Azure SQL ile yalnızca Microsoft Entra kimlik doğrulaması

Şunlar için geçerlidir:Azure SQL Veritabanı Azure SQL Yönetilen Örneği Azure Synapse Analytics (yalnızca ayrılmış SQL havuzları)

Microsoft Entra-only kimlik doğrulaması, Azure SQL'dehizmetin yalnızca Microsoft Entra kimlik doğrulamasını desteklemesine olanak tanıyan ve Azure SQL Veritabanı ve Azure SQL Yönetilen Örneği için desteklenen bir özelliktir.

Not

Microsoft Entra Id daha önce Azure Active Directory (Azure AD) olarak biliniyordu.

Microsoft Entra-only kimlik doğrulaması, tek başına sunuculardaki ayrılmış SQL havuzları (eski adı SQL DW) için de kullanılabilir. Azure Synapse çalışma alanı için Yalnızca Microsoft Entra kimlik doğrulaması etkinleştirilebilir. Daha fazla bilgi için bkz . Azure Synapse çalışma alanlarıyla microsoft entra-only kimlik doğrulaması.

SQL sunucu yöneticileri, oturum açma bilgileri ve kullanıcılardan gelen bağlantılar da dahil olmak üzere Azure SQL ortamında Yalnızca Microsoft Entra kimlik doğrulaması etkinleştirilirken SQL kimlik doğrulaması devre dışı bırakılır. Yalnızca Microsoft Entra kimlik doğrulamasını kullanan kullanıcılar sunucuya veya veritabanına bağlanma yetkisine sahip olur.

Yalnızca Microsoft Entra kimlik doğrulaması Azure portalı, Azure CLI, PowerShell veya REST API kullanılarak etkinleştirilebilir veya devre dışı bırakılabilir. Yalnızca Microsoft Entra kimlik doğrulaması, bir Azure Resource Manager (ARM) şablonuyla sunucu oluşturma sırasında da yapılandırılabilir.

Azure SQL kimlik doğrulaması hakkında daha fazla bilgi için bkz . Kimlik doğrulaması ve yetkilendirme.

Özellik açıklaması

Microsoft Entra-only kimlik doğrulamasını etkinleştirirken, SQL kimlik doğrulaması sunucu veya yönetilen örnek düzeyinde devre dışı bırakılır ve herhangi bir SQL kimlik doğrulaması kimlik bilgilerine göre kimlik doğrulaması yapılmasını engeller. SQL kimlik doğrulaması kullanıcıları, tüm veritabanları dahil olmak üzere Azure SQL Veritabanı veya yönetilen örnek için mantıksal sunucuya bağlanamaz. SQL kimlik doğrulaması devre dışı bırakılsa da, yeni SQL kimlik doğrulaması oturum açma bilgileri ve kullanıcılar yine de Microsoft Entra hesapları tarafından uygun izinlerle oluşturulabilir. Yeni oluşturulan SQL kimlik doğrulama hesaplarının sunucuya bağlanmasına izin verilmez. Microsoft Entra-only kimlik doğrulamasının etkinleştirilmesi, mevcut SQL kimlik doğrulaması oturum açma bilgilerini ve kullanıcı hesaplarını kaldırmaz. Bu özellik yalnızca bu hesapların sunucuya ve bu sunucu için oluşturulan tüm veritabanlarına bağlanmasını engeller.

Ayrıca, Azure İlkesi kullanarak yalnızca Microsoft Entra-only kimlik doğrulaması etkinleştirilerek sunucuların oluşturulmasını zorlayabilirsiniz. Daha fazla bilgi için bkz. Microsoft Entra-only kimlik doğrulaması için Azure İlkesi.

İzinler

Microsoft Entra-only kimlik doğrulaması, Azure aboneliği Sahipleri, Katkıda Bulunanlar ve Genel Yönetici istrator'lar gibi yüksek ayrıcalıklı Microsoft Entra yerleşik rollerinin üyesi olan Microsoft Entra kullanıcıları tarafından etkinleştirilebilir veya devre dışı bırakılabilir. Ayrıca, SQL Security Manager rolü Microsoft Entra-only kimlik doğrulama özelliğini de etkinleştirebilir veya devre dışı bırakabilir.

