Руководство по включению проверки подлинности только для Microsoft Entra с помощью SQL Azure

Применимо к: База данных SQL Azure Управляемый экземпляр SQL Azure

В этой статье описано, как включить функцию проверки подлинности только для Microsoft Entra в База данных SQL Azure и Управляемый экземпляр SQL Azure. Если вы хотите подготовить База данных SQL или Управляемый экземпляр SQL с включенной проверкой подлинности только для Microsoft Entra, см. статью "Создание сервера с включенной проверкой подлинности только для Microsoft Entra" в SQL Azure.

Примечание.

Идентификатор Microsoft Entra ранее был известен как Azure Active Directory (Azure AD).

В этом руководстве описано следующее:

• Назначение роли для включения проверки подлинности только для Microsoft Entra
• Включение проверки подлинности только для записей Майкрософт с помощью портал Azure, Azure CLI или PowerShell
• Проверьте, включена ли проверка подлинности только для Записи Майкрософт
• Тестирование подключения к Azure SQL
• Отключение проверки подлинности только для записи Майкрософт с помощью портал Azure, Azure CLI или PowerShell

Необходимые компоненты

• Клиент Microsoft Entra. Дополнительные сведения см. в разделе о настройке и администрировании проверки подлинности Microsoft Entra с помощью Azure SQL.
• База данных SQL или Управляемый экземпляр SQL с базой данных, а также именами для входа или пользователями. См. Краткое руководство. Создание отдельной базы данных в Базе данных SQL Azure, если вы еще не создали Базу данных SQL Azure, или Краткое руководство. Создание Управляемого экземпляра SQL Azure.

Назначение роли для включения проверки подлинности только для Microsoft Entra

Чтобы включить или отключить проверку подлинности только для Microsoft Entra, выбранные встроенные роли требуются для пользователей Microsoft Entra, выполняющих эти операции в этом руководстве. В этом учебнике описано назначение роли Диспетчер безопасности SQL пользователю.

Дополнительные сведения о назначении роли учетной записи Microsoft Entra см. в статье "Назначение ролей администратора и неадминистратора пользователям с идентификатором Microsoft Entra ID"

Дополнительные сведения о требуемом разрешении для включения или отключения проверки подлинности только для Microsoft Entra см. в разделе "Разрешения" статьи проверки подлинности только для microsoft Entra.

1. В нашем примере мы назначим роль Диспетчер безопасности SQL пользователю UserSqlSecurityManager@contoso.onmicrosoft.com. С помощью привилегированного пользователя, который может назначать роли Microsoft Entra, войдите в портал Azure.

2. Перейдите к ресурсу сервера SQL и выберите в меню пункт Управление доступом (IAM). Нажмите кнопку Добавить, а затем в раскрывающемся меню выберите Добавить назначение ролей.

   

3. В области "Добавление назначения ролей" выберите диспетчер безопасности SQL ролей и выберите пользователя, которому требуется включить или отключить проверку подлинности только для Microsoft Entra.

   

4. Нажмите кнопку Сохранить.

Включение проверки подлинности только для записи Майкрософт

Портал

Включение в Базе данных SQL с помощью портала Azure

Чтобы включить проверку подлинности только для Microsoft Entra в портал Azure, выполните следующие действия.

1. Используя пользователя с ролью Диспетчер безопасности SQL, перейдите к порталу Azure.

2. Перейдите к ресурсу SQL Server и выберите идентификатор Microsoft Entra в меню "Параметры ".

   

3. Если вы еще не добавили администратора Microsoft Entra, необходимо установить это, прежде чем включить проверку подлинности только для Microsoft Entra.

4. Установите флажок для проверки подлинности только Microsoft Entra для этого сервера.

5. Откроется всплывающее окно включения проверки подлинности только для Microsoft Entra. Нажмите кнопку "Да" , чтобы включить функцию и сохранить параметр.

Включение в Управляемом экземпляре SQL с помощью портала Azure

Чтобы включить проверку подлинности только для Microsoft Entra в портал Azure, ознакомьтесь с приведенными ниже инструкциями.

1. Используя пользователя с ролью Диспетчер безопасности SQL, перейдите к порталу Azure.

2. Перейдите к ресурсу управляемого экземпляра SQL и выберите администратора Microsoft Entra в меню "Параметры ".

3. Если вы еще не добавили администратора Microsoft Entra, необходимо установить это, прежде чем включить проверку подлинности только для Microsoft Entra.

4. Установите флажок "Поддержка только проверки подлинности Microsoft Entra" для этого управляемого экземпляра.

5. Откроется всплывающее окно включения проверки подлинности только для Microsoft Entra. Нажмите кнопку "Да" , чтобы включить функцию и сохранить параметр.

