Oktatóanyag: Csak Microsoft Entra-hitelesítés engedélyezése az Azure SQL-lel

A következőre vonatkozik: Azure SQL DatabaseFelügyelt Azure SQL-példány

Ez a cikk végigvezeti a microsoft entra-only hitelesítési funkció engedélyezésén az Azure SQL Database-ben és a felügyelt Azure SQL-példányban. Ha sql-adatbázist vagy felügyelt SQL-példányt szeretne kiépíteni a Microsoft Entra-only hitelesítés engedélyezésével, olvassa el a Kiszolgáló létrehozása az Azure SQL-ben engedélyezett Microsoft Entra-hitelesítéssel című témakört.

Megjegyzés:

A Microsoft Entra ID az Azure Active Directory (Azure AD) új neve. Jelenleg frissítjük a dokumentációt.

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

• Szerepkör hozzárendelése a csak Microsoft Entra-hitelesítés engedélyezéséhez
• Csak Microsoft Entra-hitelesítés engedélyezése az Azure Portal, az Azure CLI vagy a PowerShell használatával
• Ellenőrizze, hogy engedélyezve van-e a Csak Microsoft Entra-hitelesítés
• Az Azure SQL-hez való csatlakozás tesztelése
• Csak Microsoft Entra-hitelesítés letiltása az Azure Portal, az Azure CLI vagy a PowerShell használatával

Előfeltételek

• Egy Microsoft Entra-bérlő. További információ: Microsoft Entra-hitelesítés konfigurálása és kezelése az Azure SQL-lel.
• Sql Database vagy felügyelt SQL-példány adatbázissal, valamint bejelentkezésekkel vagy felhasználókkal. Tekintse meg a rövid útmutatót: Önálló Azure SQL Database-adatbázis létrehozása, ha még nem hozott létre Azure SQL Database-adatbázist, vagy rövid útmutató: Felügyelt Azure SQL-példány létrehozása.

Szerepkör hozzárendelése a csak Microsoft Entra-hitelesítés engedélyezéséhez

A csak Microsoft Entra-hitelesítés engedélyezéséhez vagy letiltásához az oktatóanyagban szereplő műveleteket végrehajtó Microsoft Entra-felhasználókhoz kiválasztott beépített szerepkörök szükségesek. Ebben az oktatóanyagban az SQL Security Manager szerepkört fogjuk hozzárendelni a felhasználóhoz.

További információ arról, hogyan rendelhet szerepkört Egy Microsoft Entra-fiókhoz: Rendszergazdai és nem rendszergazdai szerepkörök hozzárendelése a Microsoft Entra-azonosítóval rendelkező felhasználókhoz

A csak Microsoft Entra-hitelesítés engedélyezéséhez vagy letiltásához szükséges engedélyekkel kapcsolatos további információkért tekintse meg a Microsoft Entra-only hitelesítési cikk Engedélyek szakaszát.

1. A példában az SQL Security Manager szerepkört rendeljük hozzá a felhasználóhozUserSqlSecurityManager@contoso.onmicrosoft.com. A Microsoft Entra-szerepköröket hozzárendelő kiemelt felhasználókkal jelentkezzen be az Azure Portalra.

2. Nyissa meg az SQL Server-erőforrást, és válassza a Hozzáférés-vezérlés (IAM) lehetőséget a menüben. Válassza a Hozzáadás gombot, majd a szerepkör-hozzárendelés hozzáadása lehetőséget a legördülő menüben.

   

3. A Szerepkör-hozzárendelés hozzáadása panelen válassza ki a Szerepkör SQL Security Managert, és válassza ki azt a felhasználót, aki számára engedélyezni vagy letiltani szeretné a Csak Microsoft Entra-hitelesítést.

   

4. Kattintson a Mentés gombra.

Csak Microsoft Entra-hitelesítés engedélyezése

Portal

Engedélyezés az SQL Database-ben az Azure Portal használatával

Ha engedélyezni szeretné a Microsoft Entra-hitelesítést az Azure Portalon, kövesse az alábbi lépéseket:

1. Ha az SQL Security Manager-szerepkörrel rendelkező felhasználót használja, nyissa meg az Azure Portalt.

2. Nyissa meg az SQL Server-erőforrást, és válassza a Microsoft Entra-azonosítót a Gépház menüben.

   

3. Ha még nem adott hozzá Microsoft Entra-rendszergazdát, ezt be kell állítania, mielőtt engedélyezheti a csak Microsoft Entra-hitelesítést.

