Verwenden der mehrstufigen Authentifizierung von AAD mit Azure SQL-Datenbank und Azure SQL Data Warehouse (SSMS-Unterstützung für MFA)Using Multi-factor AAD authentication with Azure SQL Database and Azure SQL Data Warehouse (SSMS support for MFA)

Azure SQL-Datenbank und Azure SQL Data Warehouse unterstützen Verbindungen aus SQL Server Management Studio (SSMS) mithilfe der universellen Active Directory-Authentifizierung.Azure SQL Database and Azure SQL Data Warehouse support connections from SQL Server Management Studio (SSMS) using Active Directory Universal Authentication. In diesem Artikel werden die Unterschiede zwischen den verschiedenen Authentifizierungsoptionen sowie die Einschränkungen bei Verwendung der universellen Authentifizierung erörtert.This article discusses the differences between the various authentication options, and also the limitations associated with using Universal Authentication.

Herunterladen der aktuellen Version von SSMS: Laden Sie die neueste Version von SSMS unter Herunterladen von SQL Server Management Studio (SSMS) auf den Clientcomputer herunter.Download the latest SSMS - On the client computer, download the latest version of SSMS, from Download SQL Server Management Studio (SSMS).

Verwenden Sie für alle Features in diesem Artikel mindestens die Version 17.2 vom Juli 2017.For all the features discussed in this article, use at least July 2017, version 17.2. Das letzte Verbindungsdialogfeld sollte ungefähr wie folgt aussehen:The most recent connection dialog box, should look similar to the following image:

1mfa-universal-connect1mfa-universal-connect

Die fünf AuthentifizierungsoptionenThe five authentication options

Die universelle Active Directory-Authentifizierung unterstützt die folgenden beiden nicht interaktiven AuthentifizierungsmethodenActive Directory Universal Authentication supports the two non-interactive authentication methods: - Authentifizierung per Active Directory - PasswordActive Directory - Password authentication - Authentifizierung per Active Directory - IntegratedActive Directory - Integrated authentication

Es gibt darüber hinaus zwei nicht interaktive Authentifizierungsmodelle, die in zahlreichen verschiedenen Anwendungen (ADO.NET, JDCB, ODC usw.) verwendet werden können.There are two non-interactive authentication models as well, which can be used in many different applications (ADO.NET, JDCB, ODC, etc.). Bei diesen beiden Methoden werden niemals Popupdialogfelder angezeigt:These two methods never result in pop-up dialog boxes:

  • Active Directory - Password
  • Active Directory - Integrated

Die folgende interaktive Methode unterstützt auch Azure Multi-Factor Authentication (MFA):The interactive method is that also supports Azure multi-factor authentication (MFA) is:

  • Active Directory - Universal with MFA

Azure MFA hilft beim Schützen des Zugriffs auf Daten und Anwendungen und erfüllt gleichzeitig die Anforderungen von Benutzern an ein einfaches Anmeldeverfahren.Azure MFA helps safeguard access to data and applications while meeting user demand for a simple sign-in process. Diese Lösung ermöglicht eine sichere Authentifizierung über eine Reihe einfacher Überprüfungsoptionen: Telefonanruf, SMS, Smartcards mit PIN oder Benachrichtigung in einer mobilen App. Benutzer können ihre bevorzugte Methode wählen.It delivers strong authentication with a range of easy verification options (phone call, text message, smart cards with pin, or mobile app notification), allowing users to choose the method they prefer. Bei der interaktiven MFA mit Azure AD kann ein Popupdialogfeld zur Überprüfung geöffnet werden.Interactive MFA with Azure AD can result in a pop-up dialog box for validation.

Eine Beschreibung von Multi-Factor Authentication finden Sie unter Multi-Factor Authentication.For a description of Multi-Factor Authentication, see Multi-Factor Authentication. Konfigurationsschritte finden Sie unter Konfigurieren der Multi-Factor Authentication in Azure SQL-Datenbank für SQL Server Management Studio.For configuration steps, see Configure Azure SQL Database multi-factor authentication for SQL Server Management Studio.

Name der Azure AD-Domäne oder Mandanten-ID-ParameterAzure AD domain name or tenant ID parameter

