Konfigurera och hantera Microsoft Entra-autentisering med Azure SQL

2025-09-11

Gäller för:Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics

Den här artikeln visar hur du använder Microsoft Entra-ID för autentisering med Azure SQL Database, Azure SQL Managed Instance och Azure Synapse Analytics.

Anmärkning

Microsoft Entra-ID kallades tidigare Azure Active Directory (Azure AD).

Du kan också konfigurera Microsoft Entra-autentisering för SQL Server på virtuella Azure-datorer.

Förutsättningar

Om du vill använda Microsoft Entra-autentisering med din Azure SQL-resurs behöver du följande krav:

En Microsoft Entra-klient ifylld med användare och grupper.
En befintlig Azure SQL-resurs, till exempel Azure SQL Database eller Azure SQL Managed Instance.

Skapa och fylla i en Microsoft Entra-klientorganisation

Innan du kan konfigurera Microsoft Entra-autentisering för din Azure SQL-resurs måste du skapa en Microsoft Entra-klientorganisation och fylla den med användare och grupper. Microsoft Entra-klienter kan hanteras helt i Azure eller användas för federation av en lokal Active Directory Domain Service.

Mer information finns i:

Ange Microsoft Entra-administratör

Om du vill använda Microsoft Entra-autentisering med din resurs måste microsoft Entra-administratören ha angetts. Även om stegen konceptuellt är desamma för Azure SQL Database, Azure Synapse Analytics och Azure SQL Managed Instance, beskriver det här avsnittet i detalj de olika API:erna och portalupplevelserna för att göra det per produkt.

Microsoft Entra-administratören kan också konfigureras när Azure SQL-resursen skapas. Om en Microsoft Entra-administratör redan har konfigurerats hoppar du över det här avsnittet.

Azure SQL Database och Azure Synapse Analytics

Om du anger Microsoft Entra-administratören kan Du använda Microsoft Entra-autentisering för din logiska server för Azure SQL Database och Azure Synapse Analytics. Du kan ange en Microsoft Entra-administratör för servern med hjälp av Azure-portalen, PowerShell, Azure CLI eller REST-API:er.

I Azure-portalen hittar du det logiska servernamnet

I fältet servernamn på sidan Översikt i Azure SQL Database.
I fältet servernamn på sidan Översikt för din fristående dedikerade SQL-pool i Azure Synapse Analytics.
I relevant SQL-slutpunktpå översiktssidan för din Azure Synapse Analytics-arbetsyta.

Följ dessa steg för att ange Microsoft Entra-administratören för din logiska server i Azure-portalen:

I fönstret Kataloger + prenumerationer i Azure-portalen väljer du den katalog som innehåller din Azure SQL-resurs som aktuell katalog.
Sök efter SQL-servrar och välj sedan den logiska servern för databasresursen för att öppna FÖNSTRET SQL-server .
I fönstret SQL Server för den logiska servern väljer du Microsoft Entra-ID under Inställningar för att öppna fönstret Microsoft Entra-ID .
I fönstret Microsoft Entra-ID väljer du Ange administratör för att öppna fönstret Microsoft Entra-ID .
Fönstret Microsoft Entra-ID visar alla användare, grupper och program i din aktuella katalog och gör att du kan söka efter namn, alias eller ID. Leta rätt på din önskade identitet för Microsoft Entra-administratören och välj den och välj sedan Välj för att stänga fönstret.
Längst upp på sidan Microsoft Entra-ID för den logiska servern väljer du Spara.

Objekt-ID visas bredvid administratörsnamnet för Microsoft Entra-användare och -grupper. Program-ID:t visas för program (tjänstens huvudnamn).

Det kan ta flera minuter att ändra administratören. Sedan visas den nya administratören i administrationsfältet Microsoft Entra .

Om du vill ta bort administratören väljer du Ta bort administratör överst på sidan Microsoft Entra-ID och sedan Spara. Om du tar bort Microsoft Entra-administratören inaktiveras Microsoft Entra-autentisering för din logiska server.

Om du vill köra PowerShell-cmdletar måste du ha Azure PowerShell installerat och igång. Mer information finns i Installera och konfigurera Azure PowerShell .

