az adatbázis hitelesítésére, például telefonhívásra vagy hitelesítő alkalmazásra.

Ha többtényezős hitelesítést szeretne használni az Azure SQL-erőforrással, először engedélyezze a többtényezős hitelesítést, majd feltételes hozzáférési szabályzattal kényszerítse ki az MFA-t az Azure SQL-erőforráshoz.

Csatlakozás a Microsoft Entra-hoz

A Microsoft Entra-hitelesítés konfigurálása után használhatja az SQL-erőforráshoz való csatlakozáshoz olyan Microsoft-eszközökkel, mint az SQL Server Management Studio és az SQL Server Data Tools, és ügyfélalkalmazásokat konfigurálhat a Microsoft Entra-identitások használatával való csatlakozásra.

Microsoft Entra-hitelesítés hibaelhárítása

A hibaelhárítással kapcsolatos útmutatásért tekintse meg a Blogot: A Microsoft Entra-hitelesítéssel és az Azure SQL Database-lel és az Azure Synapse-nal kapcsolatos problémák elhárítása.

Visszajelzés

Hasznosnak találta ezt az oldalt?

Last updated on 2025-11-18

Megosztás a következőn keresztül:

Microsoft Entra-hitelesítés konfigurálása és kezelése az Azure SQL-lel

Előfeltételek

Microsoft Entra-bérlő létrehozása és feltöltése

Microsoft Entra-rendszergazda beállítása

Azure SQL Database és Azure Synapse Analytics

Azure SQL Managed Instance

Microsoft Graph-engedélyek hozzárendelése

Címtárolvasók szerepkör

Microsoft Entra-tagok létrehozása az SQL-ben

Adatbázis-felhasználói engedélyek

Tartalmazott adatbázis-felhasználók

Bejelentkezésalapú felhasználók

Külső felhasználók

Névvel kapcsolatos szempontok

Microsoft Graph-engedélyek

Többtényezős hitelesítés konfigurálása

Csatlakozás a Microsoft Entra-hoz

Microsoft Entra-hitelesítés hibaelhárítása

Kapcsolódó tartalom

Visszajelzés

További források