Csak Microsoft Entra-hitelesítés az Azure SQL-vel

A következőkre vonatkozik:Azure SQL DatabaseFelügyelt Azure SQL-példányAzure Synapse Analytics (csak dedikált SQL-készletek)

A microsoft entra-only hitelesítés az Azure SQL-ben olyan szolgáltatás, amely lehetővé teszi, hogy a szolgáltatás csak a Microsoft Entra hitelesítést támogassa, és az Azure SQL Database és a felügyelt Azure SQL-példány esetében is támogatott.

Megjegyzés:

A Microsoft Entra ID-t korábban Azure Active Directorynak (Azure AD) nevezték.

A microsoft entra-only hitelesítés különálló kiszolgálók dedikált SQL-készleteihez (korábban SQL DW) is elérhető. A microsoft entra-only hitelesítés engedélyezhető az Azure Synapse-munkaterületen. További információért tekintse meg a Microsoft Entra-hitelesítést kizárólag Azure Synapse munkaterületeken.

Az SQL-hitelesítés le van tiltva, ha engedélyezi Csak Microsoft Entra-hitelesítést az Azure SQL-környezetben, beleértve a SQL kiszolgáló rendszergazdáinak, bejelentkezéseinek és felhasználóinak kapcsolatait is. Csak a Microsoft Entra-hitelesítést használó felhasználók csatlakozhatnak a kiszolgálóhoz vagy az adatbázishoz.

A microsoft entra-only hitelesítés engedélyezhető vagy letiltható az Azure Portal, az Azure CLI, a PowerShell vagy a REST API használatával. A csak Microsoft Entra-hitelesítés is konfigurálható a kiszolgáló létrehozásakor egy Azure Resource Manager-sablonnal (ARM).

További információ az Azure SQL-hitelesítésről: Hitelesítés és engedélyezés.

Szolgáltatás leírása

A Csak Microsoft Entra-hitelesítés engedélyezésekor az SQL-hitelesítés le van tiltva a kiszolgáló vagy a felügyelt példány szintjén, és megakadályozza az SQL-hitelesítési hitelesítő adatokon alapuló hitelesítést. Az SQL-hitelesítés felhasználói nem fognak tudni csatlakozni az Azure SQL Database logikai kiszolgálóhoz vagy a felügyelt példányhoz, beleértve az összes adatbázist is. Bár az SQL-hitelesítés le van tiltva, az új SQL-hitelesítési bejelentkezéseket és felhasználókat továbbra is megfelelő engedélyekkel rendelkező Microsoft Entra-fiókok hozhatják létre. Az újonnan létrehozott SQL-hitelesítési fiókok nem csatlakozhatnak a kiszolgálóhoz. A Csak Microsoft Entra-hitelesítés engedélyezése nem távolítja el a meglévő SQL-hitelesítési bejelentkezési és felhasználói fiókokat. A szolgáltatás csak megakadályozza, hogy ezek a fiókok csatlakozzanak a kiszolgálóhoz és a kiszolgálóhoz létrehozott adatbázisokhoz.

Arra is kényszerítheti a kiszolgálókat, hogy csak a Microsoft Entra-hitelesítéssel legyenek létrehozva az Azure Policy használatával. További információért lásd az Azure Policyt a Microsoft Entra-alapú hitelesítéshez az Azure SQL esetében.

Permissions

A Csak Microsoft Entra-hitelesítést olyan Microsoft Entra-felhasználók engedélyezhetik vagy tilthatják le, akik magas jogosultsági szintű Microsoft Entra beépített szerepkörök tagjai, például az Azure-előfizetések tulajdonosai és közreműködői. Emellett az SQL Security Manager szerepkör is engedélyezheti vagy letilthatja a Csak Microsoft Entra hitelesítési funkciót.

Az SQL Server közreműködői és a felügyelt SQL-példány közreműködői szerepkörei nem jogosultak a Csak Microsoft Entra hitelesítési funkció engedélyezésére vagy letiltására. Ez összhangban van a Feladatok elkülönítése megközelítéssel, ahol azok a felhasználók, akik azure SQL-kiszolgálót hozhatnak létre vagy Microsoft Entra-rendszergazdát hozhatnak létre, nem tudják engedélyezni vagy letiltani a biztonsági funkciókat.

