Zelfstudie: Alleen Microsoft Entra-verificatie inschakelen met Azure SQL

Van toepassing op: Azure SQL DatabaseAzure SQL Managed Instance

In dit artikel wordt u begeleid bij het inschakelen van de microsoft-entra-verificatiefunctie in Azure SQL Database en Azure SQL Managed Instance. Als u een SQL Database of SQL Managed Instance wilt inrichten waarvoor alleen Microsoft Entra-verificatie is ingeschakeld, raadpleegt u Server maken met alleen Microsoft Entra-verificatie ingeschakeld in Azure SQL.

Notitie

Microsoft Entra-id is de nieuwe naam voor Azure Active Directory (Azure AD). Op dit moment wordt de documentatie bijgewerkt.

In deze zelfstudie leert u het volgende:

• Rol toewijzen om alleen-microsoft-verificatie in te schakelen
• Microsoft Entra-verificatie inschakelen met behulp van Azure Portal, Azure CLI of PowerShell
• Controleren of Microsoft Entra-verificatie is ingeschakeld
• Verbinding maken met Azure SQL testen
• Microsoft Entra-verificatie uitschakelen met behulp van Azure Portal, Azure CLI of PowerShell

Vereisten

• Een Microsoft Entra-tenant. Zie Microsoft Entra-verificatie configureren en beheren met Azure SQL voor meer informatie.
• Een SQL Database of SQL Managed Instance met een database en aanmeldingen of gebruikers. Zie quickstart: Een individuele Azure SQL Database-database maken als u nog geen Azure SQL Database of quickstart hebt gemaakt: Een beheerd exemplaar van Azure SQL maken.

Rol toewijzen om alleen-microsoft-verificatie in te schakelen

Als u Microsoft Entra-verificatie wilt in- of uitschakelen, zijn geselecteerde ingebouwde rollen vereist voor de Microsoft Entra-gebruikers die deze bewerkingen uitvoeren in deze zelfstudie. In deze zelfstudie gaan we de rol SQL Security Manager toewijzen aan de gebruiker.

Zie Beheerders- en niet-beheerdersrollen toewijzen aan gebruikers met Microsoft Entra-id voor meer informatie over het toewijzen van een rol aan een Microsoft Entra-account

Zie het gedeelte Machtigingen van microsoft Entra-only-verificatie voor meer informatie over de vereiste machtigingen voor het in- of uitschakelen van Microsoft Entra-only-verificatie .

1. In ons voorbeeld wijzen we de SQL Security Manager-rol toe aan de gebruiker UserSqlSecurityManager@contoso.onmicrosoft.com. Meld u aan bij Azure Portal met bevoorrechte gebruiker die Microsoft Entra-rollen kan toewijzen.

2. Ga naar uw SQL Server-resource en selecteer Toegangsbeheer (IAM) in het menu. Selecteer de knop Toevoegen en voeg vervolgens roltoewijzing toe in de vervolgkeuzelijst.

   

3. Selecteer in het deelvenster Roltoewijzing toevoegen de rol SQL Security Manager en selecteer de gebruiker die u de mogelijkheid wilt geven om alleen Microsoft Entra-verificatie in of uit te schakelen.

   

4. Klik op Opslaan.

Microsoft Entra-only-verificatie inschakelen

Portal

Inschakelen in SQL Database met behulp van Azure Portal

Voer de volgende stappen uit om alleen-Microsoft Entra-verificatie in te schakelen in Azure Portal:

1. Ga naar Azure Portal met behulp van de gebruiker met de rol SQL Security Manager.

2. Ga naar uw SQL Server-resource en selecteer Microsoft Entra-id in het menu Instellingen.

   

3. Als u geen Microsoft Entra-beheerder hebt toegevoegd, moet u deze instellen voordat u alleen-microsoft-verificatie kunt inschakelen.

