Share via

教學課程:使用 Azure SQL 啟用僅限 Microsoft Entra 驗證

  • 發行項

適用於:Azure SQL DatabaseAzure SQL 受控執行個體

本文會引導您在 Azure SQL 資料庫 和 Azure SQL 受控執行個體 內啟用僅限 Microsoft Entra 驗證功能。 如果您想要布建已啟用 Microsoft Entra 驗證的 SQL 資料庫 或 SQL 受管理執行個體,請參閱在 Azure SQL 中建立已啟用 Microsoft Entra 驗證的伺服器。

注意

Microsoft Entra 標識符 先前稱為 Azure Active Directory (Azure AD)。

在本教學課程中,您會了解如何:

  • 指派角色以啟用僅限 Microsoft Entra 驗證
  • 使用 Azure 入口網站、Azure CLI 或 PowerShell 啟用僅限 Microsoft Entra 驗證
  • 檢查是否已啟用僅限 Microsoft Entra 驗證
  • 測試連線到 Azure SQL
  • 使用 Azure 入口網站、Azure CLI 或 PowerShell 停用僅限 Microsoft Entra 驗證

必要條件

指派角色以啟用僅限 Microsoft Entra 驗證

若要啟用或停用僅限 Microsoft Entra 驗證,在本教學課程中執行這些作業的 Microsoft Entra 使用者需要選取的內建角色。 我們將在本教學課程中將 SQL 安全性管理員角色指派給使用者。

如需如何將角色指派給 Microsoft Entra 帳戶的詳細資訊,請參閱 將系統管理員和非系統管理員角色指派給具有 Microsoft Entra 識別符的使用者

如需啟用或停用僅限 Microsoft Entra 驗證的必要許可權詳細資訊,請參閱 僅限 Microsoft Entra 驗證 的許可權一節。

  1. 在我們的範例中,我們會將 SQL 安全性管理員角色指派給使用者 UserSqlSecurityManager@contoso.onmicrosoft.com 使用可指派 Microsoft Entra 角色的特殊許可權使用者,登入 Azure 入口網站

  2. 移至您的 SQL Server 資源,然後選取 功能表中的 [存取控制][IAM ]。 選取 [ 新增 ] 按鈕,然後在 下拉功能表中新增角色指派

    Screenshot shows the Access control page where you can add a role assignment.

  3. 在 [ 新增角色指派 ] 窗格中,選取 [角色 SQL 安全性管理員],然後選取您想要啟用或停用僅限 Microsoft Entra 驗證的使用者。

    Add role assignment pane in the Azure portal

  4. 按一下 [檔案] 。

啟用使僅限 Microsoft Entra 驗證

使用 Azure 入口網站 在 SQL 資料庫 中啟用

若要在 Azure 入口網站 中啟用僅限 Microsoft Entra 驗證,請遵循下列步驟:

  1. 使用具有 SQL 安全性管理員角色的使用者,移至 Azure 入口網站

  2. 移至您的 SQL Server 資源,然後選取 [設定] 功能表下的 [Microsoft Entra ID]。

    Screenshot shows the option to support only Microsoft Entra authentication for the server.

  3. 如果您尚未新增 Microsoft Entra 系統管理員,您必須先設定此設定,才能啟用僅限 Microsoft Entra 驗證。

  4. 核取 此伺服器僅支援 Microsoft Entra 驗證的方塊。

  5. [ 啟用僅限 Microsoft Entra 驗證 ] 彈出視窗隨即顯示。 選取 [ ] 以啟用此功能並 儲存 設定。

使用 Azure 入口網站 在 SQL 受管理執行個體 中啟用

若要在 Azure 入口網站 中啟用僅限 Microsoft Entra 驗證,請參閱下列步驟。

  1. 使用具有 SQL 安全性管理員角色的使用者,移至 Azure 入口網站

  2. 移至 SQL 受控實例資源,然後選取 [設定] 功能表下的 [Microsoft Entra 系統管理員]。

  3. 如果您尚未新增 Microsoft Entra 系統管理員,您必須先設定此設定,才能啟用僅限 Microsoft Entra 驗證。

  4. 選取 [ 僅支援此受控實例 的 Microsoft Entra 驗證] 複選框。

  5. [ 啟用僅限 Microsoft Entra 驗證 ] 彈出視窗隨即顯示。 選取 [ ] 以啟用此功能並 儲存 設定。

檢查僅限 Microsoft Entra 的驗證狀態

檢查您的伺服器或實例是否已啟用僅限 Microsoft Entra 驗證。

在 SQL 資料庫 中檢查狀態

移至 Azure 入口網站 中的 SQL Server 資源。 選取 [設定] 功能表下的 [Microsoft 項目標識符]。

在 SQL 受管理執行個體 中檢查狀態

移至 Azure 入口網站 中的 SQL 受控實例資源。 選取 [設定] 功能表下的 [Microsoft Entra 系統管理員]。

測試連線失敗的 SQL 驗證

啟用僅限 Microsoft Entra 驗證之後,請使用 SQL Server Management Studio (SSMS) 進行測試,以連線到您的 SQL 資料庫 或 SQL 受管理執行個體。 針對連線使用 SQL 驗證。

您應該會看到類似下列輸出的登入失敗訊息:

Cannot connect to <myserver>.database.windows.net.
Additional information:
  Login failed for user 'username'. Reason: Azure Active Directory only authentication is enabled.
  Please contact your system administrator. (Microsoft SQL Server, Error: 18456)

停用僅限 Microsoft Entra 驗證

藉由停用僅限 Microsoft Entra 的驗證功能,您可以同時允許 Azure SQL 的 SQL 驗證和 Microsoft Entra 驗證。

使用 Azure 入口網站 在 SQL 資料庫 中停用

  1. 使用具有 SQL 安全性管理員角色的使用者,移至 Azure 入口網站
  2. 移至您的 SQL Server 資源,然後選取 [設定] 功能表下的 [Microsoft Entra ID]。
  3. 若要停用僅限 Microsoft Entra 驗證功能,請取消核取 [僅支援此伺服器的 Microsoft Entra 驗證] 複選框並 儲存 設定。

使用 Azure 入口網站 停用 SQL 受管理執行個體

  1. 使用具有 SQL 安全性管理員角色的使用者,移至 Azure 入口網站
  2. 移至 SQL 受控實例資源,然後選取 [設定] 功能表下的 [Active Directory 系統管理員]。
  3. 若要停用僅限 Microsoft Entra 驗證功能,請取消核 取 [僅支援此受控實例 的 Microsoft Entra 驗證] 複選框並 儲存 設定。

再次測試連線至 Azure SQL

停用僅限 Microsoft Entra 驗證之後,請使用 SQL 驗證登入來測試連線。 您現在應該能夠連線到您的伺服器或實例。

下一步