Поделиться через

Проверка подлинности Microsoft Entra для Azure SQL

Область применения:База данных SQL AzureУправляемый экземпляр SQL AzureАналитика Azure Synapse

В этой статье представлен подробный обзор использования проверки подлинности Microsoft Entra с SQL Database Azure, SQL Managed Instance Azure, SQL Server на виртуальных машинах Azure, Synapse SQL в Azure Synapse Analytics и SQL Server для Windows и Linux.

Если вы хотите настроить проверку подлинности Microsoft Entra, проверьте следующее:

Примечание.

Microsoft Entra ID ранее был известен как Azure Active Directory (Azure AD).

Обзор

Идентификатор Microsoft Entra позволяет централизованно управлять удостоверениями людей и служб в вашем пространстве данных. Интеграция Microsoft Entra с SQL Azure для проверки подлинности позволяет упростить управление удостоверениями и разрешениями, а также включить подробный условный доступ и управление всеми подключениями к данным.

Использование проверки подлинности Microsoft Entra включает следующие преимущества:

  • Заменяет менее безопасные методы проверки подлинности, такие как имена пользователей и пароли.
  • Устраняет или помогает прекратить распространение пользовательских идентификаторов на серверах.
  • Группы Microsoft Entra позволяют абстрагировать управление разрешениями базы данных от отдельных учетных записей и в операционные группы.
  • Позволяет смену паролей в одном месте.
  • Аутентификация только в Microsoft Entra предоставляет полноценную альтернативу аутентификации SQL.
  • Управляемые удостоверения для ресурсов Azure устраняют необходимость хранения паролей для служб, подключающихся к базам данных, и подключений из баз данных к другим ресурсам Azure.
  • Включает современные элементы управления безопасностью, включая надежную многофакторную проверку подлинности с помощью нескольких простых вариантов проверки, таких как телефонный звонок, текстовое сообщение, смарт-карта с ПИН-кодом или уведомление мобильного приложения.
  • Идентификатор Microsoft Entra позволяет интегрироваться со многими современными протоколами проверки подлинности, включая OpenID Connect, OAuth2.0, ограниченное делегирование Kerberos и многое другое.
  • Обеспечивает централизованный мониторинг подключений к источникам данных.
  • Включает элементы управления условным доступом, такие как требование соответствующих устройств или методов проверки подлинности для успешных подключений.
  • Централизованное управление и мониторинг проверки подлинности с помощью политик Azure.

Примечание.

Проверка подлинности Microsoft Entra поддерживает только маркеры доступа, полученные от идентификатора Microsoft Entra, а не сторонние маркеры доступа. Идентификатор Microsoft Entra также не поддерживает перенаправление запросов идентификатора Microsoft Entra на сторонние конечные точки. Это относится ко всем платформам SQL и всем операционным системам, поддерживающим проверку подлинности Microsoft Entra.

Шаги настройки

Общие действия по настройке проверки подлинности Microsoft Entra:

  1. Создание и заполнение клиента Microsoft Entra.
  2. Создайте логический сервер или экземпляр в Azure.
  3. Назначьте администратором Microsoft Entra для сервера или экземпляра.
  4. Создайте принципы безопасности SQL в базе данных, сопоставленные с удостоверениями Microsoft Entra.
  5. Настройте клиентские приложения для подключения с помощью библиотек удостоверений Azure и методов проверки подлинности.
  6. Подключитесь к базе данных с помощью удостоверений Microsoft Entra.

Поддерживаемые идентификации и способы проверки подлинности

Azure SQL поддерживает использование следующих удостоверений Microsoft Entra в качестве логинов и пользователей (субъектов) на серверах и базах данных:

  • Пользователи Microsoft Entra: любой тип пользователя в клиенте Microsoft Entra, который включает внутренних пользователей, внешних пользователей, гостей и участников. Кроме того, поддерживаются члены домена Active Directory, федеративные с идентификатором Microsoft Entra, и их можно настроить для простого единого входа.
  • Приложения: приложения, которые существуют в Azure, могут использовать субъекты-службы или управляемые удостоверения для аутентификации непосредственно в Azure SQL. Использование управляемых удостоверений предпочтительнее, так как проверка подлинности является без пароля и устраняет необходимость в учетных данных, управляемых разработчиком.
  • Группы Microsoft Entra, которые могут упростить управление доступом в организации, управляя доступом пользователей и приложений на основе членства в группах.