Szükséges műveletek

A rendszer a következő műveleteket adja hozzá az SQL Security Manager szerepkörhöz a Csak Microsoft Entra hitelesítési funkció felügyeletének engedélyezéséhez.

• Microsoft.Sql/servers/azureADOnlyAuthentications/*
• Microsoft.Sql/servers/adminisztrátorok/olvasás – csak az Azure portál Microsoft Entra ID menüt elérő felhasználók számára szükséges
• Microsoft.Sql/managedInstances/azureADOnlyAuthentications/*
• Microsoft.Sql/managedInstances/read

A fenti műveletek egy egyéni szerepkörhöz is hozzáadhatók a kizárólag Microsoft Entra által kezelt hitelesítés felügyeletéhez. További információ: Egyéni szerepkör létrehozása és hozzárendelése a Microsoft Entra-azonosítóban.

Csak Microsoft Entra-hitelesítés kezelése API-k használatával

Fontos

A Csak Microsoft Entra hitelesítés engedélyezése előtt be kell állítani a Microsoft Entra rendszergazdát.

Azure CLI

Az Azure CLI 2.14.2-es vagy újabb verziójával kell rendelkeznie.

name felel meg a kiszolgáló vagy példánynév előtagjának (például myserver) és resource-group annak az erőforrásnak felel meg, amelyhez a kiszolgáló tartozik (például myresource).

Azure SQL Database

További információért lásd: az sql server ad-only-auth.

Az SQL Database engedélyezése vagy letiltása

Enable

az sql server ad-only-auth enable --resource-group myresource --name myserver

Disable

az sql server ad-only-auth disable --resource-group myresource --name myserver

Állapot ellenőrzése az SQL Database-ben

az sql server ad-only-auth get --resource-group myresource --name myserver

Azure SQL Managed Instance

További információ: az sql mi ad-only-auth.

Enable

az sql mi ad-only-auth enable --resource-group myresource --name myserver

Disable

az sql mi ad-only-auth disable --resource-group myresource --name myserver

Állapot ellenőrzése felügyelt SQL-példányban

az sql mi ad-only-auth get --resource-group myresource --name myserver

PowerShell

Az.Sql 2.10.0-s vagy újabb modulra van szükség.

ServerNamevagy InstanceName a kiszolgálónév előtagjának (például vagy myserver) felel meg, és myinstance annak az erőforrásnak felel meg, ResourceGroupNamemyresourceamelyhez a kiszolgáló tartozik (például).

Azure SQL Database

Az SQL Database engedélyezése vagy letiltása

Enable

További információ: Enable-AzSqlServerActiveDirectoryOnlyAuthentication. A(z) get-help Enable-AzSqlServerActiveDirectoryOnlyAuthentication -full is futtatható.

Enable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName myserver -ResourceGroupName myresource

A következő parancsot is használhatja:

Get-AzSqlServer -ServerName myserver | Enable-AzSqlServerActiveDirectoryOnlyAuthentication

Disable

További információ: Disable-AzSqlServerActiveDirectoryOnlyAuthentication.

Disable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName myserver -ResourceGroupName myresource

Állapot ellenőrzése az SQL Database-ben

Get-AzSqlServerActiveDirectoryOnlyAuthentication  -ServerName myserver -ResourceGroupName myresource

A következő parancsot is használhatja:

Get-AzSqlServer -ServerName myserver | Get-AzSqlServerActiveDirectoryOnlyAuthentication

Azure SQL Managed Instance

Felügyelt SQL-példány engedélyezése vagy letiltása

Enable

További információ: Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication.

Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName myinstance -ResourceGroupName myresource

A következő parancsot is használhatja:

Get-AzSqlInstance -InstanceName myinstance | Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication

További információért ezekről a PowerShell-parancsokról futtassa a get-help Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -full parancsot.