4. Jelölje be a kiszolgáló csak a Microsoft Entra-hitelesítés támogatásának jelölőnégyzetét.

5. Megjelenik a Csak Microsoft Entra hitelesítés engedélyezése előugró ablak. Válassza az Igen lehetőséget a funkció engedélyezéséhez és a beállítás mentéséhez .

Engedélyezés felügyelt SQL-példányban az Azure Portal használatával

Ha engedélyezni szeretné a Microsoft Entra-hitelesítést az Azure Portalon, tekintse meg az alábbi lépéseket.

1. Ha az SQL Security Manager-szerepkörrel rendelkező felhasználót használja, nyissa meg az Azure Portalt.

2. Lépjen a felügyelt SQL-példány erőforrására, és válassza a Microsoft Entra rendszergazdáját a Gépház menüben.

3. Ha még nem adott hozzá Microsoft Entra-rendszergazdát, ezt be kell állítania, mielőtt engedélyezheti a csak Microsoft Entra-hitelesítést.

4. Jelölje be a felügyelt példány csak a Microsoft Entra-hitelesítés támogatása jelölőnégyzetet.

5. Megjelenik a Csak Microsoft Entra hitelesítés engedélyezése előugró ablak. Válassza az Igen lehetőséget a funkció engedélyezéséhez és a beállítás mentéséhez .

Az Azure CLI

Engedélyezés az SQL Database-ben az Azure CLI használatával

Ha engedélyezni szeretné a microsoft entra-only hitelesítést az Azure SQL Database-ben az Azure CLI használatával, tekintse meg az alábbi parancsokat. Telepítse az Azure CLI legújabb verzióját. Az Azure CLI 2.14.2-es vagy újabb verziójával kell rendelkeznie. További információ ezekről a parancsokról: az sql server ad-only-auth.

A csak Microsoft Entra-hitelesítés API-kkal történő kezelésével kapcsolatos további információkért lásd : Microsoft Entra-only authentication using API-k.

Megjegyzés:

A Microsoft Entra rendszergazdájának be kell állítania a kiszolgálót a csak Microsoft Entra-hitelesítés engedélyezése előtt. Ellenkező esetben az Azure CLI-parancs sikertelen lesz.

A csak Microsoft Entra-hitelesítés engedélyezéséhez szükséges engedélyeket és műveleteket a microsoft entra-only hitelesítési cikk ismerteti.

1. Jelentkezzen be az Azure-ba az SQL Security Manager-szerepkörrel rendelkező fiókkal.

   az login
   

2. Futtassa a következő parancsot az SQL Server nevére és <myresource> az SQL-kiszolgálót tartalmazó Azure-erőforrásra cserélve<myserver>.

   az sql server ad-only-auth enable --resource-group <myresource> --name <myserver>
   

Engedélyezés felügyelt SQL-példányban az Azure CLI használatával

Ha engedélyezni szeretné a microsoft entra-only hitelesítést a felügyelt Azure SQL-példányban az Azure CLI használatával, tekintse meg az alábbi parancsokat. Telepítse az Azure CLI legújabb verzióját.

1. Jelentkezzen be az Azure-ba az SQL Security Manager-szerepkörrel rendelkező fiókkal.

   az login
   

2. Futtassa a következő parancsot az SQL Server nevére és <myresource> az SQL-kiszolgálót tartalmazó Azure-erőforrásra cserélve<myserver>.

   az sql mi ad-only-auth enable --resource-group <myresource> --name <myserver>
   

PowerShell

Engedélyezés az SQL Database-ben a PowerShell használatával

Ha engedélyezni szeretné a Microsoft Entra-hitelesítést az Azure SQL Database-ben a PowerShell használatával, tekintse meg az alábbi parancsokat. A parancsok végrehajtásához az.Sql 2.10.0-s vagy újabb modul szükséges. További információ ezekről a parancsokról: Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication.

A csak Microsoft Entra-hitelesítés API-k használatával történő kezelésével kapcsolatos további információkért lásd : Microsoft Entra-only authentication using API-k

Megjegyzés:

A Microsoft Entra rendszergazdájának be kell állítania a kiszolgálót a csak Microsoft Entra-hitelesítés engedélyezése előtt. Ellenkező esetben a PowerShell-parancs sikertelen lesz.

