使用 Microsoft Entra 多重要素驗證

  • 發行項

適用於:Azure SQL 資料庫 Azure SQL 受控執行個體 Azure Arc 在 Azure VM 上啟用的 Azure VMSQL Server 上Azure Synapse AnalyticsSQL Server

Microsoft Entra 多重要素驗證 是 Microsoft 雲端式身分識別和存取管理服務所提供的安全性功能。 多重要素驗證可藉由要求使用者提供密碼以外的額外驗證步驟,來增強使用者登入的安全性。

注意

Microsoft Entra 標識符 先前稱為 Azure Active Directory (Azure AD)。

多重要素驗證是 Azure SQL 資料庫、Azure SQL 受控執行個體、Azure Synapse Analytics 和 SQL Server 2022 (16.x) 和更新版本的支持驗證方法。

本文提供多重要素驗證優點的簡短概觀、說明如何使用 Microsoft Entra ID 進行設定,並示範如何使用它與 SQL Server Management Studio (SSMS) 連線到資料庫

重要

Azure SQL 資料庫、Azure SQL 受控執行個體、Azure Synapse 和 SQL Server 2022 中的資料庫會統稱為本文其餘部分的資料庫,而伺服器指的是裝載 Azure SQL 資料庫 和 Azure Synapse 資料庫的伺服器

MFA 的優點

Microsoft Entra 多重要素驗證有助於守護對資料與應用程式的存取,同時滿足使用者對簡單登入流程的需求。 MFA 藉由要求使用者提供兩個以上的驗證因素,為使用者登入新增額外的安全性層。 這些因素通常包括使用者知道的東西(密碼)、用戶擁有的東西(智慧手機或硬體令牌),以及/或使用者是 (生物特徵辨識數據) 的東西。 藉由結合多個因素,MFA 可大幅降低未經授權存取的可能性。

Microsoft Entra 多重要素驗證提供 Microsoft Entra 驗證概觀中所述的所有 Microsoft Entra 驗證優點。

如需可用的驗證方法完整清單,請參閱 Microsoft Entra ID 中有哪些驗證和驗證方法?

組態步驟

  1. 設定 Microsoft Entra 租使用者 - 如需詳細資訊,請參閱 管理員 註冊您的 Microsoft Entra 目錄、整合內部部署身分識別與 Microsoft Entra ID將您自己的功能變數名稱新增至 Microsoft Entra ID、與 Microsoft Entra ID 同盟,以及使用 Windows PowerShell 管理 Microsoft Entra ID。
  2. 設定 MFA - 如需逐步指示,請參閱什麼是 Microsoft Entra 多重要素驗證?搭配 Azure SQL 資料庫 和數據倉儲的條件式存取 (MFA)。 (完整條件式存取需要 進階版 Microsoft Entra ID。有限的 MFA 可供標準 Azure AD 使用。
  3. 設定 Microsoft Entra 驗證 - 如需逐步指示,請參閱使用 Microsoft Entra 驗證 SQL 資料庫、SQL 受管理執行個體 或 Azure Synapse 連線。
  4. 下載 SSMS - 在用戶端電腦上,從下載 SQL Server Management Studio (SSMS) 下載最新的 SSMS。

注意

在 2021 年 12 月,18.6 之前的 SSMS 版本將不再透過 MFA 的 Microsoft Entra 標識符進行驗證。

若要繼續使用 MFA 的 Microsoft Entra 驗證,您需要 SSMS 18.6 或更新版本

Microsoft Entra B2B 支援

Microsoft Entra 多重要素驗證也支援 Microsoft Entra B2B 共同作業,可讓企業邀請來賓使用者與其組織共同作業。 來賓使用者可以以個別使用者或 Microsoft Entra 群組的成員身分連線到資料庫。 如需詳細資訊,請參閱在 SQL 資料庫、Azure Synapse 和 SQL 受管理執行個體 中建立來賓使用者。

在 SSMS 中使用 MFA 連線

下列步驟示範如何在最新的 SSMS 中使用多重要素驗證進行連線。

  1. 若要使用 MFA 連線,請在 SSMS 的 [連線 至伺服器] 對話框中,選取 [Azure Active Directory - 通用與 MFA]。

    Screenshot of the Connect to Server dialog in SSMS.

  2. 以伺服器的名稱填入 [伺服器名稱] 方塊。 使用 Microsoft Entra 認證填入 [使用者名稱] 方塊,格式為 user_name@domain.com

    Screenshot of the Connect to Server dialog settings in SSMS, with all fields filled in.

  3. 按一下 連線

  4. 當 [登入您的帳戶] 對話框出現時,應該以您在步驟 2 中提供的 [用戶名稱] 預先填入。 如果使用者是與 Microsoft Entra ID 同盟網域的一部分,則不需要密碼。

    Screenshot of the Sign in to your account dialog for Azure SQL Database and Data Warehouse. the account name is filled in.

  5. 系統會提示您使用根據 MFA 系統管理員設定所設定的其中一種方法進行驗證。

  6. 驗證完成時,SSMS 通常會連線,並假設有效的認證和防火牆存取。

Microsoft Entra 多重要素驗證是所有 SQL 工具支援的驗證方法。 如需以程式設計方式使用 Microsoft Entra ID 進行驗證的資訊,請參閱 Microsoft 驗證連結庫 (MSAL) 的概觀。

下一步