Disable

Az alábbi linken talál további információt: Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication.

Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName myinstance -ResourceGroupName myresource

Állapot ellenőrzése felügyelt SQL-példányban

Get-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName myinstance -ResourceGroupName myresource

A következő parancsot is használhatja:

Get-AzSqlInstance -InstanceName myinstance | Get-AzSqlInstanceActiveDirectoryOnlyAuthentication

REST API

A következő paramétereket kell definiálni:

• <subscriptionId> az Előfizetések az Azure Portalon való navigálásával érhető el.
• <myserver> a kiszolgáló vagy a példánynév előtagjának felel meg (például myserver).
• <myresource> annak az erőforrásnak felel meg, myresourceamelyhez a kiszolgáló tartozik (például )

A legújabb MSAL használatához töltse le a következőről: https://www.powershellgallery.com/packages/MSAL.PS.

$subscriptionId = '<subscriptionId>'
$serverName = "<myserver>"
$resourceGroupName = "<myresource>"

Azure SQL Database

További információkért tekintse meg a csak kiszolgálói Azure AD-hitelesítések REST API-dokumentációját.

Az SQL Database engedélyezése vagy letiltása

Enable

$body = @{ properties = @{ azureADOnlyAuthentication = 1 } } | ConvertTo-Json
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Disable

$body = @{ properties = @{ azureADOnlyAuthentication = 0 } } | ConvertTo-Json
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Állapot ellenőrzése az SQL Database-ben

Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method GET -Headers $authHeader  | Format-List

Azure SQL Managed Instance

További információkért lásd az Azure SQL Managed Instance Azure AD Authentications REST API dokumentációját.

Felügyelt SQL-példány engedélyezése vagy letiltása

Enable

$body = @{   properties = @{  azureADOnlyAuthentication = 1 }  } | ConvertTo-Json
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Disable

$body = @{   properties = @{  azureADOnlyAuthentication = 0 }  } | ConvertTo-Json
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Állapot ellenőrzése felügyelt SQL-példányban

Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method GET -Headers $authHeader  | Format-List

ARM-sablon

• Adja meg a Microsoft Entra rendszergazda adatait az üzembe helyezéshez. A felhasználói objektumazonosítót az Azure Portalon találja meg, és navigál a Microsoft Entra ID-erőforráshoz . A Kezelés alattválassza a Felhasználók lehetőséget. Keresse meg az Azure SQL Server Microsoft Entra-rendszergazdájaként beállítani kívánt felhasználót. Jelölje ki a felhasználót, és a Profil lapon megjelenik az objektumazonosító.
• A bérlőazonosító a Microsoft Entra ID-erőforrásÁttekintés lapján található.

Azure SQL Database

Enable

Az alábbi ARM-sablon lehetővé teszi a microsoft entra-only hitelesítést az Azure SQL Database-ben. A Microsoft Entra-only hitelesítés letiltásához állítsa be a azureADOnlyAuthentication tulajdonságot a false értékre.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "sqlServer_name": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String"
        },
        "aad_admin_objectid": {
            "type": "String"
        },
        "aad_admin_tenantid": {
            "type": "String"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers/administrators",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('sqlServer_name'), '/ActiveDirectory')]",
            "properties": {
                "administratorType": "ActiveDirectory",
                "login": "[parameters('aad_admin_name')]",
                "sid": "[parameters('aad_admin_objectid')]",
                "tenantId": "[parameters('aad_admin_tenantId')]"
            }
        },
        {
            "type": "Microsoft.Sql/servers/azureADOnlyAuthentications",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('sqlServer_name'), '/Default')]",
            "dependsOn": [
                "[resourceId('Microsoft.Sql/servers/administrators', parameters('sqlServer_name'), 'ActiveDirectory')]"
            ],
            "properties": {
                "azureADOnlyAuthentication": true
            }
        }
    ]
}

További információ: Microsoft.Sql servers/azureADOnlyAuthentications.

