Öğretici: Azure SQL ile Microsoft Entra-only kimlik doğrulamasını etkinleştirme

Makale
10/20/2023

Şunlar için geçerlidir: Azure SQL Veritabanı Azure SQL Yönetilen Örneği

Bu makale, Azure SQL Veritabanı ve Azure SQL Yönetilen Örneği içinde Microsoft Yalnızca Entra-only kimlik doğrulama özelliğini etkinleştirme konusunda size yol gösterir. Microsoft Entra-only kimlik doğrulamasının etkinleştirildiği bir SQL Veritabanı veya SQL Yönetilen Örneği sağlamak istiyorsanız bkz. Azure SQL'de Microsoft Entra-only kimlik doğrulaması etkinleştirilmiş sunucu oluşturma.

Not

Microsoft Entra Id daha önce Azure Active Directory (Azure AD) olarak biliniyordu.

Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:

Microsoft Entra-only kimlik doğrulamasını etkinleştirmek için rol atama
Azure portalını, Azure CLI'yi veya PowerShell'i kullanarak Microsoft Entra-only kimlik doğrulamasını etkinleştirme
Microsoft Entra-only kimlik doğrulamasının etkinleştirilip etkinleştirilmediğini denetleyin
Azure SQL'e bağlanmayı test etme
Azure portalını, Azure CLI'yı veya PowerShell'i kullanarak Microsoft Entra-only kimlik doğrulamasını devre dışı bırakma

Önkoşullar

Microsoft Entra kiracısı. Daha fazla bilgi için bkz. Azure SQL ile Microsoft Entra kimlik doğrulamasını yapılandırma ve yönetme.
Veritabanı ve oturum açma bilgileri veya kullanıcılarla SQL Veritabanı veya SQL Yönetilen Örneği. Bkz. Hızlı Başlangıç: Azure SQL Veritabanı oluşturmadıysanız tek Azure SQL Veritabanı veritabanı oluşturma veya Hızlı Başlangıç: Azure SQL Yönetilen Örneği oluşturma.

Microsoft Entra-only kimlik doğrulamasını etkinleştirmek için rol atama

Microsoft Entra-only kimlik doğrulamasını etkinleştirmek veya devre dışı bırakmak için, bu öğreticide bu işlemleri yürüten Microsoft Entra kullanıcıları için seçili yerleşik roller gereklidir. Bu öğreticide kullanıcıya SQL Security Manager rolünü atayacağız.

Bir Microsoft Entra hesabına rol atama hakkında daha fazla bilgi için bkz . Microsoft Entra Id ile kullanıcılara yönetici ve yönetici olmayan roller atama

Microsoft Entra-only kimlik doğrulamasını etkinleştirmek veya devre dışı bırakmak için gerekli izinler hakkında daha fazla bilgi için, Microsoft Entra-only kimlik doğrulaması makalesinin İzinler bölümüne bakın.

Örneğimizde, SQL Güvenlik Yöneticisi rolünü kullanıcıya UserSqlSecurityManager@contoso.onmicrosoft.comatayacağız. Microsoft Entra rollerini atayabilen ayrıcalıklı kullanıcıyı kullanarak Azure portalında oturum açın.
SQL server kaynağınıza gidin ve menüden Erişim denetimi (IAM) öğesini seçin. Ekle düğmesini ve ardından açılan menüden Rol ataması ekle'yi seçin.
Rol ataması ekle bölmesinde Rol SQL Güvenlik Yöneticisi'ni seçin ve Microsoft Entra-only kimlik doğrulamasını etkinleştirme veya devre dışı bırakma özelliğine sahip olmasını istediğiniz kullanıcıyı seçin.
Kaydet'e tıklayın.

Yalnızca Microsoft Entra kimlik doğrulamasını etkinleştirme

Azure portalını kullanarak SQL Veritabanı etkinleştirme

Azure portalında Microsoft Entra-only kimlik doğrulamasını etkinleştirmek için şu adımları izleyin:

Kullanıcıyı SQL Güvenlik Yöneticisi rolüyle kullanarak Azure portalına gidin.
SQL server kaynağınıza gidin ve Ayarlar menüsünün altında Microsoft Entra Id'yi seçin.
Microsoft Entra yöneticisi eklemediyseniz, Microsoft Entra-only kimlik doğrulamasını etkinleştirmeden önce bunu ayarlamanız gerekir.
Bu sunucu için Yalnızca Microsoft Entra kimlik doğrulamasını destekle kutusunu işaretleyin.
Microsoft Entra-only kimlik doğrulamasını etkinleştir açılır penceresi görüntülenir. Özelliği etkinleştirmek için Evet'i ve Ayarı kaydet'i seçin.