Ab SSMS Version 17 können Benutzer, die aus anderen Azure Active Directorys als Gastbenutzer in Active Directory importiert wurden, beim Herstellen einer Verbindung den Namen der Azure AD-Domäne oder die Mandanten-ID angeben.Beginning with SSMS version 17, users that are imported into the current Active Directory from other Azure Active Directories as guest users, can provide the Azure AD domain name, or tenant ID when they connect. Zu den Gastbenutzern zählen Benutzer, die von anderen Azure ADs eingeladen wurden, Microsoft-Konten wie outlook.com, hotmail.com, live.com oder andere Konten wie gmail.com.Guest users include users invited from other Azure ADs, Microsoft accounts such as outlook.com, hotmail.com, live.com, or other accounts like gmail.com. Durch diese Informationen kann bei der universellen Active Directory-Authentifizierung mit mehrstufiger Authentifizierung die richtige Authentifizierungsstelle identifiziert werden.This information, allows Active Directory Universal with MFA Authentication to identify the correct authenticating authority. Diese Option ist für die Unterstützung von Microsoft-Konten (MSA) wie outlook.com, hotmail.com oder live.com oder Nicht-MSA-Konten erforderlich.This option is also required to support Microsoft accounts (MSA) such as outlook.com, hotmail.com, live.com, or non-MSA accounts. Alle diese Benutzer, die mithilfe der universellen Authentifizierung authentifiziert werden sollen, müssen den Namen ihrer Azure AD-Domäne oder ihre Mandanten-ID eingeben.All these users who want to be authenticated using Universal Authentication must enter their Azure AD domain name or tenant ID. Dieser Parameter stellt den aktuellen Namen der Azure AD-Domäne/die aktuelle Mandanten-ID dar, mit denen der Azure-Server verknüpft ist.This parameter represents the current Azure AD domain name/tenant ID the Azure Server is linked with. Wenn Azure Server beispielsweise mit der Azure AD-Domäne contosotest.onmicrosoft.com verbunden ist, in der Benutzer joe@contosodev.onmicrosoft.com als importierter Benutzer aus Azure AD-Domäne contosodev.onmicrosoft.com gehostet wird, lautet der erforderliche Domänenname für die Authentifizierung dieses Benutzers contosotest.onmicrosoft.com.For example, if Azure Server is associated with Azure AD domain contosotest.onmicrosoft.com where user joe@contosodev.onmicrosoft.com is hosted as an imported user from Azure AD domain contosodev.onmicrosoft.com, the domain name required to authenticate this user is contosotest.onmicrosoft.com. Wenn der Benutzer ein nativer Benutzer des mit Azure Server verknüpften Azure AD ist und kein MSA-Konto darstellt, sind weder Domänenname noch Mandanten-ID erforderlich.When the user is a native user of the Azure AD linked to Azure Server, and is not an MSA account, no domain name or tenant ID is required. Um den Parameter einzugeben (ab SSMS Version 17.2) füllen Sie das Dialogfeld Verbindung mit Datenbank herstellen aus. Wählen Sie dazu die Authentifizierung Active Directory: universell mit MFA-Unterstützung aus, klicken Sie auf Optionen, füllen Sie das Feld Benutzername aus, und klicken Sie dann auf die Registerkarte Verbindungseigenschaften. Aktivieren Sie das Kontrollkästchen AD-Domänenname oder Mandanten-ID, und geben Sie die Authentifizierungsstelle an, z.B. den Domänennamen (contosotest.onmicrosoft.com) oder die GUID der Mandanten-ID.To enter the parameter (beginning with SSMS version 17.2), in the Connect to Database dialog box, complete the dialog box, selecting Active Directory - Universal with MFA authentication, click Options, complete the User name box, and then click the Connection Properties tab. Check the AD domain name or tenant ID box, and provide authenticating authority, such as the domain name (contosotest.onmicrosoft.com) or the GUID of the tenant ID.
mfa-tenant-ssmsmfa-tenant-ssms

Wenn Sie SSMS 18. x oder höher ausführen, wird der Active Directory-Domänenname oder die Mandanten-ID nicht mehr für Gastbenutzer benötigt, da diese Angaben von Version 18. x oder höher automatisch erkannt werden.If you are running SSMS 18.x or later then the AD domain name or tenant ID is no longer needed for guest users because 18.x or later automatically recognizes it.