CLI Azure.

Включение в Базе данных SQL с помощью Azure CLI

Чтобы включить проверку подлинности только для записи Майкрософт в База данных SQL Azure с помощью Azure CLI, ознакомьтесь с приведенными ниже командами. Установите последнюю версию Azure CLI. Необходима версия Azure CLI 2.14.2 или более поздняя. Дополнительные сведения об этих командах см. в разделе az sql server ad-only-auth.

Дополнительные сведения об управлении проверкой подлинности только для Microsoft Entra с помощью API см. в статье "Управление проверкой подлинности только для записей Майкрософт" с помощью API.

Примечание.

Администратор Microsoft Entra должен быть установлен для сервера перед включением проверки подлинности только для Microsoft Entra. В противном случае команда Azure CLI завершится ошибкой.

Сведения о разрешениях и действиях, необходимых пользователю, выполняющим эти команды, для включения проверки подлинности только для Microsoft Entra см. в статье о проверке подлинности только для Microsoft Entra.

1. Войдите в Azure, используя учетную запись с ролью Диспетчера безопасности SQL.

   az login
   

2. Выполните следующую команду, заменив <myserver> именем сервера SQL и <myresource> ресурсом Azure, который содержит сервер SQL.

   az sql server ad-only-auth enable --resource-group <myresource> --name <myserver>
   

Включение в Управляемом экземпляре SQL с помощью Azure CLI

Чтобы включить проверку подлинности только для Microsoft Entra в Управляемый экземпляр SQL Azure с помощью Azure CLI, см. приведенные ниже команды. Установите последнюю версию Azure CLI.

1. Войдите в Azure, используя учетную запись с ролью Диспетчера безопасности SQL.

   az login
   

2. Выполните следующую команду, заменив <myserver> именем сервера SQL и <myresource> ресурсом Azure, который содержит сервер SQL.

   az sql mi ad-only-auth enable --resource-group <myresource> --name <myserver>
   

PowerShell

Включение в Базе данных SQL с помощью PowerShell

Чтобы включить проверку подлинности только для Microsoft Entra в База данных SQL Azure с помощью PowerShell, см. приведенные ниже команды. Для выполнения этих команд требуется модуль Az.Sql 2.10.0 или более поздней версии. Дополнительные сведения об этих командах см. в разделе Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication.

Дополнительные сведения об управлении проверкой подлинности только для Microsoft Entra с помощью API см. в статье "Управление проверкой подлинности только для Microsoft Entra с помощью API"

Примечание.

Администратор Microsoft Entra должен быть установлен для сервера перед включением проверки подлинности только для Microsoft Entra. В противном случае команда PowerShell завершится ошибкой.

Сведения о разрешениях и действиях, необходимых пользователю, выполняющим эти команды, для включения проверки подлинности только для Microsoft Entra см. в статье о проверке подлинности только для Microsoft Entra. Если у пользователя недостаточно разрешений, возникнет следующая ошибка:

Enable-AzSqlServerActiveDirectoryOnlyAuthentication : The client
'UserSqlServerContributor@contoso.onmicrosoft.com' with object id
'<guid>' does not have authorization to perform
action 'Microsoft.Sql/servers/azureADOnlyAuthentications/write' over scope
'/subscriptions/<guid>...'

1. Войдите в Azure, используя учетную запись с ролью Диспетчера безопасности SQL.

   Connect-AzAccount
   

2. Выполните следующую команду, заменив <myserver> именем сервера SQL и <myresource> ресурсом Azure, который содержит сервер SQL.

   Enable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName <myserver>  -ResourceGroupName <myresource>
   

Включение в Управляемом экземпляре SQL с помощью PowerShell

Чтобы включить проверку подлинности только для записи Майкрософт в Управляемый экземпляр SQL Azure с помощью PowerShell, см. следующие команды. Для выполнения этих команд требуется модуль Az.Sql 2.10.0 или более поздней версии.

Дополнительные сведения об управлении проверкой подлинности только для Microsoft Entra с помощью API см. в статье "Управление проверкой подлинности только для записей Майкрософт" с помощью API.

1. Войдите в Azure, используя учетную запись с ролью Диспетчера безопасности SQL.

   Connect-AzAccount
   

2. Выполните следующую команду, заменив <myinstance> именем Управляемого экземпляра SQL и <myresource> ресурсом Azure, который содержит управляемый экземпляр SQL.

   Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
   

Проверка состояния проверки подлинности только для Microsoft Entra

Проверьте, включена ли проверка подлинности только для Microsoft Entra для сервера или экземпляра.

Портал

Проверка состояния в Базе данных SQL

Перейдите к ресурсу SQL Server на портале Azure. Выберите идентификатор Microsoft Entra в меню "Параметры ".

