使用 Microsoft Entra 多重身份验证

  • 项目

适用于:Azure SQL 数据库Azure SQL 托管实例Azure Synapse AnalyticsAzure 虚拟机上的 SQL ServerAzure Arc 启用的 SQL Server

Microsoft Entra 多重身份验证是 Microsoft 基于云的标识和访问管理服务提供的安全功能。 多重身份验证要求用户在密码之外提供额外的验证步骤,从而增强用户登录的安全性。

注意

Microsoft Entra ID 以前称为 Azure Active Directory (Azure AD)。

Azure SQL 数据库Azure SQL 托管实例Azure Synapse AnalyticsSQL Server 2022 (16.x) 及更高版本支持多重身份验证方法。

本文简要概述了多重身份验证的优点,说明了如何在 Microsoft Entra ID 中配置它,并演示如何使用它通过 SQL Server Management Studio (SSMS) 连接到数据库。

重要

本文其余部分将 Azure SQL 数据库、Azure SQL 托管实例、Azure Synapse 和 SQL Server 2022 中的数据库统称为数据库,服务器指的是为 Azure SQL 数据库和 Azure Synapse 托管数据库的服务器

MFA 的优点

Microsoft Entra 多重身份验证可帮助保护对数据和应用程序的访问,同时可以满足用户对简单登录过程的需求。 MFA 通过要求用户提供两个或两个以上的身份验证因素,为用户登录添加了额外的安全层。 这些因素通常包括用户知道的东西(密码)、用户拥有的东西(智能手机或硬件令牌),以及/或用户自身的东西(生物识别数据)。 通过结合多种因素,MFA 可显著降低未经授权的访问的可能性。

Microsoft Entra 多重身份验证提供 Microsoft Entra 身份验证概述中所述的所有 Microsoft Entra 身份验证优势。

配置步骤

  1. 配置 Microsoft Entra 租户 - 有关详细信息,请参阅管理 Microsoft Entra 目录将本地标识与 Microsoft Entra ID 集成将自己的域名添加到 Microsoft Entra ID与 Microsoft Entra ID 联合身份验证使用 Windows PowerShell 管理 Microsoft Entra ID
  2. 配置 MFA - 有关分步说明,请参阅什么是 Microsoft Entra 多重身份验证?
  3. 配置 Microsoft Entra 身份验证 - 有关分步说明,请参阅使用 Microsoft Entra 身份验证连接到 SQL 数据库、SQL 托管实例或 Azure Synapse
  4. 下载 SSMS - 在客户端计算机上,从下载 SQL Server Management Studio (SSMS) 下载最新的 SSMS。

注意

自 2021 年 12 月起,18.6 版之前的 SSMS 版本将不能再使用 MFA 通过 Microsoft Entra ID 进行身份验证。

若要继续将 MFA 与 Microsoft Entra ID 身份验证结合使用,需要 SSMS 18.6 或更高版本

Microsoft Entra B2B 支持

Microsoft Entra 多重身份验证还支持 Microsoft Entra B2B 协作,使企业能够邀请来宾用户与其组织协作。 来宾用户可以作为单个用户或 Microsoft Entra 组的成员连接到数据库。 有关详细信息,请参阅在 SQL 数据库、Azure Synapse 和 SQL 托管实例中创建来宾用户

在 SSMS 中使用 MFA 进行连接

以下步骤演示如何在最新的 SSMS 中使用多重身份验证进行连接。

  1. 要使用 MFA 进行连接,请在 SSMS 中的“连接到服务器”对话框上,选择“Azure Active Directory - 通用且具有 MFA”

    SSMS 中“连接到服务器”对话框的屏幕截图。在“身份验证”下拉列表中选择了“Active Directory - 通用和 MFA”。

  2. 使用服务器名称填充“服务器名称”框。 使用 Microsoft Entra 凭据填充“用户名”框,格式为 user_name@domain.com

    SSMS 中“连接到服务器”对话框设置的屏幕截图,其中填充了所有字段。

  3. 单击“连接” 。

  4. 出现“登录到帐户”对话框时,它应该已使用你在步骤 2 中提供的用户名进行了预填充。 如果用户属于与 Microsoft Entra ID 联合的域,则无需任何密码。

    Azure SQL 数据库和 Data Warehouse 的“登录到帐户”对话框的屏幕截图。帐户名已填写。

  5. 系统会提示你使用基于 MFA 管理员设置配置的方法之一进行身份验证。

  6. 验证完成后,SSMS 便会正常连接(前提是凭据和防火墙访问有效)。

Microsoft Entra 多重身份验证是所有 SQL 工具支持的身份验证方法。 有关使用 Microsoft Entra ID 以编程方式进行身份验证的信息,请参阅 Microsoft 身份验证库 (MSAL) 概述

后续步骤