A csak Microsoft Entra-hitelesítés engedélyezéséhez szükséges engedélyeket és műveleteket a microsoft entra-only hitelesítési cikk ismerteti. Ha a felhasználó nem rendelkezik megfelelő engedélyekkel, a következő hibaüzenet jelenik meg:

Enable-AzSqlServerActiveDirectoryOnlyAuthentication : The client
'UserSqlServerContributor@contoso.onmicrosoft.com' with object id
'<guid>' does not have authorization to perform
action 'Microsoft.Sql/servers/azureADOnlyAuthentications/write' over scope
'/subscriptions/<guid>...'

1. Jelentkezzen be az Azure-ba az SQL Security Manager-szerepkörrel rendelkező fiókkal.

   Connect-AzAccount
   

2. Futtassa a következő parancsot az SQL Server nevére és <myresource> az SQL-kiszolgálót tartalmazó Azure-erőforrásra cserélve<myserver>.

   Enable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName <myserver>  -ResourceGroupName <myresource>
   

Engedélyezés felügyelt SQL-példányban a PowerShell használatával

Ha engedélyezni szeretné a microsoft entra-only hitelesítést a felügyelt Azure SQL-példányban a PowerShell használatával, tekintse meg az alábbi parancsokat. A parancsok végrehajtásához az.Sql 2.10.0-s vagy újabb modul szükséges.

A csak Microsoft Entra-hitelesítés API-kkal történő kezelésével kapcsolatos további információkért lásd : Microsoft Entra-only authentication using API-k.

1. Jelentkezzen be az Azure-ba az SQL Security Manager-szerepkörrel rendelkező fiókkal.

   Connect-AzAccount
   

2. Futtassa a következő parancsot a felügyelt SQL-példány nevére és <myresource> a felügyelt SQL-példányt tartalmazó Azure-erőforrásra cserélve<myinstance>.

   Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
   

A Microsoft Entra csak hitelesítési állapotának ellenőrzése

Ellenőrizze, hogy engedélyezve van-e a Microsoft Entra-hitelesítés a kiszolgálón vagy a példányon.

Portal

Állapot ellenőrzése az SQL Database-ben

Nyissa meg az SQL Server-erőforrást az Azure Portalon. Válassza a Microsoft Entra-azonosítót a Gépház menüben.

Állapot ellenőrzése felügyelt SQL-példányban

Nyissa meg a felügyelt SQL-példány erőforrását az Azure Portalon. Válassza a Microsoft Entra rendszergazdát a Gépház menüben.

Az Azure CLI

Ezekkel a parancsokkal ellenőrizheti, hogy engedélyezve van-e a microsoft entra-only hitelesítés az Azure SQL Database logikai kiszolgálójához vagy a felügyelt SQL-példányhoz. Az SQL Server közreműködői és a felügyelt SQL-példány közreműködői szerepköreinek tagjai ezen parancsokkal ellenőrizhetik a Csak Microsoft Entra-hitelesítés állapotát, de nem tudják engedélyezni vagy letiltani a funkciót.

Állapot ellenőrzése az SQL Database-ben

1. Jelentkezzen be az Azure-ba az SQL Security Manager-szerepkörrel rendelkező fiókkal. A csak Microsoft Entra-hitelesítés API-k használatával történő kezelésével kapcsolatos további információkért lásd : Microsoft Entra-only authentication using API-k

   az login
   

2. Futtassa a következő parancsot az SQL Server nevére és <myresource> az SQL-kiszolgálót tartalmazó Azure-erőforrásra cserélve<myserver>.

   az sql server ad-only-auth get --resource-group <myresource> --name <myserver>
   

3. A következő kimenetnek kell megjelennie:

   {
    "azureAdOnlyAuthentication": true,
    "/subscriptions/<guid>/resourceGroups/mygroup/providers/Microsoft.Sql/servers/myserver/azureADOnlyAuthentications/Default",
    "name": "Default",
    "resourceGroup": "myresource",
    "type": "Microsoft.Sql/servers"
   }
   