Azure portalını kullanarak SQL Yönetilen Örneği etkinleştirme

Azure portalında Microsoft Entra-only kimlik doğrulamasını etkinleştirmek için aşağıdaki adımlara bakın.

Kullanıcıyı SQL Güvenlik Yöneticisi rolüyle kullanarak Azure portalına gidin.
SQL yönetilen örneği kaynağınıza gidin ve Ayarlar menüsünün altında Microsoft Entra admin'i seçin.
Microsoft Entra yöneticisi eklemediyseniz, Microsoft Entra-only kimlik doğrulamasını etkinleştirmeden önce bunu ayarlamanız gerekir.
Bu yönetilen örnek için yalnızca Microsoft Entra kimlik doğrulamasını destekle onay kutusunu seçin.
Microsoft Entra-only kimlik doğrulamasını etkinleştir açılır penceresi görüntülenir. Özelliği etkinleştirmek için Evet'i ve Ayarı kaydet'i seçin.

Azure CLI kullanarak SQL Veritabanı etkinleştirme

Azure CLI kullanarak Azure SQL Veritabanı'da Microsoft Entra-only kimlik doğrulamasını etkinleştirmek için aşağıdaki komutlara bakın. Azure CLI'nın en son sürümünü yükleyin. Azure CLI sürüm 2.14.2 veya üzeri olmalıdır. Bu komutlar hakkında daha fazla bilgi için bkz . az sql server ad-only-auth.

API'leri kullanarak Microsoft Entra-only kimlik doğrulamasını yönetme hakkında daha fazla bilgi için bkz . API'leri kullanarak Microsoft Entra-only kimlik doğrulamasını yönetme.

Not

Microsoft Entra-only kimlik doğrulamasını etkinleştirmeden önce sunucu için Microsoft Entra yöneticisi ayarlanmalıdır. Aksi takdirde Azure CLI komutu başarısız olur.

Microsoft Entra-only kimlik doğrulamasını etkinleştirmek için bu komutları gerçekleştiren kullanıcının gerekli izinleri ve eylemleri için, Microsoft Yalnızca entra-only kimlik doğrulaması makalesine bakın.

SQL Security Manager rolüyle hesabı kullanarak Azure'da oturum açın.
```
az login
```
aşağıdaki komutu çalıştırın ve yerine <myserver> SQL server adınızı ve <myresource> SQL sunucusunu barındıran Azure Kaynağınızı yazın.
```
az sql server ad-only-auth enable --resource-group <myresource> --name <myserver>
```

Azure CLI kullanarak SQL Yönetilen Örneği etkinleştirme

Azure CLI kullanarak Azure SQL Yönetilen Örneği'de Microsoft Entra-only kimlik doğrulamasını etkinleştirmek için aşağıdaki komutlara bakın. Azure CLI'nın en son sürümünü yükleyin.

SQL Security Manager rolüyle hesabı kullanarak Azure'da oturum açın.
```
az login
```
aşağıdaki komutu çalıştırın ve yerine <myserver> SQL server adınızı ve <myresource> SQL sunucusunu barındıran Azure Kaynağınızı yazın.
```
az sql mi ad-only-auth enable --resource-group <myresource> --name <myserver>
```

PowerShell kullanarak SQL Veritabanı etkinleştirme

PowerShell kullanarak Azure SQL Veritabanı'da Microsoft Entra-only kimlik doğrulamasını etkinleştirmek için aşağıdaki komutlara bakın. Bu komutları yürütmek için Az.Sql 2.10.0 veya üzeri bir modül gereklidir. Bu komutlar hakkında daha fazla bilgi için bkz . Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication.

API'leri kullanarak Microsoft Entra-only kimlik doğrulamasını yönetme hakkında daha fazla bilgi için bkz . API'leri kullanarak Microsoft Entra-only kimlik doğrulamasını yönetme

Not

Microsoft Entra-only kimlik doğrulamasını etkinleştirmeden önce sunucu için Microsoft Entra yöneticisi ayarlanmalıdır. Aksi takdirde PowerShell komutu başarısız olur.

Enable-AzSqlServerActiveDirectoryOnlyAuthentication : The client
'UserSqlServerContributor@contoso.onmicrosoft.com' with object id
'<guid>' does not have authorization to perform
action 'Microsoft.Sql/servers/azureADOnlyAuthentications/write' over scope
'/subscriptions/<guid>...'