Для удостоверений пользователей поддерживаются следующие методы проверки подлинности:

  • Интегрированная Microsoft Entra (аутентификация Windows), поддерживаемая гибридной идентификацией Microsoft Entra с помощью Active Directory [федерация].
  • Microsoft Entra MFA или многофакторная проверка подлинности, которая требует дополнительных проверок безопасности за пределами знаний пользователя.
  • Проверка подлинности паролей Microsoft Entra, которая использует учетные данные пользователя, хранящиеся и управляемые в идентификаторе Microsoft Entra.
  • Проверка подлинности Microsoft Entra Default, которая сканирует различные кэши учетных данных на компьютере приложения и может использовать токены пользователей для проверки подлинности в SQL.

Для удостоверений службы или рабочей нагрузки поддерживаются следующие методы проверки подлинности:

  • Управляемые удостоверения для ресурсов Azure, назначаемые пользователем и назначаемые системой. Аутентификация управляемого удостоверения основана на токенах, при этом удостоверение назначается ресурсу, который хочет использовать его для аутентификации. Платформа идентификации Azure проверяет связь, что позволяет осуществлять аутентификацию без пароля.
  • Имя главного объекта службы Microsoft Entra и секрет приложения (клиента). Этот метод проверки подлинности не рекомендуется из-за риска, связанного с паролями, которые можно угадать и утечку.
  • Аутентификация Microsoft Entra Default, которая сканирует различные кэши учетных данных на компьютере приложения и может использовать токены приложений для аутентификации в SQL.

Администратор Microsoft Entra

Чтобы включить проверку подлинности Microsoft Entra, для вашего логического сервера или управляемого экземпляра должен быть назначен администратор Microsoft Entra. Этот администратор существует вместе с администратором SQL Server (SA). Администратор Microsoft Entra может быть любым объектом безопасности в клиенте Azure, включая пользователей Microsoft Entra, группы, служебные принципы и управляемые идентификации. Администратор Microsoft Entra — это единственное свойство, а не список, что означает, что в любой момент времени можно настроить только одну личность. Удаление администратора Microsoft Entra с сервера отключает все подключения на основе проверки подлинности Microsoft Entra, даже для существующих пользователей Microsoft Entra с разрешениями в базе данных.

Совет

Группы Microsoft Entra позволяют нескольким удостоверениям выполнять функции администратора Microsoft Entra на сервере. Если администратор установлен в группу, все члены группы наследуют роль администратора Microsoft Entra. Администратор группы Microsoft Entra повышает управляемость, переключив управление администраторами с действий уровня данных сервера на идентификатор Microsoft Entra и руки владельцев групп. Группы можно использовать для всех удостоверений Microsoft Entra, которые подключаются к SQL, что позволяет выполнять однократную настройку пользователей и разрешений на сервере и базах данных, оставляя все управление пользователями в группах.

Администратор Microsoft Entra играет специальную роль: это первая учетная запись, которая может создавать другие имена входа Microsoft Entra (в предварительной версии для базы данных SQL) и пользователей, в совокупности именуемые субъектами. Администратор является пользователем автономной базы данных в master базе данных сервера. Учетные записи администратора являются членами db_owner роли в каждой пользовательской базе данных, и каждая пользовательская база данных вводится как пользователь dbo . Дополнительные сведения об учетных записях администраторов см. в разделе Управление базами данных и учетные записи.

Принципы Microsoft Entra

Примечание.

Принципы сервера Microsoft Entra (имена входа) в настоящее время доступны в общедоступной предварительной версии для базы данных SQL Azure и Azure Synapse Analytics. Входы Microsoft Entra теперь доступны для Azure SQL Managed Instance и SQL Server 2022.

