Csak Microsoft Entra hitelesítés az Azure SQL segítségével

A következőre vonatkozik: Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics (csak dedikált SQL-készletek)

A microsoft entra-only hitelesítés az Azure SQL-ben olyan szolgáltatás, amely lehetővé teszi, hogy a szolgáltatás csak a Microsoft Entra hitelesítést támogassa, és az Azure SQL Database és a felügyelt Azure SQL-példány esetében is támogatott.

Megjegyzés:

A Microsoft Entra ID az Azure Active Directory (Azure AD) új neve. Jelenleg frissítjük a dokumentációt.

A microsoft entra-only hitelesítés különálló kiszolgálók dedikált SQL-készleteihez (korábban SQL DW) is elérhető. A microsoft entra-only hitelesítés engedélyezhető az Azure Synapse-munkaterületen. További információ: Microsoft Entra-only authentication with Azure Synapse workspaces.

Az SQL-hitelesítés le van tiltva, ha engedélyezi a Csak Microsoft Entra-hitelesítést az Azure SQL-környezetben, beleértve az SQL Server rendszergazdáinak, bejelentkezéseinek és felhasználóinak kapcsolatait is. Csak a Microsoft Entra-hitelesítést használó felhasználók csatlakozhatnak a kiszolgálóhoz vagy az adatbázishoz.

A microsoft entra-only hitelesítés engedélyezhető vagy letiltható az Azure Portal, az Azure CLI, a PowerShell vagy a REST API használatával. A csak Microsoft Entra-hitelesítés is konfigurálható a kiszolgáló létrehozásakor egy Azure Resource Manager-sablonnal (ARM).

További információ az Azure SQL-hitelesítésről: Hitelesítés és engedélyezés.

Funkció leírása

A Csak Microsoft Entra-hitelesítés engedélyezésekor az SQL-hitelesítés le van tiltva a kiszolgáló vagy a felügyelt példány szintjén, és megakadályozza az SQL-hitelesítési hitelesítő adatokon alapuló hitelesítést. Az SQL-hitelesítés felhasználói nem fognak tudni csatlakozni az Azure SQL Database vagy a felügyelt példány logikai kiszolgálóhoz , beleértve az összes adatbázist is. Bár az SQL-hitelesítés le van tiltva, az új SQL-hitelesítési bejelentkezéseket és felhasználókat továbbra is megfelelő engedélyekkel rendelkező Microsoft Entra-fiókok hozhatják létre. Az újonnan létrehozott SQL-hitelesítési fiókok nem csatlakozhatnak a kiszolgálóhoz. A Csak Microsoft Entra-hitelesítés engedélyezése nem távolítja el a meglévő SQL-hitelesítési bejelentkezési és felhasználói fiókokat. A szolgáltatás csak megakadályozza, hogy ezek a fiókok csatlakozzanak a kiszolgálóhoz és a kiszolgálóhoz létrehozott adatbázisokhoz.

Arra is kényszerítheti a kiszolgálókat, hogy csak a Microsoft Entra-hitelesítéssel legyenek létrehozva az Azure Policy használatával. További információ: Azure Policy for Microsoft Entra-only authentication.

Permissions

A microsoft entra-only hitelesítést olyan Microsoft Entra-felhasználók engedélyezhetik vagy tilthatják le, akik magas jogosultsági szintű Microsoft Entra beépített szerepkörök tagjai, például azure-előfizetés-tulajdonosok, közreműködők és globális Rendszergazda istratorok. Emellett az SQL Security Manager szerepkör is engedélyezheti vagy letilthatja a Csak Microsoft Entra hitelesítési funkciót.

Az SQL Server közreműködői és a felügyelt SQL-példány közreműködői szerepkörei nem jogosultak a Csak Microsoft Entra hitelesítési funkció engedélyezésére vagy letiltására. Ez összhangban van a Feladatok elkülönítése megközelítéssel, ahol azok a felhasználók, akik azure SQL-kiszolgálót hozhatnak létre vagy Microsoft Entra-rendszergazdát hozhatnak létre, nem tudják engedélyezni vagy letiltani a biztonsági funkciókat.

