設定適用於 SQL Server Management Studio 和 Azure AD 的多重要素驗證

適用于:Azure SQL Database Azure SQL 受控執行個體 Azure Synapse Analytics

本主題說明如何使用 Azure Active Directory (Azure AD) 多重要素驗證 (MFA) 搭配 SQL Server Management Studio (SSMS)。 Azure AD MFA 可以在將 SSMS 或 SqlPackage.exe 連線至 Azure SQL DatabaseAzure SQL 受控執行個體Azure Synapse Analytics時使用。 如需多重要素驗證的概觀,請參閱通用驗證搭配 SQL Database、SQL 受控執行個體和 Azure Synapse (適用於 MFA 的 SSMS 支援)

重要

Azure SQL Database、Azure SQL 受控執行個體和 Azure Synapse 中的資料庫會在本文的其餘部分統稱為資料庫,而且伺服器指的是託管 Azure SQL Database 和 Azure Synapse 資料庫的伺服器

組態步驟

  1. 設定 Azure Active Directory - 如需詳細資訊,請參閱管理 Azure AD 目錄整合內部部署身分識別與 Azure Active Directory將您自己的網域名稱新增至 Azure ADMicrosoft Azure 現在支援與 Windows Server Active Directory 同盟使用 Windows PowerShell 管理 Azure AD
  2. 設定 MFA - 如需逐步指示,請參閱什麼是 Azure AD Multi-Factor Authentication?使用 Azure SQL Database and 和資料倉儲的條件式存取 (MFA)。 (完整條件式存取需要進階 Azure Active Directory。標準 Azure AD 會提供有限的 MFA。)
  3. 設定 Azure AD 驗證 - 如需逐步指示,請參閱使用 Azure Active Directory 驗證連線至 SQL Database、SQL 受控執行個體或 Azure Synapse
  4. 下載 SSMS - 在用戶端電腦上,從下載 SQL Server Management Studio (SSMS) 下載最新的 SSMS。

使用通用驗證搭配 SSMS 進行連線

下列步驟說明如何使用最新 SSMS 連線。

注意

在 2021 年 12 月,18.6 以前的 SSMS 版本無法再透過 Azure Active Directory 進行 MFA 驗證。

若要繼續使用 Azure Active Directory 進行 MFA 驗證,您需要 SSMS 18.6 或更新版本

  1. 若要使用通用驗證進行連線,請在 SQL Server Management Studio (SSMS) 中的 [連線到伺服器] 對話方塊中,選取 [Active Directory - 通用驗證搭配 MFA 支援]。 (如果您看到 Active Directory 通用驗證,則表示您不是使用最新的 SSMS 版本。)

    在 [連接到資料庫] 下拉式清單中選取 [連線到伺服器] 對話方塊的 [連線到伺服器] 索引標籤螢幕擷取畫面。

  2. 使用 Azure Active Directory 認證完成 [使用者名稱] 方塊 (採用 格式)。

    [連接到伺服器] 對話方塊設定的螢幕擷取畫面,其中顯示 [伺服器類型]、[伺服器名稱]、[驗證] 和 [使用者名稱]。

  3. 如果您是以來賓使用者的身分連線,就不再需要為來賓使用者完成 AD 網域名稱或租用戶識別碼欄位,因為 SSMS 18.x 或更新版本會自動辨識。 如需更多資訊,請參閱通用驗證搭配 SQL Database、SQL 受控執行個體和 Azure Synapse (適用於 MFA 的 SSMS 支援)

    在 [連接到資料庫] 下拉式清單中選取 [連線到伺服器] 對話方塊的 [連線到伺服器] 索引標籤螢幕擷取畫面。

    不過,如果您使用 SSMS 17.x 或更舊版本,以來賓使用者身分進行連線,則必須按一下 [選項],然後在 [連線屬性] 對話方塊中,完成 [AD 網域名稱或租用戶識別碼] 方塊。

    S S M S 中 [連線到伺服器] 對話方塊中 [線上內容] 索引標籤的螢幕擷取畫面。已填入 AD 功能變數名稱或租使用者識別碼屬性的選項。

  4. 選取 [選項],並在 [選項] 對話方塊中指定資料庫。 (如果已連線的使用者是來賓使用者 (亦即joe@outlook.com),您必須核取此方塊,並將目前的 AD 網域名稱或租用戶 ID 新增為 [選項] 的一部分。 通用驗證搭配 SQL Database 和 Azure Synapse Analytics (適用於 MFA 的 SSMS 支援)。 然後按一下 [ 連接]。

  5. 當 [登入您的帳戶] 對話方塊顯示時,請提供您 Azure Active Directory 身分識別的帳戶和密碼。 如果使用者不屬於與 Azure AD 同盟的網域,則不需要密碼。

    Azure SQL 資料庫和Data Warehouse的 [登入您的帳戶] 對話方塊螢幕擷取畫面。系統會填入帳戶和密碼。

    注意

    如果是使用不需要 MFA 的帳戶進行通用驗證,則您可以在此時連線。 對於需要 MFA 的使用者,請繼續執行下列步驟:

  6. 可能會顯示兩個 MFA 設定對話方塊。 這個一次性作業是根據 MFA 系統管理員設定而定,因此可能是選擇性的。 對於已啟用 MFA 的網域,有時會預先定義這個步驟 (例如,網域會要求使用者使用智慧卡和 pin)。

    [登入您的帳戶] 對話方塊的螢幕擷取畫面,其中顯示 [Azure SQL 資料庫] 和 [Data Warehouse],並提示您設定其他安全性驗證。

  7. 第二個可能的一次性對話方塊可讓您選取驗證方法的詳細資料。 可能的選項是由您的系統管理員所設定。

    [其他安全性驗證] 對話方塊的螢幕擷取畫面,其中包含用於選取和設定驗證方法的選項。

  8. Azure Active Directory 會傳送確認資訊給您。 當您收到驗證碼時,請將其輸入 [輸入驗證碼] 方塊,然後按一下 [登入]

    [登入您的帳戶] 對話方塊的螢幕擷取畫面,其中顯示 [Azure SQL 資料庫] 和 [Data Warehouse],並出現輸入驗證碼的提示。

驗證完成時,SSMS 即會正常連線 (假設認證和防火牆存取有效)。

後續步驟