Назначение роли для включения проверки подлинности только для Microsoft Entra
Чтобы включить или отключить проверку подлинности только для Microsoft Entra, выбранные встроенные роли требуются для пользователей Microsoft Entra, выполняющих эти операции в этом руководстве. В этом учебнике описано назначение роли Диспетчер безопасности SQL пользователю.
Дополнительные сведения о требуемом разрешении для включения или отключения проверки подлинности только для Microsoft Entra см. в разделе "Разрешения" статьи проверки подлинности только для microsoft Entra.
В нашем примере мы назначим роль Диспетчер безопасности SQL пользователю UserSqlSecurityManager@contoso.onmicrosoft.com. С помощью привилегированного пользователя, который может назначать роли Microsoft Entra, войдите в портал Azure.
Перейдите к ресурсу сервера SQL и выберите в меню пункт Управление доступом (IAM). Нажмите кнопку Добавить, а затем в раскрывающемся меню выберите Добавить назначение ролей.
В области "Добавление назначения ролей" выберите диспетчер безопасности SQL ролей и выберите пользователя, которому требуется включить или отключить проверку подлинности только для Microsoft Entra.
Нажмите кнопку Сохранить.
Включение проверки подлинности только для записи Майкрософт
Перейдите к ресурсу SQL Server и выберите идентификаторMicrosoft Entra в меню Параметры.
Если вы еще не добавили администратора Microsoft Entra, необходимо установить это, прежде чем включить проверку подлинности только для Microsoft Entra.
Установите флажок для проверки подлинности только Microsoft Entra для этого сервера.
Откроется всплывающее окно включения проверки подлинности только для Microsoft Entra. Нажмите кнопку "Да" , чтобы включить функцию и сохранить параметр.
Включение в Управляемом экземпляре SQL с помощью портала Azure
Чтобы включить проверку подлинности только для Microsoft Entra в портал Azure, ознакомьтесь с приведенными ниже инструкциями.
Перейдите к ресурсу управляемого экземпляра SQL и выберите администратора Microsoft Entra в меню Параметры.
Если вы еще не добавили администратора Microsoft Entra, необходимо установить это, прежде чем включить проверку подлинности только для Microsoft Entra.
Выберите только проверку подлинности Microsoft Entra для этого управляемого экземпляра проверка box.
Откроется всплывающее окно включения проверки подлинности только для Microsoft Entra. Нажмите кнопку "Да" , чтобы включить функцию и сохранить параметр.
Включение в Базе данных SQL с помощью Azure CLI
Чтобы включить проверку подлинности только для записи Майкрософт в База данных SQL Azure с помощью Azure CLI, ознакомьтесь с приведенными ниже командами. Установите последнюю версию Azure CLI. Необходима версия Azure CLI 2.14.2 или более поздняя. Дополнительные сведения об этих командах см. в разделе az sql server ad-only-auth.
Администратор Microsoft Entra должен быть установлен для сервера перед включением проверки подлинности только для Microsoft Entra. В противном случае команда Azure CLI завершится ошибкой.
Сведения о разрешениях и действиях, необходимых пользователю, выполняющим эти команды, для включения проверки подлинности только для Microsoft Entra см. в статье о проверке подлинности только для Microsoft Entra.
Выполните следующую команду, заменив <myserver> именем сервера SQL и <myresource> ресурсом Azure, который содержит сервер SQL.
az sql server ad-only-auth enable --resource-group <myresource> --name <myserver>
Включение в Управляемом экземпляре SQL с помощью Azure CLI
Чтобы включить проверку подлинности только для Microsoft Entra в Управляемый экземпляр SQL Azure с помощью Azure CLI, см. приведенные ниже команды. Установите последнюю версию Azure CLI.
Выполните следующую команду, заменив <myserver> именем сервера SQL и <myresource> ресурсом Azure, который содержит сервер SQL.
az sql mi ad-only-auth enable --resource-group <myresource> --name <myserver>
Включение в Базе данных SQL с помощью PowerShell
Чтобы включить проверку подлинности только для Microsoft Entra в База данных SQL Azure с помощью PowerShell, см. приведенные ниже команды. Для выполнения этих команд требуется модуль Az.Sql 2.10.0 или более поздней версии. Дополнительные сведения об этих командах см. в разделе Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication.
Администратор Microsoft Entra должен быть установлен для сервера перед включением проверки подлинности только для Microsoft Entra. В противном случае команда PowerShell завершится ошибкой.