Beavatkozás szükséges

A rendszer a következő műveleteket adja hozzá az SQL Security Manager szerepkörhöz a Csak Microsoft Entra hitelesítési funkció felügyeletének engedélyezéséhez.

• Microsoft.Sql/servers/azureADOnlyAuthentications/*
• Microsoft.Sql/servers/rendszergazdák/olvasás – csak az Azure Portal Microsoft Entra ID menüjét elérő felhasználók számára szükséges
• Microsoft.Sql/managedInstances/azureADOnlyAuthentications/*
• Microsoft.Sql/managedInstances/read

A fenti műveletek hozzáadhatók egy egyéni szerepkörhöz is a Csak Microsoft Entra-hitelesítés kezeléséhez. További információ: Egyéni szerepkör létrehozása és hozzárendelése a Microsoft Entra ID-ben.

Csak Microsoft Entra-hitelesítés kezelése API-k használatával

Fontos

A Csak Microsoft Entra hitelesítés engedélyezése előtt be kell állítani a Microsoft Entra rendszergazdát.

Azure CLI

Az Azure CLI 2.14.2-es vagy újabb verziójával kell rendelkeznie.

namea kiszolgáló vagy a példánynév előtagjának felel meg (például ) és resource-group annak az erőforrásnak felel meg, myservermyresourceamelyhez a kiszolgáló tartozik (például).

Azure SQL Database

További információ: az sql server ad-only-auth.

Az SQL Database engedélyezése vagy letiltása

Bekapcsolás

az sql server ad-only-auth enable --resource-group myresource --name myserver

Disable

az sql server ad-only-auth disable --resource-group myresource --name myserver

Állapot ellenőrzése az SQL Database-ben

az sql server ad-only-auth get --resource-group myresource --name myserver

Azure SQL Managed Instance

További információ: az sql mi ad-only-auth.

Bekapcsolás

az sql mi ad-only-auth enable --resource-group myresource --name myserver

Disable

az sql mi ad-only-auth disable --resource-group myresource --name myserver

Állapot ellenőrzése felügyelt SQL-példányban

az sql mi ad-only-auth get --resource-group myresource --name myserver

PowerShell

Az.Sql 2.10.0-s vagy újabb modulra van szükség.

ServerNamevagy InstanceName a kiszolgálónév előtagjának (például vagy myinstance) felel meg, és ResourceGroupName annak az erőforrásnak felel meg, myservermyresourceamelyhez a kiszolgáló tartozik (például).

Azure SQL Database

Az SQL Database engedélyezése vagy letiltása

Bekapcsolás

További információ: Enable-AzSqlServerActiveDirectoryOnlyAuthentication. Futtatható is get-help Enable-AzSqlServerActiveDirectoryOnlyAuthentication -full.

Enable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName myserver -ResourceGroupName myresource

A következő parancsot is használhatja:

Get-AzSqlServer -ServerName myserver | Enable-AzSqlServerActiveDirectoryOnlyAuthentication

Disable

További információ: Disable-AzSqlServerActiveDirectoryOnlyAuthentication.

Disable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName myserver -ResourceGroupName myresource

Állapot ellenőrzése az SQL Database-ben

Get-AzSqlServerActiveDirectoryOnlyAuthentication  -ServerName myserver -ResourceGroupName myresource

A következő parancsot is használhatja:

Get-AzSqlServer -ServerName myserver | Get-AzSqlServerActiveDirectoryOnlyAuthentication

Azure SQL Managed Instance

Felügyelt SQL-példány engedélyezése vagy letiltása

Bekapcsolás

További információ: Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication.

Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName myinstance -ResourceGroupName myresource

A következő parancsot is használhatja:

Get-AzSqlInstance -InstanceName myinstance | Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication

Ezekről a PowerShell-parancsokról további információt a futtatáskor talál get-help Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -full.