Проверка состояния в Управляемом экземпляре SQL

Перейдите к ресурсу Управляемый экземпляр SQL на портале Azure. Выберите администратора Microsoft Entra в меню "Параметры ".

CLI Azure.

Эти команды можно использовать для проверки того, включена ли проверка подлинности только для Microsoft Entra для логического сервера для База данных SQL Azure или Управляемый экземпляр SQL. Члены роли участника SQL Server и Управляемый экземпляр SQL участника могут использовать эти команды для проверки состояния проверки подлинности только для Microsoft Entra, но не может включить или отключить эту функцию.

Проверка состояния в Базе данных SQL

1. Войдите в Azure, используя учетную запись с ролью Диспетчера безопасности SQL. Дополнительные сведения об управлении проверкой подлинности только для Microsoft Entra с помощью API см. в статье "Управление проверкой подлинности только для Microsoft Entra с помощью API"

   az login
   

2. Выполните следующую команду, заменив <myserver> именем сервера SQL и <myresource> ресурсом Azure, который содержит сервер SQL.

   az sql server ad-only-auth get --resource-group <myresource> --name <myserver>
   

3. Должен появиться следующий результат:

   {
    "azureAdOnlyAuthentication": true,
    "/subscriptions/<guid>/resourceGroups/mygroup/providers/Microsoft.Sql/servers/myserver/azureADOnlyAuthentications/Default",
    "name": "Default",
    "resourceGroup": "myresource",
    "type": "Microsoft.Sql/servers"
   }
   

Проверка состояния в Управляемом экземпляре SQL

1. Войдите в Azure, используя учетную запись с ролью Диспетчера безопасности SQL.

   az login
   

2. Выполните следующую команду, заменив <myserver> именем сервера SQL и <myresource> ресурсом Azure, который содержит сервер SQL.

   az sql mi ad-only-auth get --resource-group <myresource> --name <myserver>
   

3. Должен появиться следующий результат:

   {
    "azureAdOnlyAuthentication": true,
    "id": "/subscriptions/<guid>/resourceGroups/myresource/providers/Microsoft.Sql/managedInstances/myinstance/azureADOnlyAuthentications/Default",
    "name": "Default",
    "resourceGroup": "myresource",
    "type": "Microsoft.Sql/managedInstances"
   }
   

PowerShell

Эти команды можно использовать для проверки того, включена ли проверка подлинности только для Microsoft Entra для логического сервера для База данных SQL Azure или Управляемый экземпляр SQL. Члены роли участника SQL Server и Управляемый экземпляр SQL участника могут использовать эти команды для проверки состояния проверки подлинности только для Microsoft Entra, но не может включить или отключить эту функцию.

Состояние возвращает значение Истина, если функция включена, и значение Ложь, если отключена.

Проверка состояния в Базе данных SQL

1. Войдите в Azure, используя учетную запись с ролью Диспетчера безопасности SQL. Дополнительные сведения об управлении проверкой подлинности только для Microsoft Entra с помощью API см. в статье "Управление проверкой подлинности только для Microsoft Entra с помощью API"

   Connect-AzAccount
   

2. Выполните следующую команду, заменив <myserver> именем сервера SQL и <myresource> ресурсом Azure, который содержит сервер SQL.

   Get-AzSqlServerActiveDirectoryOnlyAuthentication  -ServerName <myserver> -ResourceGroupName <myresource>
   

Проверка состояния в Управляемом экземпляре SQL

1. Войдите в Azure, используя учетную запись с ролью Диспетчера безопасности SQL.

   Connect-AzAccount
   

2. Выполните следующую команду, заменив <myinstance> именем Управляемого экземпляра SQL и <myresource> ресурсом Azure, который содержит управляемый экземпляр SQL.

   Get-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
   

Протестируйте проверку подлинности SQL с ошибкой подключения

После включения проверки подлинности microsoft Entra проверьте с помощью SQL Server Management Studio (SSMS), чтобы подключиться к База данных SQL или Управляемый экземпляр SQL. Используйте проверку подлинности SQL для подключения.

Должно появиться примерно такое сообщение о невыполненном входе в систему:

Cannot connect to <myserver>.database.windows.net.
Additional information:
  Login failed for user 'username'. Reason: Azure Active Directory only authentication is enabled.
  Please contact your system administrator. (Microsoft SQL Server, Error: 18456)

Отключение проверки подлинности только для Microsoft Entra

Отключив функцию проверки подлинности только для Microsoft Entra, можно разрешить проверку подлинности SQL и проверку подлинности Microsoft Entra для SQL Azure.

