Azure SQL Server，是否可以禁用服务器管理(创建后)？

Question

Case

我想使用Azure，正如在如何保护Azure SQL Server的最佳实践中所指出的，使用AAD帐户访问服务器/数据库而不是SQL帐户是很好的。

我在Microsoft的文档站点和博客上阅读了几篇文章，但我发现在您拥有Azure SQL Server和创建的AAD SQL管理员并将其附加到Azure SQL Server之后，无法禁用/删除Server管理帐户。

我知道在创建Azure SQL时，服务器管理登录和密码是强制性的，但我希望在创建服务器和Admin之后可以删除。

我为什么要这个？

• 有足够多的公司必须裁决(继承自on)帐户必须由一个集中的身份存储控制，如AAD。
• 密码的旋转必须完成，当您有一个集中式的标识存储时，这样做要容易得多，而必须对很多Azure SQL服务器执行此操作。

问题

是否可以禁用Server管理(sql帐户)？

Answer 1

我认为禁用Server管理是不可能的(也不可能)。

Azure订阅所有者和AAD SQL Admin标识共同拥有Azure SQL Server。任何一个都需要能够重新获得对服务器的管理访问权限。

Azure订阅所有者用于强行进入自己数据库的机制是从Azure Portal重置SQL Server管理密码。

这大致类似于Windows管理员如何通过在单用户模式下启动服务来强制sysadmin访问Server。

我认为您能做的最好的就是丢弃SQL Server Admin的密码，这样没有人可以在不首先重置门户中的密码的情况下使用该帐户登录。例如跑：

declare @sql nvarchar(max) = concat(N'alter LOGIN [youradmin] WITH PASSWORD=N''',newid(), N'''')
exec (@sql)