Azure SQL Managed Instance

Enable

Az alábbi ARM-sablon lehetővé teszi a Microsoft Entra-only hitelesítést az Azure SQL Felügyelt Példányban. Microsoft Entra-hitelesítés letiltásához állítsa a tulajdonságot azureADOnlyAuthentication értékére false.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "instance": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String"
        },
        "aad_admin_objectid": {
            "type": "String"
        },
        "aad_admin_tenantid": {
            "type": "String"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/managedInstances/administrators",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('instance'), '/ActiveDirectory')]",
            "properties": {
                "administratorType": "ActiveDirectory",
                "login": "[parameters('aad_admin_name')]",
                "sid": "[parameters('aad_admin_objectid')]",
                "tenantId": "[parameters('aad_admin_tenantId')]"
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances/azureADOnlyAuthentications",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('instance'), '/Default')]",
            "dependsOn": [
                "[resourceId('Microsoft.Sql/managedInstances/administrators', parameters('instance'), 'ActiveDirectory')]"
            ],
            "properties": {
                "azureADOnlyAuthentication": true
            }
        }
    ]
}

További információ: Microsoft.Sql managedInstances/azureADOnlyAuthentications.

Csak Microsoft Entra-hitelesítés ellenőrzése T-SQL használatával

A SERVERPROPERTYIsExternalAuthenticationOnly hozzáadva annak ellenőrzéséhez, hogy engedélyezve van-e a Microsoft Entra-only hitelesítés a kiszolgálón vagy a felügyelt példányon. 1 azt jelzi, hogy a szolgáltatás engedélyezve van, és 0 azt jelzi, hogy a funkció le van tiltva.

SELECT SERVERPROPERTY('IsExternalAuthenticationOnly')

Megjegyzések

• Az SQL Server-közreműködő beállíthat vagy eltávolíthat egy Microsoft Entra-rendszergazdát, de nem állíthatja be a Microsoft Entra csupán a hitelesítését. Az SQL Security Manager nem tud Microsoft Entra-rendszergazdat beállítani vagy eltávolítani, de csak a Microsoft Entra hitelesítési beállítást állíthatja be. Csak a magasabb Azure RBAC-szerepkörökkel vagy egyéni szerepkörökkel rendelkező fiókok állíthatnak be vagy távolíthatnak el Microsoft Entra-rendszergazdákat, és csak a Microsoft Entra-hitelesítés beállítását állíthatják be. Ilyen szerepkör a Közreműködő szerepkör.
• Miután csak az Azure Portalon engedélyezte vagy letiltotta a Microsoft Entra-hitelesítést, az SQL Server menüjében megjelenik egy tevékenységnapló-bejegyzés.
• A Microsoft Entra csak hitelesítési beállítást csak a megfelelő engedélyekkel rendelkező felhasználók engedélyezhetik vagy tilthatják le, ha a Microsoft Entra rendszergazdája meg van határozva. Ha a Microsoft Entra rendszergazdája nincs beállítva, a Microsoft Entra hitelesítési beállítása inaktív marad, és nem engedélyezhető vagy letiltható. Az API-k használata a csak Microsoft Entra-hitelesítés engedélyezésére is sikertelen lesz, ha a Microsoft Entra adminisztrátor nincs beállítva.
• Ha a Microsoft Entra-hitelesítés engedélyezve van, a Microsoft Entra rendszergazdájának módosítása a megfelelő engedélyekkel rendelkező felhasználók számára támogatott.
• A Microsoft Entra-rendszergazda módosítása és a csak Microsoft Entra-hitelesítés engedélyezése vagy letiltása az Azure Portalon engedélyezett a megfelelő engedélyekkel rendelkező felhasználók számára. Mindkét művelet elvégezhető egy Mentéssel az Azure Portalon. A Microsoft Entra-hitelesítés engedélyezéséhez be kell állítani a Microsoft Entra adminisztrátort.
• Nem támogatott a Microsoft Entra-rendszergazda eltávolítása, ha a Csak Microsoft Entra hitelesítési funkció engedélyezve van. Ha egy API-t használ a Microsoft Entra-rendszergazda eltávolítására, az nem fog sikerülni, ha engedélyezve van a kizárólag Microsoft Entra-hitelesítés.
  • Ha a Microsoft Entra hitelesítési beállítás engedélyezve van, a Rendszergazda eltávolítása gomb inaktív az Azure Portalon.
• A Microsoft Entra-rendszergazda eltávolítása és a Microsoft Entra hitelesítési beállítás letiltása csak engedélyezett, de a műveletek elvégzéséhez megfelelő felhasználói engedély szükséges. Mindkét művelet elvégezhető egy Mentéssel az Azure Portalon.
• A megfelelő engedélyekkel rendelkező Microsoft Entra-felhasználók megszemélyesíthetik a meglévő SQL-felhasználókat.
  • A megszemélyesítés továbbra is működik az SQL-hitelesítésű felhasználók között, még akkor is, ha a csak Microsoft Entra-alapú hitelesítési funkció engedélyezve van.