Följande Azure PowerShell-cmdletar kan användas för att ange och hantera en Microsoft Entra-administratör för Azure SQL Database och Azure Synapse Analytics:

Cmdlet-namn	Description
Set-AzSqlServerActiveDirectoryAdministrator	Anger en Microsoft Entra-administratör för servern som är värd för SQL Database eller Azure Synapse.
Remove-AzSqlServerActiveDirectoryAdministrator	Tar bort en Microsoft Entra-administratör för servern som är värd för SQL Database eller Azure Synapse.
Get-AzSqlServerActiveDirectoryAdministrator	Returnerar information om en Microsoft Entra-administratör som för närvarande har konfigurerats för servern som är värd för SQL Database eller Azure Synapse.

Använd PowerShell-kommandot get-help för att se mer information om vart och ett av dessa kommandon. Till exempel get-help Set-AzSqlServerActiveDirectoryAdministrator.

Följande skript anger en Microsoft Entra-administratörsgrupp med namnet DBA_Group (exempelobjekt-ID aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) för exempelservern example-server i en exempelresursgrupp med namnet Example-Resource-Group:

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    ServerName = "example-server"
    DisplayName = "DBA_Group"
}

Set-AzSqlServerActiveDirectoryAdministrator @parameters

Parametern DisplayName accepterar antingen Visningsnamnet för Microsoft Entra-ID eller användarens huvudnamn, till exempel följande exempel: DisplayName="Adrian King" och DisplayName="adrian@contoso.com". Om du använder en Microsoft Entra-grupp stöds endast visningsnamnet.

I följande exempel används den valfria ObjectID-parametern :

$parameters = @{
  ResourceGroupName = "Example-Resource-Group"
  ServerName = "example-server"
  DisplayName = "DBA_Group"
  ObjectId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
}
Set-AzSqlServerActiveDirectoryAdministrator @parameters

Anmärkning

ObjectID krävs när DisplayName inte är unikt. Om du vill hämta värdena ObjectID och DisplayName kan du visa egenskaperna för en användare eller grupp i avsnittet Microsoft Entra-ID i Azure-portalen.

I följande exempel returneras information om den aktuella Microsoft Entra-administratören för servern:

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    ServerName = "example-server"
}

Get-AzSqlServerActiveDirectoryAdministrator @parameters | Format-List

Följande exempel tar bort en Microsoft Entra-administratör:

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    ServerName = "example-server"
}

Remove-AzSqlServerActiveDirectoryAdministrator @parameters

Du kan ange en Microsoft Entra-administratör för Azure SQL Database och Azure Synapse Analytics med följande Azure CLI-kommandon:

Command	Description
az sql server ad-admin skapa	Anger en Microsoft Entra-administratör för den logiska servern som är värd för SQL Database eller Azure Synapse Analytics.
az sql server ad-admin delete	Tar bort en Microsoft Entra-administratör från den logiska servern som är värd för SQL Database eller Azure Synapse Analytics.
az sql server ad-admin list	Returnerar information om Microsoft Entra-administratören som har konfigurerats för servern som är värd för SQL Database eller Azure Synapse Analytics.
az sql server ad-admin update	Uppdaterar Microsoft Entra-administratören för servern som är värd för SQL Database eller Azure Synapse Analytics.

Fler CLI-kommandon finns i az sql server.

Du kan också använda REST API:er för Server Azure AD-administratör för att skapa, uppdatera, ta bort och hämta Microsoft Entra-administratören för Azure SQL Database och Azure Synapse Analytics.

API	Description
Skapa eller uppdatera	Skapar eller uppdaterar en befintlig Microsoft Entra-administratör.
Ta bort	Tar bort Microsoft Entra-administratören med det angivna namnet.
Få	Hämtar Microsoft Entra-administratören för den namngivna servern.
Lista efter server	Hämtar en lista över Microsoft Entra-administratörer på en server.

Anmärkning

Microsoft Entra-administratören lagras i serverns databas som en användare (databasens master huvudnamn). Eftersom databasens huvudnamn måste vara unika kan visningsnamnet för administratören inte vara samma som namnet på någon användare i serverns master databas. Om det redan finns en användare med namnet misslyckas konfigurationen av Microsoft Entra-administratören och återställs, vilket anger att namnet redan används.

Hanterad instans i Azure SQL

Om du ställer in Microsoft Entra-administratören aktiveras Microsoft Entra-autentisering för Azure SQL Managed Instance. Du kan ange en Microsoft Entra-administratör för din SQL-hanterade instans med hjälp av Azure-portalen, PowerShell, Azure CLI eller REST-API:er.

