Kurz: Povolení ověřování microsoft Entra-only pomocí Azure SQL

Článek
10/20/2023

Platí pro: Azure SQL Database Azure SQL Managed Instance

Tento článek vás provede povolením funkce ověřování microsoft Entra-only v Azure SQL Database a Azure SQL Managed Instance. Pokud chcete zřídit službu SQL Database nebo SQL Managed Instance s povoleným ověřováním pouze Microsoft Entra, přečtěte si téma Vytvoření serveru s povoleným ověřováním pouze Microsoft Entra v Azure SQL.

Poznámka:

ID Microsoft Entra se dříve označovalo jako Azure Active Directory (Azure AD).

V tomto kurzu se naučíte:

Přiřazení role pro povolení ověřování pouze Microsoft Entra
Povolení ověřování pouze Microsoft Entra pomocí webu Azure Portal, Azure CLI nebo PowerShellu
Zkontrolujte, jestli je povolené ověřování Microsoft Entra-only.
Testování připojení k Azure SQL
Zakázání ověřování pouze Microsoft Entra pomocí webu Azure Portal, Azure CLI nebo PowerShellu

Požadavky

Tenant Microsoft Entra. Další informace najdete v tématu Konfigurace a správa ověřování Microsoft Entra pro Azure SQL.
SQL Database nebo SQL Managed Instance s databází a přihlášeními nebo uživateli. Viz Rychlý start: Vytvoření izolované databáze Azure SQL Database, pokud jste ještě nevytvořili službu Azure SQL Database, nebo rychlý start: Vytvoření spravované instance Azure SQL.

Přiřazení role pro povolení ověřování pouze Microsoft Entra

Aby bylo možné povolit nebo zakázat ověřování pouze Microsoft Entra, jsou pro uživatele Microsoft Entra, kteří provádějí tyto operace v tomto kurzu, vyžadovány vybrané předdefinované role. V tomto kurzu přiřadíme uživateli roli Správce zabezpečení SQL.

Další informace o tom, jak přiřadit roli k účtu Microsoft Entra, naleznete v tématu Přiřazení rolí správce a nesprávce uživatelům pomocí Microsoft Entra ID.

Další informace o požadovaném oprávnění k povolení nebo zakázání ověřování pouze Microsoft Entra naleznete v části Oprávnění pouze microsoft Entra-only článek.

V našem příkladu přiřadíme uživateli UserSqlSecurityManager@contoso.onmicrosoft.comroli Správce zabezpečení SQL . Pomocí privilegovaného uživatele, který může přiřadit role Microsoft Entra, se přihlaste k webu Azure Portal.
Přejděte k prostředku SQL Serveru a v nabídce vyberte Řízení přístupu (IAM ). V rozevírací nabídce vyberte tlačítko Přidat a pak přidejte přiřazení role.
V podokně Přidat přiřazení role vyberte Správce zabezpečení SQL Role a vyberte uživatele, kterému chcete povolit nebo zakázat ověřování pouze Microsoft Entra.
Klikněte na Uložit.

Povolení ověřování pouze Microsoft Entra

Povolení ve službě SQL Database pomocí webu Azure Portal

Pokud chcete povolit ověřování microsoft Entra-only na webu Azure Portal, postupujte takto:

Pomocí uživatele s rolí SPRÁVCE zabezpečení SQL přejděte na web Azure Portal.
Přejděte k prostředku SQL Serveru a v nabídce Nastavení vyberte Microsoft Entra ID.
Pokud jste nepřidali správce Microsoft Entra, budete ho muset nastavit, abyste mohli povolit ověřování pouze Microsoft Entra.
Zaškrtněte políčko Pro podporu pouze ověřování Microsoft Entra pro tento server.
Zobrazí se automaticky otevírané okno Povolit ověřování Microsoft Entra-only. Chcete-li povolit funkci, vyberte možnost Ano a nastavení uložte .