Disable

További információ: Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication.

Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName myinstance -ResourceGroupName myresource

Állapot ellenőrzése felügyelt SQL-példányban

Get-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName myinstance -ResourceGroupName myresource

A következő parancsot is használhatja:

Get-AzSqlInstance -InstanceName myinstance | Get-AzSqlInstanceActiveDirectoryOnlyAuthentication

REST API

A következő paramétereket kell definiálni:

• <subscriptionId>az Előfizetések az Azure Portalon való navigálásával érhető el.
• <myserver> a kiszolgáló vagy a példánynév előtagjának felel meg (például myserver).
• <myresource> annak az erőforrásnak felel meg, myresourceamelyhez a kiszolgáló tartozik (például )

A legújabb MSAL használatához töltse le a következőről https://www.powershellgallery.com/packages/MSAL.PS: .

$subscriptionId = '<subscriptionId>'
$serverName = "<myserver>"
$resourceGroupName = "<myresource>"

Azure SQL Database

További információkért tekintse meg a csak kiszolgálói Azure AD-hitelesítések REST API-dokumentációját .

Az SQL Database engedélyezése vagy letiltása

Bekapcsolás

$body = @{ properties = @{ azureADOnlyAuthentication = 1 } } | ConvertTo-Json
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Disable

$body = @{ properties = @{ azureADOnlyAuthentication = 0 } } | ConvertTo-Json
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Állapot ellenőrzése az SQL Database-ben

Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method GET -Headers $authHeader  | Format-List

Azure SQL Managed Instance

További információkért tekintse meg a csak felügyelt Azure AD Authentications REST API dokumentációját.

Felügyelt SQL-példány engedélyezése vagy letiltása

Bekapcsolás

$body = @{   properties = @{  azureADOnlyAuthentication = 1 }  } | ConvertTo-Json 
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Disable

$body = @{   properties = @{  azureADOnlyAuthentication = 0 }  } | ConvertTo-Json 
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Állapot ellenőrzése felügyelt SQL-példányban

Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method GET -Headers $authHeader  | Format-List

ARM Template

• Adja meg a Microsoft Entra rendszergazdájának az üzembe helyezést. A felhasználói objektumazonosítót az Azure Portalon találja meg, és navigál a Microsoft Entra ID-erőforráshoz. A Kezelés alatt válassza a Felhasználókat. Keresse meg az Azure SQL Server Microsoft Entra-rendszergazdájaként beállítani kívánt felhasználót. Jelölje ki a felhasználót, és a profillapon megjelenik az objektumazonosító.
• A bérlőazonosító a Microsoft Entra ID-erőforrás Áttekintés lapján található.

Azure SQL Database

Enable

Az alábbi ARM-sablon lehetővé teszi a microsoft entra-only hitelesítést az Azure SQL Database-ben. A csak Microsoft Entra-hitelesítés letiltásához állítsa a tulajdonságot a azureADOnlyAuthentication következőre false: .

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "sqlServer_name": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String"
        },
        "aad_admin_objectid": {
            "type": "String"
        },
        "aad_admin_tenantid": {
            "type": "String"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers/administrators",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('sqlServer_name'), '/ActiveDirectory')]",
            "properties": {
                "administratorType": "ActiveDirectory",
                "login": "[parameters('aad_admin_name')]",
                "sid": "[parameters('aad_admin_objectid')]",
                "tenantId": "[parameters('aad_admin_tenantId')]"
            }
        },        
        {
            "type": "Microsoft.Sql/servers/azureADOnlyAuthentications",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('sqlServer_name'), '/Default')]",
            "dependsOn": [
                "[resourceId('Microsoft.Sql/servers/administrators', parameters('sqlServer_name'), 'ActiveDirectory')]"
            ],
            "properties": {
                "azureADOnlyAuthentication": true
            }
        }
    ]
}

További információ: Microsoft.Sql servers/azureADOnlyAuthentications.

