Szerepkör hozzárendelése a csak Microsoft Entra-hitelesítés engedélyezéséhez
A csak Microsoft Entra-hitelesítés engedélyezéséhez vagy letiltásához az oktatóanyagban szereplő műveleteket végrehajtó Microsoft Entra-felhasználókhoz kiválasztott beépített szerepkörök szükségesek. Ebben az oktatóanyagban az SQL Security Manager szerepkört fogjuk hozzárendelni a felhasználóhoz.
A csak Microsoft Entra-hitelesítés engedélyezéséhez vagy letiltásához szükséges engedélyekkel kapcsolatos további információkért tekintse meg a Microsoft Entra-only hitelesítési cikk Engedélyek szakaszát.
A példában az SQL Security Manager szerepkört rendeljük hozzá a felhasználóhozUserSqlSecurityManager@contoso.onmicrosoft.com. A Microsoft Entra-szerepköröket hozzárendelő kiemelt felhasználókkal jelentkezzen be az Azure Portalra.
Nyissa meg az SQL Server-erőforrást, és válassza a Hozzáférés-vezérlés (IAM) lehetőséget a menüben. Válassza a Hozzáadás gombot, majd a szerepkör-hozzárendelés hozzáadása lehetőséget a legördülő menüben.
A Szerepkör-hozzárendelés hozzáadása panelen válassza ki a Szerepkör SQL Security Managert, és válassza ki azt a felhasználót, aki számára engedélyezni vagy letiltani szeretné a Csak Microsoft Entra-hitelesítést.
Nyissa meg az SQL Server-erőforrást, és válassza a Microsoft Entra-azonosítót a Gépház menüben.
Ha még nem adott hozzá Microsoft Entra-rendszergazdát, ezt be kell állítania, mielőtt engedélyezheti a csak Microsoft Entra-hitelesítést.
Jelölje be a kiszolgáló csak a Microsoft Entra-hitelesítés támogatásának jelölőnégyzetét.
Megjelenik a Csak Microsoft Entra hitelesítés engedélyezése előugró ablak. Válassza az Igen lehetőséget a funkció engedélyezéséhez és a beállítás mentéséhez .
Engedélyezés felügyelt SQL-példányban az Azure Portal használatával
Ha engedélyezni szeretné a Microsoft Entra-hitelesítést az Azure Portalon, tekintse meg az alábbi lépéseket.
Lépjen a felügyelt SQL-példány erőforrására, és válassza a Microsoft Entra rendszergazdáját a Gépház menüben.
Ha még nem adott hozzá Microsoft Entra-rendszergazdát, ezt be kell állítania, mielőtt engedélyezheti a csak Microsoft Entra-hitelesítést.
Jelölje be a felügyelt példány csak a Microsoft Entra-hitelesítés támogatása jelölőnégyzetet.
Megjelenik a Csak Microsoft Entra hitelesítés engedélyezése előugró ablak. Válassza az Igen lehetőséget a funkció engedélyezéséhez és a beállítás mentéséhez .
Engedélyezés az SQL Database-ben az Azure CLI használatával
Ha engedélyezni szeretné a microsoft entra-only hitelesítést az Azure SQL Database-ben az Azure CLI használatával, tekintse meg az alábbi parancsokat. Telepítse az Azure CLI legújabb verzióját. Az Azure CLI 2.14.2-es vagy újabb verziójával kell rendelkeznie. További információ ezekről a parancsokról: az sql server ad-only-auth.
A Microsoft Entra rendszergazdájának be kell állítania a kiszolgálót a csak Microsoft Entra-hitelesítés engedélyezése előtt. Ellenkező esetben az Azure CLI-parancs sikertelen lesz.
A csak Microsoft Entra-hitelesítés engedélyezéséhez szükséges engedélyeket és műveleteket a microsoft entra-only hitelesítési cikk ismerteti.
Futtassa a következő parancsot az SQL Server nevére és <myresource> az SQL-kiszolgálót tartalmazó Azure-erőforrásra cserélve<myserver>.
az sql server ad-only-auth enable --resource-group <myresource> --name <myserver>
Engedélyezés felügyelt SQL-példányban az Azure CLI használatával
Ha engedélyezni szeretné a microsoft entra-only hitelesítést a felügyelt Azure SQL-példányban az Azure CLI használatával, tekintse meg az alábbi parancsokat. Telepítse az Azure CLI legújabb verzióját.
A Microsoft Entra rendszergazdájának be kell állítania a kiszolgálót a csak Microsoft Entra-hitelesítés engedélyezése előtt. Ellenkező esetben a PowerShell-parancs sikertelen lesz.