Állapot ellenőrzése felügyelt SQL-példányban

1. Jelentkezzen be az Azure-ba az SQL Security Manager-szerepkörrel rendelkező fiókkal.

   az login
   

2. Futtassa a következő parancsot az SQL Server nevére és <myresource> az SQL-kiszolgálót tartalmazó Azure-erőforrásra cserélve<myserver>.

   az sql mi ad-only-auth get --resource-group <myresource> --name <myserver>
   

3. A következő kimenetnek kell megjelennie:

   {
    "azureAdOnlyAuthentication": true,
    "id": "/subscriptions/<guid>/resourceGroups/myresource/providers/Microsoft.Sql/managedInstances/myinstance/azureADOnlyAuthentications/Default",
    "name": "Default",
    "resourceGroup": "myresource",
    "type": "Microsoft.Sql/managedInstances"
   }
   

PowerShell

Ezekkel a parancsokkal ellenőrizheti, hogy engedélyezve van-e a microsoft entra-only hitelesítés az Azure SQL Database logikai kiszolgálójához vagy a felügyelt SQL-példányhoz. Az SQL Server közreműködői és a felügyelt SQL-példány közreműködői szerepköreinek tagjai ezen parancsokkal ellenőrizhetik a Csak Microsoft Entra-hitelesítés állapotát, de nem tudják engedélyezni vagy letiltani a funkciót.

Az állapot true (Igaz) értéket ad vissza, ha a funkció engedélyezve van, és hamis értéket, ha le van tiltva.

Állapot ellenőrzése az SQL Database-ben

1. Jelentkezzen be az Azure-ba az SQL Security Manager-szerepkörrel rendelkező fiókkal. A csak Microsoft Entra-hitelesítés API-k használatával történő kezelésével kapcsolatos további információkért lásd : Microsoft Entra-only authentication using API-k

   Connect-AzAccount
   

2. Futtassa a következő parancsot az SQL Server nevére és <myresource> az SQL-kiszolgálót tartalmazó Azure-erőforrásra cserélve<myserver>.

   Get-AzSqlServerActiveDirectoryOnlyAuthentication  -ServerName <myserver> -ResourceGroupName <myresource>
   

Állapot ellenőrzése felügyelt SQL-példányban

1. Jelentkezzen be az Azure-ba az SQL Security Manager-szerepkörrel rendelkező fiókkal.

   Connect-AzAccount
   

2. Futtassa a következő parancsot a felügyelt SQL-példány nevére és <myresource> a felügyelt SQL-példányt tartalmazó Azure-erőforrásra cserélve<myinstance>.

   Get-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
   

SQL-hitelesítés tesztelése kapcsolati hibával

A microsoft entra-only hitelesítés engedélyezése után tesztelje az SQL Server Management Studióval (SSMS) a csatlakozást az SQL Database-hez vagy a felügyelt SQL-példányhoz. Sql-hitelesítés használata a kapcsolathoz.

A következő kimenethez hasonló sikertelen bejelentkezési üzenetet kell látnia:

Cannot connect to <myserver>.database.windows.net.
Additional information:
  Login failed for user 'username'. Reason: Azure Active Directory only authentication is enabled.
  Please contact your system administrator. (Microsoft SQL Server, Error: 18456)

Csak Microsoft Entra-hitelesítés letiltása

A Csak Microsoft Entra hitelesítési funkció letiltásával engedélyezheti az SQL-hitelesítést és a Microsoft Entra-hitelesítést az Azure SQL-hez.

Portal

Letiltás az SQL Database-ben az Azure Portal használatával

1. Ha az SQL Security Manager-szerepkörrel rendelkező felhasználót használja, nyissa meg az Azure Portalt.
2. Nyissa meg az SQL Server-erőforrást, és válassza a Microsoft Entra-azonosítót a Gépház menüben.
3. A Csak Microsoft Entra hitelesítési funkció letiltásához törölje a jelet a kiszolgáló csak Microsoft Entra-hitelesítésének támogatása jelölőnégyzetből, és mentse a beállítást.

Letiltás felügyelt SQL-példányban az Azure Portal használatával

1. Ha az SQL Security Manager-szerepkörrel rendelkező felhasználót használja, nyissa meg az Azure Portalt.
2. Lépjen a felügyelt SQL-példány erőforrására, és válassza az Active Directory-rendszergazda lehetőséget a Gépház menüben.
3. A microsoft entra-only hitelesítési funkció letiltásához törölje a jelet a Csak Microsoft Entra-hitelesítés támogatása jelölőnégyzetből, és mentse a beállítást.