4. Schakel het selectievakje alleen microsoft Entra-verificatie voor deze server in voor ondersteuning.

5. Het pop-upvenster Alleen-entra-verificatie inschakelen wordt weergegeven. Selecteer Ja om de functie in te schakelen en de instelling opslaan .

Inschakelen in SQL Managed Instance met behulp van Azure Portal

Zie de onderstaande stappen om alleen-microsoft-entra-verificatie in te schakelen in Azure Portal.

1. Ga naar Azure Portal met behulp van de gebruiker met de rol SQL Security Manager.

2. Ga naar uw sql Managed Instance-resource en selecteer Microsoft Entra-beheerder in het menu Instellingen.

3. Als u geen Microsoft Entra-beheerder hebt toegevoegd, moet u deze instellen voordat u alleen-microsoft-verificatie kunt inschakelen.

4. Schakel het selectievakje Alleen Microsoft Entra-verificatie voor dit beheerde exemplaar ondersteunen in.

5. Het pop-upvenster Alleen-entra-verificatie inschakelen wordt weergegeven. Selecteer Ja om de functie in te schakelen en de instelling opslaan .

De Azure CLI

Inschakelen in SQL Database met behulp van Azure CLI

Zie de onderstaande opdrachten voor het inschakelen van Microsoft Entra-verificatie in Azure SQL Database met behulp van Azure CLI. Installeer de nieuwste versie van Azure CLI. U moet Beschikken over Azure CLI versie 2.14.2 of hoger. Zie az sql server ad-only-auth voor meer informatie over deze opdrachten.

Zie Microsoft Entra-only-verificatie beheren met BEHULP van API's voor meer informatie over het beheren van Microsoft Entra-only-verificatie met behulp van API's.

Notitie

De Microsoft Entra-beheerder moet worden ingesteld voor de server voordat u Microsoft Entra-verificatie inschakelt. Anders mislukt de Azure CLI-opdracht.

Zie het microsoft-entra-only-verificatieartikel voor machtigingen en acties die vereist zijn voor de gebruiker die deze opdrachten uitvoert om alleen-Microsoft Entra-verificatie in te schakelen.

1. Meld u aan bij Azure met behulp van het account met de rol SQL Security Manager .

   az login
   

2. Voer de volgende opdracht uit, waarbij u <myserver> de SQL-servernaam vervangt en <myresource> door uw Azure-resource die de SQL-server bevat.

   az sql server ad-only-auth enable --resource-group <myresource> --name <myserver>
   

Inschakelen in SQL Managed Instance met behulp van Azure CLI

Zie de onderstaande opdrachten voor het inschakelen van Microsoft Entra-verificatie in Azure SQL Managed Instance met behulp van Azure CLI. Installeer de nieuwste versie van Azure CLI.

1. Meld u aan bij Azure met behulp van het account met de rol SQL Security Manager .

   az login
   

2. Voer de volgende opdracht uit, waarbij u <myserver> de SQL-servernaam vervangt en <myresource> door uw Azure-resource die de SQL-server bevat.

   az sql mi ad-only-auth enable --resource-group <myresource> --name <myserver>
   

PowerShell

Inschakelen in SQL Database met behulp van PowerShell

Zie de onderstaande opdrachten voor het inschakelen van Microsoft Entra-verificatie in Azure SQL Database met behulp van PowerShell. Az.Sql 2.10.0-module of hoger is vereist om deze opdrachten uit te voeren. Zie Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication voor meer informatie over deze opdrachten.

Zie Microsoft Entra-only-verificatie beheren met BEHULP van API's voor meer informatie over het beheren van microsoft-entra-verificatie met behulp van API's

Notitie

De Microsoft Entra-beheerder moet worden ingesteld voor de server voordat u Microsoft Entra-verificatie inschakelt. Anders mislukt de PowerShell-opdracht.

