Van toepassing op:
Azure SQL DatabaseAzure SQL Managed Instance
In dit artikel wordt u begeleid bij het inschakelen van de uitsluitend Microsoft Entra-verificatie met de functionaliteit van Azure SQL in Azure SQL Database en Azure SQL Managed Instance. Als u een SQL Database of SQL Managed Instance wilt inrichten waarvoor alleen Microsoft Entra-verificatie is ingeschakeld, raadpleegt u Server maken met alleen Microsoft Entra-verificatie ingeschakeld in Azure SQL.
In deze handleiding leer je hoe je:
- Rol toewijzen om Microsoft Entra alleen-verificatie mogelijk te maken
- Microsoft Entra-verificatie inschakelen met behulp van Azure Portal, Azure CLI of PowerShell
- Controleren of alleen Microsoft Entra-verificatie is ingeschakeld
- Verbinding maken met Azure SQL testen
- Microsoft Entra-verificatie uitschakelen met behulp van Azure Portal, Azure CLI of PowerShell
Vereiste voorwaarden
Rol toewijzen om Microsoft Entra alleen-verificatie mogelijk te maken
Als u uitsluitend Microsoft Entra-authenticatie wilt in- of uitschakelen, zijn geselecteerde ingebouwde rollen vereist voor de Microsoft Entra-gebruikers die deze bewerkingen uitvoeren in deze handleiding. In deze zelfstudie gaan we de gebruiker de rol SQL Security Manager toewijzen.
Zie Beheerders- en niet-beheerdersrollen toewijzen aan gebruikers met Microsoft Entra-id voor meer informatie over het toewijzen van een rol aan een Microsoft Entra-account
Zie het gedeelte Machtigingen van microsoft Entra-only-verificatie voor meer informatie over de vereiste machtigingen voor het in- of uitschakelen van Microsoft Entra-only-verificatie.
In ons voorbeeld wijzen we de SQL Security Manager-rol toe aan de gebruiker UserSqlSecurityManager@contoso.onmicrosoft.com. Meld u aan bij Azure Portal met bevoorrechte gebruiker die Microsoft Entra-rollen kan toewijzen.
Ga naar uw SQL Server-resource en selecteer Toegangsbeheer (IAM) in het menu. Selecteer de knop Toevoegen en voeg vervolgens roltoewijzing toe in de vervolgkeuzelijst.
Selecteer in het deelvenster Roltoewijzing toevoegen de rol SQL Security Manager en selecteer de gebruiker die u de mogelijkheid wilt geven om alleen Microsoft Entra-verificatie in of uit te schakelen.
Selecteer Opslaan.
Microsoft Entra-only-verificatie inschakelen
Inschakelen in SQL Database met behulp van Azure Portal
Voer de volgende stappen uit om alleen-Microsoft Entra-verificatie in te schakelen in Azure Portal:
Ga naar Azure Portal met behulp van de gebruiker met de rol SQL Security Manager.
Ga naar uw SQL Server-resource en selecteer Microsoft Entra-id in het menu Instellingen .
Als u nog geen Microsoft Entra-beheerder hebt toegevoegd, moet u dit instellen voordat u de verificatie enkel met Microsoft Entra kunt inschakelen.
Schakel het selectievakje Ondersteun alleen Microsoft Entra-authenticatie voor deze server in.
Het pop-upvenster Microsoft Entra-alleenverificatie inschakelen wordt weergegeven. Selecteer Ja om de functie in te schakelen en de instelling opslaan .
Inschakelen in SQL Managed Instance met behulp van Azure Portal
Volg de onderstaande stappen om alleen Microsoft Entra-authenticatie in te schakelen in de Azure portal.
Ga naar Azure Portal met behulp van de gebruiker met de rol SQL Security Manager.
Ga naar uw sql Managed Instance-resource en selecteer Microsoft Entra-beheerder in het menu Instellingen .
Als u nog geen Microsoft Entra-beheerder hebt toegevoegd, moet u dit instellen voordat u de verificatie enkel met Microsoft Entra kunt inschakelen.
