Csak Microsoft Entra hitelesítés az Azure SQL segítségével
A következőre vonatkozik: Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics (csak dedikált SQL-készletek)
A microsoft entra-only hitelesítés az Azure SQL-ben olyan szolgáltatás, amely lehetővé teszi, hogy a szolgáltatás csak a Microsoft Entra hitelesítést támogassa, és az Azure SQL Database és a felügyelt Azure SQL-példány esetében is támogatott.
Megjegyzés:
A Microsoft Entra ID az Azure Active Directory (Azure AD) új neve. Jelenleg frissítjük a dokumentációt.
A microsoft entra-only hitelesítés különálló kiszolgálók dedikált SQL-készleteihez (korábban SQL DW) is elérhető. A microsoft entra-only hitelesítés engedélyezhető az Azure Synapse-munkaterületen. További információ: Microsoft Entra-only authentication with Azure Synapse workspaces.
Az SQL-hitelesítés le van tiltva, ha engedélyezi a Csak Microsoft Entra-hitelesítést az Azure SQL-környezetben, beleértve az SQL Server rendszergazdáinak, bejelentkezéseinek és felhasználóinak kapcsolatait is. Csak a Microsoft Entra-hitelesítést használó felhasználók csatlakozhatnak a kiszolgálóhoz vagy az adatbázishoz.
A microsoft entra-only hitelesítés engedélyezhető vagy letiltható az Azure Portal, az Azure CLI, a PowerShell vagy a REST API használatával. A csak Microsoft Entra-hitelesítés is konfigurálható a kiszolgáló létrehozásakor egy Azure Resource Manager-sablonnal (ARM).
További információ az Azure SQL-hitelesítésről: Hitelesítés és engedélyezés.
Funkció leírása
A Csak Microsoft Entra-hitelesítés engedélyezésekor az SQL-hitelesítés le van tiltva a kiszolgáló vagy a felügyelt példány szintjén, és megakadályozza az SQL-hitelesítési hitelesítő adatokon alapuló hitelesítést. Az SQL-hitelesítés felhasználói nem fognak tudni csatlakozni az Azure SQL Database vagy a felügyelt példány logikai kiszolgálóhoz , beleértve az összes adatbázist is. Bár az SQL-hitelesítés le van tiltva, az új SQL-hitelesítési bejelentkezéseket és felhasználókat továbbra is megfelelő engedélyekkel rendelkező Microsoft Entra-fiókok hozhatják létre. Az újonnan létrehozott SQL-hitelesítési fiókok nem csatlakozhatnak a kiszolgálóhoz. A Csak Microsoft Entra-hitelesítés engedélyezése nem távolítja el a meglévő SQL-hitelesítési bejelentkezési és felhasználói fiókokat. A szolgáltatás csak megakadályozza, hogy ezek a fiókok csatlakozzanak a kiszolgálóhoz és a kiszolgálóhoz létrehozott adatbázisokhoz.
Arra is kényszerítheti a kiszolgálókat, hogy csak a Microsoft Entra-hitelesítéssel legyenek létrehozva az Azure Policy használatával. További információ: Azure Policy for Microsoft Entra-only authentication.
Permissions
A microsoft entra-only hitelesítést olyan Microsoft Entra-felhasználók engedélyezhetik vagy tilthatják le, akik magas jogosultsági szintű Microsoft Entra beépített szerepkörök tagjai, például azure-előfizetés-tulajdonosok, közreműködők és globális Rendszergazda istratorok. Emellett az SQL Security Manager szerepkör is engedélyezheti vagy letilthatja a Csak Microsoft Entra hitelesítési funkciót.
Az SQL Server közreműködői és a felügyelt SQL-példány közreműködői szerepkörei nem jogosultak a Csak Microsoft Entra hitelesítési funkció engedélyezésére vagy letiltására. Ez összhangban van a Feladatok elkülönítése megközelítéssel, ahol azok a felhasználók, akik azure SQL-kiszolgálót hozhatnak létre vagy Microsoft Entra-rendszergazdát hozhatnak létre, nem tudják engedélyezni vagy letiltani a biztonsági funkciókat.
Beavatkozás szükséges
A rendszer a következő műveleteket adja hozzá az SQL Security Manager szerepkörhöz a Csak Microsoft Entra hitelesítési funkció felügyeletének engedélyezéséhez.