Csak Microsoft Entra-hitelesítés korlátozásai az SQL Database-ben

Ha a Csak Microsoft Entra hitelesítés engedélyezve van az SQL Database-ben, a következő funkciók nem támogatottak:

• Az Azure SQL Database kiszolgálói szerepkörei engedélykezeléshez támogatottak a Microsoft Entra kiszolgálói fők esetében, de nem akkor, ha a Microsoft Entra bejelentkezés egy csoport.
• Rugalmas feladatok az Azure SQL Database-ben
• SQL Data Sync
• Adatrögzítés módosítása (CDC) – Ha Microsoft Entra-felhasználóként hoz létre adatbázist az Azure SQL Database-ben, és engedélyezi rajta a módosítási adatrögzítést, az SQL-felhasználó nem fogja tudni letiltani vagy módosítani a CDC-összetevőket. Egy másik Microsoft Entra-felhasználó azonban képes lesz engedélyezni vagy letiltani a CDC-t ugyanazon az adatbázisban. Hasonlóképpen, ha SQL-felhasználóként hoz létre Azure SQL Database-adatbázist, a CDC Microsoft Entra-felhasználóként való engedélyezése vagy letiltása nem fog működni
• Tranzakciós replikáció felügyelt Azure SQL-példánysal – Mivel a replikáció résztvevői közötti kapcsolathoz SQL-hitelesítés szükséges, a csak Microsoft Entra-hitelesítés engedélyezése esetén a tranzakciós replikáció nem támogatott az SQL Database-ben olyan helyzetekben, amikor tranzakciós replikációval küldhetők le a módosítások egy Felügyelt Azure SQL-példányban, a helyszíni SQL Serveren vagy egy Azure-beli virtuálisgép-SQL Server-példányon végrehajtott módosítások az Azure SQL Database adatbázisába
• SQL Insights (előzetes verzió)
• EXEC AS Microsoft Entra-csoporttag-fiókokra vonatkozó nyilatkozat

A Microsoft Entra-only hitelesítés korlátozásai az Azure SQL felügyelt példányokban

Ha a microsoft entra-only hitelesítés engedélyezve van a felügyelt SQL-példányhoz, a következő funkciók nem támogatottak:

• Tranzakciós replikáció felügyelt Azure SQL-példánysal
• A felügyelt Azure SQL-példányban SQL Agent-feladatok használatával automatizálhatja a felügyeleti feladatokat , és támogatja a Microsoft Entra-alapú hitelesítést. Az a Microsoft Entra-felhasználó azonban, aki tagja egy felügyelt példányhoz hozzáférő Microsoft Entra-csoportnak, nem lehet tulajdonosa SQL Agent-munkáknak.
• SQL Insights (előzetes verzió)
• EXEC AS Microsoft Entra-csoporttag-fiókokra vonatkozó nyilatkozat

További korlátozásokért tekintse meg az SQL Server és az Azure SQL Managed Instance közötti T-SQL-különbségeket.

Kapcsolódó tartalom

• Oktatóanyag: Csak Microsoft Entra-hitelesítés engedélyezése az Azure SQL-lel
• Kiszolgáló létrehozása csak Microsoft Entra-hitelesítéssel az Azure SQL-ben