Az Azure CLI

Letiltás az SQL Database-ben az Azure CLI használatával

Ha le szeretné tiltani a Microsoft Entra-hitelesítést az Azure SQL Database-ben az Azure CLI használatával, tekintse meg az alábbi parancsokat.

1. Jelentkezzen be az Azure-ba az SQL Security Manager-szerepkörrel rendelkező fiókkal.

   az login
   

2. Futtassa a következő parancsot az SQL Server nevére és <myresource> az SQL-kiszolgálót tartalmazó Azure-erőforrásra cserélve<myserver>.

   az sql server ad-only-auth disable --resource-group <myresource> --name <myserver>
   

3. A csak Microsoft Entra-hitelesítés letiltása után az állapot ellenőrzésekor a következő kimenetnek kell megjelennie:

   {
    "azureAdOnlyAuthentication": false,
    "/subscriptions/<guid>/resourceGroups/mygroup/providers/Microsoft.Sql/servers/myserver/azureADOnlyAuthentications/Default",
    "name": "Default",
    "resourceGroup": "myresource",
    "type": "Microsoft.Sql/servers"
   }
   

Letiltás felügyelt SQL-példányban az Azure CLI használatával

Ha le szeretné tiltani a microsoft entra-only hitelesítést a felügyelt Azure SQL-példányban az Azure CLI használatával, tekintse meg az alábbi parancsokat.

1. Jelentkezzen be az Azure-ba az SQL Security Manager-szerepkörrel rendelkező fiókkal.

   az login
   

2. Futtassa a következő parancsot az SQL Server nevére és <myresource> az SQL-kiszolgálót tartalmazó Azure-erőforrásra cserélve<myserver>.

   az sql mi ad-only-auth disable --resource-group <myresource> --name <myserver>
   

3. A csak Microsoft Entra-hitelesítés letiltása után az állapot ellenőrzésekor a következő kimenetnek kell megjelennie:

   {
    "azureAdOnlyAuthentication": false,
    "id": "/subscriptions/<guid>/resourceGroups/myresource/providers/Microsoft.Sql/managedInstances/myinstance/azureADOnlyAuthentications/Default",
    "name": "Default",
    "resourceGroup": "myresource",
    "type": "Microsoft.Sql/managedInstances"
   }
   

PowerShell

Letiltás az SQL Database-ben a PowerShell használatával

Ha a PowerShell használatával szeretné letiltani a Microsoft Entra-hitelesítést az Azure SQL Database-ben, tekintse meg az alábbi parancsokat.

1. Jelentkezzen be az Azure-ba az SQL Security Manager-szerepkörrel rendelkező fiókkal.

   Connect-AzAccount
   

2. Futtassa a következő parancsot az SQL Server nevére és <myresource> az SQL-kiszolgálót tartalmazó Azure-erőforrásra cserélve<myserver>.

   Disable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName <myserver>  -ResourceGroupName <myresource>
   

Letiltás felügyelt SQL-példányban a PowerShell használatával

Ha le szeretné tiltani a microsoft entra-only hitelesítést a felügyelt Azure SQL-példányban a PowerShell használatával, tekintse meg az alábbi parancsokat.

1. Jelentkezzen be az Azure-ba az SQL Security Manager-szerepkörrel rendelkező fiókkal.

   Connect-AzAccount
   

2. Futtassa a következő parancsot a felügyelt SQL-példány nevére és <myresource> a felügyelt példányt tartalmazó Azure-erőforrásra cserélve<myinstance>.

   Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
   

Az Azure SQL-hez való csatlakozás ismételt tesztelése

A microsoft entra-only hitelesítés letiltása után tesztelje a csatlakozást egy SQL-hitelesítési bejelentkezéssel. Most már csatlakoznia kell a kiszolgálóhoz vagy a példányhoz.

További lépések

• Csak Microsoft Entra hitelesítés az Azure SQL segítségével
• Kiszolgáló létrehozása csak Microsoft Entra-hitelesítéssel az Azure SQL-ben
• Csak Microsoft Entra-hitelesítés kényszerítése az Azure SQL-lel az Azure Policy használatával