Удостоверения Microsoft Entra можно создавать в качестве субъектов в SQL Azure тремя способами:

  • как учетные записи сервера или имена входа (в предварительной версии для базы данных Azure SQL)
  • как пользователи, авторизующиеся по логину (вид принципала базы данных)
  • как пользователи встроенной базы данных

Внимание

Проверка подлинности Microsoft Entra для SQL Azure не интегрируется с Azure RBAC. Использование удостоверений Microsoft Entra для подключения к Azure SQL и выполнения запросов требует создания этих удостоверений в качестве субъектов Microsoft Entra в тех базах данных, к которым они должны получить доступ. Роли SQL Server Contributor и SQL DB Contributor используются для обеспечения безопасности операций развертывания, связанных с управлением, а не для доступа к подключению к базе данных.

Учётные записи (основные объекты сервера)

Учётные записи сервера (имена входа) для идентификаторов Microsoft Entra общедоступны для управляемого экземпляра SQL Azure, SQL Server 2022 и SQL Server на виртуальных машинах Azure. Входы Microsoft Entra доступны в предварительной версии для базы данных SQL Azure.

В следующем T-SQL показано, как создать имя входа Microsoft Entra:

CREATE LOGIN [MSEntraUser] FROM EXTERNAL PROVIDER

Вход Microsoft Entra обладает следующими значениями свойств в sys.server_principals:

Свойство Значение
SID (Идентификатор безопасности) Двоичное представление объекта идентификатора Microsoft Entra.
тип E = внешний вход или приложение из Microsoft Entra ID
X = внешняя группа из Microsoft Entra ID
type_desc EXTERNAL_LOGIN для входа в систему или использования в приложении Microsoft Entra.
EXTERNAL_GROUP для группы Microsoft Entra

Пользователи, основанные на авторизации

Пользователи учетных записей наследуют серверные роли и разрешения, назначенные для имени входа Microsoft Entra. Пользователи, которые основываются на входе с помощью Microsoft Entra, находятся в предварительной версии для базы данных Azure SQL.

В приведенном ниже T-SQL показано, как создать пользователя на основе логина для удостоверения Microsoft Entra.

CREATE USER [MSEntraUser] FROM LOGIN [MSEntraUser]

В следующей таблице приведены значения свойств пользователя на основе входа в Microsoft Entra в sys.database_principals:

Свойство Значение
SID (Идентификатор безопасности) Двоичное представление идентификатора объекта Microsoft Entra и дополнение 'AADE'
тип E = внешний вход или приложение из Microsoft Entra ID
X = внешняя группа из Microsoft Entra ID
type_desc EXTERNAL_LOGIN для входа в систему или использования в приложении Microsoft Entra.
EXTERNAL_GROUP для группы Microsoft Entra

Пользователи содержащейся базы данных.

Пользователи включенной базы данных переносятся вместе с базой данных. Они не имеют соединений с удостоверениями, определенными на сервере или экземпляре, поэтому их можно легко перемещать вместе с базой данных с одного сервера или экземпляра в другой без нарушения.

В следующем T-SQL показано, как создать пользователя автономной базы данных для удостоверения Microsoft Entra:

CREATE USER [MSEntraUser] FROM EXTERNAL PROVIDER

Пользователь Microsoft Entra, использующий базу данных, имеет те же значения свойств, что и пользователи на основе входа в sys.database_principals, за исключением того, как создается SID.

Свойство Значение
SID (Идентификатор безопасности) Двоичное представление объекта идентификатора Microsoft Entra.
тип E = внешний вход или приложение из Microsoft Entra ID
X = внешняя группа из Microsoft Entra ID
type_desc EXTERNAL_LOGIN для входа в систему или использования в приложении Microsoft Entra.
EXTERNAL_GROUP для группы Microsoft Entra

Чтобы получить исходный GUID Microsoft Entra, на котором основан SID, используйте следующее преобразование T-SQL:

SELECT CAST(sid AS UNIQUEIDENTIFIER) AS EntraID FROM sys.database_principals

Внимание

Можно непреднамеренно создать автономного пользователя базы данных Microsoft Entra с тем же именем, что и имя входа Microsoft Entra на уровне сервера или экземпляра. Так как субъекты не подключены друг к другу, пользователь базы данных не наследует разрешения от имени входа сервера, и идентичности могут быть спутаны в запросах на подключение, что приводит к неопределенному поведению.