Om du vill ge sql-hanterad instans läsbehörighet till Microsoft Entra-ID med hjälp av Azure-portalen loggar du in som privilegierad rolladministratör och följer dessa steg:

Välj ditt konto i det övre högra hörnet i Azure-portalen och välj sedan Växla kataloger för att bekräfta vilken katalog som är din aktuella katalog. Byt kataloger om det behövs.
I fönstret Kataloger + prenumerationer i Azure-portalen väljer du den katalog som innehåller den hanterade instansen som aktuell katalog.'''
Sök efter SQL-hanterade instanser och välj sedan den hanterade instansen för att öppna fönstret SQL-hanterad instans . Välj sedan Microsoft Entra-ID under Inställningar för att öppna fönstret Microsoft Entra-ID för din instans.
I fönstret Microsoft Entra-administratör väljer du Ange administratör i navigeringsfältet för att öppna fönstret Microsoft Entra-ID .
I fönstret Microsoft Entra-ID söker du efter en användare, markerar kryssrutan bredvid den användare eller grupp som ska vara administratör och trycker sedan på Välj för att stänga fönstret och gå tillbaka till administratörssidan för Microsoft Entra för din hanterade instans.

Fönstret Microsoft Entra-ID visar alla medlemmar och grupper i din aktuella katalog. Nedtonade användare eller grupper kan inte väljas eftersom de inte stöds som Microsoft Entra-administratörer. Välj den identitet som du vill tilldela som administratör.
I navigeringsfältet på administratörssidan för Microsoft Entra för din hanterade instans väljer du Spara för att bekräfta Microsoft Entra-administratören.

När administratörsändringen har slutförts visas den nya administratören i administrationsfältet Microsoft Entra.

Objekt-ID visas bredvid administratörsnamnet för Microsoft Entra-användare och -grupper. Program-ID:t visas för program (tjänstens huvudnamn).

Tips/Råd

Om du vill ta bort administratören väljer du Ta bort administratör överst på sidan Microsoft Entra-ID och väljer sedan Spara.

Om du vill köra PowerShell-cmdletar måste du ha Azure PowerShell installerat och igång. Mer information finns i Installera och konfigurera Azure PowerShell .

I följande tabell visas de PowerShell-cmdletar som du kan använda för att definiera och hantera Microsoft Entra-administratören för hanterade instanser:

Cmdlet-namn	Description
Set-AzSqlInstanceActiveDirectoryAdministrator	Anger en Microsoft Entra-administratör för den hanterade instansen.
Remove-AzSqlInstanceActiveDirectoryAdministrator	Tar bort Microsoft Entra-administratören för den hanterade instansen.
Get-AzSqlInstanceActiveDirectoryAdministrator	Returnerar information om Microsoft Entra-administratören för den hanterade instansen.

Det här exempelkommandot hämtar information om en Microsoft Entra-administratör för en hanterad instans med namnet "Sample-Instance" som är associerad med en resursgrupp med namnet "Example-Resource-Group".

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    InstanceName = "Sample-Instance"
}

Get-AzSqlInstanceActiveDirectoryAdministrator @parameters

Det här exempelkommandot anger Microsoft Entra-administratören till en grupp med namnet DBAs (med exempelobjekt-ID aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) för SQL Managed Instance med namnet "Sample-Instance". Den här servern är associerad med resursgruppen "Example-Resource-Group".

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    InstanceName = "Sample-Instance"
    DisplayName = "DBAs"
    ObjectId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
}

Set-AzSqlInstanceActiveDirectoryAdministrator @parameters

Det här exempelkommandot tar bort Microsoft Entra-administratören för SQL Managed Instance med namnet "Sample-Instance" som är associerad med resursgruppen "Example-Resource-Group".

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    InstanceName = "Sample-Instance"
    Confirm = $true
    PassThru = $true
}

Remove-AzSqlInstanceActiveDirectoryAdministrator @parameters

Du kan ange och hantera en Microsoft Entra-administratör för SQL Managed Instance genom att anropa följande Azure CLI-kommandon:

Command	Description
az sql mi ad-admin create	Etablerar en Microsoft Entra-administratör för den SQL-hanterade instansen.
az sql mi ad-admin delete	Tar bort en Microsoft Entra-administratör för den SQL-hanterade instansen.
az sql mi ad-admin list	Returnerar information om en Microsoft Entra-administratör som för närvarande har konfigurerats för den SQL-hanterade instansen.
az sql mi ad-admin update	Uppdaterar Microsoft Entra-administratören för den SQL-hanterade instansen.

Fler CLI-kommandon finns i az sql mi.

Du kan använda REST API:er för administratörer för hanterade instanser för att skapa, uppdatera, ta bort och hämta Microsoft Entra-administratören för SQL-hanterade instanser.

