你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 Microsoft Entra 多重身份验证
适用于:Azure SQL 数据库 Azure SQL 托管实例 Azure Synapse Analytics Azure 虚拟机上的 SQL Server 已启用 Azure Arc 的 SQL Server
Microsoft Entra 多重身份验证是 Microsoft 基于云的标识和访问管理服务提供的安全功能。 多重身份验证要求用户在密码之外提供额外的验证步骤,从而增强用户登录的安全性。
注意
Microsoft Entra ID 以前称为 Azure Active Directory (Azure AD)。
Azure SQL 数据库、Azure SQL 托管实例、Azure Synapse Analytics 和 SQL Server 2022 (16.x) 及更高版本支持多重身份验证方法。
本文简要概述了多重身份验证的优点,说明了如何在 Microsoft Entra ID 中配置它,并演示如何使用它通过 SQL Server Management Studio (SSMS) 连接到数据库。
重要
本文其余部分将 Azure SQL 数据库、Azure SQL 托管实例、Azure Synapse 和 SQL Server 2022 中的数据库统称为数据库,服务器指的是为 Azure SQL 数据库和 Azure Synapse 托管数据库的服务器。
MFA 的优点
Microsoft Entra 多重身份验证可帮助保护对数据和应用程序的访问,同时可以满足用户对简单登录过程的需求。 MFA 通过要求用户提供两个或两个以上的身份验证因素,为用户登录添加了额外的安全层。 这些因素通常包括用户知道的东西(密码)、用户拥有的东西(智能手机或硬件令牌),以及/或用户自身的东西(生物识别数据)。 通过结合多种因素,MFA 可显著降低未经授权的访问的可能性。
Microsoft Entra 多重身份验证提供 Microsoft Entra 身份验证概述中所述的所有 Microsoft Entra 身份验证优势。
有关可用的身份验证方法的完整列表,请参阅 Microsoft Entra ID 中有哪些可用的身份验证和验证方法?
配置步骤
- 配置 Microsoft Entra 租户 - 有关详细信息,请参阅管理 Microsoft Entra 目录、将本地标识与 Microsoft Entra ID 集成、将自己的域名添加到 Microsoft Entra ID、联合 Microsoft Entra ID 以及使用 Windows PowerShell 管理 Microsoft Entra ID。
- 配置 MFA - 有关分步说明,请参阅什么是 Microsoft Entra 多重身份验证?、Azure SQL 数据库和数据仓库的条件性访问 (MFA)。 (完全条件访问需要高级版 Microsoft Entra ID。标准版 Azure AD 提供有限的 MFA。)
- 配置 Microsoft Entra 身份验证 - 有关分步说明,请参阅使用 Microsoft Entra 身份验证连接到 SQL 数据库、SQL 托管实例或 Azure Synapse。
- 下载 SSMS - 在客户端计算机上,从下载 SQL Server Management Studio (SSMS) 下载最新的 SSMS。
注意
自 2021 年 12 月起,18.6 版之前的 SSMS 版本将不能再使用 MFA 通过 Microsoft Entra ID 进行身份验证。
若要继续将 MFA 与 Microsoft Entra ID 身份验证结合使用,需要 SSMS 18.6 或更高版本。
Microsoft Entra B2B 支持
Microsoft Entra 多重身份验证还支持 Microsoft Entra B2B 协作,使企业能够邀请来宾用户与其组织协作。 来宾用户可以作为单个用户或 Microsoft Entra 组的成员连接到数据库。 有关详细信息,请参阅在 SQL 数据库、Azure Synapse 和 SQL 托管实例中创建来宾用户。
在 SSMS 中使用 MFA 进行连接
以下步骤演示如何在最新的 SSMS 中使用多重身份验证进行连接。
要使用 MFA 进行连接,请在 SSMS 中的“连接到服务器”对话框上,选择“Azure Active Directory - 通用且具有 MFA”。
使用服务器名称填充“服务器名称”框。 使用 Microsoft Entra 凭据填充“用户名”框,格式为
user_name@domain.com
。单击“连接” 。
出现“登录到帐户”对话框时,它应该已使用你在步骤 2 中提供的用户名进行了预填充。 如果用户属于与 Microsoft Entra ID 联合的域,则无需任何密码。
系统会提示你使用基于 MFA 管理员设置配置的方法之一进行身份验证。
验证完成后,SSMS 便会正常连接(前提是凭据和防火墙访问有效)。
Microsoft Entra 多重身份验证是所有 SQL 工具支持的身份验证方法。 有关使用 Microsoft Entra ID 以编程方式进行身份验证的信息,请参阅 Microsoft 身份验证库 (MSAL) 概述。