Используйте следующий запрос T-SQL, чтобы определить, является ли пользователь базы данных пользователем на основе входа или пользователем автономной базы данных:

SELECT CASE
    WHEN CONVERT(VARCHAR(100), sid, 2) LIKE '%AADE' AND len(sid) = 18 THEN 'login-based user'
    ELSE 'contained database user'
    END AS user_type,
    *
FROM sys.database_principals WHERE TYPE = 'E' OR TYPE = 'X'

Используйте следующий запрос T-SQL для просмотра всех субъектов Microsoft Entra в базе данных:

SELECT
  name,
  CAST(sid AS UNIQUEIDENTIFIER) AS EntraID,
  CASE WHEN TYPE = 'E' THEN 'App/User' ELSE 'Group' AS user_type,
  sid
FROM sys.database_principals WHERE TYPE = 'E' OR TYPE = 'X'

Проверка подлинности, доступная только через Microsoft Entra

С включенной проверкой подлинности только Microsoft Entra все остальные методы проверки подлинности отключены и не могут использоваться для подключения к серверу, экземпляру или базе данных, включая SA и все другие учетные записи на основе проверки подлинности SQL для Azure SQL, а также проверка подлинности Windows для управляемого экземпляра SQL Azure.

Чтобы приступить к работе, ознакомьтесь с настройкой проверки подлинности только для Microsoft Entra.

Многофакторная проверка подлинности (MFA)

Многофакторная проверка подлинности Microsoft Entra — это функция безопасности, предоставляемая облачной службой управления удостоверениями и доступом Майкрософт. Многофакторная проверка подлинности повышает безопасность входа пользователей, требуя от пользователей предоставления дополнительных действий проверки за пределами пароля.

Многофакторная проверка подлинности Microsoft Entra помогает защитить доступ к данным и приложениям во время выполнения требований пользователей к простому процессу входа. MFA добавляет дополнительный уровень безопасности для входа пользователей, требуя от пользователей предоставления двух или более факторов проверки подлинности. Эти факторы обычно включают то, что пользователь знает (пароль), чем пользователь обладает (смартфон или аппаратный токен), и/или чем пользователь является (биометрические данные). Благодаря сочетанию нескольких факторов многофакторная проверка подлинности значительно снижает вероятность несанкционированного доступа.

Многофакторная проверка подлинности — это поддерживаемый метод проверки подлинности для Azure SQL Database, Azure SQL Managed Instance, Azure Synapse Analytics и SQL Server 2022 (16.x) и более поздних версий.

Чтобы приступить к работе, ознакомьтесь с настройкой многофакторной проверки подлинности Microsoft Entra.

Поддержка Microsoft Entra B2B

Проверка подлинности Microsoft Entra во всех продуктах SQL также поддерживает совместную работу Microsoft Entra B2B, которая позволяет предприятиям приглашать гостевых пользователей сотрудничать с их организацией. Гостевые пользователи могут подключаться к базам данных в качестве отдельных пользователей или членов группы Microsoft Entra. Дополнительные сведения см. в разделе "Создание пользователя базы данных для гостевого пользователя Microsoft Entra".

Архитектура доверительных отношений для федерации доменов Microsoft Entra с Active Directory

Идентификатор Microsoft Entra также интегрируется с знакомыми решениями по управлению удостоверениями и доступом, такими как Active Directory. Гибридное подключение к вашей локальной AD позволяет учетным записям Windows, федеративным через Microsoft Entra ID, использовать учетные данные единого входа для подключения к Azure SQL.

Для федерации Microsoft Entra ID предоставляет два метода безопасной аутентификации: сквозная аутентификация и аутентификация с хэшированием паролей. Если вы рассматриваете возможность федерации локальной службы Active Directory с Microsoft Entra ID, ознакомьтесь с Выбором правильного метода аутентификации для решения гибридного удостоверения Microsoft Entra.

Дополнительные сведения о настройке и синхронизации гибридных удостоверений Microsoft Entra см. в следующих статьях:

На этой схеме показан пример федеративной проверки подлинности с инфраструктурой ADFS (или паролем пользователя или пароля для учетных данных Windows). Стрелки обозначают пути обмена данными.