API	Description
Skapa eller uppdatera	Skapar eller uppdaterar en befintlig Microsoft Entra-administratör.
Ta bort	Tar bort Microsoft Entra-administratören med det angivna namnet från den namngivna hanterade instansen.
Få	Hämtar Microsoft Entra-administratören för den namngivna hanterade instansen.
Lista efter instans	Hämtar en lista över Microsoft Entra-administratörer i en hanterad instans.

Tilldela Microsoft Graph-behörigheter

SQL Managed Instance behöver behörighet att läsa Microsoft Entra-ID för scenarier som att auktorisera användare som ansluter via medlemskap i säkerhetsgrupper och skapa nya användare. För att Microsoft Entra-autentisering ska fungera måste du tilldela den hanterade instansidentiteten till rollen Katalogläsare . Du kan göra detta med hjälp av Azure-portalen eller PowerShell.

För vissa åtgärder kräver Azure SQL Database och Azure Synapse Analytics även behörigheter för att köra frågor mot Microsoft Graph, som beskrivs i Microsoft Graph-behörigheter. Azure SQL Database och Azure Synapse Analytics har stöd för detaljerade Graph-behörigheter för dessa scenarier, medan SQL Managed Instance kräver rollen Katalogläsare . Detaljerade behörigheter och deras tilldelning beskrivs i detalj i aktivera tjänstens huvudnamn för att skapa Microsoft Entra-användare.

Katalogläsarroll

Sidan Microsoft Entra-ID för SQL Managed Instance i Azure-portalen visar en praktisk banderoll när instansen inte har tilldelats behörigheterna katalogläsare.

Välj banderollen ovanpå Microsoft Entra-ID-sidan och ge behörighet till den systemtilldelade eller användartilldelade hanterade identiteten som representerar din instans. Endast en privilegierad rolladministratör eller en högre roll i klientorganisationen kan utföra den här åtgärden.
När åtgärden lyckas visas ett meddelande om lyckat resultat i det övre högra hörnet:

Följande PowerShell-skript lägger till en identitet i rollen Katalogläsare. Detta kan användas för att tilldela behörigheter till en hanterad instans eller primär serveridentitet för den logiska servern (eller någon Microsoft Entra-identitet).

# This script grants "Directory Readers" permission to a service principal representing a SQL Managed Instance or logical server.
# It can be executed only by a user who is a member of the **Privileged Roles Administrator** role.

Import-Module Microsoft.Graph.Authentication
$instanceName = "<InstanceName>"        # Enter the name of your managed instance or server
$tenantId = "<TenantId>"                       # Enter your tenant ID

Connect-MgGraph -TenantId $tenantId -Scopes "RoleManagement.ReadWrite.Directory"

# Get Microsoft Entra "Directory Readers" role and create if it doesn't exist
$roleName = "Directory Readers"
$role = Get-MgDirectoryRole -Filter "DisplayName eq '$roleName'"
if ($role -eq $null) {
    # Instantiate an instance of the role template
    $roleTemplate = Get-MgDirectoryRoleTemplate -Filter "DisplayName eq '$roleName'"
    New-MgDirectoryRoleTemplate -RoleTemplateId $roleTemplate.Id
    $role = Get-MgDirectoryRole -Filter "DisplayName eq '$roleName'"
}

# Get service principal for your SQL Managed Instance or logical server
$roleMember = Get-MgServicePrincipal -Filter "DisplayName eq '$instanceName'"
$roleMember.Count
if ($roleMember -eq $null) {
    Write-Output "Error: No service principal with name '$($instanceName)' found, make sure that instanceName parameter was entered correctly."
    exit
}
if (-not ($roleMember.Count -eq 1)) {
    Write-Output "Error: Multiple service principals with name '$($instanceName)'"
    Write-Output $roleMember | Format-List DisplayName, Id, AppId
    exit
}

# Check if service principal is already member of Directory Readers role
$isDirReader = Get-MgDirectoryRoleMember -DirectoryRoleId $role.Id -Filter "Id eq '$($roleMember.Id)'"
if ($isDirReader -eq $null) {
    # Add principal to Directory Readers role
    Write-Output "Adding service principal '$($instanceName)' to 'Directory Readers' role..."
    $body = @{
        "@odata.id"= "https://graph.microsoft.com/v1.0/directoryObjects/{$($roleMember.Id)}"
    }
    New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $body
    Write-Output "'$($instanceName)' service principal added to 'Directory Readers' role."
} else {
    Write-Output "Service principal '$($instanceName)' is already member of 'Directory Readers' role."
}

Microsoft Entra-administratören kan nu användas för att skapa Microsoft Entra-serverhuvudkonton (inloggningar) och databashuvudnamn (användare). Mer information finns i Microsoft Entra-integrering med Azure SQL Managed Instance.

