Uwierzytelnianie tylko za pomocą usługi Microsoft Entra w usłudze Azure SQL

Dotyczy: Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics (tylko dedykowane pule SQL)

Uwierzytelnianie tylko w usłudze Microsoft Entra jest funkcją w usłudze Azure SQL , która umożliwia usłudze tylko obsługę uwierzytelniania entra firmy Microsoft i jest obsługiwana w przypadku usług Azure SQL Database i Azure SQL Managed Instance.

Uwaga

Microsoft Entra ID był wcześniej znany jako Azure Active Directory (Azure AD).

Uwierzytelnianie tylko firmy Microsoft jest dostępne dla dedykowanych pul SQL (dawniej SQL DW) na serwerach autonomicznych. Dla obszaru roboczego usługi Azure Synapse można włączyć uwierzytelnianie tylko firmy Microsoft. Aby uzyskać więcej informacji, zobacz Microsoft Entra-only authentication with Azure Synapse workspaces (Uwierzytelnianie tylko firmy Microsoft w obszarach roboczych usługi Azure Synapse).

Uwierzytelnianie SQL jest wyłączone podczas włączania uwierzytelniania tylko firmy Microsoft w środowisku Azure SQL, w tym połączeń od administratorów programu SQL Server, identyfikatorów logowania i użytkowników. Tylko użytkownicy korzystający z uwierzytelniania entra firmy Microsoft są autoryzowani do łączenia się z serwerem lub bazą danych.

Uwierzytelnianie tylko firmy Microsoft można włączyć lub wyłączyć przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure, programu PowerShell lub interfejsu API REST. Uwierzytelnianie tylko firmy Microsoft można skonfigurować podczas tworzenia serwera przy użyciu szablonu usługi Azure Resource Manager (ARM).

Aby uzyskać więcej informacji na temat uwierzytelniania usługi Azure SQL, zobacz Uwierzytelnianie i autoryzacja.

Opis funkcji

Podczas włączania uwierzytelniania tylko firmy Microsoft uwierzytelnianie SQL jest wyłączone na poziomie serwera lub wystąpienia zarządzanego i uniemożliwia uwierzytelnianie na podstawie poświadczeń uwierzytelniania SQL. Użytkownicy uwierzytelniania SQL nie będą mogli łączyć się z serwerem logicznym dla usługi Azure SQL Database lub wystąpienia zarządzanego, w tym ze wszystkimi jego bazami danych. Mimo że uwierzytelnianie SQL jest wyłączone, nowe identyfikatory logowania uwierzytelniania SQL i użytkownicy mogą być nadal tworzeni przez konta microsoft Entra z odpowiednimi uprawnieniami. Nowo utworzone konta uwierzytelniania SQL nie będą mogły łączyć się z serwerem. Włączenie uwierzytelniania tylko firmy Microsoft nie powoduje usunięcia istniejących identyfikatorów logowania uwierzytelniania SQL i kont użytkowników. Ta funkcja uniemożliwia tylko nawiązywanie połączenia z serwerem przez te konta oraz z dowolną bazą danych utworzoną dla tego serwera.

Można również wymusić tworzenie serwerów przy użyciu uwierzytelniania tylko firmy Microsoft włączonego przy użyciu usługi Azure Policy. Aby uzyskać więcej informacji, zobacz Azure Policy for Microsoft Entra-only authentication (Uwierzytelnianie tylko w usłudze Azure Policy dla firmy Microsoft).

Uprawnienia

Uwierzytelnianie tylko firmy Microsoft można włączyć lub wyłączyć przez użytkowników firmy Microsoft Entra, którzy są członkami wysoko uprzywilejowanych wbudowanych ról firmy Microsoft Entra, takich jak właściciele subskrypcji platformy Azure, współautorzy i globalne Administracja istratory. Ponadto rola Menedżer zabezpieczeń SQL może również włączać lub wyłączać funkcję uwierzytelniania tylko firmy Microsoft.

Role współautora programu SQL Server i współautora usługi SQL Managed Instance nie będą miały uprawnień do włączania ani wyłączania funkcji uwierzytelniania tylko firmy Microsoft. Jest to zgodne z podejściem Separacja obowiązków , w którym użytkownicy, którzy mogą utworzyć serwer Azure SQL lub utworzyć administratora firmy Microsoft Entra, nie mogą włączać ani wyłączać funkcji zabezpieczeń.

