Использование многофакторной проверки подлинности Microsoft Entra

  • Статья

Применяется к:База данных SQL Azure Управляемый экземпляр SQL Azure Azure Synapse AnalyticsSQL Server на виртуальной машинеAzure, включенной Azure Arc

Многофакторная проверка подлинности Microsoft Entra — это функция безопасности, предоставляемая облачной службой управления удостоверениями и доступом Майкрософт. Многофакторная проверка подлинности повышает безопасность входа пользователей, требуя от пользователей предоставления дополнительных действий проверки за пределами пароля.

Примечание.

Идентификатор Microsoft Entra ранее был известен как Azure Active Directory (Azure AD).

Многофакторная проверка подлинности — это поддерживаемый метод проверки подлинности для База данных SQL Azure, Управляемый экземпляр SQL Azure, Azure Synapse Analytics и SQL Server 2022 (16.x) и более поздних версий.

В этой статье представлен краткий обзор преимуществ многофакторной проверки подлинности, объясняется, как настроить его с помощью идентификатора Microsoft Entra ID и как использовать его для подключения к базе данных с помощью SQL Server Management Studio (SSMS).

Внимание

Базы данных в База данных SQL Azure, Управляемый экземпляр SQL Azure, Azure Synapse и SQL Server 2022 называются коллективно в оставшейся части этой статьи базами данных, а сервер ссылается на сервер, на котором размещаются базы данных для База данных SQL Azure и Azure Synapse.

Преимущества MFA

Многофакторная проверка подлинности Microsoft Entra помогает защитить доступ к данным и приложениям во время выполнения требований пользователей к простому процессу входа. MFA добавляет дополнительный уровень безопасности для входа пользователей, требуя от пользователей предоставления двух или более факторов проверки подлинности. Эти факторы обычно включают то, что пользователь знает (пароль), что-то, что пользователь обладает (смартфон или аппаратный маркер), и /или что-то, что пользователь имеет (биография метрические данные). Благодаря сочетанию нескольких факторов многофакторная проверка подлинности значительно снижает вероятность несанкционированного доступа.

Многофакторная проверка подлинности Microsoft Entra обеспечивает все преимущества проверки подлинности Microsoft Entra, описанные в обзоре проверки подлинности Microsoft Entra.

Полный список доступных методов проверки подлинности см. в разделе "Какие методы проверки подлинности и проверки" доступны в идентификаторе Microsoft Entra?

Шаги настройки

  1. Настройка клиента Microsoft Entra. Дополнительные сведения см. в статье Администратор istering каталог Microsoft Entra, интеграция локальных удостоверений с идентификатором Microsoft Entra ID, Добавление собственного доменного имени в идентификатор Microsoft Entra ID, федерация с идентификатором Microsoft Entra ID и управление идентификатором Microsoft Entra с помощью Windows PowerShell.
  2. Настройка MFA. Пошаговые инструкции см. в статье "Что такое многофакторная проверка подлинности Microsoft Entra?", условный доступ (MFA) с помощью База данных SQL Azure и хранилища данных. (Для полного условного доступа требуется идентификатор Microsoft Entra Premium. Ограниченная MFA доступна в стандартной версии Azure AD.)
  3. Настройка проверки подлинности Microsoft Entra. Пошаговые инструкции см. в разделе Подключение База данных SQL, Управляемый экземпляр SQL или Azure Synapse с помощью проверки подлинности Microsoft Entra.
  4. Скачивание SSMS. Скачайте последнюю версию SSMS на клиентский компьютер, воспользовавшись страницей Скачивание SQL Server Management Studio (SSMS).

Примечание.

В декабре 2021 г. выпуски SSMS до 18.6 больше не будут проходить проверку подлинности с помощью идентификатора Microsoft Entra с MFA.

Чтобы продолжить использование проверки подлинности Microsoft Entra с MFA, вам потребуется SSMS 18.6 или более поздней версии.

Поддержка Microsoft Entra B2B

Многофакторная проверка подлинности Microsoft Entra также поддерживает совместную работу Microsoft Entra B2B, которая позволяет предприятиям приглашать гостевых пользователей сотрудничать с их организацией. Гостевые пользователи могут подключаться к базам данных в качестве отдельных пользователей или членов группы Microsoft Entra. Дополнительные сведения см. в статье "Создание гостевого пользователя в База данных SQL", Azure Synapse и Управляемый экземпляр SQL.

Подключение использование MFA в SSMS

Ниже показано, как подключиться с помощью многофакторной проверки подлинности в последней версии SSMS.

  1. Чтобы подключиться с помощью MFA, в диалоговом окне Подключение на сервере в SSMS выберите Azure Active Directory — универсальная с MFA.

    Screenshot of the Connect to Server dialog in SSMS.

  2. Заполните поле имени сервера именем сервера. Заполните поле имени пользователя учетными данными Microsoft Entra в форматеuser_name@domain.com.

    Screenshot of the Connect to Server dialog settings in SSMS, with all fields filled in.

  3. Щелкните Подключить.

  4. Когда появится диалоговое окно входа в учетную запись , оно должно быть предварительно заполнено именем пользователя, указанным на шаге 2. Пароль не требуется, если пользователь является частью домена, федеративного с идентификатором Microsoft Entra.

    Screenshot of the Sign in to your account dialog for Azure SQL Database and Data Warehouse. the account name is filled in.

  5. Вам будет предложено выполнить проверку подлинности с помощью одного из методов, настроенных на основе параметра администратора MFA.

  6. По завершении проверки SSMS обычно подключается, предполагая допустимые учетные данные и доступ к брандмауэру.

Многофакторная проверка подлинности Microsoft Entra — это поддерживаемый метод проверки подлинности для всех средств SQL. Сведения о программной проверке подлинности с помощью идентификатора Microsoft Entra см. в обзоре библиотеки проверки подлинности Майкрософт (MSAL).

Следующие шаги