Zie het microsoft-entra-only-verificatieartikel voor machtigingen en acties die vereist zijn voor de gebruiker die deze opdrachten uitvoert om alleen-Microsoft Entra-verificatie in te schakelen. Als de gebruiker onvoldoende machtigingen heeft, krijgt u de volgende foutmelding:

Enable-AzSqlServerActiveDirectoryOnlyAuthentication : The client
'UserSqlServerContributor@contoso.onmicrosoft.com' with object id
'<guid>' does not have authorization to perform
action 'Microsoft.Sql/servers/azureADOnlyAuthentications/write' over scope
'/subscriptions/<guid>...'

1. Meld u aan bij Azure met behulp van het account met de rol SQL Security Manager .

   Connect-AzAccount
   

2. Voer de volgende opdracht uit, waarbij u <myserver> de SQL-servernaam vervangt en <myresource> door uw Azure-resource die de SQL-server bevat.

   Enable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName <myserver>  -ResourceGroupName <myresource>
   

Inschakelen in SQL Managed Instance met behulp van PowerShell

Zie de onderstaande opdrachten voor het inschakelen van Microsoft Entra-verificatie in Azure SQL Managed Instance met behulp van PowerShell. Az.Sql 2.10.0-module of hoger is vereist om deze opdrachten uit te voeren.

Zie Microsoft Entra-only-verificatie beheren met BEHULP van API's voor meer informatie over het beheren van Microsoft Entra-only-verificatie met behulp van API's.

1. Meld u aan bij Azure met behulp van het account met de rol SQL Security Manager .

   Connect-AzAccount
   

2. Voer de volgende opdracht uit, waarbij u <myinstance> de naam van uw SQL Managed Instance vervangt en <myresource> door uw Azure-resource die het beheerde SQL-exemplaar bevat.

   Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
   

De verificatiestatus van Microsoft Entra controleren

Controleer of Microsoft Entra-verificatie is ingeschakeld voor uw server of exemplaar.

Portal

Status controleren in SQL Database

Ga naar uw SQL Server-resource in Azure Portal. Selecteer Microsoft Entra ID onder het menu Instellingen.

Status controleren in SQL Managed Instance

Ga naar de resource van uw met SQL beheerde exemplaar in Azure Portal. Selecteer Microsoft Entra-beheerder in het menu Instellingen.

De Azure CLI

Deze opdrachten kunnen worden gebruikt om te controleren of Microsoft Entra-verificatie is ingeschakeld voor uw logische server voor Azure SQL Database of SQL Managed Instance. Leden van de rollen Inzender voor SQL Server en INzender voor SQL Managed Instance kunnen deze opdrachten gebruiken om de status van alleen Microsoft Entra-verificatie te controleren, maar de functie niet in- of uitschakelen.

Status controleren in SQL Database

1. Meld u aan bij Azure met behulp van het account met de rol SQL Security Manager . Zie Microsoft Entra-only-verificatie beheren met BEHULP van API's voor meer informatie over het beheren van microsoft-entra-verificatie met behulp van API's

   az login
   

2. Voer de volgende opdracht uit, waarbij u <myserver> de SQL-servernaam vervangt en <myresource> door uw Azure-resource die de SQL-server bevat.

   az sql server ad-only-auth get --resource-group <myresource> --name <myserver>
   

3. U moet de volgende uitvoer zien:

   {
    "azureAdOnlyAuthentication": true,
    "/subscriptions/<guid>/resourceGroups/mygroup/providers/Microsoft.Sql/servers/myserver/azureADOnlyAuthentications/Default",
    "name": "Default",
    "resourceGroup": "myresource",
    "type": "Microsoft.Sql/servers"
   }
   

Status controleren in SQL Managed Instance

1. Meld u aan bij Azure met behulp van het account met de rol SQL Security Manager .

   az login
   

2. Voer de volgende opdracht uit, waarbij u <myserver> de SQL-servernaam vervangt en <myresource> door uw Azure-resource die de SQL-server bevat.