Портал

Отключение в Базе данных SQL с помощью портала Azure

1. Используя пользователя с ролью Диспетчер безопасности SQL, перейдите к порталу Azure.
2. Перейдите к ресурсу SQL Server и выберите идентификатор Microsoft Entra в меню "Параметры ".
3. Чтобы отключить функцию проверки подлинности только для Microsoft Entra, снимите флажок "Поддержка только проверки подлинности Microsoft Entra" для этого сервера и сохраните этот параметр.

Отключение в Управляемом экземпляре SQL с помощью портала Azure

1. Используя пользователя с ролью Диспетчер безопасности SQL, перейдите к порталу Azure.
2. Перейдите к ресурсу Управляемый экземпляр SQL и выберите пункт Администратор Active Directory в меню Параметры.
3. Чтобы отключить функцию проверки подлинности только для Microsoft Entra, снимите флажок "Поддержка только проверки подлинности Microsoft Entra" для этого управляемого экземпляра и сохраните этот параметр.

CLI Azure.

Отключение в Базе данных SQL с помощью Azure CLI

Сведения об отключении проверки подлинности только для Microsoft Entra в База данных SQL Azure с помощью Azure CLI см. в приведенных ниже командах.

1. Войдите в Azure, используя учетную запись с ролью Диспетчера безопасности SQL.

   az login
   

2. Выполните следующую команду, заменив <myserver> именем сервера SQL и <myresource> ресурсом Azure, который содержит сервер SQL.

   az sql server ad-only-auth disable --resource-group <myresource> --name <myserver>
   

3. После отключения проверки подлинности только для Microsoft Entra вы увидите следующие выходные данные при проверке состояния:

   {
    "azureAdOnlyAuthentication": false,
    "/subscriptions/<guid>/resourceGroups/mygroup/providers/Microsoft.Sql/servers/myserver/azureADOnlyAuthentications/Default",
    "name": "Default",
    "resourceGroup": "myresource",
    "type": "Microsoft.Sql/servers"
   }
   

Отключение в Управляемом экземпляре SQL с помощью Azure CLI

Чтобы отключить проверку подлинности только для Microsoft Entra в Управляемый экземпляр SQL Azure с помощью Azure CLI, ознакомьтесь с приведенными ниже командами.

1. Войдите в Azure, используя учетную запись с ролью Диспетчера безопасности SQL.

   az login
   

2. Выполните следующую команду, заменив <myserver> именем сервера SQL и <myresource> ресурсом Azure, который содержит сервер SQL.

   az sql mi ad-only-auth disable --resource-group <myresource> --name <myserver>
   

3. После отключения проверки подлинности только для Microsoft Entra вы увидите следующие выходные данные при проверке состояния:

   {
    "azureAdOnlyAuthentication": false,
    "id": "/subscriptions/<guid>/resourceGroups/myresource/providers/Microsoft.Sql/managedInstances/myinstance/azureADOnlyAuthentications/Default",
    "name": "Default",
    "resourceGroup": "myresource",
    "type": "Microsoft.Sql/managedInstances"
   }
   

PowerShell

Отключение в Базе данных SQL с помощью PowerShell

Чтобы отключить проверку подлинности только для Записи Майкрософт в База данных SQL Azure с помощью PowerShell, ознакомьтесь с приведенными ниже командами.

1. Войдите в Azure, используя учетную запись с ролью Диспетчера безопасности SQL.

   Connect-AzAccount
   

2. Выполните следующую команду, заменив <myserver> именем сервера SQL и <myresource> ресурсом Azure, который содержит сервер SQL.

   Disable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName <myserver>  -ResourceGroupName <myresource>
   

Отключение в Управляемом экземпляре SQL с помощью PowerShell

Чтобы отключить проверку подлинности только для Microsoft Entra в Управляемый экземпляр SQL Azure с помощью PowerShell, ознакомьтесь с приведенными ниже командами.

1. Войдите в Azure, используя учетную запись с ролью Диспетчера безопасности SQL.

   Connect-AzAccount
   

2. Выполните следующую команду, заменив <myinstance> именем Управляемого экземпляра SQL и <myresource> ресурсом Azure, который содержит управляемый экземпляр.

   Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
   

Повторное тестирование подключения к Azure SQL

После отключения проверки подлинности только для Microsoft Entra проверьте подключение с помощью имени входа проверки подлинности SQL. Теперь вы должны подключиться к своему серверу или экземпляру.

Следующие шаги

• Проверка подлинности только в Microsoft Entra с SQL Azure
• Создание сервера с включенной проверкой подлинности только в Microsoft Entra в SQL Azure
• Использование Политика Azure для принудительной проверки подлинности только для Microsoft Entra с помощью SQL Azure