Tilldela roll för att aktivera Endast Microsoft Entra-autentisering
För att aktivera eller inaktivera Microsoft Entra-endast autentisering krävs valda inbyggda roller för Microsoft Entra-användare som utför dessa åtgärder i den här självstudien. Vi ska tilldela SQL Security Manager-rollen till användaren i den här självstudien.
I vårt exempel tilldelar vi SQL Security Manager-rollen till användaren UserSqlSecurityManager@contoso.onmicrosoft.com. Logga in på Azure-portalen med hjälp av privilegierad användare som kan tilldela Microsoft Entra-roller.
Gå till SQL Server-resursen och välj Åtkomstkontroll (IAM) på menyn. Välj knappen Lägg till och sedan Lägg till rolltilldelning i den nedrullningsbara menyn.
I fönstret Lägg till rolltilldelning väljer du Roll SQL Security Manager och väljer den användare som du vill ha möjlighet att aktivera eller inaktivera autentisering med endast Microsoft Entra.
Gå till din SQL-hanterade instansresurs och välj Microsoft Entra-administratör under menyn Inställningar.
Om du inte har lagt till en Microsoft Entra-administratör måste du ange detta innan du kan aktivera autentisering endast för Microsoft Entra.
Markera kryssrutan Stöd endast Microsoft Entra-autentisering för den här hanterade instansen .
Popup-fönstret Aktivera endast Microsoft Entra-autentisering visas. Välj Ja för att aktivera funktionen och Spara inställningen.
Aktivera i SQL Database med Azure CLI
Information om hur du aktiverar Microsoft Entra-autentisering i Azure SQL Database med Hjälp av Azure CLI finns i kommandona nedan. Installera den senaste versionen av Azure CLI. Du måste ha Azure CLI version 2.14.2 eller senare. Mer information om dessa kommandon finns i az sql server ad-only-auth.
Microsoft Entra-administratören måste anges för servern innan microsoft Entra-autentisering aktiveras. Annars misslyckas Azure CLI-kommandot.
Behörigheter och åtgärder som krävs för att användaren ska kunna utföra dessa kommandon för att aktivera autentisering med endast Microsoft Entra finns i artikeln om endast Microsoft Entra-autentisering .
Kör följande kommando, ersätt <myserver> med sql-servernamnet och <myresource> med din Azure-resurs som innehåller SQL-servern.
az sql server ad-only-auth enable --resource-group <myresource> --name <myserver>
Aktivera i SQL Managed Instance med Hjälp av Azure CLI
Information om hur du aktiverar Microsoft Entra-endast autentisering i Azure SQL Managed Instance med Hjälp av Azure CLI finns i kommandona nedan. Installera den senaste versionen av Azure CLI.
Kör följande kommando, ersätt <myserver> med sql-servernamnet och <myresource> med din Azure-resurs som innehåller SQL-servern.
az sql mi ad-only-auth enable --resource-group <myresource> --name <myserver>
Aktivera i SQL Database med PowerShell
Information om hur du aktiverar Microsoft Entra-endast autentisering i Azure SQL Database med PowerShell finns i kommandona nedan. Az.Sql 2.10.0-modulen eller senare krävs för att köra dessa kommandon. Mer information om dessa kommandon finns i Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication.
Microsoft Entra-administratören måste anges för servern innan microsoft Entra-autentisering aktiveras. Annars misslyckas PowerShell-kommandot.
Behörigheter och åtgärder som krävs för att användaren ska kunna utföra dessa kommandon för att aktivera autentisering med endast Microsoft Entra finns i artikeln om endast Microsoft Entra-autentisering . Om användaren inte har tillräckliga behörigheter får du följande fel:
Enable-AzSqlServerActiveDirectoryOnlyAuthentication : The client
'UserSqlServerContributor@contoso.onmicrosoft.com' with object id
'<guid>' does not have authorization to perform
action 'Microsoft.Sql/servers/azureADOnlyAuthentications/write' over scope
'/subscriptions/<guid>...'
Information om hur du aktiverar Microsoft Entra-endast autentisering i Azure SQL Managed Instance med Hjälp av PowerShell finns i kommandona nedan. Az.Sql 2.10.0-modulen eller senare krävs för att köra dessa kommandon.
Kör följande kommando och ersätt <myinstance> med ditt SQL Managed Instance-namn och <myresource> med din Azure-resurs som innehåller den SQL-hanterade instansen.
Gå till sql-serverresursen i Azure-portalen. Välj Microsoft Entra-ID under menyn Inställningar.
Kontrollera status i SQL Managed Instance
Gå till din SQL-hanterade instansresurs i Azure-portalen. Välj Microsoft Entra-administratör under menyn Inställningar.
Dessa kommandon kan användas för att kontrollera om Microsoft Entra-endast autentisering är aktiverat för din logiska server för Azure SQL Database eller SQL Managed Instance. Medlemmar i rollerna SQL Server-deltagare och SQL Managed Instance-deltagare kan använda dessa kommandon för att kontrollera statusen för Microsoft Entra-endast autentisering, men kan inte aktivera eller inaktivera funktionen.
Dessa kommandon kan användas för att kontrollera om Microsoft Entra-endast autentisering är aktiverat för din logiska server för Azure SQL Database eller SQL Managed Instance. Medlemmar i rollerna SQL Server-deltagare och SQL Managed Instance-deltagare kan använda dessa kommandon för att kontrollera statusen för Microsoft Entra-endast autentisering, men kan inte aktivera eller inaktivera funktionen.
Statusen returnerar Sant om funktionen är aktiverad och False om den är inaktiverad.
Kör följande kommando och ersätt <myinstance> med ditt SQL Managed Instance-namn och <myresource> med din Azure-resurs som innehåller den SQL-hanterade instansen.
Du bör se ett meddelande om inloggningsfel som liknar följande utdata:
Cannot connect to <myserver>.database.windows.net.
Additional information:
Login failed for user 'username'. Reason: Azure Active Directory only authentication is enabled.
Please contact your system administrator. (Microsoft SQL Server, Error: 18456)
Inaktivera Endast Microsoft Entra-autentisering
Genom att inaktivera autentiseringsfunktionen endast Microsoft Entra tillåter du både SQL-autentisering och Microsoft Entra-autentisering för Azure SQL.
Gå till sql-serverresursen och välj Microsoft Entra-ID under Inställningar-menyn.
Om du vill inaktivera autentiseringsfunktionen endast Microsoft Entra avmarkerar du kryssrutan Endast Microsoft Entra-autentisering för den här servern och sparar inställningen.
Inaktivera i SQL Managed Instance med Hjälp av Azure-portalen
Gå till din SQL-hanterade instansresurs och välj Active Directory-administratör under menyn Inställningar.
Om du vill inaktivera autentiseringsfunktionen endast Microsoft Entra avmarkerar du kryssrutan Endast Microsoft Entra-autentisering för den här hanterade instansen och sparar inställningen.
Inaktivera i SQL Database med Hjälp av Azure CLI
Information om hur du inaktiverar Microsoft Entra-autentisering i Azure SQL Database med Azure CLI finns i kommandona nedan.
Kör följande kommando och ersätt <myinstance> med ditt SQL Managed Instance-namn och <myresource> med din Azure-resurs som innehåller den hanterade instansen.
När du har inaktiverat Microsoft Entra-endast autentisering testar du att ansluta med hjälp av en SQL-autentiseringsinloggning. Nu bör du kunna ansluta till servern eller instansen.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Azure SQL Database
