Az Azure Arc által engedélyezett SQL Serverhez tartozó SQL-hitelesítés letiltása

A következőkre vonatkozik: SQL Server 2025 (17.x)

Ez a cikk azt ismerteti, hogyan lehet letiltani az SQL-hitelesítést a Windowson futó SQL Server 2025 (17.x) rendszert használó, Azure Arc által engedélyezett SQL Server esetében. Amikor letiltod az SQL hitelesítést, az instance csak a Microsoft Entra hitelesítést és a Windows authentication-t fogadja el. Ezt a beállítást könnyen visszaállíthatod, és az az SQL Server-példány újraindítása nélkül lép érvénybe. Ez a beállítás az SQL Server megfelelője a Microsoft Entra-only hitelesítésnek az Azure SQL Database és Azure SQL Managed Instance esetében.

Hogyan működik az SQL hitelesítés letiltása

Amikor letiltod az SQL hitelesítést az SQL Server-en:

  • A rendszer letiltja az összes új SQL-hitelesítésű bejelentkezési kísérletet, és csak a Microsoft Entra és a Windows-hitelesítést fogadja el.
  • Blokkolt SQL bejelentkezések 18456 hibát kapnak (bejelentkezés hiúsult).
  • A meglévő bejelentkezések és felhasználók a helyükön maradnak. Az SQL bejelentkezések és az SQL hitelesítést használó adatbázis-felhasználók megőrzik definícióikat és jogosultságaikat. Egyszerűen nem tudnak bejelentkezni, amíg újra be nem kapcsolod az SQL hitelesítést.
  • A meglévő aktív SQL hitelesítési munkameneteket nem érintik. A beállítás csak új kapcsolatokat blokkol.
  • A beállítás az instance (szerver) szintjén érvényes, az instance összes adatbázisára.
  • A beállítás újraindítás nélkül lép életbe, miután az SQL Server Azure kiterjesztése befejezi a változás alkalmazását. A Microsoft Entra ID oldal többi beállításához hasonlóan a bővítménynek is több percre van szüksége a konfiguráció alkalmazásához. Az Azure Portal feldolgozási üzenetet jelenít meg, amíg a bővítmény működik, és a módosítás alkalmazása után a(z) Saved successfully elemmel erősíti meg. Ha szeretnéd megtudni, hogyan alkalmazza a bővítmény szerver tulajdonságait az instance-ra, lásd: Configure SQL Server enabled by Azure Arc.

Prerequisites

  • Egy Azure Arc által engedélyezett SQL Server-példány, amelyen Windows rendszeren futó SQL Server 2025 (17.x) található. Az SQL Server korábbi verziói nem támogatják az SQL hitelesítés letiltását.
  • Az SQL Serverhez készült Azure-bővítmény1.1.3394.392 vagy újabb verziója. További információk a kibocsátási megjegyzésekben olvashatók.
  • Az SQL Server-példányhoz konfigurált elsődleges menedzselt identitás. Az SQL Server a menedzselt identitást használja a Microsoft Entra tokenek validálására. További információért lásd: Microsoft Entra hitelesítés az SQL Serverhez.

Permissions

Az SQL hitelesítés engedélyezéséhez vagy letiltásához engedélyekre van szükséged az Azure kiterjesztés kezelésére az SQL Server SQL Server erőforrásán az Azure portálban. Az erőforráson lévő nagy jogosultságú Azure-szerepkörök, például a Owner és a Contributor, kezelhetik ezt a beállítást. Ugyanazok a jogosultságok, amelyek lehetővé teszik a Microsoft Entra adminisztrátor beállítását az instance számára, lehetővé teszik ezt a beállítást.

A környezet előkészítése

Az SQL hitelesítés kikapcsolása blokkolja az összes SQL bejelentkezési kapcsolatot, beleértve a bejelentkezést sa is.

Mielőtt letiltanád az SQL hitelesítést:

  • Győződj meg róla, hogy legalább egy Microsoft Entra bejelentkezés képes elvégezni az adott példányon szükséges adminisztratív feladatokat.
  • Frissítse az alkalmazásait Microsoft Entra vagy Windows authentication használatára.

Kövesd a legkisebb jogosultság elvét, amikor megadod a jogokat az adminisztratív Microsoft Entra bejelentkezésnek, és csak a szükséges jogosultságokat add meg. Például add meg a konkrét ALTER ANY LOGIN és ALTER ANY USER jogosultságokat, vagy tagságot egy kiszolgálói szerepkörben, a teljes sysadmin jogosultságok helyett, hacsak nincs szükség szélesebb körű adminisztrációra.

Ha elveszíted az adatsík hozzáférést, engedélyezd újra az SQL hitelesítést az Azure portálról. Ezt a beállítást az Azure szerepalapú hozzáférés-vezérlés szabályozza, nem egy SQL Server kapcsolat.

Migráld a bejelentkezéseket, mielőtt letiltod az SQL hitelesítést

Az SQL-hitelesítés kikapcsolása az összes SQL-bejelentkezés és minden jelszóalapú önálló felhasználó számára végleges megszüntetést jelent, ezért először a bejelentkezések hitelesítését migrálja át.

