Disabilita l'autenticazione SQL per SQL Server abilitata da Azure Arc

Si applica a: SQL Server 2025 (17.x)

Questo articolo descrive come disabilitare l'autenticazione SQL per SQL Server abilitata da Azure Arc che esegue SQL Server 2025 (17.x) su Windows. Quando disabiliti l'autenticazione SQL, l'istanza accetta solo l'autenticazione Microsoft Entra e autenticazione di Windows. Puoi facilmente invertire questa impostazione, e si attiva senza dover riavviare l'istanza di SQL Server. Questa impostazione è l'equivalente per SQL Server dell'autenticazione Microsoft Entra-only per database SQL di Azure e Istanza gestita di SQL di Azure.

Come funziona la disabilitazione dell'autenticazione SQL

Quando disabiliti l'autenticazione SQL su SQL Server:

  • Il motore blocca tutti i nuovi tentativi di login di autenticazione SQL e accetta solo Microsoft Entra e autenticazione di Windows.
  • Accesso SQL bloccato riceve errore 18456 (accesso fallito).
  • I tuoi login e utenti attuali rimangono attivi. Gli accessi SQL e gli utenti di database contenuti che utilizzano l'autenticazione SQL mantengono le loro definizioni e permessi. Non possono semplicemente accedere finché non riattivi l'autenticazione SQL.
  • Le sessioni di autenticazione SQL attive esistenti non sono interessate. L'impostazione blocca solo nuove connessioni.
  • L'impostazione si applica a livello di istanza (server), a tutti i database presenti sull'istanza.
  • L'impostazione entra in vigore senza riavvio, dopo che l'estensione Azure per SQL Server ha terminato di applicare la modifica. Come le altre impostazioni nella pagina Microsoft Entra ID, l'estensione impiega diversi minuti per applicare la configurazione. Il portale Azure mostra un messaggio di elaborazione mentre l'estensione è in esecuzione e conferma con Saved successfully quando la modifica viene applicata. Per capire come l'estensione applica le proprietà del server all'istanza, consulta Configure SQL Server abilitato da Azure Arc.

Prerequisiti

  • Un SQL Server abilitato da un'istanza Azure Arc che esegue SQL Server 2025 (17.x) su Windows. Le versioni precedenti di SQL Server non supportano la disabilitazione dell'autenticazione SQL.
  • L'estensione Azure per SQL Server versione 1.1.3394.392 o versione successiva. Per ulteriori informazioni, consulta le note sulla versione.
  • Un'identità gestita primaria configurata per l'istanza di SQL Server. SQL Server utilizza l'identità gestita per convalidare i token Microsoft Entra. Per ulteriori informazioni, vedere Autenticazione di Microsoft Entra per SQL Server.

Autorizzazioni

Per abilitare o disabilitare l'autenticazione SQL, servono i permessi per gestire l'estensione Azure per SQL Server sulla risorsa SQL Server nel portale Azure. Ruoli Azure ad alto privilegio come Owner e Contributor sulla risorsa possono gestire l'impostazione. Gli stessi permessi che ti permettevano di impostare l'amministratore Microsoft Entra per l'istanza ti permettevano di configurare questa impostazione.

Prepara il tuo ambiente

Disabilitare l'autenticazione SQL blocca tutte le connessioni di login SQL, incluso il sa login.

Prima di disabilitare l'autenticazione SQL:

  • Assicurati che almeno un account Microsoft Entra possa eseguire le attività amministrative necessarie sull'istanza.
  • Aggiorna le tue applicazioni per utilizzare Microsoft Entra o autenticazione di Windows.

Segui il principio del privilegio minimo quando concedi i permessi all'accesso amministrativo di Microsoft Entra concedendo solo i permessi necessari. Ad esempio, concedere ai permessi specifici ALTER ANY LOGIN e ALTER ANY USER , o l'appartenenza a un ruolo server, invece dei diritti completi di sysadmin , a meno che non sia richiesta un'amministrazione più ampia.

Se perdi l'accesso al piano dati, riattiva l'autenticazione SQL dal portale di Azure. Il controllo degli accessi basato su ruoli Azure, non una connessione SQL Server, controlla questa impostazione.

Migra gli accessi prima di disabilitare l'autenticazione SQL

Disabilitare l'autenticazione SQL è un limite limite per ogni login SQL e per ogni utente basato su password, quindi migra prima l'autenticazione di accesso.

