Microsoft Entra-verificatie alleen met Azure SQL

2025-09-15

Van toepassing op:Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics (alleen toegewezen SQL-pools)

Microsoft Entra-verificatie is een functie in Azure SQL waarmee de service alleen Ondersteuning biedt voor Microsoft Entra-verificatie en wordt ondersteund voor Azure SQL Database en Azure SQL Managed Instance.

Opmerking

Microsoft Entra-id werd voorheen Azure Active Directory (Azure AD) genoemd.

Microsoft Entra-only-verificatie is ook beschikbaar voor toegewezen SQL-pools (voorheen SQL DW) op zelfstandige servers. Enkelvoudige Microsoft Entra-verificatie kan worden ingeschakeld voor de Azure Synapse-werkruimte. Zie Microsoft Entra-only-verificatie met Azure Synapse-werkruimten voor meer informatie.

SQL-verificatie is uitgeschakeld bij het inschakelen van Microsoft Entra-verificatie in de Azure SQL-omgeving, inclusief verbindingen van SQL Server-beheerders, aanmeldingen en gebruikers. Alleen gebruikers die Microsoft Entra-verificatie gebruiken, zijn gemachtigd om verbinding te maken met de server of database.

Microsoft Entra-only-verificatie kan worden ingeschakeld of uitgeschakeld met behulp van Azure Portal, Azure CLI, PowerShell of REST API. Microsoft Entra-only-verificatie kan ook tijdens het servercreatieproces worden ingesteld met behulp van een Azure Resource Manager (ARM)-sjabloon.

Zie Verificatie en autorisatie voor meer informatie over Azure SQL-verificatie.

Functiebeschrijving

Wanneer u microsoft Entra-only-verificatie inschakelt, wordt SQL-verificatie uitgeschakeld op server- of beheerd exemplaarniveau en voorkomt u verificatie op basis van SQL-verificatiereferenties. SQL-verificatiegebruikers kunnen geen verbinding maken met de logische server voor Azure SQL Database of het beheerde exemplaar, inclusief alle databases. Hoewel SQL-verificatie is uitgeschakeld, kunnen nieuwe AANMELDINGen voor SQL-verificatie en gebruikers nog steeds worden gemaakt door Microsoft Entra-accounts met de juiste machtigingen. Nieuw gemaakte SQL-verificatieaccounts mogen geen verbinding maken met de server. Als u Entra-alleen authenticatie inschakelt, worden bestaande SQL-inlog- en gebruikersaccounts voor authenticatie niet verwijderd. De functie voorkomt alleen dat deze accounts verbinding maken met de server en elke database die voor deze server is gemaakt.

U kunt ook afdwingen dat servers worden gemaakt met alleen Microsoft Entra-verificatie ingeschakeld door Azure Policy te gebruiken. Voor meer informatie, zie Azure Policy voor Microsoft Entra-verificatie met Azure SQL.

Permissions

Microsoft Entra-authenticatie kan worden ingeschakeld of uitgeschakeld door Microsoft Entra-gebruikers die lid zijn van Microsoft Entra-ingebouwde rollen, zoals eigenaren en bijdragers van Azure-abonnementen. Daarnaast kan de rol SQL Security Manager ook de verificatiefunctie voor Microsoft Entra in- of uitschakelen.

De rollen SQL Server Contributor en SQL Managed Instance Contributor hebben geen machtigingen om de verificatiefunctie alleen voor Microsoft Entra in of uit te schakelen. Dit is consistent met de benadering Scheiding van taken , waarbij gebruikers die een Azure SQL-server kunnen maken of een Microsoft Entra-beheerder kunnen maken, geen beveiligingsfuncties kunnen in- of uitschakelen.

Vereiste acties

De volgende acties worden toegevoegd aan de rol SQL Security Manager om het beheer van de verificatiefunctie alleen voor Microsoft Entra toe te staan.

Microsoft.Sql/servers/azureADOnlyAuthentications/*
Microsoft.Sql/servers/administrators/read - alleen vereist voor gebruikers die toegang hebben tot het Azure Portal Microsoft Entra ID-menu
Microsoft.Sql/managedInstances/azureADOnlyAuthentications/*
Microsoft.Sql/managedInstances/read

De bovenstaande acties kunnen ook worden toegevoegd aan een aangepaste rol voor het beheren van alleen-Microsoft Entra-verificatie. Zie Een aangepaste rol maken en toewijzen in Microsoft Entra-id voor meer informatie.

Microsoft Entra-only-verificatie beheren met behulp van API's

Belangrijk

De Microsoft Entra-beheerder moet worden ingesteld voordat u alleen Microsoft Entra-verificatie inschakelt.

U moet over Azure CLI versie 2.14.2 of hoger beschikken.

name komt overeen met het voorvoegsel van de server- of exemplaarnaam (bijvoorbeeld myserver) en resource-group komt overeen met de bron waartoe de server behoort (bijvoorbeeld myresource).