SQL Security Manager rolüyle hesabı kullanarak Azure'da oturum açın.
```
Connect-AzAccount
```
aşağıdaki komutu çalıştırın ve yerine <myserver> SQL server adınızı ve <myresource> SQL sunucusunu barındıran Azure Kaynağınızı yazın.
```
Enable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName <myserver>  -ResourceGroupName <myresource>
```

PowerShell kullanarak SQL Yönetilen Örneği'de etkinleştirme

PowerShell kullanarak Azure SQL Yönetilen Örneği'de Microsoft Entra-only kimlik doğrulamasını etkinleştirmek için aşağıdaki komutlara bakın. Bu komutları yürütmek için Az.Sql 2.10.0 veya üzeri bir modül gereklidir.

API'leri kullanarak Microsoft Entra-only kimlik doğrulamasını yönetme hakkında daha fazla bilgi için bkz . API'leri kullanarak Microsoft Entra-only kimlik doğrulamasını yönetme.

SQL Security Manager rolüyle hesabı kullanarak Azure'da oturum açın.
```
Connect-AzAccount
```
öğesini SQL Yönetilen Örneği adınızla ve <myresource> SQL yönetilen örneğini barındıran Azure Kaynağınızla değiştirerek <myinstance> aşağıdaki komutu çalıştırın.
```
Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
```

Microsoft Entra-only kimlik doğrulaması durumunu denetleme

Sunucunuz veya örneğiniz için Microsoft Entra-only kimlik doğrulamasının etkinleştirilip etkinleştirilmediğini denetleyin.

SQL Veritabanı durumunu denetleme

Azure portalında SQL server kaynağınıza gidin. Ayarlar menüsünün altında Microsoft Entra Id öğesini seçin.

SQL Yönetilen Örneği durumunu denetleme

Azure portalında SQL yönetilen örneği kaynağınıza gidin. Ayarlar menüsünün altında Microsoft Entra admin'i seçin.

Bu komutlar, Azure SQL Veritabanı veya SQL Yönetilen Örneği için mantıksal sunucunuzda Microsoft Entra-only kimlik doğrulamasının etkinleştirilip etkinleştirilmediğini denetlemek için kullanılabilir. SQL Server Katkıda Bulunanı ve SQL Yönetilen Örneği Katkıda Bulunanı rollerinin üyeleri, Microsoft Entra-only kimlik doğrulamasının durumunu denetlemek için bu komutları kullanabilir, ancak özelliği etkinleştiremez veya devre dışı bırakamaz.

SQL Veritabanı durumunu denetleme

SQL Security Manager rolüyle hesabı kullanarak Azure'da oturum açın. API'leri kullanarak Microsoft Entra-only kimlik doğrulamasını yönetme hakkında daha fazla bilgi için bkz . API'leri kullanarak Microsoft Entra-only kimlik doğrulamasını yönetme
```
az login
```
aşağıdaki komutu çalıştırın ve yerine <myserver> SQL server adınızı ve <myresource> SQL sunucusunu barındıran Azure Kaynağınızı yazın.
```
az sql server ad-only-auth get --resource-group <myresource> --name <myserver>
```

Aşağıdaki çıkışı görmeniz gerekir:

{
 "azureAdOnlyAuthentication": true,
 "/subscriptions/<guid>/resourceGroups/mygroup/providers/Microsoft.Sql/servers/myserver/azureADOnlyAuthentications/Default",
 "name": "Default",
 "resourceGroup": "myresource",
 "type": "Microsoft.Sql/servers"
}

SQL Yönetilen Örneği durumunu denetleme

SQL Security Manager rolüyle hesabı kullanarak Azure'da oturum açın.
```
az login
```
aşağıdaki komutu çalıştırın ve yerine <myserver> SQL server adınızı ve <myresource> SQL sunucusunu barındıran Azure Kaynağınızı yazın.
```
az sql mi ad-only-auth get --resource-group <myresource> --name <myserver>
```

Aşağıdaki çıkışı görmeniz gerekir:

{
 "azureAdOnlyAuthentication": true,
 "id": "/subscriptions/<guid>/resourceGroups/myresource/providers/Microsoft.Sql/managedInstances/myinstance/azureADOnlyAuthentications/Default",
 "name": "Default",
 "resourceGroup": "myresource",
 "type": "Microsoft.Sql/managedInstances"
}

Özellik etkinse durum True, devre dışı bırakılırsa False döndürür.