Azure SQL Managed Instance

Enable

Az alábbi ARM-sablon lehetővé teszi a microsoft entra-only hitelesítést a felügyelt Azure SQL-példányban. A csak Microsoft Entra-hitelesítés letiltásához állítsa a tulajdonságot a azureADOnlyAuthentication következőre false: .

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "instance": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String"
        },
        "aad_admin_objectid": {
            "type": "String"
        },
        "aad_admin_tenantid": {
            "type": "String"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/managedInstances/administrators",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('instance'), '/ActiveDirectory')]",
            "properties": {
                "administratorType": "ActiveDirectory",
                "login": "[parameters('aad_admin_name')]",
                "sid": "[parameters('aad_admin_objectid')]",
                "tenantId": "[parameters('aad_admin_tenantId')]"
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances/azureADOnlyAuthentications",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('instance'), '/Default')]",
            "dependsOn": [
                "[resourceId('Microsoft.Sql/managedInstances/administrators', parameters('instance'), 'ActiveDirectory')]"
            ],
            "properties": {
                "azureADOnlyAuthentication": true
            }
        }
    ]
}

További információ: Microsoft.Sql managedInstances/azureADOnlyAuthentications.

Csak Microsoft Entra-hitelesítés ellenőrzése T-SQL használatával

A Standard kiadás RVERPROPERTYIsExternalAuthenticationOnly hozzáadva annak ellenőrzéséhez, hogy engedélyezve van-e a microsoft entra-only hitelesítés a kiszolgálóhoz vagy a felügyelt példányhoz. 1 azt jelzi, hogy a szolgáltatás engedélyezve van, és 0 azt jelzi, hogy a funkció le van tiltva.

SELECT SERVERPROPERTY('IsExternalAuthenticationOnly') 

Remarks

• Az SQL Server-közreműködők beállíthatnak vagy eltávolíthatnak Egy Microsoft Entra-rendszergazdát, de nem állíthatják be a Microsoft Entra hitelesítési beállítását . Az SQL Security Manager nem tud Microsoft Entra-rendszergazdat beállítani vagy eltávolítani, de csak a Microsoft Entra hitelesítési beállítást állíthatja be. Csak a magasabb Azure RBAC-szerepkörökkel vagy egyéni szerepkörökkel rendelkező fiókok állíthatnak be vagy távolíthatnak el Microsoft Entra-rendszergazdákat, és csak a Microsoft Entra-hitelesítés beállítását állíthatják be. Ilyen szerepkör a Közreműködő szerepkör.
• Miután csak az Azure Portalon engedélyezte vagy letiltotta a Microsoft Entra-hitelesítést, az SQL Server menüjében megjelenik egy tevékenységnapló-bejegyzés.
• A Csak Microsoft Entra hitelesítési beállítást csak a megfelelő engedélyekkel rendelkező felhasználók engedélyezhetik vagy tilthatják le, ha a Microsoft Entra rendszergazdája meg van adva. Ha a Microsoft Entra rendszergazdája nincs beállítva, a Microsoft Entra hitelesítési beállítása inaktív marad, és nem engedélyezhető vagy letiltható. Ha a Microsoft Entra rendszergazdája nincs beállítva, az API-k használata a csak Microsoft Entra-hitelesítés engedélyezésére is sikertelen lesz.
• Ha a Microsoft Entra-hitelesítés engedélyezve van, a Microsoft Entra rendszergazdájának módosítása a megfelelő engedélyekkel rendelkező felhasználók számára támogatott.
• A Microsoft Entra-rendszergazda módosítása és a csak Microsoft Entra-hitelesítés engedélyezése vagy letiltása az Azure Portalon engedélyezett a megfelelő engedélyekkel rendelkező felhasználók számára. Mindkét művelet elvégezhető egy Mentéssel az Azure Portalon. A Csak Microsoft Entra-hitelesítés engedélyezéséhez be kell állítani a Microsoft Entra rendszergazdát.
• Nem támogatott a Microsoft Entra-rendszergazda eltávolítása, ha a Csak Microsoft Entra hitelesítési funkció engedélyezve van. Ha egy API-t használ a Microsoft Entra-rendszergazda eltávolítására, az nem fog sikerülni, ha engedélyezve van a Microsoft Entra-hitelesítés.
  • Ha a Microsoft Entra hitelesítési beállítás engedélyezve van, a Rendszergazda eltávolítása gomb inaktív az Azure Portalon.
• A Microsoft Entra-rendszergazda eltávolítása és a Microsoft Entra hitelesítési beállítás letiltása csak engedélyezett, de a műveletek elvégzéséhez megfelelő felhasználói engedély szükséges. Mindkét művelet elvégezhető egy Mentéssel az Azure Portalon.
• A megfelelő engedélyekkel rendelkező Microsoft Entra-felhasználók megszemélyesíthetik a meglévő SQL-felhasználókat.
  • A megszemélyesítés akkor is működik az SQL-hitelesítés felhasználói között, ha engedélyezve van a Csak Microsoft Entra hitelesítési funkció.