mfa-tenant-ssms

Azure AD-Business-to-Business-UnterstützungAzure AD business to business support

Azure AD-Benutzer, die für Azure AD-B2B-Szenarien als Gastbenutzer unterstützt werden (siehe Was ist Azure B2B-Zusammenarbeit), können nur als Mitglieder einer Gruppe im aktuellen Azure AD eine Verbindung mit SQL-Datenbank und SQL Data Warehouse herstellen und müssen dann mit der Transact-SQL-Anweisung CREATE USER in einer bestimmten Datenbank manuell zugeordnet werden.Azure AD users supported for Azure AD B2B scenarios as guest users (see What is Azure B2B collaboration) can connect to SQL Database and SQL Data Warehouse only as part of members of a group created in current Azure AD and mapped manually using the Transact-SQL CREATE USER statement in a given database. Wenn beispielsweise steve@gmail.com zu Azure AD contosotest (mit der Azure AD-Domäne contosotest.onmicrosoft.com) eingeladen wird, muss eine Azure AD-Gruppe, z.B. usergroup in dem Azure AD erstellt werden, das steve@gmail.com als Mitglied enthält.For example, if steve@gmail.com is invited to Azure AD contosotest (with the Azure Ad domain contosotest.onmicrosoft.com), an Azure AD group, such as usergroup must be created in the Azure AD that contains the steve@gmail.com member. Diese Gruppe muss dann durch einen Azure AD-SQL-Administrator oder Azure AD-DBO durch Ausführen der Transact-SQL-Anweisung CREATE USER [usergroup] FROM EXTERNAL PROVIDER für eine bestimmte Datenbank (d. h. MyDatabase) erstellt werden.Then, this group must be created for a specific database (that is, MyDatabase) by Azure AD SQL admin or Azure AD DBO by executing a Transact-SQL CREATE USER [usergroup] FROM EXTERNAL PROVIDER statement. Nach dem Erstellen des Datenbankbenutzers kann der Benutzer steve@gmail.com sich mithilfe der SSMS-Authentifizierungsoption Active Directory – Universal with MFA support bei MyDatabase anmelden.After the database user is created, then the user steve@gmail.com can log in to MyDatabase using the SSMS authentication option Active Directory – Universal with MFA support. Die Benutzergruppe verfügt standardmäßig nur über die Verbindungsberechtigung, und alle weiteren Datenzugriffe müssen auf normale Weise gewährt werden.The usergroup, by default, has only the connect permission and any further data access that will need to be granted in the normal way. Beachten Sie, dass der Benutzer steve@gmail.com als Gastbenutzer das Kontrollkästchen aktivieren und den AD-Domänennamen contosotest.onmicrosoft.com im SSMS-Dialogfeld Verbindungseigenschaften hinzufügen muss.Note that user steve@gmail.com as a guest user must check the box and add the AD domain name contosotest.onmicrosoft.com in the SSMS Connection Property dialog box. Die Option AD-Domänenname oder Mandanten-ID wird nur für Optionen der Reihe „universell mit MFA-Unterstützung“ unterstützt, andernfalls wird sie abgeblendet dargestellt.The AD domain name or tenant ID option is only supported for the Universal with MFA connection options, otherwise it is greyed out.

Einschränkungen der universellen Authentifizierung bei SQL-Datenbank und SQL Data WarehouseUniversal Authentication limitations for SQL Database and SQL Data Warehouse

  • SSMS und SqlPackage.exe sind die einzigen Tools, die derzeit für MFA über die universelle Active Directory-Authentifizierung aktiviert sind.SSMS and SqlPackage.exe are the only tools currently enabled for MFA through Active Directory Universal Authentication.
  • SSMS Version 17.2 unterstützt den gleichzeitigen Zugriff durch mehrere Benutzer mithilfe der universellen Authentifizierung mit mehrstufiger Authentifizierung.SSMS version 17.2, supports multi-user concurrent access using Universal Authentication with MFA. In Version 17.0 und 17.1 konnte sich nur ein einziges Azure Active Directory-Konto über die universelle Authentifizierung bei einer SSMS-Instanz anmelden.Version 17.0 and 17.1, restricted a login for an instance of SSMS using Universal Authentication to a single Azure Active Directory account. Für die Anmeldung mit einem anderen Azure AD-Konto müssen Sie eine andere SSMS-Instanz verwenden.To log in as another Azure AD account, you must use another instance of SSMS. (Diese Einschränkung gilt nur für die universelle Active Directory-Authentifizierung. Mit der Active Directory-Kennwortauthentifizierung, der integrierten Active Directory-Authentifizierung oder der SQL Server-Authentifizierung können Sie sich bei verschiedenen Servern anmelden.)(This restriction is limited to Active Directory Universal Authentication; you can log in to different servers using Active Directory Password Authentication, Active Directory Integrated Authentication, or SQL Server Authentication).
  • SSMS unterstützt die universelle Active Directory-Authentifizierung für den Objekt-Explorer, den Abfrage-Editor und die Abfragespeichervisualisierung.SSMS supports Active Directory Universal Authentication for Object Explorer, Query Editor, and Query Store visualization.
  • SSMS Version 17.2 bietet Unterstützung von DacFx Wizard zum Exportieren/Extrahieren/Bereitstellen von Daten aus Datenbanken.SSMS version 17.2 provides DacFx Wizard support for Export/Extract/Deploy Data database. Sobald ein bestimmter Benutzer über das erste Authentifizierungsdialogfeld mithilfe der universellen Authentifizierung authentifiziert wurde, funktioniert DacFx Wizard genau wie bei allen anderen Authentifizierungsmethoden.Once a specific user is authenticated through the initial authentication dialog using Universal Authentication, the DacFx Wizard functions the same way it does for all other authentication methods.
  • Die SSMS-Tabellendesigner unterstützt die universelle Authentifizierung nicht.The SSMS Table Designer does not support Universal Authentication.
  • Es bestehen keine weiteren Softwareanforderungen für die universelle Active Directory-Authentifizierung – mit einer Ausnahme: Sie müssen eine unterstützte SSMS-Version verwenden.There are no additional software requirements for Active Directory Universal Authentication except that you must use a supported version of SSMS.
  • Die ADAL-Version (Active Directory Authentication Library) für die universelle Authentifizierung wurde auf die aktuelle veröffentlichte Version 3.13.9 von „ADAL.DLL“ aktualisiert.The Active Directory Authentication Library (ADAL) version for Universal authentication was updated to its latest ADAL.dll 3.13.9 available released version. Weitere Informationen finden Sie unter Active Directory Authentication Library 3.14.1.See Active Directory Authentication Library 3.14.1.

Nächste SchritteNext steps