- Microsoft.Sql/servers/azureADOnlyAuthentications/*
- Microsoft.Sql/servers/rendszergazdák/olvasás – csak az Azure Portal Microsoft Entra ID menüjét elérő felhasználók számára szükséges
- Microsoft.Sql/managedInstances/azureADOnlyAuthentications/*
- Microsoft.Sql/managedInstances/read
A fenti műveletek hozzáadhatók egy egyéni szerepkörhöz is a Csak Microsoft Entra-hitelesítés kezeléséhez. További információ: Egyéni szerepkör létrehozása és hozzárendelése a Microsoft Entra ID-ben.
Csak Microsoft Entra-hitelesítés kezelése API-k használatával
Fontos
A Csak Microsoft Entra hitelesítés engedélyezése előtt be kell állítani a Microsoft Entra rendszergazdát.
Az Azure CLI 2.14.2-es vagy újabb verziójával kell rendelkeznie.
name
a kiszolgáló vagy a példánynév előtagjának felel meg (például ) és resource-group
annak az erőforrásnak felel meg, myserver
myresource
amelyhez a kiszolgáló tartozik (például).
Azure SQL Database
További információ: az sql server ad-only-auth.
Az SQL Database engedélyezése vagy letiltása
Bekapcsolás
az sql server ad-only-auth enable --resource-group myresource --name myserver
Disable
az sql server ad-only-auth disable --resource-group myresource --name myserver
Állapot ellenőrzése az SQL Database-ben
az sql server ad-only-auth get --resource-group myresource --name myserver
Azure SQL Managed Instance
További információ: az sql mi ad-only-auth.
Bekapcsolás
az sql mi ad-only-auth enable --resource-group myresource --name myserver
Disable
az sql mi ad-only-auth disable --resource-group myresource --name myserver
Állapot ellenőrzése felügyelt SQL-példányban
az sql mi ad-only-auth get --resource-group myresource --name myserver
Csak Microsoft Entra-hitelesítés ellenőrzése T-SQL használatával
A Standard kiadás RVERPROPERTYIsExternalAuthenticationOnly
hozzáadva annak ellenőrzéséhez, hogy engedélyezve van-e a microsoft entra-only hitelesítés a kiszolgálóhoz vagy a felügyelt példányhoz. 1
azt jelzi, hogy a szolgáltatás engedélyezve van, és 0
azt jelzi, hogy a funkció le van tiltva.
SELECT SERVERPROPERTY('IsExternalAuthenticationOnly')
Remarks
- Az SQL Server-közreműködők beállíthatnak vagy eltávolíthatnak Egy Microsoft Entra-rendszergazdát, de nem állíthatják be a Microsoft Entra hitelesítési beállítását . Az SQL Security Manager nem tud Microsoft Entra-rendszergazdat beállítani vagy eltávolítani, de csak a Microsoft Entra hitelesítési beállítást állíthatja be. Csak a magasabb Azure RBAC-szerepkörökkel vagy egyéni szerepkörökkel rendelkező fiókok állíthatnak be vagy távolíthatnak el Microsoft Entra-rendszergazdákat, és csak a Microsoft Entra-hitelesítés beállítását állíthatják be. Ilyen szerepkör a Közreműködő szerepkör.
- Miután csak az Azure Portalon engedélyezte vagy letiltotta a Microsoft Entra-hitelesítést, az SQL Server menüjében megjelenik egy tevékenységnapló-bejegyzés.
- A Csak Microsoft Entra hitelesítési beállítást csak a megfelelő engedélyekkel rendelkező felhasználók engedélyezhetik vagy tilthatják le, ha a Microsoft Entra rendszergazdája meg van adva. Ha a Microsoft Entra rendszergazdája nincs beállítva, a Microsoft Entra hitelesítési beállítása inaktív marad, és nem engedélyezhető vagy letiltható. Ha a Microsoft Entra rendszergazdája nincs beállítva, az API-k használata a csak Microsoft Entra-hitelesítés engedélyezésére is sikertelen lesz.
- Ha a Microsoft Entra-hitelesítés engedélyezve van, a Microsoft Entra rendszergazdájának módosítása a megfelelő engedélyekkel rendelkező felhasználók számára támogatott.