Schakel het selectievakje Alleen Microsoft Entra-verificatie voor dit beheerde exemplaar ondersteunen in.
Het pop-upvenster Microsoft Entra-alleenverificatie inschakelen wordt weergegeven. Selecteer Ja om de functie in te schakelen en de instelling opslaan .
Inschakelen in SQL Database met behulp van PowerShell
Zie de onderstaande opdrachten voor het inschakelen van Microsoft Entra-verificatie in Azure SQL Database met behulp van PowerShell.
Az.Sql 2.10.0-module of hoger is vereist om deze opdrachten uit te voeren. Zie Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication voor meer informatie over deze opdrachten.
Voor meer informatie over het beheren van Microsoft Entra-only-verificatie met behulp van API's, zie Microsoft Entra-only-authenticatie beheren met behulp van API's
Opmerking
De Microsoft Entra-administrator moet worden ingesteld op de server voordat u Microsoft Entra-authenticatie inschakelt. Anders mislukt de PowerShell-opdracht.
Zie het microsoft-entra-only-verificatieartikel voor machtigingen en acties die vereist zijn voor de gebruiker die deze opdrachten uitvoert om alleen-Microsoft Entra-verificatie in te schakelen. Als de gebruiker onvoldoende machtigingen heeft, krijgt u de volgende foutmelding:
Enable-AzSqlServerActiveDirectoryOnlyAuthentication : The client
'UserSqlServerContributor@contoso.onmicrosoft.com' with object id
'<guid>' does not have authorization to perform
action 'Microsoft.Sql/servers/azureADOnlyAuthentications/write' over scope
'/subscriptions/<guid>...'
Meld u aan bij Azure met behulp van het account met de rol SQL Security Manager .
Connect-AzAccount
Voer de volgende opdracht uit, waarbij u <myserver> de SQL-servernaam vervangt en <myresource> door uw Azure-resource die de SQL-server bevat.
Enable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName <myserver> -ResourceGroupName <myresource>
Inschakelen in SQL Managed Instance met behulp van PowerShell
Zie de onderstaande opdrachten voor het inschakelen van Microsoft Entra-verificatie in Azure SQL Managed Instance met behulp van PowerShell.
Az.Sql 2.10.0-module of hoger is vereist om deze opdrachten uit te voeren.
Zie Microsoft Entra-only-verificatie beheren met BEHULP van API's voor meer informatie over het beheren van Microsoft Entra-only-verificatie met behulp van API's.
Meld u aan bij Azure met behulp van het account met de rol SQL Security Manager .
Connect-AzAccount
Voer de volgende opdracht uit, waarbij u <myinstance> de naam van uw SQL Managed Instance vervangt en <myresource> door uw Azure-resource die het beheerde SQL-exemplaar bevat.
Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
De status van uitsluitend authenticatie van Microsoft Entra controleren
Controleer of alleen Microsoft Entra-verificatie is ingeschakeld voor uw server of instantie.
Status controleren in SQL Database
Ga naar uw SQL Server-resource in Azure Portal. Selecteer Microsoft Entra-id in het menu Instellingen .
Status controleren in SQL Managed Instance
Ga naar uw SQL-beheerde instantie resource in de Azure portal. Selecteer Microsoft Entra-beheerder in het menu Instellingen .
Deze commando's kunnen worden gebruikt om te controleren of de Microsoft Entra-authenticatie uitsluitend is ingeschakeld voor uw logische server voor Azure SQL Database of SQL Managed Instance. Leden van de rollen SQL Server Contributor en SQL Managed Instance Contributor kunnen deze opdrachten gebruiken om de status van alleen-Microsoft Entra-authenticatie te controleren, maar kunnen de functie niet in- of uitschakelen.