Povolení ve službě SQL Managed Instance pomocí webu Azure Portal

Pokud chcete povolit ověřování Microsoft Entra-only na webu Azure Portal, přečtěte si následující postup.

Pomocí uživatele s rolí SPRÁVCE zabezpečení SQL přejděte na web Azure Portal.
Přejděte k prostředku spravované instance SQL a v nabídce Nastavení vyberte správce Microsoft Entra.
Pokud jste nepřidali správce Microsoft Entra, budete ho muset nastavit, abyste mohli povolit ověřování pouze Microsoft Entra.
Zaškrtněte políčko Podporovat pouze ověřování Microsoft Entra pro tuto spravovanou instanci .
Zobrazí se automaticky otevírané okno Povolit ověřování Microsoft Entra-only. Chcete-li povolit funkci, vyberte možnost Ano a nastavení uložte .

Povolení ve službě SQL Database pomocí Azure CLI

Pokud chcete povolit ověřování Microsoft Entra-only ve službě Azure SQL Database pomocí Azure CLI, přečtěte si následující příkazy. Nainstalujte nejnovější verzi Azure CLI. Musíte mít Azure CLI verze 2.14.2 nebo vyšší. Další informace o těchtopříkazch

Další informace o správě ověřování pouze Microsoft Entra pomocí rozhraní API naleznete v tématu Správa ověřování pouze Microsoft Entra-only pomocí rozhraní API.

Poznámka:

Správce Microsoft Entra musí být nastaven pro server před povolením ověřování pouze Microsoft Entra. Jinak příkaz Azure CLI selže.

Informace o oprávněních a akcích vyžadovaných uživatelem provádějícím tyto příkazy k povolení ověřování pouze Microsoft Entra najdete v článku ověřování pouze microsoft Entra.

Přihlaste se k Azure pomocí účtu s rolí SQL Security Manageru .
```
az login
```
Spusťte následující příkaz, nahraďte <myserver> názvem sql serveru a <myresource> prostředkem Azure, který obsahuje SQL Server.
```
az sql server ad-only-auth enable --resource-group <myresource> --name <myserver>
```

Povolení ve službě SQL Managed Instance pomocí Azure CLI

Pokud chcete povolit ověřování Microsoft Entra only ve službě Azure SQL Managed Instance pomocí Azure CLI, přečtěte si následující příkazy. Nainstalujte nejnovější verzi Azure CLI.

Přihlaste se k Azure pomocí účtu s rolí SQL Security Manageru .
```
az login
```
Spusťte následující příkaz, nahraďte <myserver> názvem sql serveru a <myresource> prostředkem Azure, který obsahuje SQL Server.
```
az sql mi ad-only-auth enable --resource-group <myresource> --name <myserver>
```

Povolení ve službě SQL Database pomocí PowerShellu

Pokud chcete povolit ověřování Microsoft Entra-only ve službě Azure SQL Database pomocí PowerShellu, přečtěte si následující příkazy. K provedení těchto příkazů se vyžaduje modul Az.Sql 2.10.0 nebo vyšší. Další informace o těchto příkazech najdete v tématu Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication.

Další informace o správě ověřování pouze Microsoft Entra pomocí rozhraní API naleznete v tématu Správa ověřování pouze Microsoft Entra pomocí rozhraní API.

Poznámka:

Správce Microsoft Entra musí být nastaven pro server před povolením ověřování pouze Microsoft Entra. Jinak příkaz PowerShellu selže.

Informace o oprávněních a akcích vyžadovaných uživatelem provádějícím tyto příkazy k povolení ověřování pouze Microsoft Entra najdete v článku ověřování pouze microsoft Entra. Pokud má uživatel nedostatečná oprávnění, zobrazí se následující chyba:

Enable-AzSqlServerActiveDirectoryOnlyAuthentication : The client
'UserSqlServerContributor@contoso.onmicrosoft.com' with object id
'<guid>' does not have authorization to perform
action 'Microsoft.Sql/servers/azureADOnlyAuthentications/write' over scope
'/subscriptions/<guid>...'