Сведения о разрешениях и действиях, необходимых пользователю, выполняющим эти команды, для включения проверки подлинности только для Microsoft Entra см. в статье о проверке подлинности только для Microsoft Entra. Если у пользователя недостаточно разрешений, возникнет следующая ошибка:
Enable-AzSqlServerActiveDirectoryOnlyAuthentication : The client
'UserSqlServerContributor@contoso.onmicrosoft.com' with object id
'<guid>' does not have authorization to perform
action 'Microsoft.Sql/servers/azureADOnlyAuthentications/write' over scope
'/subscriptions/<guid>...'
Включение в Управляемом экземпляре SQL с помощью PowerShell
Чтобы включить проверку подлинности только для записи Майкрософт в Управляемый экземпляр SQL Azure с помощью PowerShell, см. следующие команды. Для выполнения этих команд требуется модуль Az.Sql 2.10.0 или более поздней версии.
Выполните следующую команду, заменив <myinstance> именем Управляемого экземпляра SQL и <myresource> ресурсом Azure, который содержит управляемый экземпляр SQL.
Перейдите к ресурсу SQL Server на портале Azure. Выберите идентификатор Microsoft Entra в меню Параметры.
Проверка состояния в Управляемом экземпляре SQL
Перейдите к ресурсу Управляемый экземпляр SQL на портале Azure. Выберите администратора Microsoft Entra в меню Параметры.
Эти команды можно использовать для проверка включена ли проверка подлинности только для Microsoft Entra для логического сервера для База данных SQL Azure или Управляемый экземпляр SQL. Члены ролей участника SQL Server и Управляемый экземпляр SQL участника могут использовать эти команды для проверка состояния проверки подлинности только для Microsoft Entra, но не могут включить или отключить эту функцию.
Эти команды можно использовать для проверка включена ли проверка подлинности только для Microsoft Entra для логического сервера для База данных SQL Azure или Управляемый экземпляр SQL. Члены ролей участника SQL Server и Управляемый экземпляр SQL участника могут использовать эти команды для проверка состояния проверки подлинности только для Microsoft Entra, но не могут включить или отключить эту функцию.
Состояние возвращает значение Истина, если функция включена, и значение Ложь, если отключена.
Выполните следующую команду, заменив <myinstance> именем Управляемого экземпляра SQL и <myresource> ресурсом Azure, который содержит управляемый экземпляр SQL.
Должно появиться примерно такое сообщение о невыполненном входе в систему:
Cannot connect to <myserver>.database.windows.net.
Additional information:
Login failed for user 'username'. Reason: Azure Active Directory only authentication is enabled.
Please contact your system administrator. (Microsoft SQL Server, Error: 18456)
Отключение проверки подлинности только для Microsoft Entra
Отключив функцию проверки подлинности только для Microsoft Entra, можно разрешить проверку подлинности SQL и проверку подлинности Microsoft Entra для SQL Azure.
Перейдите к ресурсу SQL Server и выберите идентификаторMicrosoft Entra в меню Параметры.
Чтобы отключить функцию проверки подлинности только для Microsoft Entra, не проверка службу поддержки только проверки подлинности Microsoft Entra для этого сервера проверка box и сохранить параметр.
Отключение в Управляемом экземпляре SQL с помощью портала Azure
Перейдите к ресурсу Управляемый экземпляр SQL и выберите пункт Администратор Active Directory в меню Параметры.
Чтобы отключить функцию проверки подлинности только для Microsoft Entra, не проверка службу поддержки только проверки подлинности Microsoft Entra для этого управляемого экземпляра проверка box и сохранить параметр.
Отключение в Базе данных SQL с помощью Azure CLI
Сведения об отключении проверки подлинности только для Microsoft Entra в База данных SQL Azure с помощью Azure CLI см. в приведенных ниже командах.
Отключение в Управляемом экземпляре SQL с помощью Azure CLI
Чтобы отключить проверку подлинности только для Microsoft Entra в Управляемый экземпляр SQL Azure с помощью Azure CLI, ознакомьтесь с приведенными ниже командами.
Чтобы отключить проверку подлинности только для Записи Майкрософт в База данных SQL Azure с помощью PowerShell, ознакомьтесь с приведенными ниже командами.
Отключение в Управляемом экземпляре SQL с помощью PowerShell
Чтобы отключить проверку подлинности только для Microsoft Entra в Управляемый экземпляр SQL Azure с помощью PowerShell, ознакомьтесь с приведенными ниже командами.
Выполните следующую команду, заменив <myinstance> именем Управляемого экземпляра SQL и <myresource> ресурсом Azure, который содержит управляемый экземпляр.
После отключения проверки подлинности только для Microsoft Entra проверьте подключение с помощью имени входа проверки подлинности SQL. Теперь вы должны подключиться к своему серверу или экземпляру.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе: https://aka.ms/ContentUserFeedback.
База данных SQL Azure Управляемый экземпляр SQL Azure