   az sql mi ad-only-auth get --resource-group <myresource> --name <myserver>
   

3. U moet de volgende uitvoer zien:

   {
    "azureAdOnlyAuthentication": true,
    "id": "/subscriptions/<guid>/resourceGroups/myresource/providers/Microsoft.Sql/managedInstances/myinstance/azureADOnlyAuthentications/Default",
    "name": "Default",
    "resourceGroup": "myresource",
    "type": "Microsoft.Sql/managedInstances"
   }
   

PowerShell

Deze opdrachten kunnen worden gebruikt om te controleren of Microsoft Entra-verificatie is ingeschakeld voor uw logische server voor Azure SQL Database of SQL Managed Instance. Leden van de rollen Inzender voor SQL Server en INzender voor SQL Managed Instance kunnen deze opdrachten gebruiken om de status van alleen Microsoft Entra-verificatie te controleren, maar de functie niet in- of uitschakelen.

De status retourneert Waar als de functie is ingeschakeld en Onwaar als deze is uitgeschakeld.

Status controleren in SQL Database

1. Meld u aan bij Azure met behulp van het account met de rol SQL Security Manager . Zie Microsoft Entra-only-verificatie beheren met BEHULP van API's voor meer informatie over het beheren van microsoft-entra-verificatie met behulp van API's

   Connect-AzAccount
   

2. Voer de volgende opdracht uit, waarbij u <myserver> de SQL-servernaam vervangt en <myresource> door uw Azure-resource die de SQL-server bevat.

   Get-AzSqlServerActiveDirectoryOnlyAuthentication  -ServerName <myserver> -ResourceGroupName <myresource>
   

Status controleren in SQL Managed Instance

1. Meld u aan bij Azure met behulp van het account met de rol SQL Security Manager .

   Connect-AzAccount
   

2. Voer de volgende opdracht uit, waarbij u <myinstance> de naam van uw SQL Managed Instance vervangt en <myresource> door uw Azure-resource die het beheerde SQL-exemplaar bevat.

   Get-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
   

SQL-verificatie testen met verbindingsfout

Nadat u Microsoft Entra-only-verificatie hebt ingeschakeld, test u met SQL Server Management Studio (SSMS) om verbinding te maken met uw SQL Database of SQL Managed Instance. Gebruik SQL-verificatie voor de verbinding.

Als het goed is, ziet u een bericht met een mislukte aanmelding die vergelijkbaar is met de volgende uitvoer:

Cannot connect to <myserver>.database.windows.net.
Additional information:
  Login failed for user 'username'. Reason: Azure Active Directory only authentication is enabled.
  Please contact your system administrator. (Microsoft SQL Server, Error: 18456)

Microsoft Entra-verificatie uitschakelen

Door de microsoft-entra-verificatiefunctie uit te schakelen, staat u zowel SQL-verificatie als Microsoft Entra-verificatie voor Azure SQL toe.

Portal

Uitschakelen in SQL Database met behulp van Azure Portal

1. Ga naar Azure Portal met behulp van de gebruiker met de rol SQL Security Manager.
2. Ga naar uw SQL Server-resource en selecteer Microsoft Entra-id in het menu Instellingen.
3. Als u de verificatiefunctie alleen voor Microsoft Entra wilt uitschakelen, schakelt u het selectievakje Alleen Microsoft Entra-verificatie voor deze server ondersteunen uit en slaat u de instelling op .

Uitschakelen in SQL Managed Instance met behulp van Azure Portal

1. Ga naar Azure Portal met behulp van de gebruiker met de rol SQL Security Manager.
2. Ga naar uw sql Managed Instance-resource en selecteer Active Directory-beheerder in het menu Instellingen.
3. Als u de verificatiefunctie alleen voor Microsoft Entra wilt uitschakelen, schakelt u het selectievakje Alleen Microsoft Entra-verificatie voor dit beheerde exemplaar ondersteunen uit en slaat u de instelling op .