Azure SQL Database

Zie az sql server ad-only-auth voor meer informatie.

In- of uitschakelen in SQL Database

Enable

az sql server ad-only-auth enable --resource-group myresource --name myserver

Disable

az sql server ad-only-auth disable --resource-group myresource --name myserver

Controleer de status in SQL Database

az sql server ad-only-auth get --resource-group myresource --name myserver

Azure SQL Managed Instance (een beheerde database-instantie van Azure)

Zie az sql mi ad-only-auth voor meer informatie.

Enable

az sql mi ad-only-auth enable --resource-group myresource --name myserver

Disable

az sql mi ad-only-auth disable --resource-group myresource --name myserver

De status controleren in SQL Managed Instance

az sql mi ad-only-auth get --resource-group myresource --name myserver

Az.Sql 2.10.0-module of hoger is vereist.

ServerName of InstanceName correspondeert met het voorvoegsel van de servernaam (bijvoorbeeld myserver of myinstance) en ResourceGroupName komt overeen met de bron waartoe de server behoort (bijvoorbeeld myresource).

Azure SQL Database

In- of uitschakelen in SQL Database

Enable

Zie Enable-AzSqlServerActiveDirectoryOnlyAuthentication voor meer informatie. Ook kunt u get-help Enable-AzSqlServerActiveDirectoryOnlyAuthentication -full uitvoeren.

Enable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName myserver -ResourceGroupName myresource

U kunt ook de volgende opdracht gebruiken:

Get-AzSqlServer -ServerName myserver | Enable-AzSqlServerActiveDirectoryOnlyAuthentication

Disable

Zie Disable-AzSqlServerActiveDirectoryOnlyAuthentication voor meer informatie.

Disable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName myserver -ResourceGroupName myresource

Controleer de status in SQL Database

Get-AzSqlServerActiveDirectoryOnlyAuthentication  -ServerName myserver -ResourceGroupName myresource

U kunt ook de volgende opdracht gebruiken:

Get-AzSqlServer -ServerName myserver | Get-AzSqlServerActiveDirectoryOnlyAuthentication

Azure SQL Managed Instance (een beheerde database-instantie van Azure)

In- of uitschakelen in SQL Managed Instance

Enable

Zie Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication voor meer informatie.

Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName myinstance -ResourceGroupName myresource

U kunt ook de volgende opdracht gebruiken:

Get-AzSqlInstance -InstanceName myinstance | Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication

Voer de opdracht uit get-help Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -fullvoor meer informatie over deze PowerShell-opdrachten.

Disable

Zie Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication voor meer informatie.

Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName myinstance -ResourceGroupName myresource

De status controleren in SQL Managed Instance

Get-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName myinstance -ResourceGroupName myresource

U kunt ook de volgende opdracht gebruiken:

Get-AzSqlInstance -InstanceName myinstance | Get-AzSqlInstanceActiveDirectoryOnlyAuthentication

De volgende parameters moeten worden gedefinieerd:

<subscriptionId> kunt u vinden door te navigeren naar Abonnementen in Azure Portal.
<myserver> komen overeen met het voorvoegsel van de server- of exemplaarnaam (bijvoorbeeld myserver).
<myresource> komt overeen met de bron waartoe de server behoort (bijvoorbeeld myresource)

Als u de nieuwste MSAL wilt gebruiken, downloadt u het van https://www.powershellgallery.com/packages/MSAL.PS.

$subscriptionId = '<subscriptionId>'
$serverName = "<myserver>"
$resourceGroupName = "<myresource>"

Azure SQL Database

Raadpleeg de REST API-documentatie voor server-alleen Azure AD-verificaties voor meer informatie.

In- of uitschakelen in SQL Database

Enable

$body = @{ properties = @{ azureADOnlyAuthentication = 1 } } | ConvertTo-Json
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Disable

$body = @{ properties = @{ azureADOnlyAuthentication = 0 } } | ConvertTo-Json
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Controleer de status in SQL Database

Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method GET -Headers $authHeader  | Format-List

Azure SQL Managed Instance (een beheerde database-instantie van Azure)

Zie voor meer informatie de REST API-documentatie van Azure SQL Managed Instance Azure AD Alleen-verificaties.

In- of uitschakelen in SQL Managed Instance

Enable

$body = @{   properties = @{  azureADOnlyAuthentication = 1 }  } | ConvertTo-Json
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Disable

$body = @{   properties = @{  azureADOnlyAuthentication = 0 }  } | ConvertTo-Json
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

De status controleren in SQL Managed Instance

Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method GET -Headers $authHeader  | Format-List

Voer de Microsoft Entra-beheerder voor de implementatie in. U vindt de gebruikersobject-id door naar Azure Portal te gaan en naar uw Microsoft Entra ID-resource te navigeren. Selecteer onder Beheren de optie Gebruikers. Zoek de gebruiker die u wilt instellen als Microsoft Entra-beheerder voor uw Azure SQL-server. Selecteer de gebruiker en onder de profielpagina ziet u de object-id.
De tenant-id vindt u op de overzichtspagina van uw Microsoft Entra ID-resource .