SQL Veritabanı durumunu denetleme

SQL Security Manager rolüyle hesabı kullanarak Azure'da oturum açın. API'leri kullanarak Microsoft Entra-only kimlik doğrulamasını yönetme hakkında daha fazla bilgi için bkz . API'leri kullanarak Microsoft Entra-only kimlik doğrulamasını yönetme
```
Connect-AzAccount
```
aşağıdaki komutu çalıştırın ve yerine <myserver> SQL server adınızı ve <myresource> SQL sunucusunu barındıran Azure Kaynağınızı yazın.
```
Get-AzSqlServerActiveDirectoryOnlyAuthentication  -ServerName <myserver> -ResourceGroupName <myresource>
```

SQL Yönetilen Örneği durumunu denetleme

SQL Security Manager rolüyle hesabı kullanarak Azure'da oturum açın.
```
Connect-AzAccount
```
öğesini SQL Yönetilen Örneği adınızla ve <myresource> SQL yönetilen örneğini barındıran Azure Kaynağınızla değiştirerek <myinstance> aşağıdaki komutu çalıştırın.
```
Get-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
```

Bağlantı hatasıyla SQL kimlik doğrulamasını test edin

Microsoft Entra-only kimlik doğrulamasını etkinleştirdikten sonra, SQL Veritabanı veya SQL Yönetilen Örneği bağlanmak için SQL Server Management Studio (SSMS) ile test edin. Bağlantı için SQL kimlik doğrulamasını kullanın.

Aşağıdaki çıkışa benzer bir oturum açma başarısız iletisi görmeniz gerekir:

Cannot connect to <myserver>.database.windows.net.
Additional information:
  Login failed for user 'username'. Reason: Azure Active Directory only authentication is enabled.
  Please contact your system administrator. (Microsoft SQL Server, Error: 18456)

Microsoft Entra-only kimlik doğrulamayı devre dışı bırakma

Microsoft Entra-only kimlik doğrulaması özelliğini devre dışı bırakarak hem SQL kimlik doğrulamasına hem de Azure SQL için Microsoft Entra kimlik doğrulamasına izin verirsiniz.

Azure portalını kullanarak SQL Veritabanı'de devre dışı bırakma

Kullanıcıyı SQL Güvenlik Yöneticisi rolüyle kullanarak Azure portalına gidin.
SQL server kaynağınıza gidin ve Ayarlar menüsünün altında Microsoft Entra Id'yi seçin.
Microsoft Entra-only kimlik doğrulaması özelliğini devre dışı bırakmak için Bu sunucu için yalnızca Microsoft Entra kimlik doğrulamasını destekle onay kutusunun işaretini kaldırın ve Ayarı kaydedin .

Azure portalını kullanarak SQL Yönetilen Örneği devre dışı bırakma

Kullanıcıyı SQL Güvenlik Yöneticisi rolüyle kullanarak Azure portalına gidin.
SQL yönetilen örneği kaynağınıza gidin ve Ayarlar menüsünün altında Active Directory yöneticisi'ni seçin.
Microsoft Entra-only kimlik doğrulaması özelliğini devre dışı bırakmak için Bu yönetilen örnek için yalnızca Microsoft Entra kimlik doğrulamasını destekle onay kutusunun ve Ayarı kaydet'in işaretini kaldırın.

Azure CLI kullanarak SQL Veritabanı devre dışı bırakma

Azure CLI kullanarak Azure SQL Veritabanı Microsoft Entra-only kimlik doğrulamasını devre dışı bırakmak için aşağıdaki komutlara bakın.

SQL Security Manager rolüyle hesabı kullanarak Azure'da oturum açın.
```
az login
```
aşağıdaki komutu çalıştırın ve yerine <myserver> SQL server adınızı ve <myresource> SQL sunucusunu barındıran Azure Kaynağınızı yazın.
```
az sql server ad-only-auth disable --resource-group <myresource> --name <myserver>
```

Microsoft Entra-only kimlik doğrulamasını devre dışı bırakdıktan sonra, durumu denetlediğinizde aşağıdaki çıkışı görmeniz gerekir:

{
 "azureAdOnlyAuthentication": false,
 "/subscriptions/<guid>/resourceGroups/mygroup/providers/Microsoft.Sql/servers/myserver/azureADOnlyAuthentications/Default",
 "name": "Default",
 "resourceGroup": "myresource",
 "type": "Microsoft.Sql/servers"
}

Azure CLI kullanarak SQL Yönetilen Örneği devre dışı bırakma

Azure CLI kullanarak Azure SQL Yönetilen Örneği'da Microsoft Entra-only kimlik doğrulamasını devre dışı bırakmak için aşağıdaki komutlara bakın.