Status controleren in SQL Database
Meld u aan bij Azure met behulp van het account met de rol SQL Security Manager . Voor meer informatie over het beheren van Microsoft Entra-only-verificatie met behulp van API's, zie Microsoft Entra-only-authenticatie beheren met behulp van API's
az login
Voer de volgende opdracht uit, waarbij u <myserver> de SQL-servernaam vervangt en <myresource> door uw Azure-resource die de SQL-server bevat.
az sql server ad-only-auth get --resource-group <myresource> --name <myserver>
U ziet nu de volgende uitvoer:
{
"azureAdOnlyAuthentication": true,
"/subscriptions/<guid>/resourceGroups/mygroup/providers/Microsoft.Sql/servers/myserver/azureADOnlyAuthentications/Default",
"name": "Default",
"resourceGroup": "myresource",
"type": "Microsoft.Sql/servers"
}
Status controleren in SQL Managed Instance
Meld u aan bij Azure met behulp van het account met de rol SQL Security Manager .
az login
Voer de volgende opdracht uit, waarbij u <myserver> de SQL-servernaam vervangt en <myresource> door uw Azure-resource die de SQL-server bevat.
az sql mi ad-only-auth get --resource-group <myresource> --name <myserver>
U ziet nu de volgende uitvoer:
{
"azureAdOnlyAuthentication": true,
"id": "/subscriptions/<guid>/resourceGroups/myresource/providers/Microsoft.Sql/managedInstances/myinstance/azureADOnlyAuthentications/Default",
"name": "Default",
"resourceGroup": "myresource",
"type": "Microsoft.Sql/managedInstances"
}
Deze commando's kunnen worden gebruikt om te controleren of de Microsoft Entra-authenticatie uitsluitend is ingeschakeld voor uw logische server voor Azure SQL Database of SQL Managed Instance. Leden van de rollen SQL Server Contributor en SQL Managed Instance Contributor kunnen deze opdrachten gebruiken om de status van alleen-Microsoft Entra-authenticatie te controleren, maar kunnen de functie niet in- of uitschakelen.
De status retourneert Waar als de functie is ingeschakeld en Onwaar als deze is uitgeschakeld.
Status controleren in SQL Database
Meld u aan bij Azure met behulp van het account met de rol SQL Security Manager . Voor meer informatie over het beheren van Microsoft Entra-only-verificatie met behulp van API's, zie Microsoft Entra-only-authenticatie beheren met behulp van API's
Connect-AzAccount
Voer de volgende opdracht uit, waarbij u <myserver> de SQL-servernaam vervangt en <myresource> door uw Azure-resource die de SQL-server bevat.
Get-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName <myserver> -ResourceGroupName <myresource>
Status controleren in SQL Managed Instance
Meld u aan bij Azure met behulp van het account met de rol SQL Security Manager .
Connect-AzAccount
Voer de volgende opdracht uit, waarbij u <myinstance> de naam van uw SQL Managed Instance vervangt en <myresource> door uw Azure-resource die het beheerde SQL-exemplaar bevat.
Get-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
SQL-verificatie testen met verbindingsfout
Nadat u Microsoft Entra-only-verificatie hebt ingeschakeld, test u met SQL Server Management Studio (SSMS) om verbinding te maken met uw SQL Database of SQL Managed Instance. Gebruik SQL-verificatie voor de verbinding.
U zou een gefaalde inlogboodschap moeten zien, vergelijkbaar met de volgende uitvoer:
Cannot connect to <myserver>.database.windows.net.
Additional information:
Login failed for user 'username'. Reason: Azure Active Directory only authentication is enabled.
Please contact your system administrator. (Microsoft SQL Server, Error: 18456)
Alleen Microsoft Entra-verificatie uitschakelen
Door de microsoft-entra-verificatiefunctie uit te schakelen, staat u zowel SQL-verificatie als Microsoft Entra-verificatie voor Azure SQL toe.
Uitschakelen in SQL Database met behulp van Azure Portal
- Ga naar Azure Portal met behulp van de gebruiker met de rol SQL Security Manager.
- Ga naar uw SQL Server-resource en selecteer Microsoft Entra-id in het menu Instellingen .
- Als u de verificatiefunctie alleen voor Microsoft Entra wilt uitschakelen, schakelt u het selectievakje Alleen Microsoft Entra-verificatie voor deze server ondersteunen uit en slaat u de instelling op .