SQL Server Katkıda Bulunanı ve SQL Yönetilen Örneği Katkıda Bulunan rolleri, Microsoft Entra-only kimlik doğrulama özelliğini etkinleştirme veya devre dışı bırakma izinlerine sahip olmaz. Bu, Azure SQL sunucusu oluşturabilen veya Microsoft Entra yöneticisi oluşturabilen kullanıcıların güvenlik özelliklerini etkinleştirememe veya devre dışı bırakabilmeleri için Görev Ayrımı yaklaşımıyla tutarlıdır.

Yapılması gereken eylemler

Aşağıdaki eylemler, Microsoft Entra-only kimlik doğrulaması özelliğinin yönetimine izin vermek için SQL Security Manager rolüne eklenir.

• Microsoft.Sql/servers/azureADOnlyAuthentications/*
• Microsoft.Sql/servers/administrators/read - Yalnızca Azure portalı Microsoft Entra Id menüsüne erişen kullanıcılar için gereklidir
• Microsoft.Sql/managedInstances/azureADOnlyAuthentications/*
• Microsoft.Sql/managedInstances/read

Yukarıdaki eylemler, Microsoft Entra-only kimlik doğrulamasını yönetmek için özel bir role de eklenebilir. Daha fazla bilgi için Microsoft Entra ID'de özel bir rol oluşturma ve atama konusuna bakın.

API'leri kullanarak Microsoft Entra-only kimlik doğrulamasını yönetme

Önemli

Microsoft Entra-only kimlik doğrulaması etkinleştirilmeden önce Microsoft Entra yöneticisi ayarlanmalıdır.

Azure CLI

Azure CLI sürüm 2.14.2 veya üzeri olmalıdır.

name sunucu veya örnek adının (örneğin) myserverön ekine karşılık gelir ve resource-group sunucunun ait olduğu kaynağa (örneğin, myresource) karşılık gelir.

Azure SQL Veritabanı

Daha fazla bilgi için bkz . az sql server ad-only-auth.

SQL Veritabanı'de etkinleştirme veya devre dışı bırakma

Etkinleştir

az sql server ad-only-auth enable --resource-group myresource --name myserver

Devre Dışı Bırak

az sql server ad-only-auth disable --resource-group myresource --name myserver

SQL Veritabanı durumunu denetleyin

az sql server ad-only-auth get --resource-group myresource --name myserver

Azure SQL Yönetilen Örnek

Daha fazla bilgi için bkz . az sql mi ad-only-auth.

Etkinleştir

az sql mi ad-only-auth enable --resource-group myresource --name myserver

Devre Dışı Bırak

az sql mi ad-only-auth disable --resource-group myresource --name myserver

SQL Yönetilen Örneği durumunu denetleyin

az sql mi ad-only-auth get --resource-group myresource --name myserver

PowerShell

Az.Sql 2.10.0 veya üzeri bir modül gereklidir.

ServerName veya InstanceName sunucu adının ön ekine (örneğin, myserver veya myinstance) karşılık gelir ve ResourceGroupName sunucunun ait olduğu kaynağa karşılık gelir (örneğin, myresource).

Azure SQL Veritabanı

SQL Veritabanı'de etkinleştirme veya devre dışı bırakma

Etkinleştir

Daha fazla bilgi için bkz . Enable-AzSqlServerActiveDirectoryOnlyAuthentication. komutunu da çalıştırabilirsiniz get-help Enable-AzSqlServerActiveDirectoryOnlyAuthentication -full.

Enable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName myserver -ResourceGroupName myresource

Aşağıdaki komutu da kullanabilirsiniz:

Get-AzSqlServer -ServerName myserver | Enable-AzSqlServerActiveDirectoryOnlyAuthentication

Devre Dışı Bırak

Daha fazla bilgi için bkz . Disable-AzSqlServerActiveDirectoryOnlyAuthentication.

Disable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName myserver -ResourceGroupName myresource

SQL Veritabanı durumunu denetleyin

Get-AzSqlServerActiveDirectoryOnlyAuthentication  -ServerName myserver -ResourceGroupName myresource

Aşağıdaki komutu da kullanabilirsiniz:

Get-AzSqlServer -ServerName myserver | Get-AzSqlServerActiveDirectoryOnlyAuthentication

Azure SQL Yönetilen Örnek

SQL Yönetilen Örneği'da etkinleştirme veya devre dışı bırakma

Etkinleştir

Daha fazla bilgi için bkz . Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication.

Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName myinstance -ResourceGroupName myresource

Aşağıdaki komutu da kullanabilirsiniz:

Get-AzSqlInstance -InstanceName myinstance | Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication

Bu PowerShell komutları hakkında daha fazla bilgi için komutunu çalıştırın get-help Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -full.

Devre Dışı Bırak

Daha fazla bilgi için bkz . Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication.

Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName myinstance -ResourceGroupName myresource

SQL Yönetilen Örneği durumunu denetleyin

Get-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName myinstance -ResourceGroupName myresource

Aşağıdaki komutu da kullanabilirsiniz:

Get-AzSqlInstance -InstanceName myinstance | Get-AzSqlInstanceActiveDirectoryOnlyAuthentication

REST API

Aşağıdaki parametrelerin tanımlanması gerekir:

• <subscriptionId>Azure portalında Abonelikler'e giderek bulunabilir.
• <myserver> sunucu veya örnek adının ön ekine karşılık gelir (örneğin, myserver).
• <myresource> sunucunun ait olduğu kaynağa karşılık gelir (örneğin, myresource)

En son MSAL'yi kullanmak için adresinden https://www.powershellgallery.com/packages/MSAL.PSindirin.

$subscriptionId = '<subscriptionId>'
$serverName = "<myserver>"
$resourceGroupName = "<myresource>"

Azure SQL Veritabanı

Daha fazla bilgi için Sunucu Azure AD Yalnızca Kimlik Doğrulamaları REST API belgelerine bakın.

SQL Veritabanı'de etkinleştirme veya devre dışı bırakma

Etkinleştir

$body = @{ properties = @{ azureADOnlyAuthentication = 1 } } | ConvertTo-Json
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Devre Dışı Bırak

$body = @{ properties = @{ azureADOnlyAuthentication = 0 } } | ConvertTo-Json
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

SQL Veritabanı durumunu denetleyin

Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method GET -Headers $authHeader  | Format-List

Azure SQL Yönetilen Örnek

Daha fazla bilgi için Yönetilen Örnek Azure AD Yalnızca Kimlik Doğrulamaları REST API belgelerine bakın.

SQL Yönetilen Örneği'da etkinleştirme veya devre dışı bırakma

Etkinleştir

$body = @{   properties = @{  azureADOnlyAuthentication = 1 }  } | ConvertTo-Json 
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Devre Dışı Bırak

$body = @{   properties = @{  azureADOnlyAuthentication = 0 }  } | ConvertTo-Json 
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

SQL Yönetilen Örneği durumunu denetleyin

Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method GET -Headers $authHeader  | Format-List

ARM Şablonu

• Dağıtım için Microsoft Entra yöneticisini girin. Kullanıcı Nesne Kimliği'ni Azure portalına gidip Microsoft Entra Id kaynağınıza giderek bulabilirsiniz. Yönet bölümünde Kullanıcılar'ı seçin. Azure SQL sunucunuz için Microsoft Entra yöneticisi olarak ayarlamak istediğiniz kullanıcıyı arayın. Kullanıcıyı seçtiğinizde Profil sayfasının altında Nesne Kimliği'ni görürsünüz.
• Kiracı Kimliği, Microsoft Entra Id kaynağınızın Genel Bakış sayfasında bulunabilir.

Azure SQL Veritabanı

Etkinleştir

Aşağıdaki ARM Şablonu, Azure SQL Veritabanı Microsoft Entra-only kimlik doğrulamasını etkinleştirir. Microsoft Entra-only kimlik doğrulamasını azureADOnlyAuthentication devre dışı bırakmak için özelliğini olarak falseayarlayın.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "sqlServer_name": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String"
        },
        "aad_admin_objectid": {
            "type": "String"
        },
        "aad_admin_tenantid": {
            "type": "String"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers/administrators",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('sqlServer_name'), '/ActiveDirectory')]",
            "properties": {
                "administratorType": "ActiveDirectory",
                "login": "[parameters('aad_admin_name')]",
                "sid": "[parameters('aad_admin_objectid')]",
                "tenantId": "[parameters('aad_admin_tenantId')]"
            }
        },        
        {
            "type": "Microsoft.Sql/servers/azureADOnlyAuthentications",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('sqlServer_name'), '/Default')]",
            "dependsOn": [
                "[resourceId('Microsoft.Sql/servers/administrators', parameters('sqlServer_name'), 'ActiveDirectory')]"
            ],
            "properties": {
                "azureADOnlyAuthentication": true
            }
        }
    ]
}

Daha fazla bilgi için bkz . Microsoft.Sql sunucuları/azureADOnlyAuthentications.