SQL Security Manager rolüyle hesabı kullanarak Azure'da oturum açın.
```
az login
```
aşağıdaki komutu çalıştırın ve yerine <myserver> SQL server adınızı ve <myresource> SQL sunucusunu barındıran Azure Kaynağınızı yazın.
```
az sql mi ad-only-auth disable --resource-group <myresource> --name <myserver>
```

Microsoft Entra-only kimlik doğrulamasını devre dışı bırakdıktan sonra, durumu denetlediğinizde aşağıdaki çıkışı görmeniz gerekir:

{
 "azureAdOnlyAuthentication": false,
 "id": "/subscriptions/<guid>/resourceGroups/myresource/providers/Microsoft.Sql/managedInstances/myinstance/azureADOnlyAuthentications/Default",
 "name": "Default",
 "resourceGroup": "myresource",
 "type": "Microsoft.Sql/managedInstances"
}

PowerShell kullanarak SQL Veritabanı'de devre dışı bırakma

PowerShell kullanarak Azure SQL Veritabanı'de Microsoft Entra-only kimlik doğrulamasını devre dışı bırakmak için aşağıdaki komutlara bakın.

SQL Security Manager rolüyle hesabı kullanarak Azure'da oturum açın.
```
Connect-AzAccount
```
aşağıdaki komutu çalıştırın ve yerine <myserver> SQL server adınızı ve <myresource> SQL sunucusunu barındıran Azure Kaynağınızı yazın.
```
Disable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName <myserver>  -ResourceGroupName <myresource>
```

PowerShell kullanarak SQL Yönetilen Örneği'de devre dışı bırakma

PowerShell kullanarak Azure SQL Yönetilen Örneği'de Microsoft Entra-only kimlik doğrulamasını devre dışı bırakmak için aşağıdaki komutlara bakın.

SQL Security Manager rolüyle hesabı kullanarak Azure'da oturum açın.
```
Connect-AzAccount
```
öğesini SQL Yönetilen Örneği adınızla ve <myresource> yönetilen örneği barındıran Azure Kaynağınızla değiştirerek <myinstance> aşağıdaki komutu çalıştırın.
```
Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
```

Azure SQL'e bağlanmayı yeniden test etme

Microsoft Entra-only kimlik doğrulamasını devre dışı bırakdıktan sonra SQL kimlik doğrulaması oturum açma bilgilerini kullanarak bağlanmayı test edin. Artık sunucunuza veya örneğine bağlanabiliyor olmanız gerekir.

Aracılığıyla paylaş

Öğretici: Azure SQL ile Microsoft Entra-only kimlik doğrulamasını etkinleştirme

Önkoşullar

Microsoft Entra-only kimlik doğrulamasını etkinleştirmek için rol atama

Yalnızca Microsoft Entra kimlik doğrulamasını etkinleştirme

Azure portalını kullanarak SQL Veritabanı etkinleştirme

Azure portalını kullanarak SQL Yönetilen Örneği etkinleştirme

Azure CLI kullanarak SQL Veritabanı etkinleştirme

Azure CLI kullanarak SQL Yönetilen Örneği etkinleştirme

PowerShell kullanarak SQL Veritabanı etkinleştirme

PowerShell kullanarak SQL Yönetilen Örneği'de etkinleştirme

Microsoft Entra-only kimlik doğrulaması durumunu denetleme

SQL Veritabanı durumunu denetleme

SQL Yönetilen Örneği durumunu denetleme

SQL Veritabanı durumunu denetleme

SQL Yönetilen Örneği durumunu denetleme

SQL Veritabanı durumunu denetleme

SQL Yönetilen Örneği durumunu denetleme

Bağlantı hatasıyla SQL kimlik doğrulamasını test edin

Microsoft Entra-only kimlik doğrulamayı devre dışı bırakma

Azure portalını kullanarak SQL Veritabanı'de devre dışı bırakma

Azure portalını kullanarak SQL Yönetilen Örneği devre dışı bırakma

Azure CLI kullanarak SQL Veritabanı devre dışı bırakma

Azure CLI kullanarak SQL Yönetilen Örneği devre dışı bırakma

PowerShell kullanarak SQL Veritabanı'de devre dışı bırakma

PowerShell kullanarak SQL Yönetilen Örneği'de devre dışı bırakma

Azure SQL'e bağlanmayı yeniden test etme

Sonraki adımlar

Geri Bildirim

Ek kaynaklar