Skapa Microsoft Entra-huvudkonton i SQL

För att ansluta till en databas i SQL Database eller Azure Synapse Analytics med Microsoft Entra-autentisering måste ett huvudnamn konfigureras på databasen för den identiteten med minst behörigheten CONNECT .

Databasanvändarbehörigheter

När en databasanvändare skapas får den CONNECT som standard behörighet till databasen. En databasanvändare ärver också behörigheter under två omständigheter:

Om användaren är medlem i en Microsoft Entra-grupp som också har tilldelats behörigheter på servern.
Om användaren skapas från en inloggning ärver den de servertilldelade behörigheterna för den inloggning som gäller för databasen.

Hantering av behörigheter för server- och databashuvudnamn fungerar på samma sätt oavsett typ av huvudnamn (Microsoft Entra-ID, SQL-autentisering osv.). Vi rekommenderar att du beviljar behörigheter till databasroller i stället för att ge användarna direkt behörighet. Sedan kan användare läggas till i roller med lämpliga behörigheter. Detta förenklar hanteringen av långsiktiga behörigheter och minskar sannolikheten för att en identitet behåller tidigare åtkomst när det är lämpligt.

Mer information finns i:

Inhägnade databasanvändare

En innesluten databasanvändare är en typ av SQL-användare som inte är ansluten till en inloggning i master databasen. För att skapa en användare i en innesluten Microsoft Entra-databas, anslut till databasen med en Microsoft Entra-identitet som har minst behörigheten ALTER VALFRI ANVÄNDARE**. I följande T-SQL-exempel skapas ett databashuvudnamn Microsoft_Entra_principal_name från Microsoft Entra-ID.

CREATE USER [<Microsoft_Entra_principal_name>] FROM EXTERNAL PROVIDER;

Om du vill skapa en innesluten databasanvändare för en Microsoft Entra-grupp anger du visningsnamnet för gruppen:

CREATE USER [ICU Nurses] FROM EXTERNAL PROVIDER;

Om du vill skapa en innesluten databasanvändare för en hanterad identitet eller tjänstens huvudnamn anger du identitetens visningsnamn:

CREATE USER [appName] FROM EXTERNAL PROVIDER;

Om du vill skapa en innesluten databasanvändare för en Microsoft Entra-användare anger du användarens huvudnamn för identiteten:

CREATE USER [adrian@contoso.com] FROM EXTERNAL PROVIDER;

Anmärkning

Microsoft Entra-serverhuvudkonton (inloggningar) är för närvarande i offentlig förhandsversion för Azure SQL Database och Azure Synapse Analytics. Microsoft Entra-inloggningar är allmänt tillgängliga för Azure SQL Managed Instance och SQL Server 2022.

Microsoft Entra-serverhuvudkonton (eller inloggningar) stöds, vilket innebär att oberoende databasanvändare inte krävs. Databashuvudkonton (användare) kan skapas baserat på ett serverhuvudnamn, vilket innebär att Microsoft Entra-användare kan ärva tilldelade behörigheter på servernivå för en inloggning.

CREATE USER [appName] FROM LOGIN [appName];

Mer information finns i Översikt över SQL Managed Instance. Syntax för att skapa Microsoft Entra-serverhuvudkonton (inloggningar) finns i SKAPA INLOGGNING.

Externa användare

Du kan inte direkt skapa en databasanvändare för en identitet som hanteras i en annan Microsoft Entra-klientorganisation än den som är associerad med din Azure-prenumeration. Användare i andra kataloger kan dock importeras till den associerade katalogen som externa användare. De kan sedan användas för att skapa oberoende databasanvändare som har åtkomst till databasen. Externa användare kan också få åtkomst via medlemskap i Microsoft Entra-grupper.

Exempel: Så här skapar du en oberoende databasanvändare som representerar en federerad eller hanterad Domänanvändare från Microsoft Entra:

CREATE USER [alice@fabrikam.com] FROM EXTERNAL PROVIDER;

Ett federerat domänanvändarkonto som importeras till en hanterad domän som extern användare måste använda den hanterade domänidentiteten.