A bejelentkezési hitelesítés migrálásához kövesse az alábbi lépéssorozatot:

  1. Azonosítsd, mely elvek kapcsolódnak össze valójában. A metaadatok megmutatják, mi létezik; Az auditálás megmutatja, mit használnak. Engedélyezze az SQL Server Audit-et az SUCCESSFUL_LOGIN_GROUP akciócsoportban, hogy lásd, mely bejelentkezések és a benne lévő felhasználók hitelesítenek még SQL hitelesítéssel. Az instance SQL bejelentkezéseinek felsorolásához a következő lekérdezést hajtsa végre:

    SELECT name, type_desc, is_disabled, create_date
    FROM sys.server_principals
    WHERE type_desc = 'SQL_LOGIN'
    ORDER BY name;
    

    Ezután futtatjuk a következő lekérdezést minden felhasználói adatbázisban, hogy jelszóalapú tárolt felhasználókat találj, amelyek szintén blokkolva vannak:

    SELECT name, type_desc
    FROM sys.database_principals
    WHERE type = 'S' AND authentication_type_desc = 'DATABASE'
    ORDER BY name;
    
  2. Hozz létre Microsoft Entra megfelelőket, és adj megfelelő jogosultságokat. Minden olyan SQL-bejelentkezéshez vagy még szükséges függetlenített felhasználóhoz hozzon létre egy megfelelő Microsoft Entra-bejelentkezést vagy -felhasználót, és adja meg az egyenértékű jogosultságokat. További információért lásd: Microsoft Entra hitelesítés az SQL Serverhez.

  3. Frissítsd mindazt, ami SQL hitelesítéshez kapcsolódik. Konfiguráld át az alkalmazásokat, SQL Server Agent feladatokat, összekapcsolt szervereket, replikációt és karbantartási szkripteket Microsoft Entra hitelesítésre vagy Windows authentication-ra, majd frissítse egy olyan kliens driver verzióra, amely támogatja a Microsoft Entra hitelesítést. Ezek a funkciók mind támogatják a Microsoft Entra hitelesítést, ezért inkább mozgasd át őket, ne hagynád SQL hitelesítésen.

  4. Ellenőrizd, hogy nem marad SQL-hitelesítési forgalom. Ellenőrizd újra az audit adataidat, és ellenőrizd, hogy minden kapcsolat átkerült-e Microsoft Entra-ra vagy Windows authentication-ra, mielőtt kikapcsolnád az SQL hitelesítést.

A következő útmutató konfigurálja a jelszó nélküli hitelesítést az Azure SQL Database számára, de a készletépítés, engedélyek újrateremtése és validálásának lépései egyaránt érvényesek az SQL Server-re: Azure SQL Database biztonságos biztosítása Microsoft Entra jelszó nélküli hitelesítéssel: migrációs útmutató

SQL hitelesítés letiltása

Tiltsd le az SQL hitelesítést az SQL Server 2025 (17.x) példányod számára Windows-on közvetlenül az Azure portálról az alábbi lépések követésével:

  1. Menj az SQL Server instance erőforrásodhoz az Azure portálban.

  2. A Beállítások alatt válaszd ki a Microsoft Entra ID-t, hogy megnyisd a Microsoft Entra ID panelt.

    1. Válaszd ki a mezőt, hogy használj egy elsődleges menedzselt identitást, ha még nincs kiválasztva.
    2. Válaszd ki az SQL hitelesítés letiltó jelölőnégyzetet az SQL hitelesítés letiltásához.
    3. Válaszd a Mentés gombot, hogy elmentsd az új beállításodat:

    Képernyőkép az Azure portál Microsoft Entra ID paneljéről, az SQL Authentication kikapcsolása jelölőnégyzet és a Mentés gomb kiemelve.

Mentés után az Azure SQL Server kiterjesztése alkalmazza a beállítást az instance-ra. Ez több percet is igénybe vehet: a portál feldolgozási üzenetet jelenít meg, amíg a bővítmény fut, majd a Saved successfully elemmel jelzi, amikor a módosítást alkalmazták. Nincs szükség újraindításra. Ha azt látod , hogy a Extended call sikertelen, várj pár percet, majd válaszd újra a Mentést .

Az SQL hitelesítés újraengedélyezéséhez töröld az SQL hitelesítés letiltó jelölőnégyzetet, és válaszd a Mentést.

A változtatás megerősítéséhez a hitelesítési státusz ellenőrzése oldalra kattint.

Hitelesítési állapot ellenőrzése

Használd a SERVERPROPERTY függvényt IsExternalAuthenticationOnly , hogy ellenőrizd, az SQL hitelesítés le van-e tiltva az instance-on. A(z) 1 érték azt jelzi, hogy az SQL-hitelesítés le van tiltva (csak Microsoft Entra- és Windows-hitelesítés használható); a(z) 0 érték azt jelzi, hogy az SQL-hitelesítés engedélyezve van.

SELECT SERVERPROPERTY('IsExternalAuthenticationOnly');

Remarks

Vegyük figyelembe a következő megjegyzéseket:

  • Az SQL hitelesítés letiltása beállítása elsődleges menedzselt identitást igényel az instance-on.
  • Az elsődleges menedzselt identitást nem lehet eltávolítani, amíg az SQL hitelesítés le van tiltva. Először kapcsold be újra az SQL hitelesítést.
  • Az SQL hitelesítés letiltása alapértelmezés szerint törölhető, tehát az SQL hitelesítés engedélyezett.

Limitations

Az SQL hitelesítést csak az SQL Server 2025 (17.x) példányok esetén lehet letiltani, amelyeket az Azure Arc engedélyez Windows-on.