Přihlaste se k Azure pomocí účtu s rolí SQL Security Manageru .
```
Connect-AzAccount
```
Spusťte následující příkaz, nahraďte <myserver> názvem sql serveru a <myresource> prostředkem Azure, který obsahuje SQL Server.
```
Enable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName <myserver>  -ResourceGroupName <myresource>
```

Povolení ve službě SQL Managed Instance pomocí PowerShellu

Pokud chcete povolit ověřování Microsoft Entra-only ve službě Azure SQL Managed Instance pomocí PowerShellu, přečtěte si následující příkazy. K provedení těchto příkazů se vyžaduje modul Az.Sql 2.10.0 nebo vyšší.

Další informace o správě ověřování pouze Microsoft Entra pomocí rozhraní API naleznete v tématu Správa ověřování pouze Microsoft Entra-only pomocí rozhraní API.

Přihlaste se k Azure pomocí účtu s rolí SQL Security Manageru .
```
Connect-AzAccount
```
Spusťte následující příkaz, nahraďte <myinstance> názvem spravované instance SQL a <myresource> prostředkem Azure, který obsahuje spravovanou instanci SQL.
```
Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
```

Kontrola stavu ověřování pouze Microsoft Entra

Zkontrolujte, jestli je pro váš server nebo instanci povolené ověřování microsoft Entra-only.

Kontrola stavu ve službě SQL Database

Na webu Azure Portal přejděte k prostředku SQL Serveru. V nabídce Nastavení vyberte MICROSOFT Entra ID.

Kontrola stavu ve službě SQL Managed Instance

Na webu Azure Portal přejděte k prostředku spravované instance SQL. V nabídce Nastavení vyberte správce Microsoft Entra.

Tyto příkazy je možné použít ke kontrole, jestli je pro logický server pro službu Azure SQL Database nebo spravovaná instance SQL povolená ověřování Microsoft Entra-only. Členové role Přispěvatel SQL Serveru a Přispěvatel spravované instance SQL můžou pomocí těchto příkazů zkontrolovat stav ověřování pouze microsoft Entra, ale nemůžou tuto funkci povolit nebo zakázat.

Kontrola stavu ve službě SQL Database

Přihlaste se k Azure pomocí účtu s rolí SQL Security Manageru . Další informace o správě ověřování pouze Microsoft Entra pomocí rozhraní API naleznete v tématu Správa ověřování pouze Microsoft Entra pomocí rozhraní API.
```
az login
```
Spusťte následující příkaz, nahraďte <myserver> názvem sql serveru a <myresource> prostředkem Azure, který obsahuje SQL Server.
```
az sql server ad-only-auth get --resource-group <myresource> --name <myserver>
```

Měl by se zobrazit následující výstup:

{
 "azureAdOnlyAuthentication": true,
 "/subscriptions/<guid>/resourceGroups/mygroup/providers/Microsoft.Sql/servers/myserver/azureADOnlyAuthentications/Default",
 "name": "Default",
 "resourceGroup": "myresource",
 "type": "Microsoft.Sql/servers"
}

Kontrola stavu ve službě SQL Managed Instance

Přihlaste se k Azure pomocí účtu s rolí SQL Security Manageru .
```
az login
```
Spusťte následující příkaz, nahraďte <myserver> názvem sql serveru a <myresource> prostředkem Azure, který obsahuje SQL Server.
```
az sql mi ad-only-auth get --resource-group <myresource> --name <myserver>
```

Měl by se zobrazit následující výstup:

{
 "azureAdOnlyAuthentication": true,
 "id": "/subscriptions/<guid>/resourceGroups/myresource/providers/Microsoft.Sql/managedInstances/myinstance/azureADOnlyAuthentications/Default",
 "name": "Default",
 "resourceGroup": "myresource",
 "type": "Microsoft.Sql/managedInstances"
}

Stav vrátí hodnotu True , pokud je tato funkce povolená, a nepravda , pokud je zakázaná.