Схема проверки подлинности Microsoft Entra для SQL Azure.

На следующей схеме показаны федерация, отношения доверия и отношения размещения, которые позволяют клиенту подключиться к базе данных, отправив токен. Идентификатор Microsoft Entra проверяет подлинность маркера, а база данных доверяет ему и проверяет издателя и другие сведения. Клиент 1 может представлять идентификатор Microsoft Entra ID с локальными пользователями или идентификатор Microsoft Entra ID с федеративными пользователями. Клиент 2 представляет возможное решение, включая импортированных пользователей, в этом примере из федеративного Microsoft Entra ID, где ADFS синхронизируется с Microsoft Entra ID. Важно понимать, что доступ к базе данных с помощью проверки подлинности Microsoft Entra требует, чтобы подписка на размещение связана с идентификатором Microsoft Entra. Для создания ресурсов SQL Azure или Azure Synapse необходимо использовать ту же подписку.

На схеме показана связь между подписками в конфигурации Microsoft Entra.

Разрешения

Разрешения, назначенные администратору Microsoft Entra, отличаются от назначенных им разрешений в SQL Azure. В нескольких сценариях SQL Azure также требует разрешений Microsoft Graph для использования проверки подлинности Microsoft Entra.

Разрешения администратора

Администратору Microsoft Entra назначаются следующие разрешения и роли при его создании:

  • db_owner каждой базы данных на сервере или экземпляре сервера

На схеме показана структура администратора для идентификатора Microsoft Entra, используемого с SQL Server.

Разрешения SQL Azure

Субъекту необходимо ALTER ANY USER разрешение в базе данных для создания пользователя. По умолчанию ALTER ANY USER предоставляется учетным записям администраторов сервера, пользователям базы данных с CONTROL ON DATABASE, а также членам роли базы данных db_owner.

Чтобы создать учетную запись Microsoft Entra в Azure SQL, идентификатор, совершающий запрос, должен обратиться к Microsoft Graph за сведениями об этой учетной записи. При первоначальном развертывании единственным удостоверением, возможно, способным запрашивать MS Graph, является администратор Microsoft Entra; Таким образом, администратор должен быть первым удостоверением для создания других субъектов Microsoft Entra. После этого он может назначить ALTER ANY USER другим субъектам, чтобы разрешить им также создавать других субъектов Microsoft Entra.

Развертывание без участия с аутентификацией Microsoft Entra

Так как администратор Microsoft Entra должен быть первым удостоверением для подключения к базе данных и создания других пользователей Microsoft Entra, это может быть полезно для добавления удостоверения инфраструктуры развертывания в качестве администратора. Затем развертывания могут выполнять начальную настройку, например создание других субъектов Microsoft Entra и назначение им разрешений. Развертывания могут использовать такие средства, как шаблоны PowerShell ARM для автоматизированного создания главных объектов. Azure SQL сегодня не поддерживает собственные API для настройки создания пользователей и управления разрешениями; Эти операции разрешены только с прямым подключением к экземпляру SQL.

Разрешения Microsoft Graph

Для создания субъектов Microsoft Entra и нескольких других сценариев SQL Azure необходимо выполнить вызовы Microsoft Graph для получения сведений и проверки существования удостоверения в идентификаторе Microsoft Entra. Чтобы сделать это, процесс SQL должен иметь или получить доступ к разрешениям на чтение MS Graph в клиентском тенанте, что можно достичь несколькими способами:

