使用 Microsoft Entra 多重要素驗證
適用於:
Azure SQL 資料庫 Azure SQL 受控執行個體 Azure Synapse Analytics Azure VM 上的 SQL Server 透過 Azure Arc 啟用的 SQL Server
Microsoft Entra 多重要素驗證是 Microsoft 雲端式身分識別和存取管理服務提供的一項安全功能。 多重要素驗證要求使用者提供密碼以外的額外驗證步驟,從而增強使用者登入的安全性。
注意
Microsoft Entra ID 先前稱為 Azure Active Directory (Azure AD)。
多重要素驗證是 Azure SQL 資料庫、Azure SQL Managed Instance、Azure Synapse Analytics、SQL Server 2022 (16.x) 及更高版本支援的驗證方法。
本文簡要介紹多重要素驗證的優點、說明如何使用 Microsoft Entra ID 進行設定,並示範如何使用它透過 SQL Server Management Studio (SSMS) 連線到資料庫。
重要
Azure SQL 資料庫、Azure SQL 受控執行個體、Azure Synapse 和 SQL Server 2022 中的資料庫在本文的其餘部分統稱為資料庫,伺服器指的是託管 Azure SQL 資料庫和 Azure Synapse 資料庫的伺服器。
MFA 的優點
Microsoft Entra 多重要素驗證有助於守護對資料與應用程式的存取,同時滿足使用者對簡單登入流程的需求。 MFA 藉由要求使用者提供兩個或更多的驗證要素,為使用者登入額外新增一層安全性。 這些要素通常包括使用者知道的資訊 (密碼)、使用者擁有的東西 (智慧型手機或硬體 Token),以及/或使用者的特徵 (生物特徵辨識資料)。 藉由結合多重要素,MFA 可大幅降低未經授權存取的可能性。
Microsoft Entra 多重要素驗證提供 Microsoft Entra 驗證概觀中所述之 Microsoft Entra 驗證的所有優點。
如需可用驗證方法的完整清單,請參閱 Microsoft Entra ID 中有哪些驗證和驗證方法?
設定步驟
- 設定 Microsoft Entra 租用戶 - 如需詳細資訊,請參閱管理 Microsoft Entra 目錄、整合內部部署身分識別與 Microsoft Entra ID、將您自己的網域名稱新增至 Microsoft Entra ID、與 Microsoft Entra ID 同盟,以及使用 Windows PowerShell 管理 Microsoft Entra ID。
- 設定 MFA - 如需逐步指示,請參閱什麼是 Microsoft Entra 多重要素驗證?、使用 Azure SQL 資料庫和資料倉儲的條件式存取 (MFA)。 (完整條件式存取需要進階 Microsoft Entra ID。標準 Azure AD 會提供有限的 MFA。)
- 設定 Microsoft Entra 驗證 - 如需逐步指示,請參閱使用 Microsoft Entra 驗證連線至 SQL Database、SQL 受控執行個體或 Azure Synapse。
- 下載 SSMS - 在用戶端電腦上,從下載 SQL Server Management Studio (SSMS) 下載最新的 SSMS。
注意
在 2021 年 12 月,18.6 以前的 SSMS 版本無法再透過 Microsoft Entra ID 進行 MFA 驗證。
若要繼續使用 Microsoft Entra 進行 MFA 驗證,您將需要 SSMS 18.6 或更高版本。
Microsoft Entra B2B 支援
Microsoft Entra 多重要素驗證也支援 Microsoft Entra B2B 共同作業,可讓企業邀請來賓使用者與其組織共同作業。 來賓使用者可以以個別使用者或 Microsoft Entra 群組成員的身分連線至資料庫。 如需詳細資訊,請參閱在 SQL Database、Azure Synapse 和 SQL 受控執行個體中建立來賓使用者。
在 SSMS 中使用 MFA 連線
以下步驟說明如何在最新的 SSMS 中使用多重要素驗證進行連線。
若要使用 MFA 連線,請在 SSMS 的 [連線至伺服器] 對話框中,選取 [Azure Active Directory - 與 MFA 通用]。
![SSMS 中 [連接到伺服器] 對話方塊的螢幕擷取畫面。已從 [驗證] 下拉式視窗中選取 [Azure Active Directory - 與 MFA 通用]。](media/authentication-mfa-ssms-overview/1-mfa-connect-authentication-method-dropdown.png?view=azuresql)
使用伺服器的名稱填入 [伺服器名稱] 方塊。 使用
user_name@domain.com格式的 Microsoft Entra 認證填入 [使用者名稱]。![SSMS 中 [連接到伺服器] 對話方塊設定的螢幕擷取畫面,其中已填入所有字段。](media/authentication-mfa-ssms-overview/2-mfa-connect-to-server.png?view=azuresql)
按一下 連線。
當 [登入您的帳戶] 對話框顯示時,其中預先填入了您在步驟 2 中提供的 [使用者名稱]。 如果使用者不屬於與 Microsoft Entra ID 同盟的網域,則不需要輸入密碼。
![Azure SQL 資料庫和資料倉儲的 [登入您的帳戶] 對話方塊的螢幕擷取畫面。已填入帳戶和密碼。](media/authentication-mfa-ssms-overview/3-mfa-sign-in.png?view=azuresql)
系統會提示您使用根據 MFA 管理員設定所設定的其中一種方法進行驗證。
驗證完成時,SSMS 即會正常連線 (假設認證和防火牆存取有效)。
Microsoft Entra 多重要素驗證是所有 SQL 工具支援的驗證方法。 如需以程式設計方式使用 Microsoft Entra ID 驗證的資訊,請參閱 Microsoft 驗證程式庫 (MSAL) 概觀。
下一步
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應