- A Microsoft Entra-rendszergazda módosítása és a csak Microsoft Entra-hitelesítés engedélyezése vagy letiltása az Azure Portalon engedélyezett a megfelelő engedélyekkel rendelkező felhasználók számára. Mindkét művelet elvégezhető egy Mentéssel az Azure Portalon. A Csak Microsoft Entra-hitelesítés engedélyezéséhez be kell állítani a Microsoft Entra rendszergazdát.
- Nem támogatott a Microsoft Entra-rendszergazda eltávolítása, ha a Csak Microsoft Entra hitelesítési funkció engedélyezve van. Ha egy API-t használ a Microsoft Entra-rendszergazda eltávolítására, az nem fog sikerülni, ha engedélyezve van a Microsoft Entra-hitelesítés.
- Ha a Microsoft Entra hitelesítési beállítás engedélyezve van, a Rendszergazda eltávolítása gomb inaktív az Azure Portalon.
- A Microsoft Entra-rendszergazda eltávolítása és a Microsoft Entra hitelesítési beállítás letiltása csak engedélyezett, de a műveletek elvégzéséhez megfelelő felhasználói engedély szükséges. Mindkét művelet elvégezhető egy Mentéssel az Azure Portalon.
- A megfelelő engedélyekkel rendelkező Microsoft Entra-felhasználók megszemélyesíthetik a meglévő SQL-felhasználókat.
- A megszemélyesítés akkor is működik az SQL-hitelesítés felhasználói között, ha engedélyezve van a Csak Microsoft Entra hitelesítési funkció.
Csak Microsoft Entra-hitelesítés korlátozásai az SQL Database-ben
Ha a Csak Microsoft Entra hitelesítés engedélyezve van az SQL Database-ben, a következő funkciók nem támogatottak:
- Az Azure SQL Database-kiszolgálói szerepkörök támogatottak a Microsoft Entra-kiszolgálónevek esetében, de nem, ha a Microsoft Entra-bejelentkezés egy csoport.
- Rugalmas feladatok
- SQL-adatszinkronizálás
- Adatrögzítés módosítása (CDC) – Ha Microsoft Entra-felhasználóként hoz létre adatbázist az Azure SQL Database-ben, és engedélyezi rajta a módosítási adatrögzítést, az SQL-felhasználó nem fogja tudni letiltani vagy módosítani a CDC-összetevőket. Egy másik Microsoft Entra-felhasználó azonban képes lesz engedélyezni vagy letiltani a CDC-t ugyanazon az adatbázisban. Hasonlóképpen, ha SQL-felhasználóként hoz létre Azure SQL Database-adatbázist, a CDC Microsoft Entra-felhasználóként való engedélyezése vagy letiltása nem fog működni
- Tranzakciós replikáció – Mivel a replikáció résztvevői közötti kapcsolathoz SQL-hitelesítés szükséges, a csak Microsoft Entra-hitelesítés engedélyezése esetén a tranzakciós replikáció nem támogatott az SQL Database-ben olyan esetekben, amikor tranzakciós replikációt használnak a felügyelt Azure SQL-példányon, a helyszíni SQL Serveren vagy egy Azure-beli virtuálisgép-SQL Server-példányon végrehajtott módosítások leküldéséhez egy Azure SQL Database-adatbázisba
- SQL Elemzések (előzetes verzió)
- EXEC AS utasítás Microsoft Entra-csoporttag-fiókokhoz
A Csak Microsoft Entra-hitelesítés korlátozásai felügyelt példányban
Ha a Csak Microsoft Entra-hitelesítés engedélyezve van a felügyelt példányhoz, a következő funkciók nem támogatottak:
- Transactional replication
- A felügyelt példányban lévő SQL Agent-feladatok támogatják a Microsoft Entra-hitelesítést. A Felügyelt példányhoz hozzáféréssel rendelkező Microsoft Entra-csoport tagjaként működő Microsoft Entra-felhasználó azonban nem rendelkezhet SQL Agent-feladattal
- SQL Elemzések (előzetes verzió)
- EXEC AS utasítás Microsoft Entra-csoporttag-fiókokhoz
További korlátozásokért tekintse meg az SQL Server és az Azure SQL Managed Instance közötti T-SQL-különbségeket.