  • Если основное лицо SQL, выполняющее команду, является учетной записью пользователя, дополнительные разрешения на экземпляре SQL не требуются для запроса MS Graph.
  • Если SQL-принципал, выполняющий команду, представляет собой служебную идентичность, например, служебный принципал или управляемую идентичность, то экземпляр Azure SQL требует собственных разрешений для запроса MS Graph.
    • Разрешения приложения можно назначить первичному удостоверению сервера (управляемому удостоверению) логического сервера или управляемого экземпляра. Процесс SQL может использовать удостоверение основного сервера для подтверждения подлинности в других службах Azure в клиенте, например, MS Graph. В следующей таблице описываются различные сценарии и разрешения MS Graph, необходимые для успешной выполнения команды.
Сценарий Минимальное разрешение
CREATE USER или CREATE LOGIN для учетной записи субъекта Microsoft Entra или управляемой идентификации Application.Read.All
CREATE ПОЛЬЗОВАТЕЛЬ или CREATE LOGIN пользователь Microsoft Entra User.Read.All
CREATE ПОЛЬЗОВАТЕЛЬ или CREATE LOGIN группа Microsoft Entra GroupMember.Read.All
Аутентификация Microsoft Entra с помощью управляемого экземпляра SQL Azure Роль читателя каталогов, назначенная удостоверению управляемого экземпляра

Совет

Роль "Читатели каталогов" — это роль с наименьшим охватом, которая может быть назначена учетной записи и охватывает все разрешения, необходимые для работы Azure SQL. Использование ролей имеет преимущество в возможности их назначения группам безопасности Microsoft Entra, что позволяет абстрагировать управление от индивидуальных сущностей и перенести его в концептуальные группы.

Поддержка средств

SQL Server Management Studio (SSMS) поддерживает ряд параметров подключения проверки подлинности Microsoft Entra, включая многофакторную проверку подлинности.

SQL Server Data Tools (SSDT) для Visual Studio, начиная с 2015 года, поддерживает пароль, встроенную и интерактивную проверку подлинности с помощью идентификатора Microsoft Entra. Дополнительные сведения см. в статье о поддержке идентификатора Microsoft Entra в SQL Server Data Tools (SSDT).

  • В настоящее время пользователи Microsoft Entra не отображаются в SSDT Окне обозревателя объектов. В качестве временного решения, просмотрите пользователей в таблице sys.database_principals.

Минимальные версии

Чтобы использовать проверку подлинности Microsoft Entra с SQL Azure, вам потребуется следующие минимальные версии при использовании этих средств:

  • SQL Server Management Studio (SSMS) 18.6 или более поздней версии
  • SQL Server Data Tools для Visual Studio 2015 версии 14.0.60311.1 (апрель 2016 г.) или более поздней версии
  • Поставщик данных .NET Framework для SqlServer, минимальная версия .NET Framework 4.6
  • Начиная с версии 15.0.1, служебная программа sqlcmd и программа bcp поддерживают интерактивную проверку подлинности Active Directory с многофакторной проверкой подлинности.
  • Microsoft JDBC Driver 6.0 для SQL Server поддерживает проверку подлинности Microsoft Entra. Вы можете также ознакомиться с настройкой свойств подключения.

Подключение с помощью Microsoft Entra к ресурсам SQL Azure

После настройки проверки подлинности Microsoft Entra для ресурса SQL Azure можно подключиться с помощью SQL Server Management Studio, SQL Server Data Tools и клиентского приложения.

Ограничения

При использовании проверки подлинности Microsoft Entra с SQL Azure рассмотрите следующие ограничения:

  • Пользователи и субъекты-службы Microsoft Entra (приложения Microsoft Entra), которые являются членами более 2048 групп безопасности Microsoft Entra, не поддерживаются и не могут войти в базу данных.

  • Следующие функции системы не поддерживаются и возвращают NULL значения, когда их выполняют субъекты Microsoft Entra.

    • SUSER_ID()
    • SUSER_NAME(<ID>)
    • SUSER_SNAME(<SID>)
    • SUSER_ID(<name>)
    • SUSER_SID(<name>)

  • Мы рекомендуем установить время ожидания подключения в 30 секунд.

База данных SQL Azure и Azure Synapse Analytics

При использовании проверки подлинности Microsoft Entra с базой данных Azure SQL и Azure Synapse Analytics рассмотрите следующие ограничения:

  • Пользователи Microsoft Entra, которые входят в группу, являющуюся членом роли db_owner базы данных, могут увидеть следующую ошибку при попытке использования синтаксиса CREATE DATABASE SCOPED CREDENTIAL в Azure SQL Database и Azure Synapse.