Per migrare l'autenticazione del login, segui questa sequenza di passaggi:

  1. Identifica quali principi sono effettivamente collegati. I metadati ti dicono cosa esiste; L'audit ti dice cosa viene utilizzato. Abilita SQL Server Audit con il SUCCESSFUL_LOGIN_GROUP gruppo di azioni per vedere quali login e utenti contenuti si autenticano ancora con l'autenticazione SQL. Per elencare i login SQL presenti sull'istanza, esegui la seguente interrogazione:

    SELECT name, type_desc, is_disabled, create_date
    FROM sys.server_principals
    WHERE type_desc = 'SQL_LOGIN'
    ORDER BY name;
    

    Successivamente, esegui la seguente query in ogni database utente per individuare gli utenti contenuti con autenticazione basata su password che sono anche bloccati:

    SELECT name, type_desc
    FROM sys.database_principals
    WHERE type = 'S' AND authentication_type_desc = 'DATABASE'
    ORDER BY name;
    
  2. Crea equivalenti Microsoft Entra e concedi permessi di abbinamento. Per ogni login SQL o utente contenuto ancora necessario, crea un login o utente Microsoft Entra corrispondente e concedi i permessi equivalenti. Per ulteriori informazioni, vedere Autenticazione di Microsoft Entra per SQL Server.

  3. Aggiorna tutto ciò che si collega all'autenticazione SQL. Riconfigura applicazioni, job SQL Server Agent, server collegati, replica e script di manutenzione per utilizzare l'autenticazione Microsoft Entra o autenticazione di Windows, e aggiorna a una versione del driver client che supporti l'autenticazione Microsoft Entra. Tutte queste funzionalità supportano l'autenticazione Microsoft Entra, quindi spostale invece di lasciarle sull'autenticazione SQL.

  4. Verifica che non rimanga traffico di autenticazione SQL. Controlla nuovamente i dati di audit e verifica che ogni connessione sia stata spostata su Microsoft Entra o autenticazione di Windows prima di disabilitare l'autenticazione SQL.

La seguente guida configura l'autenticazione senza password per database SQL di Azure, ma i passaggi per inventario, ricreazione dei permessi e validazione si applicano ugualmente a SQL Server: Sicurezza di database SQL di Azure con autenticazione senza password Microsoft Entra: guida alla migrazione

Disabilita l'autenticazione SQL

Disabilita l'autenticazione SQL per la tua istanza di SQL Server 2025 (17.x) su Windows direttamente dal portale Azure seguendo questi passaggi:

  1. Vai alla tua risorsa di istanza SQL Server nel portale Azure.

  2. Sotto Impostazioni, seleziona Microsoft Entra ID per aprire il pannello Microsoft Entra ID.

    1. Seleziona la casella Usa un'identità gestita primaria, se non è già selezionata.
    2. Seleziona la casella Disabilita Autenticazione SQL per disabilitare l'autenticazione SQL.
    3. Seleziona Salva per salvare la nuova impostazione:

    Screenshot del pannello Microsoft Entra ID nel portale Azure con la casella Disabilita Autenticazione SQL selezionata e il pulsante Salva evidenziato.

Dopo aver salvato, l'estensione Azure per SQL Server applica l'impostazione all'istanza. Ci vogliono diversi minuti: il portale mostra un messaggio di elaborazione mentre l'estensione è in funzione e conferma con Saved successfully una volta applicata la modifica. Non è necessario alcun riavvio. Se vedi che la chiamata estesa è fallita, aspetta qualche minuto e seleziona di nuovo Salva .

Per riabilitare l'autenticazione SQL, svuota la casella Disabilita l'autenticazione SQL e seleziona Salva.

Per confermare che la modifica sia entrata in vigore, vedi Verifica stato dell'autenticazione.

Controllare lo stato di autenticazione

Usa la funzione IsExternalAuthenticationOnly per verificare se l'autenticazione SQL è disabilitata sull'istanza. Un valore di 1 indica che l'autenticazione SQL è disabilitata (solo Microsoft Entra e autenticazione di Windows); 0 indica che l'autenticazione SQL è abilitata.

SELECT SERVERPROPERTY('IsExternalAuthenticationOnly');

Remarks

Considera le seguenti osservazioni:

  • L'impostazione Disabilita Autenticazione SQL richiede un'identità primaria gestita sull'istanza.
  • Non puoi rimuovere l'identità primaria gestita finché l'autenticazione SQL è disabilitata. Riabilita prima l'autenticazione SQL.
  • Disabilitare l'autenticazione SQL è cancellata di default, quindi l'autenticazione SQL è consentita.

Limitazioni

Puoi disabilitare l'autenticazione SQL solo per le istanze di SQL Server 2025 (17.x) abilitate da Azure Arc su Windows.