Wymagane akcje

Następujące akcje są dodawane do roli Menedżera zabezpieczeń SQL, aby umożliwić zarządzanie funkcją uwierzytelniania tylko firmy Microsoft.

• Microsoft.Sql/servers/azureADOnlyAuthentications/*
• Microsoft.Sql/servers/administrators/read — wymagane tylko dla użytkowników korzystających z menu Microsoft Entra ID witryny Azure Portal
• Microsoft.Sql/managedInstances/azureADOnlyAuthentications/*
• Microsoft.Sql/managedInstances/read

Powyższe akcje można również dodać do roli niestandardowej w celu zarządzania uwierzytelnianiem tylko firmy Microsoft. Więcej informacji zawiera sekcja Tworzenie i przypisywanie roli niestandardowej w Microsoft Entra ID.

Zarządzanie uwierzytelnianiem tylko firmy Microsoft przy użyciu interfejsów API

Ważne

Administrator firmy Microsoft Entra musi być ustawiony przed włączeniem uwierzytelniania tylko w usłudze Microsoft Entra.

Interfejs wiersza polecenia platformy Azure

Musisz mieć interfejs wiersza polecenia platformy Azure w wersji 2.14.2 lub nowszej.

name odpowiada prefiksowi nazwy serwera lub wystąpienia (na przykład myserver) i resource-group odpowiada zasobowi, do którego należy serwer (na przykład myresource).

Azure SQL Database

Aby uzyskać więcej informacji, zobacz az sql server ad-only-auth.

Włączanie lub wyłączanie w usłudze SQL Database

Włączone

az sql server ad-only-auth enable --resource-group myresource --name myserver

Wyłącz

az sql server ad-only-auth disable --resource-group myresource --name myserver

Sprawdzanie stanu w usłudze SQL Database

az sql server ad-only-auth get --resource-group myresource --name myserver

Wystąpienie zarządzane Azure SQL

Aby uzyskać więcej informacji, zobacz az sql mi ad-only-auth.

Włączone

az sql mi ad-only-auth enable --resource-group myresource --name myserver

Wyłącz

az sql mi ad-only-auth disable --resource-group myresource --name myserver

Sprawdzanie stanu w usłudze SQL Managed Instance

az sql mi ad-only-auth get --resource-group myresource --name myserver

Program PowerShell

Wymagany jest moduł Az.Sql 2.10.0 lub nowszy.

ServerName lub InstanceName odpowiada prefiksowi nazwy serwera (na przykład myserver lub myinstance) i ResourceGroupName odpowiada zasobowi, do którego należy serwer (na przykład myresource).

Azure SQL Database

Włączanie lub wyłączanie w usłudze SQL Database

Włączone

Aby uzyskać więcej informacji, zobacz Enable-AzSqlServerActiveDirectoryOnlyAuthentication. Można również uruchomić polecenie get-help Enable-AzSqlServerActiveDirectoryOnlyAuthentication -full.

Enable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName myserver -ResourceGroupName myresource

Możesz również użyć następującego polecenia:

Get-AzSqlServer -ServerName myserver | Enable-AzSqlServerActiveDirectoryOnlyAuthentication

Wyłącz

Aby uzyskać więcej informacji, zobacz Disable-AzSqlServerActiveDirectoryOnlyAuthentication.

Disable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName myserver -ResourceGroupName myresource

Sprawdzanie stanu w usłudze SQL Database

Get-AzSqlServerActiveDirectoryOnlyAuthentication  -ServerName myserver -ResourceGroupName myresource

Możesz również użyć następującego polecenia:

Get-AzSqlServer -ServerName myserver | Get-AzSqlServerActiveDirectoryOnlyAuthentication

Wystąpienie zarządzane Azure SQL

Włączanie lub wyłączanie w usłudze SQL Managed Instance

Włączone

Aby uzyskać więcej informacji, zobacz Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication.

Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName myinstance -ResourceGroupName myresource

Możesz również użyć następującego polecenia:

Get-AzSqlInstance -InstanceName myinstance | Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication

Aby uzyskać więcej informacji na temat tych poleceń programu PowerShell, uruchom polecenie get-help Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -full.