Uitschakelen in SQL Managed Instance met behulp van Azure Portal
- Ga naar Azure Portal met behulp van de gebruiker met de rol SQL Security Manager.
- Ga naar de resource van uw beheerde SQL-exemplaar en selecteer Active Directory-beheerder in het menu Instellingen .
- Als u de verificatiefunctie alleen voor Microsoft Entra wilt uitschakelen, schakelt u het selectievakje Alleen Microsoft Entra-verificatie voor dit beheerde exemplaar ondersteunen uit en slaat u de instelling op .
Uitschakelen in SQL Database met behulp van Azure CLI
Zie de onderstaande opdrachten voor het uitschakelen van Microsoft Entra-verificatie in Azure SQL Database met behulp van Azure CLI.
Meld u aan bij Azure met behulp van het account met de rol SQL Security Manager .
az login
Voer de volgende opdracht uit, waarbij u <myserver> de SQL-servernaam vervangt en <myresource> door uw Azure-resource die de SQL-server bevat.
az sql server ad-only-auth disable --resource-group <myresource> --name <myserver>
Nadat u Microsoft Entra-verificatie hebt uitgeschakeld, ziet u de volgende uitvoer wanneer u de status controleert:
{
"azureAdOnlyAuthentication": false,
"/subscriptions/<guid>/resourceGroups/mygroup/providers/Microsoft.Sql/servers/myserver/azureADOnlyAuthentications/Default",
"name": "Default",
"resourceGroup": "myresource",
"type": "Microsoft.Sql/servers"
}
Uitschakelen in SQL Managed Instance met behulp van Azure CLI
Zie de onderstaande opdrachten voor het uitschakelen van Microsoft Entra-verificatie in Azure SQL Managed Instance met behulp van Azure CLI.
Meld u aan bij Azure met behulp van het account met de rol SQL Security Manager .
az login
Voer de volgende opdracht uit, waarbij u <myserver> de SQL-servernaam vervangt en <myresource> door uw Azure-resource die de SQL-server bevat.
az sql mi ad-only-auth disable --resource-group <myresource> --name <myserver>
Nadat u Microsoft Entra-verificatie hebt uitgeschakeld, ziet u de volgende uitvoer wanneer u de status controleert:
{
"azureAdOnlyAuthentication": false,
"id": "/subscriptions/<guid>/resourceGroups/myresource/providers/Microsoft.Sql/managedInstances/myinstance/azureADOnlyAuthentications/Default",
"name": "Default",
"resourceGroup": "myresource",
"type": "Microsoft.Sql/managedInstances"
}
Uitschakelen in SQL Database met behulp van PowerShell
Zie de onderstaande opdrachten als u microsoft-entra-verificatie wilt uitschakelen in Azure SQL Database met behulp van PowerShell.
Meld u aan bij Azure met behulp van het account met de rol SQL Security Manager .
Connect-AzAccount
Voer de volgende opdracht uit, waarbij u <myserver> de SQL-servernaam vervangt en <myresource> door uw Azure-resource die de SQL-server bevat.
Disable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName <myserver> -ResourceGroupName <myresource>
Uitschakelen in SQL Managed Instance met behulp van PowerShell
Zie de onderstaande opdrachten voor het uitschakelen van Microsoft Entra-verificatie in Azure SQL Managed Instance met behulp van PowerShell.
Meld u aan bij Azure met behulp van het account met de rol SQL Security Manager .
Connect-AzAccount
Voer de volgende opdracht uit, waarbij u <myinstance> de naam van uw SQL Managed Instance vervangt en <myresource> door uw Azure-resource die het beheerde exemplaar bevat.
Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
Opnieuw verbinding maken met Azure SQL testen
Nadat u Microsoft Entra-only-verificatie hebt uitgeschakeld, test u de verbinding met behulp van een SQL-verificatieaanmelding. Je zou nu verbinding moeten kunnen maken met je server of instantie.
Verwante inhoud