De Azure CLI

Uitschakelen in SQL Database met behulp van Azure CLI

Zie de onderstaande opdrachten voor het uitschakelen van Microsoft Entra-verificatie in Azure SQL Database met behulp van Azure CLI.

1. Meld u aan bij Azure met behulp van het account met de rol SQL Security Manager .

   az login
   

2. Voer de volgende opdracht uit, waarbij u <myserver> de SQL-servernaam vervangt en <myresource> door uw Azure-resource die de SQL-server bevat.

   az sql server ad-only-auth disable --resource-group <myresource> --name <myserver>
   

3. Nadat u Microsoft Entra-verificatie hebt uitgeschakeld, ziet u de volgende uitvoer wanneer u de status controleert:

   {
    "azureAdOnlyAuthentication": false,
    "/subscriptions/<guid>/resourceGroups/mygroup/providers/Microsoft.Sql/servers/myserver/azureADOnlyAuthentications/Default",
    "name": "Default",
    "resourceGroup": "myresource",
    "type": "Microsoft.Sql/servers"
   }
   

Uitschakelen in SQL Managed Instance met behulp van Azure CLI

Zie de onderstaande opdrachten voor het uitschakelen van Microsoft Entra-verificatie in Azure SQL Managed Instance met behulp van Azure CLI.

1. Meld u aan bij Azure met behulp van het account met de rol SQL Security Manager .

   az login
   

2. Voer de volgende opdracht uit, waarbij u <myserver> de SQL-servernaam vervangt en <myresource> door uw Azure-resource die de SQL-server bevat.

   az sql mi ad-only-auth disable --resource-group <myresource> --name <myserver>
   

3. Nadat u Microsoft Entra-verificatie hebt uitgeschakeld, ziet u de volgende uitvoer wanneer u de status controleert:

   {
    "azureAdOnlyAuthentication": false,
    "id": "/subscriptions/<guid>/resourceGroups/myresource/providers/Microsoft.Sql/managedInstances/myinstance/azureADOnlyAuthentications/Default",
    "name": "Default",
    "resourceGroup": "myresource",
    "type": "Microsoft.Sql/managedInstances"
   }
   

PowerShell

Uitschakelen in SQL Database met behulp van PowerShell

Zie de onderstaande opdrachten als u microsoft-entra-verificatie wilt uitschakelen in Azure SQL Database met behulp van PowerShell.

1. Meld u aan bij Azure met behulp van het account met de rol SQL Security Manager .

   Connect-AzAccount
   

2. Voer de volgende opdracht uit, waarbij u <myserver> de SQL-servernaam vervangt en <myresource> door uw Azure-resource die de SQL-server bevat.

   Disable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName <myserver>  -ResourceGroupName <myresource>
   

Uitschakelen in SQL Managed Instance met behulp van PowerShell

Zie de onderstaande opdrachten voor het uitschakelen van Microsoft Entra-verificatie in Azure SQL Managed Instance met behulp van PowerShell.

1. Meld u aan bij Azure met behulp van het account met de rol SQL Security Manager .

   Connect-AzAccount
   

2. Voer de volgende opdracht uit, waarbij u <myinstance> de naam van uw SQL Managed Instance vervangt en <myresource> door uw Azure-resource die het beheerde exemplaar bevat.

   Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
   

Opnieuw verbinding maken met Azure SQL testen

Nadat u Microsoft Entra-only-verificatie hebt uitgeschakeld, test u de verbinding met behulp van een SQL-verificatieaanmelding. U moet nu verbinding kunnen maken met uw server of exemplaar.

Volgende stappen

• Microsoft Entra-only-verificatie met Azure SQL
• Server maken met alleen Microsoft Entra-verificatie ingeschakeld in Azure SQL
• Azure Policy gebruiken voor het afdwingen van Microsoft Entra-only-verificatie met Azure SQL