Wyłącz

Aby uzyskać więcej informacji, zobacz Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication.

Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName myinstance -ResourceGroupName myresource

Sprawdzanie stanu w usłudze SQL Managed Instance

Get-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName myinstance -ResourceGroupName myresource

Możesz również użyć następującego polecenia:

Get-AzSqlInstance -InstanceName myinstance | Get-AzSqlInstanceActiveDirectoryOnlyAuthentication

Interfejs API REST

Należy zdefiniować następujące parametry:

• <subscriptionId> Można go znaleźć, przechodząc do obszaru Subskrypcje w witrynie Azure Portal.
• <myserver> odpowiada prefiksowi nazwy serwera lub wystąpienia (na przykład myserver).
• <myresource> odpowiada zasobowi, do którego należy serwer (na przykład myresource)

Aby użyć najnowszej biblioteki MSAL, pobierz ją z witryny https://www.powershellgallery.com/packages/MSAL.PS.

$subscriptionId = '<subscriptionId>'
$serverName = "<myserver>"
$resourceGroupName = "<myresource>"

Azure SQL Database

Aby uzyskać więcej informacji, zobacz dokumentację interfejsu API REST tylko uwierzytelniania usługi Azure AD serwera.

Włączanie lub wyłączanie w usłudze SQL Database

Włączone

$body = @{ properties = @{ azureADOnlyAuthentication = 1 } } | ConvertTo-Json
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Wyłącz

$body = @{ properties = @{ azureADOnlyAuthentication = 0 } } | ConvertTo-Json
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Sprawdzanie stanu w usłudze SQL Database

Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method GET -Headers $authHeader  | Format-List

Wystąpienie zarządzane Azure SQL

Aby uzyskać więcej informacji, zobacz dokumentację interfejsu API REST tylko uwierzytelniania usługi Azure AD wystąpienia zarządzanego.

Włączanie lub wyłączanie w usłudze SQL Managed Instance

Włączone

$body = @{   properties = @{  azureADOnlyAuthentication = 1 }  } | ConvertTo-Json 
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Wyłącz

$body = @{   properties = @{  azureADOnlyAuthentication = 0 }  } | ConvertTo-Json 
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Sprawdzanie stanu w usłudze SQL Managed Instance

Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method GET -Headers $authHeader  | Format-List

Szablon ARM

• Wprowadź dane administratora usługi Microsoft Entra dla wdrożenia. Identyfikator obiektu użytkownika można znaleźć, przechodząc do witryny Azure Portal i przechodząc do zasobu Microsoft Entra ID . W obszarze Zarządzanie wybierz pozycję Użytkownicy. Wyszukaj użytkownika, który chcesz ustawić jako administrator usługi Microsoft Entra dla serwera Azure SQL. Wybierz użytkownika, a na stronie Profil zostanie wyświetlony identyfikator obiektu.
• Identyfikator dzierżawy można znaleźć na stronie Przegląd zasobu Microsoft Entra ID .

Azure SQL Database

Włącz

Poniższy szablon usługi ARM umożliwia uwierzytelnianie tylko firmy Microsoft w usłudze Azure SQL Database. Aby wyłączyć uwierzytelnianie tylko w usłudze Microsoft Entra, ustaw azureADOnlyAuthentication właściwość na false.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "sqlServer_name": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String"
        },
        "aad_admin_objectid": {
            "type": "String"
        },
        "aad_admin_tenantid": {
            "type": "String"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers/administrators",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('sqlServer_name'), '/ActiveDirectory')]",
            "properties": {
                "administratorType": "ActiveDirectory",
                "login": "[parameters('aad_admin_name')]",
                "sid": "[parameters('aad_admin_objectid')]",
                "tenantId": "[parameters('aad_admin_tenantId')]"
            }
        },        
        {
            "type": "Microsoft.Sql/servers/azureADOnlyAuthentications",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('sqlServer_name'), '/Default')]",
            "dependsOn": [
                "[resourceId('Microsoft.Sql/servers/administrators', parameters('sqlServer_name'), 'ActiveDirectory')]"
            ],
            "properties": {
                "azureADOnlyAuthentication": true
            }
        }
    ]
}

Aby uzyskać więcej informacji, zobacz Microsoft.Sql servers/azureADOnlyAuthentications.