Kontrola stavu ve službě SQL Database

Přihlaste se k Azure pomocí účtu s rolí SQL Security Manageru . Další informace o správě ověřování pouze Microsoft Entra pomocí rozhraní API naleznete v tématu Správa ověřování pouze Microsoft Entra pomocí rozhraní API.
```
Connect-AzAccount
```
Spusťte následující příkaz, nahraďte <myserver> názvem sql serveru a <myresource> prostředkem Azure, který obsahuje SQL Server.
```
Get-AzSqlServerActiveDirectoryOnlyAuthentication  -ServerName <myserver> -ResourceGroupName <myresource>
```

Kontrola stavu ve službě SQL Managed Instance

Přihlaste se k Azure pomocí účtu s rolí SQL Security Manageru .
```
Connect-AzAccount
```
Spusťte následující příkaz, nahraďte <myinstance> názvem spravované instance SQL a <myresource> prostředkem Azure, který obsahuje spravovanou instanci SQL.
```
Get-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
```

Testování ověřování SQL s chybou připojení

Po povolení ověřování microsoft Entra-only otestujte sql Server Management Studio (SSMS) a připojte se ke službě SQL Database nebo sql Managed Instance. Pro připojení použijte ověřování SQL.

Měla by se zobrazit zpráva o neúspěšném přihlášení podobná následujícímu výstupu:

Cannot connect to <myserver>.database.windows.net.
Additional information:
  Login failed for user 'username'. Reason: Azure Active Directory only authentication is enabled.
  Please contact your system administrator. (Microsoft SQL Server, Error: 18456)

Zakázání ověřování pouze Microsoft Entra

Zakázáním funkce ověřování microsoft Entra-only povolíte ověřování SQL i ověřování Microsoft Entra pro Azure SQL.

Zákaz ve službě SQL Database pomocí webu Azure Portal

Pomocí uživatele s rolí SPRÁVCE zabezpečení SQL přejděte na web Azure Portal.
Přejděte k prostředku SQL Serveru a v nabídce Nastavení vyberte Microsoft Entra ID.
Chcete-li zakázat funkci ověřování pouze Microsoft Entra, zrušte zaškrtnutí políčka Podpora pouze ověřování Microsoft Entra pro tento server a Uložit nastavení.

Zákaz ve službě SQL Managed Instance pomocí webu Azure Portal

Pomocí uživatele s rolí SPRÁVCE zabezpečení SQL přejděte na web Azure Portal.
Přejděte do prostředku spravované instance SQL a v nabídce Nastavení vyberte správce služby Active Directory.
Chcete-li zakázat funkci ověřování pouze Microsoft Entra, zrušte zaškrtnutí políčka Podpora pouze ověřování Microsoft Entra pro tuto spravovanou instanci a Uložit nastavení.

Zakázání ve službě SQL Database pomocí Azure CLI

Pokud chcete zakázat ověřování Microsoft Entra-only ve službě Azure SQL Database pomocí Azure CLI, přečtěte si následující příkazy.

Přihlaste se k Azure pomocí účtu s rolí SQL Security Manageru .
```
az login
```
Spusťte následující příkaz, nahraďte <myserver> názvem sql serveru a <myresource> prostředkem Azure, který obsahuje SQL Server.
```
az sql server ad-only-auth disable --resource-group <myresource> --name <myserver>
```

Po zakázání ověřování Microsoft Entra-only by se při kontrole stavu měl zobrazit následující výstup:

{
 "azureAdOnlyAuthentication": false,
 "/subscriptions/<guid>/resourceGroups/mygroup/providers/Microsoft.Sql/servers/myserver/azureADOnlyAuthentications/Default",
 "name": "Default",
 "resourceGroup": "myresource",
 "type": "Microsoft.Sql/servers"
}

Zákaz ve službě SQL Managed Instance pomocí Azure CLI

Pokud chcete zakázat ověřování Microsoft Entra-only ve službě Azure SQL Managed Instance pomocí Azure CLI, přečtěte si následující příkazy.