    SQL Error [2760] [S0001]: The specified schema name 'user@mydomain.com' either doesn't exist or you do not have permission to use it.

    Чтобы устранить CREATE DATABASE SCOPED CREDENTIAL проблему, непосредственно добавьте учетную запись пользователя Microsoft Entra в db_owner роль.

  • База данных SQL Azure и Azure Synapse Analytics не создают неявных пользователей для пользователей, вошедшего в систему в рамках членства в группе Microsoft Entra. Из-за этого различные операции, требующие назначения прав владения, могут завершиться ошибкой, даже если группа Microsoft Entra добавляется в качестве участника в роль с этими разрешениями.

    Например, пользователь, вошедший в базу данных через группу Microsoft Entra с ролью db_ddladmin, не может выполнять CREATE SCHEMA, ALTER SCHEMA и другие операторы создания объектов без явно определенной схемы (например, таблицы, представления или типа). Чтобы устранить эту проблему, необходимо создать пользователя Microsoft Entra для этого пользователя или группу Microsoft Entra необходимо изменить, чтобы назначить такой DEFAULT_SCHEMA объект, как dbo.

  • При использовании георепликации и групп отказоустойчивости администратор Microsoft Entra должен быть настроен и для основных, и для вторичных серверов. Если у сервера нет администратора Microsoft Entra, то учетные записи и пользователи Microsoft Entra выдают ошибку Cannot connect.

  • Удаление администратора Microsoft Entra с сервера предотвращает любые подключения к серверу с проверкой подлинности Microsoft Entra. При необходимости администратор База данных SQL может вручную удалить неиспользуемых пользователей Microsoft Entra.

Управляемый экземпляр SQL Azure

При использовании проверки подлинности Microsoft Entra с Управляемый экземпляр SQL Azure рассмотрите следующие ограничения:

  • Субъекты сервера Microsoft Entra (имена входа) и пользователи поддерживаются для Управляемый экземпляр SQL.

  • Использование группового имени входа Microsoft Entra в качестве владельца базы данных не поддерживается в Управляемом экземпляре SQL.

    • Это означает, что при добавлении группы в составе dbcreator роли сервера пользователи из этой группы могут подключаться к управляемому экземпляру SQL и могут создавать новые базы данных, но не имеют доступа к базе данных. Это связано с тем, что новый владелец базы данных — SA, а не пользователь Microsoft Entra. Эта проблема не проявляется, если отдельный dbcreator пользователь добавляется в роль сервера.

  • Серверные учётные записи Microsoft Entra (логины) для SQL Managed Instance позволяют создавать несколько логинов, которые можно добавить в роль sysadmin.

  • Управление агентом SQL Server и выполнение заданий поддерживаются для учетных записей Microsoft Entra.

  • Операции резервного копирования и восстановления базы данных могут выполняться основными субъектами сервера Microsoft Entra (учетные записи).

  • Поддерживается аудит всех инструкций, связанных с субъектами сервера Microsoft Entra (именами входа) и событиями проверки подлинности.

  • Поддерживается выделенное подключение администратора для субъектов сервера Microsoft Entra (имена входа), которые являются членами роли сервера sysadmin.

    • Поддерживается с помощью служебной программы SQLCMD и SQL Server Management Studio.

  • Триггеры входа в систему поддерживаются для событий входа в систему, поступающих от главных учетных записей сервера Microsoft Entra (имена входа).

  • Компоненты Service Broker и DB Mail можно настроить, используя учетную запись сервера Microsoft Entra.

  • При использовании групп отработки отказа администратор Microsoft Entra должен быть настроен как для основных, так и для вторичных экземпляров. Если у экземпляра нет администратора Microsoft Entra, то учетные записи и пользователи Microsoft Entra получают ошибку Cannot connect.

  • PolyBase не может пройти проверку подлинности с помощью проверки подлинности Microsoft Entra.

  • Удаление администратора Microsoft Entra для экземпляра исключает возможность каких-либо подключений аутентификации Microsoft Entra к экземпляру. При необходимости администратор SQL Управляемого экземпляра может вручную удалять неиспользуемых пользователей Microsoft Entra.

Связанный контент

  • Last updated on