Wystąpienie zarządzane Azure SQL

Włącz

Poniższy szablon usługi ARM umożliwia uwierzytelnianie tylko firmy Microsoft w usłudze Azure SQL Managed Instance. Aby wyłączyć uwierzytelnianie tylko w usłudze Microsoft Entra, ustaw azureADOnlyAuthentication właściwość na false.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "instance": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String"
        },
        "aad_admin_objectid": {
            "type": "String"
        },
        "aad_admin_tenantid": {
            "type": "String"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/managedInstances/administrators",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('instance'), '/ActiveDirectory')]",
            "properties": {
                "administratorType": "ActiveDirectory",
                "login": "[parameters('aad_admin_name')]",
                "sid": "[parameters('aad_admin_objectid')]",
                "tenantId": "[parameters('aad_admin_tenantId')]"
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances/azureADOnlyAuthentications",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('instance'), '/Default')]",
            "dependsOn": [
                "[resourceId('Microsoft.Sql/managedInstances/administrators', parameters('instance'), 'ActiveDirectory')]"
            ],
            "properties": {
                "azureADOnlyAuthentication": true
            }
        }
    ]
}

Aby uzyskać więcej informacji, zobacz Microsoft.Sql managedInstances/azureADOnlyAuthentications.

Sprawdzanie uwierzytelniania tylko firmy Microsoft przy użyciu języka T-SQL

Dodano właściwość SERVERPROPERTYIsExternalAuthenticationOnly , aby sprawdzić, czy dla serwera lub wystąpienia zarządzanego włączono uwierzytelnianie tylko firmy Microsoft. 1 wskazuje, że funkcja jest włączona i 0 reprezentuje funkcję jest wyłączona.

SELECT SERVERPROPERTY('IsExternalAuthenticationOnly') 

Uwagi

• Współautor programu SQL Server może ustawić lub usunąć administratora firmy Microsoft Entra, ale nie może ustawić ustawienia tylko uwierzytelniania Entra firmy Microsoft. Menedżer zabezpieczeń SQL nie może ustawić ani usunąć administratora firmy Microsoft Entra, ale może ustawić tylko ustawienie uwierzytelniania Entra firmy Microsoft. Tylko konta z wyższymi rolami RBAC platformy Azure lub rolami niestandardowymi, które zawierają oba uprawnienia, mogą ustawić lub usunąć administratora usługi Microsoft Entra i ustawić tylko ustawienie uwierzytelniania entra firmy Microsoft. Jedną z takich ról jest rola Współautor .
• Po włączeniu lub wyłączeniu uwierzytelniania w usłudze Microsoft Entra tylko w witrynie Azure Portal wpis dziennika aktywności można zobaczyć w menu programu SQL Server .
• Ustawienie Tylko uwierzytelnianie entra firmy Microsoft można włączyć lub wyłączyć tylko przez użytkowników z odpowiednimi uprawnieniami, jeśli określono administratora firmy Microsoft Entra. Jeśli administrator firmy Microsoft Entra nie jest ustawiony, ustawienie uwierzytelniania Entra firmy Microsoft pozostaje nieaktywne i nie można go włączyć ani wyłączyć. Włączenie uwierzytelniania tylko firmy Microsoft przy użyciu interfejsów API zakończy się niepowodzeniem, jeśli administrator firmy Microsoft Entra nie został ustawiony.
• Zmiana administratora firmy Microsoft Entra, gdy włączono uwierzytelnianie tylko firmy Microsoft, jest obsługiwane dla użytkowników z odpowiednimi uprawnieniami.
• Zmiana administratora entra firmy Microsoft i włączenie lub wyłączenie uwierzytelniania tylko firmy Microsoft jest dozwolone w witrynie Azure Portal dla użytkowników z odpowiednimi uprawnieniami. Obie operacje można wykonać przy użyciu jednego polecenia Zapisz w witrynie Azure Portal. Aby włączyć uwierzytelnianie tylko w usłudze Microsoft Entra, należy ustawić administratora entra firmy Microsoft.
• Usunięcie administratora firmy Microsoft Entra, gdy funkcja uwierzytelniania tylko dla firmy Microsoft jest włączona, nie jest obsługiwana. Usunięcie administratora entra firmy Microsoft przy użyciu interfejsu API zakończy się niepowodzeniem, jeśli włączono uwierzytelnianie tylko firmy Microsoft.
  • Jeśli ustawienie Tylko uwierzytelnianie entra firmy Microsoft jest włączone, przycisk Usuń administratora jest nieaktywny w witrynie Azure Portal.
• Usunięcie administratora firmy Microsoft Entra i wyłączenie ustawienia tylko uwierzytelniania Entra firmy Microsoft jest dozwolone, ale wymaga odpowiedniego uprawnienia użytkownika do ukończenia operacji. Obie operacje można wykonać przy użyciu jednego polecenia Zapisz w witrynie Azure Portal.
• Użytkownicy firmy Microsoft Entra z odpowiednimi uprawnieniami mogą personifikować istniejących użytkowników SQL.
  • Personifikacja kontynuuje pracę między użytkownikami uwierzytelniania SQL, nawet jeśli funkcja uwierzytelniania tylko firmy Microsoft jest włączona.

