你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Microsoft Entra 多重身份验证

适用于:Azure SQL 数据库Azure SQL 托管实例Azure Synapse AnalyticsAzure 虚拟机上的 SQL ServerAzure Arc 启用的 SQL Server

Microsoft Entra 多重身份验证是 Microsoft 基于云的标识和访问管理服务提供的安全功能。 多重身份验证要求用户在密码之外提供额外的验证步骤,从而增强用户登录的安全性。

注意

Microsoft Entra ID 以前称为 Azure Active Directory (Azure AD)。

Azure SQL 数据库Azure SQL 托管实例Azure Synapse AnalyticsSQL Server 2022 (16.x) 及更高版本支持多重身份验证方法。

本文简要概述了多重身份验证的优点,说明了如何在 Microsoft Entra ID 中配置它,并演示如何使用它通过 SQL Server Management Studio (SSMS) 连接到数据库。

重要

本文其余部分将 Azure SQL 数据库、Azure SQL 托管实例、Azure Synapse 和 SQL Server 2022 中的数据库统称为数据库,服务器指的是为 Azure SQL 数据库和 Azure Synapse 托管数据库的服务器

MFA 的优点

Microsoft Entra 多重身份验证可帮助保护对数据和应用程序的访问,同时可以满足用户对简单登录过程的需求。 MFA 通过要求用户提供两个或两个以上的身份验证因素,为用户登录添加了额外的安全层。 这些因素通常包括用户知道的东西(密码)、用户拥有的东西(智能手机或硬件令牌),以及/或用户自身的东西(生物识别数据)。 通过结合多种因素,MFA 可显著降低未经授权的访问的可能性。

Microsoft Entra 多重身份验证提供 Microsoft Entra 身份验证概述中所述的所有 Microsoft Entra 身份验证优势。

有关可用的身份验证方法的完整列表,请参阅 Microsoft Entra ID 中有哪些可用的身份验证和验证方法?

配置步骤

  1. 配置 Microsoft Entra 租户 - 有关详细信息,请参阅管理 Microsoft Entra 目录将本地标识与 Microsoft Entra ID 集成将自己的域名添加到 Microsoft Entra ID联合 Microsoft Entra ID 以及使用 Windows PowerShell 管理 Microsoft Entra ID
  2. 配置 MFA - 有关分步说明,请参阅什么是 Microsoft Entra 多重身份验证?Azure SQL 数据库和数据仓库的条件性访问 (MFA)。 (完全条件访问需要高级版 Microsoft Entra ID。标准版 Azure AD 提供有限的 MFA。)
  3. 配置 Microsoft Entra 身份验证 - 有关分步说明,请参阅使用 Microsoft Entra 身份验证连接到 SQL 数据库、SQL 托管实例或 Azure Synapse
  4. 下载 SSMS - 在客户端计算机上,从下载 SQL Server Management Studio (SSMS) 下载最新的 SSMS。

注意

自 2021 年 12 月起,18.6 版之前的 SSMS 版本将不能再使用 MFA 通过 Microsoft Entra ID 进行身份验证。

若要继续将 MFA 与 Microsoft Entra ID 身份验证结合使用,需要 SSMS 18.6 或更高版本

Microsoft Entra B2B 支持

Microsoft Entra 多重身份验证还支持 Microsoft Entra B2B 协作,使企业能够邀请来宾用户与其组织协作。 来宾用户可以作为单个用户或 Microsoft Entra 组的成员连接到数据库。 有关详细信息,请参阅在 SQL 数据库、Azure Synapse 和 SQL 托管实例中创建来宾用户

在 SSMS 中使用 MFA 进行连接

以下步骤演示如何在最新的 SSMS 中使用多重身份验证进行连接。

  1. 要使用 MFA 进行连接,请在 SSMS 中的“连接到服务器”对话框上,选择“Azure Active Directory - 通用且具有 MFA”

    Screenshot of the Connect to Server dialog in SSMS.

  2. 使用服务器名称填充“服务器名称”框。 使用 Microsoft Entra 凭据填充“用户名”框,格式为 user_name@domain.com

    Screenshot of the Connect to Server dialog settings in SSMS, with all fields filled in.

  3. 单击“连接”。

  4. 出现“登录到帐户”对话框时,它应该已使用你在步骤 2 中提供的用户名进行了预填充。 如果用户属于与 Microsoft Entra ID 联合的域,则无需任何密码。

    Screenshot of the Sign in to your account dialog for Azure SQL Database and Data Warehouse. the account name is filled in.

  5. 系统会提示使用基于 MFA 管理员设置配置的一种方法进行身份验证。

  6. 验证完成后,SSMS 便会正常连接(前提是凭据和防火墙访问有效)。

Microsoft Entra 多重身份验证是所有 SQL 工具支持的身份验证方法。 有关使用 Microsoft Entra ID 以编程方式进行身份验证的信息,请参阅 Microsoft 身份验证库 (MSAL) 概述

后续步骤