Azure SQL Database

Enable

Met de volgende ARM-sjabloon kunt u Microsoft Entra-verificatie inschakelen in uw Azure SQL Database. Als u Microsoft Entra-verificatie wilt uitschakelen, stelt u de azureADOnlyAuthentication eigenschap in op false.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "sqlServer_name": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String"
        },
        "aad_admin_objectid": {
            "type": "String"
        },
        "aad_admin_tenantid": {
            "type": "String"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers/administrators",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('sqlServer_name'), '/ActiveDirectory')]",
            "properties": {
                "administratorType": "ActiveDirectory",
                "login": "[parameters('aad_admin_name')]",
                "sid": "[parameters('aad_admin_objectid')]",
                "tenantId": "[parameters('aad_admin_tenantId')]"
            }
        },
        {
            "type": "Microsoft.Sql/servers/azureADOnlyAuthentications",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('sqlServer_name'), '/Default')]",
            "dependsOn": [
                "[resourceId('Microsoft.Sql/servers/administrators', parameters('sqlServer_name'), 'ActiveDirectory')]"
            ],
            "properties": {
                "azureADOnlyAuthentication": true
            }
        }
    ]
}

Zie Microsoft.Sql-servers/azureADOnlyAuthentications voor meer informatie.

Azure SQL Managed Instance (een beheerde database-instantie van Azure)

Enable

Met de volgende ARM-sjabloon kunt u in uw Azure SQL Managed Instance de Microsoft Entra-verificatie inschakelen. Als u Microsoft Entra-verificatie wilt uitschakelen, stelt u de azureADOnlyAuthentication eigenschap in op false.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "instance": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String"
        },
        "aad_admin_objectid": {
            "type": "String"
        },
        "aad_admin_tenantid": {
            "type": "String"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/managedInstances/administrators",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('instance'), '/ActiveDirectory')]",
            "properties": {
                "administratorType": "ActiveDirectory",
                "login": "[parameters('aad_admin_name')]",
                "sid": "[parameters('aad_admin_objectid')]",
                "tenantId": "[parameters('aad_admin_tenantId')]"
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances/azureADOnlyAuthentications",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('instance'), '/Default')]",
            "dependsOn": [
                "[resourceId('Microsoft.Sql/managedInstances/administrators', parameters('instance'), 'ActiveDirectory')]"
            ],
            "properties": {
                "azureADOnlyAuthentication": true
            }
        }
    ]
}

Zie Microsoft.Sql managedInstances/azureADOnlyAuthentications voor meer informatie.

Microsoft Entra-only-verificatie controleren met behulp van T-SQL

De SERVERPROPERTYIsExternalAuthenticationOnly is toegevoegd om te controleren of alleen Microsoft Entra-verificatie is ingeschakeld voor uw server of beheerde exemplaar. 1 geeft aan dat de functie is ingeschakeld en 0 dat de functie is uitgeschakeld.

SELECT SERVERPROPERTY('IsExternalAuthenticationOnly')

