Assegnare il ruolo per abilitare l'autenticazione solo Microsoft Entra-only
Per abilitare o disabilitare l'autenticazione solo Entra di Microsoft, i ruoli predefiniti selezionati sono necessari per gli utenti di Microsoft Entra che eseguono queste operazioni in questa esercitazione. In questa esercitazione verrà assegnato il ruolo Gestione sicurezza SQL all'utente.
Per altre informazioni sull'autorizzazione necessaria per abilitare o disabilitare l'autenticazione solo Microsoft Entra-only, vedere la sezione Autorizzazioni dell'articolo Autenticazione solo Entra-only di Microsoft Entra.For more information on the required permission to enable or disable Microsoft Entra-only authentication, see the Permissions section of Microsoft Entra-only authentication article.
In questo esempio si assegnerà il ruolo Gestione sicurezza SQL all'utente UserSqlSecurityManager@contoso.onmicrosoft.com. Usando l'utente con privilegi che può assegnare i ruoli di Microsoft Entra, accedere al portale di Azure.
Passare alla risorsa di SQL Server e selezionare Controllo di accesso (IAM) nel menu. Selezionare il pulsante Aggiungi e quindi Aggiungi assegnazione di ruolo nel menu a discesa.
Nel riquadro Aggiungi assegnazione di ruolo selezionare Gestione sicurezza SQL ruolo e selezionare l'utente che si vuole avere la possibilità di abilitare o disabilitare l'autenticazione solo Microsoft Entra-only.
Fare clic su Salva.
Abilitare l'autenticazione solo Entra-only di Microsoft
Passare alla risorsa di SQL Server e selezionare Microsoft Entra ID nel menu Impostazioni.
Se non è stato aggiunto un amministratore di Microsoft Entra, è necessario impostarlo prima di abilitare l'autenticazione solo Entra di Microsoft.
Selezionare la casella Support only Microsoft Entra authentication for this server (Supporta solo l'autenticazione Microsoft Entra per questo server).
Verrà visualizzato il popup Enable Microsoft Entra-only authentication (Abilita autenticazione solo Entra-only). Selezionare Sì per abilitare la funzionalità e Salvare l'impostazione.
Abilitare in Istanza gestita di SQL usando portale di Azure
Per abilitare l'autenticazione solo Entra-only di Microsoft nella portale di Azure, vedere i passaggi seguenti.
Passare alla risorsa dell'istanza gestita di SQL e selezionare Amministratore di Microsoft Entra nel menu Impostazioni.
Se non è stato aggiunto un amministratore di Microsoft Entra, è necessario impostarlo prima di abilitare l'autenticazione solo Entra di Microsoft.
Selezionare la casella di controllo Support only Microsoft Entra authentication for this managed instance (Supporta solo l'autenticazione di Microsoft Entra per questa istanza gestita).
Verrà visualizzato il popup Enable Microsoft Entra-only authentication (Abilita autenticazione solo Entra-only). Selezionare Sì per abilitare la funzionalità e Salvare l'impostazione.
Abilitare in database SQL con l'interfaccia della riga di comando di Azure
Per abilitare l'autenticazione solo Entra-only in database SQL di Azure tramite l'interfaccia della riga di comando di Azure, vedere i comandi seguenti. Installare la versione più recente dell'interfaccia della riga di comando di Azure. È necessario avere l'interfaccia della riga di comando di Azure versione 2.14.2 o successiva. Per altre informazioni su questi comandi, vedere az sql server ad-only-auth.
L'amministratore di Microsoft Entra deve essere impostato per il server prima di abilitare l'autenticazione solo di Microsoft Entra.The Microsoft Entra-admin must be set for the server before enabling Microsoft Entra-only authentication. In caso contrario, il comando dell'interfaccia della riga di comando di Azure avrà esito negativo.
Per le autorizzazioni e le azioni necessarie all'utente che eseguono questi comandi per abilitare l'autenticazione solo Microsoft Entra-only, vedere l'articolo Sull'autenticazione solo Entra-only di Microsoft.
L'amministratore di Microsoft Entra deve essere impostato per il server prima di abilitare l'autenticazione solo di Microsoft Entra.The Microsoft Entra-admin must be set for the server before enabling Microsoft Entra-only authentication. In caso contrario, il comando di PowerShell avrà esito negativo.