Azure SQL Yönetilen Örnek

Etkinleştir

Aşağıdaki ARM Şablonu, Azure SQL Yönetilen Örneği Microsoft Entra-only kimlik doğrulamasını etkinleştirir. Microsoft Entra-only kimlik doğrulamasını azureADOnlyAuthentication devre dışı bırakmak için özelliğini olarak falseayarlayın.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "instance": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String"
        },
        "aad_admin_objectid": {
            "type": "String"
        },
        "aad_admin_tenantid": {
            "type": "String"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/managedInstances/administrators",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('instance'), '/ActiveDirectory')]",
            "properties": {
                "administratorType": "ActiveDirectory",
                "login": "[parameters('aad_admin_name')]",
                "sid": "[parameters('aad_admin_objectid')]",
                "tenantId": "[parameters('aad_admin_tenantId')]"
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances/azureADOnlyAuthentications",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('instance'), '/Default')]",
            "dependsOn": [
                "[resourceId('Microsoft.Sql/managedInstances/administrators', parameters('instance'), 'ActiveDirectory')]"
            ],
            "properties": {
                "azureADOnlyAuthentication": true
            }
        }
    ]
}

Daha fazla bilgi için bkz . Microsoft.Sql managedInstances/azureADOnlyAuthentications.

T-SQL kullanarak Microsoft Entra-only kimlik doğrulamayı denetleme

Sunucunuzun veya yönetilen örneğinizin Microsoft Entra-only kimlik doğrulamasının etkinleştirilip etkinleştirilmediğini denetlemek için SERVERPROPERTYIsExternalAuthenticationOnly eklendi. 1 özelliğin etkinleştirildiğini ve 0 özelliğin devre dışı bırakıldığını gösterir.

SELECT SERVERPROPERTY('IsExternalAuthenticationOnly') 

Açıklamalar

• SQL Server Katkıda Bulunanı bir Microsoft Entra yöneticisini ayarlayabilir veya kaldırabilir, ancak yalnızca Microsoft Entra kimlik doğrulaması ayarını ayarlayamaz. SQL Güvenlik Yöneticisi bir Microsoft Entra yöneticisi ayarlayamaz veya kaldıramaz, ancak yalnızca Microsoft Entra kimlik doğrulaması ayarını ayarlayabilir. Yalnızca daha yüksek Azure RBAC rollerine veya her iki izni de içeren özel rollere sahip hesaplar bir Microsoft Entra yöneticisi ayarlayabilir veya kaldırabilir ve yalnızca Microsoft Entra kimlik doğrulaması ayarını yapabilir. Bu rollerden biri Katkıda Bulunan rolüdür.
• Microsoft Entra kimlik doğrulamasını yalnızca Azure portalında etkinleştirdikten veya devre dışı bırakdıktan sonra, SQL server menüsünde bir Etkinlik günlüğü girişi görülebilir.
• Yalnızca Microsoft Entra kimlik doğrulaması ayarı, yalnızca Microsoft Entra yöneticisi belirtilirse doğru izinlere sahip kullanıcılar tarafından etkinleştirilebilir veya devre dışı bırakılabilir. Microsoft Entra yöneticisi ayarlı değilse, yalnızca Microsoft Entra kimlik doğrulaması ayarı etkin değildir ve etkinleştirilemez veya devre dışı bırakılamaz. Microsoft Entra-only kimlik doğrulamasını etkinleştirmek için API'leri kullanmak, Microsoft Entra yöneticisi ayarlanmamışsa da başarısız olur.
• Microsoft Entra-only kimlik doğrulaması etkinleştirildiğinde Microsoft Entra yöneticisinin değiştirilmesi, uygun izinlere sahip kullanıcılar için desteklenir.
• Uygun izinlere sahip kullanıcılar için Azure portalında Bir Microsoft Entra yöneticisinin değiştirilmesine ve Microsoft Entra-only kimlik doğrulamasının etkinleştirilmesine veya devre dışı bırakılmasına izin verilir. Her iki işlem de Azure portalında tek bir Kaydet ile tamamlanabilir. Microsoft Entra-only kimlik doğrulamasını etkinleştirmek için Microsoft Entra yöneticisi ayarlanmalıdır.
• Microsoft Entra-only kimlik doğrulaması özelliği etkinleştirildiğinde Bir Microsoft Entra yöneticisinin kaldırılması desteklenmez. Microsoft Entra yöneticisini kaldırmak için API kullanılması, Microsoft Entra-only kimlik doğrulaması etkinleştirilirse başarısız olur.
  • Yalnızca Microsoft Entra kimlik doğrulaması ayarı etkinse Azure portalında Yöneticiyi kaldır düğmesi etkin değildir.
• Bir Microsoft Entra yöneticisinin kaldırılmasına ve yalnızca Microsoft Entra kimlik doğrulaması ayarının devre dışı bırakılmasına izin verilir, ancak işlemleri tamamlamak için doğru kullanıcı izni gerekir. Her iki işlem de Azure portalında tek bir Kaydet ile tamamlanabilir.
• Uygun izinlere sahip Microsoft Entra kullanıcıları, mevcut SQL kullanıcılarının kimliğine bürünebilir.
  • Kimliğe bürünme, Microsoft Yalnızca entra-only kimlik doğrulaması özelliği etkinleştirildiğinde bile SQL kimlik doğrulaması kullanıcıları arasında çalışmaya devam eder.