Přihlaste se k Azure pomocí účtu s rolí SQL Security Manageru .
```
az login
```
Spusťte následující příkaz, nahraďte <myserver> názvem sql serveru a <myresource> prostředkem Azure, který obsahuje SQL Server.
```
az sql mi ad-only-auth disable --resource-group <myresource> --name <myserver>
```

Po zakázání ověřování Microsoft Entra-only by se při kontrole stavu měl zobrazit následující výstup:

{
 "azureAdOnlyAuthentication": false,
 "id": "/subscriptions/<guid>/resourceGroups/myresource/providers/Microsoft.Sql/managedInstances/myinstance/azureADOnlyAuthentications/Default",
 "name": "Default",
 "resourceGroup": "myresource",
 "type": "Microsoft.Sql/managedInstances"
}

Zakázání ve službě SQL Database pomocí PowerShellu

Pokud chcete zakázat ověřování Microsoft Entra-only ve službě Azure SQL Database pomocí PowerShellu, přečtěte si následující příkazy.

Přihlaste se k Azure pomocí účtu s rolí SQL Security Manageru .
```
Connect-AzAccount
```
Spusťte následující příkaz, nahraďte <myserver> názvem sql serveru a <myresource> prostředkem Azure, který obsahuje SQL Server.
```
Disable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName <myserver>  -ResourceGroupName <myresource>
```

Zakázání ve službě SQL Managed Instance pomocí PowerShellu

Pokud chcete zakázat ověřování Microsoft Entra-only ve službě Azure SQL Managed Instance pomocí PowerShellu, přečtěte si následující příkazy.

Přihlaste se k Azure pomocí účtu s rolí SQL Security Manageru .
```
Connect-AzAccount
```
Spusťte následující příkaz, nahraďte <myinstance> názvem spravované instance SQL a <myresource> prostředkem Azure, který obsahuje spravovanou instanci.
```
Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
```

Znovu otestujte připojení k Azure SQL.

Po zakázání ověřování Microsoft Entra-only otestujte připojení pomocí přihlášení k ověřování SQL. Teď byste měli být schopni se připojit k serveru nebo instanci.

Sdílet prostřednictvím

Kurz: Povolení ověřování microsoft Entra-only pomocí Azure SQL

Požadavky

Přiřazení role pro povolení ověřování pouze Microsoft Entra

Povolení ověřování pouze Microsoft Entra

Povolení ve službě SQL Database pomocí webu Azure Portal

Povolení ve službě SQL Managed Instance pomocí webu Azure Portal

Povolení ve službě SQL Database pomocí Azure CLI

Povolení ve službě SQL Managed Instance pomocí Azure CLI

Povolení ve službě SQL Database pomocí PowerShellu

Povolení ve službě SQL Managed Instance pomocí PowerShellu

Kontrola stavu ověřování pouze Microsoft Entra

Kontrola stavu ve službě SQL Database

Kontrola stavu ve službě SQL Managed Instance

Kontrola stavu ve službě SQL Database

Kontrola stavu ve službě SQL Managed Instance

Kontrola stavu ve službě SQL Database

Kontrola stavu ve službě SQL Managed Instance

Testování ověřování SQL s chybou připojení

Zakázání ověřování pouze Microsoft Entra

Zákaz ve službě SQL Database pomocí webu Azure Portal

Zákaz ve službě SQL Managed Instance pomocí webu Azure Portal

Zakázání ve službě SQL Database pomocí Azure CLI

Zákaz ve službě SQL Managed Instance pomocí Azure CLI

Zakázání ve službě SQL Database pomocí PowerShellu

Zakázání ve službě SQL Managed Instance pomocí PowerShellu

Znovu otestujte připojení k Azure SQL.

Další kroky

Váš názor

Další materiály