Csak Microsoft Entra-hitelesítés korlátozásai az SQL Database-ben

Ha a Csak Microsoft Entra hitelesítés engedélyezve van az SQL Database-ben, a következő funkciók nem támogatottak:

• Az Azure SQL Database-kiszolgálói szerepkörök támogatottak a Microsoft Entra-kiszolgálónevek esetében, de nem, ha a Microsoft Entra-bejelentkezés egy csoport.
• Rugalmas feladatok
• SQL-adatszinkronizálás
• Adatrögzítés módosítása (CDC) – Ha Microsoft Entra-felhasználóként hoz létre adatbázist az Azure SQL Database-ben, és engedélyezi rajta a módosítási adatrögzítést, az SQL-felhasználó nem fogja tudni letiltani vagy módosítani a CDC-összetevőket. Egy másik Microsoft Entra-felhasználó azonban képes lesz engedélyezni vagy letiltani a CDC-t ugyanazon az adatbázisban. Hasonlóképpen, ha SQL-felhasználóként hoz létre Azure SQL Database-adatbázist, a CDC Microsoft Entra-felhasználóként való engedélyezése vagy letiltása nem fog működni
• Tranzakciós replikáció – Mivel a replikáció résztvevői közötti kapcsolathoz SQL-hitelesítés szükséges, a csak Microsoft Entra-hitelesítés engedélyezése esetén a tranzakciós replikáció nem támogatott az SQL Database-ben olyan esetekben, amikor tranzakciós replikációt használnak a felügyelt Azure SQL-példányon, a helyszíni SQL Serveren vagy egy Azure-beli virtuálisgép-SQL Server-példányon végrehajtott módosítások leküldéséhez egy Azure SQL Database-adatbázisba
• SQL Elemzések (előzetes verzió)
• EXEC AS utasítás Microsoft Entra-csoporttag-fiókokhoz

A Csak Microsoft Entra-hitelesítés korlátozásai felügyelt példányban

Ha a Csak Microsoft Entra-hitelesítés engedélyezve van a felügyelt példányhoz, a következő funkciók nem támogatottak:

• Transactional replication
• A felügyelt példányban lévő SQL Agent-feladatok támogatják a Microsoft Entra-hitelesítést. A Felügyelt példányhoz hozzáféréssel rendelkező Microsoft Entra-csoport tagjaként működő Microsoft Entra-felhasználó azonban nem rendelkezhet SQL Agent-feladattal
• SQL Elemzések (előzetes verzió)
• EXEC AS utasítás Microsoft Entra-csoporttag-fiókokhoz

További korlátozásokért tekintse meg az SQL Server és az Azure SQL Managed Instance közötti T-SQL-különbségeket.

További lépések

Oktatóanyag: Csak Microsoft Entra-hitelesítés engedélyezése az Azure SQL-lel

Kiszolgáló létrehozása csak Microsoft Entra-hitelesítéssel az Azure SQL-ben