Per le autorizzazioni e le azioni necessarie all'utente che eseguono questi comandi per abilitare l'autenticazione solo Microsoft Entra-only, vedere l'articolo Sull'autenticazione solo Entra-only di Microsoft. Se l'utente dispone di autorizzazioni insufficienti, verrà visualizzato l'errore seguente:
Enable-AzSqlServerActiveDirectoryOnlyAuthentication : The client
'UserSqlServerContributor@contoso.onmicrosoft.com' with object id
'<guid>' does not have authorization to perform
action 'Microsoft.Sql/servers/azureADOnlyAuthentications/write' over scope
'/subscriptions/<guid>...'
Eseguire il comando seguente, sostituendo <myinstance> con il nome Istanza gestita di SQL e <myresource> con la risorsa di Azure che contiene l'istanza gestita di SQL.
Passare alla risorsa di SQL Server nel portale di Azure. Selezionare Microsoft Entra ID nel menu Impostazioni.
Controllare lo stato in Istanza gestita di SQL
Passare alla risorsa dell'istanzagestita di SQL nel portale di Azure. Selezionare Microsoft Entra admin (Amministratore di Microsoft Entra) nel menu Impostazioni.
Questi comandi possono essere usati per verificare se l'autenticazione solo Entra di Microsoft è abilitata per il server logico per database SQL di Azure o Istanza gestita di SQL. I membri dei ruoli collaboratore e collaboratore di SQL Server Istanza gestita di SQL possono usare questi comandi per controllare lo stato dell'autenticazione solo Entra-only di Microsoft, ma non possono abilitare o disabilitare la funzionalità.
Questi comandi possono essere usati per verificare se l'autenticazione solo Entra di Microsoft è abilitata per il server logico per database SQL di Azure o Istanza gestita di SQL. I membri dei ruoli collaboratore e collaboratore di SQL Server Istanza gestita di SQL possono usare questi comandi per controllare lo stato dell'autenticazione solo Entra-only di Microsoft, ma non possono abilitare o disabilitare la funzionalità.
Lo stato restituirà True se la funzionalità è abilitata e False se disabilitata.
Eseguire il comando seguente, sostituendo <myinstance> con il nome Istanza gestita di SQL e <myresource> con la risorsa di Azure che contiene l'istanza gestita di SQL.
Verrà visualizzato un messaggio di accesso non riuscito simile all'output seguente:
Cannot connect to <myserver>.database.windows.net.
Additional information:
Login failed for user 'username'. Reason: Azure Active Directory only authentication is enabled.
Please contact your system administrator. (Microsoft SQL Server, Error: 18456)
Disabilitare l'autenticazione solo Entra di Microsoft
Disabilitando la funzionalità di autenticazione solo Entra di Microsoft, è possibile consentire sia l'autenticazione SQL che l'autenticazione Di Microsoft Entra per Azure SQL.
Passare alla risorsa di SQL Server e selezionare Microsoft Entra ID nel menu Impostazioni.
Per disabilitare la funzionalità di autenticazione solo Entra di Microsoft, deselezionare la casella di controllo Support only Microsoft Entra authentication for this server (Supporto solo per l'autenticazione Microsoft Entra per questo server ) e Save the setting (Salva l'impostazione).
Disabilitare in Istanza gestita di SQL usando portale di Azure
Passare alla risorsa dell'istanza gestita di SQL e selezionare Amministratore di Active Directory nel menu Impostazioni.
Per disabilitare la funzionalità di autenticazione solo Entra di Microsoft, deselezionare la casella di controllo Support only Microsoft Entra authentication for this managed instance (Supporto solo per l'autenticazione di Microsoft Entra per questa istanza gestita) e Save the setting (Salva l'impostazione).
Disabilitare in database SQL usando l'interfaccia della riga di comando di Azure
Per disabilitare l'autenticazione solo Entra-only in database SQL di Azure tramite l'interfaccia della riga di comando di Azure, vedere i comandi seguenti.
Disabilitare in Istanza gestita di SQL con l'interfaccia della riga di comando di Azure
Per disabilitare l'autenticazione solo Entra-only in Istanza gestita di SQL di Azure tramite l'interfaccia della riga di comando di Azure, vedere i comandi seguenti.
Eseguire il comando seguente, sostituendo <myinstance> con il nome Istanza gestita di SQL e <myresource> con la risorsa di Azure che contiene l'istanza gestita.
Dopo aver disabilitato l'autenticazione di Microsoft Entra-only, testare la connessione usando un account di accesso di autenticazione SQL. A questo momento dovrebbe essere possibile connettersi al server o all'istanza.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.