Namnöverväganden

Specialtecken som kolon : eller et-tecken & när de ingår som användarnamn i T-SQL CREATE LOGIN och CREATE USER -instruktioner stöds inte.

Microsoft Entra-ID och Azure SQL skiljer sig åt i användarhanteringsdesignen på ett viktigt sätt: Med Microsoft Entra-ID kan visningsnamn dupliceras i en klientorganisation, medan Azure SQL kräver att alla serverhuvudnamn på en server eller instans och alla databasobjekt i en databas har ett unikt namn. Eftersom Azure SQL direkt använder Microsoft Entra-visningsnamnet för identiteten när du skapar huvudkonton kan detta resultera i fel när användare skapas. För att lösa det här problemet har Azure SQL släppt förbättringen WITH OBJECT_ID för närvarande i förhandsversionen, vilket gör att användarna kan ange Microsoft Entra-objekt-ID för identiteten som läggs till på servern eller instansen.

Microsoft Graph-behörigheter

Kommandot CREATE USER ... FROM EXTERNAL PROVIDER kräver Azure SQL-åtkomst till Microsoft Entra-ID (den "externa providern") för den inloggade användarens räkning. Ibland uppstår omständigheter som gör att Microsoft Entra-ID returnerar ett undantag till Azure SQL.

Du kan stöta på SQL-fel 33134, som innehåller det Microsoft Entra-ID-specifika felmeddelandet. Felet säger vanligtvis att åtkomst nekas, att användaren måste registrera sig i MFA för att få åtkomst till resursen, eller att åtkomst mellan program från första part måste hanteras via förautentisering. I de första två fallen orsakas problemet vanligtvis av principer för villkorsstyrd åtkomst som anges i användarens Microsoft Entra-klientorganisation: de hindrar användaren från att komma åt den externa providern. Om du uppdaterar principerna för villkorsstyrd åtkomst för att tillåta åtkomst till programmet "00000003-0000-0000-c000-000000000000" (program-ID för Microsoft Graph API) bör problemet lösas. Om felet säger att åtkomst mellan program från första part måste hanteras via förauktorisering beror problemet på att användaren är inloggad som tjänstens huvudnamn. Kommandot bör lyckas om det körs av en användare i stället.
Om tidsgränsen för anslutningen har upphört att gälla kan du behöva ange parametern TransparentNetworkIPResolution för anslutningssträngen till false. Mer information finns i Timeout-problem med anslutning med .NET Framework 4.6.1 – TransparentNetworkIPResolution.

Mer information om hur du skapar oberoende databasanvändare baserat på Microsoft Entra-identiteter finns i SKAPA ANVÄNDARE.

Konfigurera multifaktorautentisering

För förbättrad säkerhet för din Azure SQL-resurs kan du överväga att konfigurera multifaktorautentisering (MFA) som uppmanar användaren att använda en andra alternativ metod för att autentisera till databasen, till exempel ett telefonsamtal eller en autentiseringsapp.

Om du vill använda multifaktorautentisering med din Azure SQL-resurs aktiverar du först multifaktorautentisering och använder sedan en princip för villkorsstyrd åtkomst för att framtvinga MFA för din Azure SQL-resurs.

Ansluta med Microsoft Entra

När Microsoft Entra-autentisering har konfigurerats kan du använda den för att ansluta till din SQL-resurs med Microsoft-verktyg som SQL Server Management Studio och SQL Server Data Tools och konfigurera klientprogram för att ansluta med Hjälp av Microsoft Entra-identiteter.

Felsöka Microsoft Entra-autentisering

Mer information om felsökningsproblem finns i Blogg: Felsöka problem som rör Microsoft Entra-autentisering med Azure SQL Database och Azure Synapse.

Feedback

Var den här sidan till hjälp?

Dela via

Konfigurera och hantera Microsoft Entra-autentisering med Azure SQL

Förutsättningar

Skapa och fylla i en Microsoft Entra-klientorganisation

Ange Microsoft Entra-administratör

Azure SQL Database och Azure Synapse Analytics

Hanterad instans i Azure SQL

Tilldela Microsoft Graph-behörigheter

Katalogläsarroll

Skapa Microsoft Entra-huvudkonton i SQL

Databasanvändarbehörigheter

Inhägnade databasanvändare

Inloggningsbaserade användare

Externa användare

Namnöverväganden

Microsoft Graph-behörigheter

Konfigurera multifaktorautentisering

Ansluta med Microsoft Entra

Felsöka Microsoft Entra-autentisering

Relaterat innehåll

Feedback

Ytterligare resurser