A csak Microsoft Entra-hitelesítés engedélyezéséhez szükséges engedélyeket és műveleteket a microsoft entra-only hitelesítési cikk ismerteti. Ha a felhasználó nem rendelkezik megfelelő engedélyekkel, a következő hibaüzenet jelenik meg:
Enable-AzSqlServerActiveDirectoryOnlyAuthentication : The client
'UserSqlServerContributor@contoso.onmicrosoft.com' with object id
'<guid>' does not have authorization to perform
action 'Microsoft.Sql/servers/azureADOnlyAuthentications/write' over scope
'/subscriptions/<guid>...'
Engedélyezés felügyelt SQL-példányban a PowerShell használatával
Ha engedélyezni szeretné a microsoft entra-only hitelesítést a felügyelt Azure SQL-példányban a PowerShell használatával, tekintse meg az alábbi parancsokat. A parancsok végrehajtásához az.Sql 2.10.0-s vagy újabb modul szükséges.
Futtassa a következő parancsot a felügyelt SQL-példány nevére és <myresource> a felügyelt SQL-példányt tartalmazó Azure-erőforrásra cserélve<myinstance>.
Nyissa meg az SQL Server-erőforrást az Azure Portalon. Válassza a Microsoft Entra-azonosítót a Gépház menüben.
Állapot ellenőrzése felügyelt SQL-példányban
Nyissa meg a felügyelt SQL-példány erőforrását az Azure Portalon. Válassza a Microsoft Entra rendszergazdát a Gépház menüben.
Ezekkel a parancsokkal ellenőrizheti, hogy engedélyezve van-e a microsoft entra-only hitelesítés az Azure SQL Database logikai kiszolgálójához vagy a felügyelt SQL-példányhoz. Az SQL Server közreműködői és a felügyelt SQL-példány közreműködői szerepköreinek tagjai ezen parancsokkal ellenőrizhetik a Csak Microsoft Entra-hitelesítés állapotát, de nem tudják engedélyezni vagy letiltani a funkciót.
Ezekkel a parancsokkal ellenőrizheti, hogy engedélyezve van-e a microsoft entra-only hitelesítés az Azure SQL Database logikai kiszolgálójához vagy a felügyelt SQL-példányhoz. Az SQL Server közreműködői és a felügyelt SQL-példány közreműködői szerepköreinek tagjai ezen parancsokkal ellenőrizhetik a Csak Microsoft Entra-hitelesítés állapotát, de nem tudják engedélyezni vagy letiltani a funkciót.
Az állapot true (Igaz) értéket ad vissza, ha a funkció engedélyezve van, és hamis értéket, ha le van tiltva.
Futtassa a következő parancsot a felügyelt SQL-példány nevére és <myresource> a felügyelt SQL-példányt tartalmazó Azure-erőforrásra cserélve<myinstance>.
A következő kimenethez hasonló sikertelen bejelentkezési üzenetet kell látnia:
Cannot connect to <myserver>.database.windows.net.
Additional information:
Login failed for user 'username'. Reason: Azure Active Directory only authentication is enabled.
Please contact your system administrator. (Microsoft SQL Server, Error: 18456)
Csak Microsoft Entra-hitelesítés letiltása
A Csak Microsoft Entra hitelesítési funkció letiltásával engedélyezheti az SQL-hitelesítést és a Microsoft Entra-hitelesítést az Azure SQL-hez.
Nyissa meg az SQL Server-erőforrást, és válassza a Microsoft Entra-azonosítót a Gépház menüben.
A Csak Microsoft Entra hitelesítési funkció letiltásához törölje a jelet a kiszolgáló csak Microsoft Entra-hitelesítésének támogatása jelölőnégyzetből, és mentse a beállítást.
Letiltás felügyelt SQL-példányban az Azure Portal használatával
Lépjen a felügyelt SQL-példány erőforrására, és válassza az Active Directory-rendszergazda lehetőséget a Gépház menüben.
A microsoft entra-only hitelesítési funkció letiltásához törölje a jelet a Csak Microsoft Entra-hitelesítés támogatása jelölőnégyzetből, és mentse a beállítást.
Letiltás az SQL Database-ben az Azure CLI használatával
Ha le szeretné tiltani a Microsoft Entra-hitelesítést az Azure SQL Database-ben az Azure CLI használatával, tekintse meg az alábbi parancsokat.
Letiltás felügyelt SQL-példányban az Azure CLI használatával
Ha le szeretné tiltani a microsoft entra-only hitelesítést a felügyelt Azure SQL-példányban az Azure CLI használatával, tekintse meg az alábbi parancsokat.
Letiltás felügyelt SQL-példányban a PowerShell használatával
Ha le szeretné tiltani a microsoft entra-only hitelesítést a felügyelt Azure SQL-példányban a PowerShell használatával, tekintse meg az alábbi parancsokat.
Az Azure SQL-hez való csatlakozás ismételt tesztelése
A microsoft entra-only hitelesítés letiltása után tesztelje a csatlakozást egy SQL-hitelesítési bejelentkezéssel. Most már csatlakoznia kell a kiszolgálóhoz vagy a példányhoz.