Opmerkingen

Een SQL Server-bijdrager kan een Microsoft Entra-beheerder instellen of verwijderen, maar kan de instelling alleen Microsoft Entra-verificatie niet instellen. Sql Security Manager kan geen Microsoft Entra-beheerder instellen of verwijderen, maar kan de microsoft Entra-verificatie alleen instellen. Alleen accounts met hogere Azure RBAC-rollen of aangepaste rollen die beide machtigingen bevatten, kunnen een Microsoft Entra-beheerder instellen of verwijderen en de microsoft Entra-verificatie alleen instellen. Een dergelijke rol is de rol Inzender .
Nadat u Microsoft Entra-verificatie alleen hebt ingeschakeld of uitgeschakeld in Azure Portal, kunt u een vermelding in het activiteitenlogboek zien in het menu van de SQL-server .
De instelling alleen Microsoft Entra-verificatie kan alleen worden ingeschakeld of uitgeschakeld door gebruikers met de juiste machtigingen als de Microsoft Entra-beheerder is opgegeven. Als de Microsoft Entra-beheerder niet is ingesteld, blijft de instelling microsoft Entra-verificatie alleen inactief en kan deze niet worden ingeschakeld of uitgeschakeld. Het gebruik van API's om alleen-microsoft-verificatie in te schakelen, mislukt ook als de Microsoft Entra-beheerder niet is ingesteld.
Het wijzigen van een Microsoft Entra-beheerder wanneer Microsoft Entra-verificatie is ingeschakeld, wordt ondersteund voor gebruikers met de juiste machtigingen.
Het wijzigen van een Microsoft Entra-beheerder en het in- of uitschakelen van Microsoft Entra-only-verificatie is toegestaan in de Azure-portal voor gebruikers met de juiste machtigingen. Beide bewerkingen kunnen worden voltooid met één Opslaan in Azure Portal. De Microsoft Entra-beheerder moet worden ingesteld om alleen Microsoft Entra-verificatie in te schakelen.
Het verwijderen van een Microsoft Entra-beheerder wanneer de Microsoft Entra-verificatiefunctie is ingeschakeld, wordt niet ondersteund. Het gebruik van een API om een Microsoft Entra-beheerder te verwijderen mislukt als alleen-microsoft-verificatie is ingeschakeld.
- Als de instelling Microsoft Entra-verificatie alleen is ingeschakeld, is de knop Beheerder verwijderen inactief in Azure Portal.
Het verwijderen van een Microsoft Entra-beheerder en het uitschakelen van de Microsoft Entra-verificatie alleen is toegestaan, maar alleen als de juiste gebruikersmachtigingen zijn ingesteld om de bewerkingen te voltooien. Beide bewerkingen kunnen worden voltooid met één Opslaan in Azure Portal.
Microsoft Entra-gebruikers met de juiste machtigingen kunnen bestaande SQL-gebruikers imiteren.
- Impersonatie blijft werken tussen gebruikers met SQL-verificatie, zelfs als de functie alleen-Microsoft Entra-verificatie is ingeschakeld.

Beperkingen voor alleen Microsoft Entra-verificatie in SQL Database

Wanneer Microsoft Entra-verificatie is ingeschakeld voor SQL Database, worden de volgende functies niet ondersteund:

Azure SQL Database-serverfuncties voor machtigingsbeheer worden ondersteund voor Microsoft Entra-server-principals, maar niet als de Microsoft Entra-aanmelding een groep is.
Elastische taken in Azure SQL Database
SQL Data Sync
Wijzigingsvastlegging (CDC) - Als u een database in Azure SQL Database maakt als Microsoft Entra-gebruiker en wijzigingsvastlegging inschakelt, kan een SQL-gebruiker geen CDC-artefacten uitschakelen of wijzigen. Een andere Microsoft Entra-gebruiker kan CDC echter in- of uitschakelen in dezelfde database. Als u als SQL-gebruiker een Azure SQL Database maakt, werkt het in- of uitschakelen van CDC als Microsoft Entra-gebruiker niet
Transactionele replicatie met Azure SQL Managed Instance - Aangezien SQL-verificatie nodig is voor de connectiviteit tussen replicatiedeelnemers en wanneer alleen Microsoft Entra-verificatie is ingeschakeld, is transactionele replicatie niet ondersteund voor SQL Database in scenario's waarin transactionele replicatie wordt gebruikt om wijzigingen door te voeren vanuit een Azure SQL Managed Instance, on-premises SQL Server of een Azure VM SQL Server-exemplaar naar een database in Azure SQL Database.
SQL Insights (preview)
EXEC AS verklaring voor Microsoft Entra-groepslidaccounts

Beperkingen voor uitsluitend Microsoft Entra-verificatie in Azure SQL Managed Instance

Wanneer Microsoft Entra-verificatie is ingeschakeld voor SQL Managed Instance, worden de volgende functies niet ondersteund:

Transactionele replicatie met Azure SQL Managed Instance
Beheertaken automatiseren met behulp van SQL Agent-taken in Azure SQL Managed Instance ondersteunt alleen Microsoft Entra-verificatie. De Microsoft Entra-gebruiker die lid is van een Microsoft Entra-groep die toegang heeft tot het beheerde exemplaar, kan echter geen eigenaar zijn van SQL Agent-taken.
SQL Insights (preview)
EXEC AS verklaring voor Microsoft Entra-groepslidaccounts

Zie T-SQL-verschillen tussen SQL Server en Azure SQL Managed Instance voor meer beperkingen.

Feedback

Is deze pagina nuttig?

Delen via

Microsoft Entra-verificatie alleen met Azure SQL

Functiebeschrijving

Permissions

Vereiste acties

Microsoft Entra-only-verificatie beheren met behulp van API's

Azure SQL Database

In- of uitschakelen in SQL Database

Controleer de status in SQL Database

Azure SQL Managed Instance (een beheerde database-instantie van Azure)

De status controleren in SQL Managed Instance

Microsoft Entra-only-verificatie controleren met behulp van T-SQL

Opmerkingen

Beperkingen voor alleen Microsoft Entra-verificatie in SQL Database

Beperkingen voor uitsluitend Microsoft Entra-verificatie in Azure SQL Managed Instance

Verwante inhoud

Feedback

Aanvullende resources