Ograniczenia dotyczące uwierzytelniania tylko w usłudze SQL Database firmy Microsoft

Jeśli dla usługi SQL Database jest włączone uwierzytelnianie tylko w usłudze Microsoft Entra, następujące funkcje nie są obsługiwane:

• Role serwera usługi Azure SQL Database są obsługiwane dla podmiotów zabezpieczeń serwera Firmy Microsoft Entra, ale nie w przypadku, gdy identyfikator logowania firmy Microsoft Entra jest grupą.
• Zadania elastyczne
• SQL Data Sync
• Przechwytywanie zmian danych (CDC) — jeśli tworzysz bazę danych w usłudze Azure SQL Database jako użytkownik usługi Microsoft Entra i włączysz przechwytywanie danych zmian, użytkownik SQL nie będzie mógł wyłączyć ani wprowadzić zmian w artefaktach CDC. Jednak inny użytkownik firmy Microsoft Entra będzie mógł włączyć lub wyłączyć usługę CDC w tej samej bazie danych. Podobnie jeśli utworzysz usługę Azure SQL Database jako użytkownik SQL, włączenie lub wyłączenie usługi CDC jako użytkownik usługi Microsoft Entra nie będzie działać
• Replikacja transakcyjna — ponieważ uwierzytelnianie SQL jest wymagane w przypadku łączności między uczestnikami replikacji, gdy włączono uwierzytelnianie tylko w usłudze Microsoft Entra, replikacja transakcyjna nie jest obsługiwana w przypadku usługi SQL Database w scenariuszach, w których replikacja transakcyjna jest używana do wypychania zmian wprowadzonych w wystąpieniu usługi Azure SQL Managed Instance, lokalnym programie SQL Server lub wystąpieniu programu SQL Server maszyny wirtualnej platformy Azure do bazy danych w usłudze Azure SQL Database
• Szczegółowe informacje SQL (wersja zapoznawcza)
• Instrukcja EXEC AS dla kont członków grupy Microsoft Entra

Ograniczenia dotyczące uwierzytelniania tylko w usłudze Microsoft w wystąpieniu zarządzanym

Jeśli dla wystąpienia zarządzanego jest włączone uwierzytelnianie tylko firmy Microsoft, następujące funkcje nie są obsługiwane:

• Replikacja transakcyjna
• Zadania agenta SQL w wystąpieniu zarządzanym obsługują uwierzytelnianie tylko firmy Microsoft. Jednak użytkownik Firmy Microsoft Entra, który jest członkiem grupy Entra firmy Microsoft, która ma dostęp do wystąpienia zarządzanego, nie może posiadać zadań agenta SQL
• Szczegółowe informacje SQL (wersja zapoznawcza)
• Instrukcja EXEC AS dla kont członków grupy Microsoft Entra

Aby uzyskać więcej ograniczeń, zobacz Różnice języka T-SQL między programem SQL Server i usługą Azure SQL Managed Instance.

Następne kroki

Samouczek: włączanie uwierzytelniania tylko firmy Microsoft w usłudze Azure SQL

Tworzenie serwera z włączonym uwierzytelnianiem tylko w usłudze Microsoft Entra w usłudze Azure SQL