SQL Veritabanı'de Microsoft Entra-only kimlik doğrulamasına yönelik sınırlamalar

SQL Veritabanı için Microsoft Entra-only kimlik doğrulaması etkinleştirildiğinde aşağıdaki özellikler desteklenmez:

• Azure SQL Veritabanı sunucu rolleri Microsoft Entra sunucu sorumluları için desteklenir, ancak Microsoft Entra oturum açma bilgileri bir grupsa desteklenmez.
• Esnek işler
• SQL Data Sync
• Veri yakalamayı değiştirme (CDC) - Azure SQL Veritabanı'de bir Microsoft Entra kullanıcısı olarak bir veritabanı oluşturur ve üzerinde değişiklik verisi yakalamayı etkinleştirirseniz, SQL kullanıcısı CDC yapıtlarını devre dışı bırakamaz veya üzerinde değişiklik yapamaz. Ancak, başka bir Microsoft Entra kullanıcısı aynı veritabanında CDC'yi etkinleştirebilir veya devre dışı bırakabilir. Benzer şekilde, SQL kullanıcısı olarak bir Azure SQL Veritabanı oluşturursanız, CDC'yi Microsoft Entra kullanıcısı olarak etkinleştirme veya devre dışı bırakma çalışmaz
• İşlem çoğaltması - Çoğaltma katılımcıları arasında bağlantı için SQL kimlik doğrulaması gerektiğinden, Microsoft Entra-only kimlik doğrulaması etkinleştirildiğinde, işlem çoğaltmanın bir Azure SQL Yönetilen Örneği yapılan değişiklikleri göndermek için kullanıldığı senaryolarda SQL Veritabanı için işlem çoğaltması desteklenmez, şirket içi SQL Server veya Azure SQL Veritabanı bir veritabanına Azure VM SQL Server örneği
• SQL Analizler (önizleme)
• Microsoft Entra grup üyesi hesapları için EXEC AS deyimi

Yönetilen Örnekte Microsoft Entra-only kimlik doğrulamasına yönelik sınırlamalar

Yönetilen Örnek için Microsoft Entra-only kimlik doğrulaması etkinleştirildiğinde aşağıdaki özellikler desteklenmez:

• İşlem çoğaltması
• Yönetilen Örnekteki SQL Aracısı İşleri, Microsoft Yalnızca Entra-only kimlik doğrulamayı destekler. Ancak yönetilen örneğe erişimi olan bir Microsoft Entra grubunun üyesi olan Microsoft Entra kullanıcısı SQL Aracısı İşlerine sahip olamaz
• SQL Analizler (önizleme)
• Microsoft Entra grup üyesi hesapları için EXEC AS deyimi

Daha fazla sınırlama için bkz. SQL Server ve Azure SQL Yönetilen Örneği arasındaki T-SQL farkları.

Sonraki adımlar

Öğretici: Azure SQL ile Microsoft Entra-only kimlik doğrulamasını etkinleştirme

Azure SQL'de Microsoft Entra-only kimlik doğrulamasının etkinleştirildiği sunucu oluşturma