Configuración y administración de la autenticación de Microsoft Entra con Azure SQL

Applies to:Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics

En este artículo se muestra cómo usar Microsoft Entra ID para la autenticación con Azure SQL Database, Azure SQL Managed Instance y Azure Synapse Analytics.

Nota:

Microsoft Entra ID anteriormente se conocía como Azure Active Directory (Azure AD).

Como alternativa, también puede configurar la autenticación Microsoft Entra para SQL Server on Azure Virtual Machines.

Requisitos previos

Para usar Microsoft Entra autenticación con el recurso de Azure SQL, necesita los siguientes requisitos previos:

Un entorno de Microsoft Entra poblado con usuarios y grupos.
Un recurso de Azure SQL existente, como Azure SQL Database o Azure SQL Managed Instance.

Creación y población de un tenant de Microsoft Entra

Para poder configurar Microsoft Entra autenticación para el recurso de Azure SQL, debe crear un inquilino de Microsoft Entra y rellenarlo con usuarios y grupos. Los clientes de Microsoft Entra pueden gestionarse completamente dentro de Azure o utilizarse para la federación de un servicio de dominio de Active Directory local.

Para más información, vea:

Configurar al administrador de Microsoft Entra

Para usar la autenticación de Microsoft Entra con tu recurso, debe estar configurado el administrador de Microsoft Entra. Aunque conceptualmente los pasos son los mismos para Azure SQL Database, Azure Synapse Analytics y Azure SQL Managed Instance, en esta sección se describen detalladamente las distintas API y experiencias del portal para hacerlo por producto.

El administrador de Microsoft Entra también se puede configurar cuando se crea el recurso Azure SQL. Si ya está configurado un administrador de Microsoft Entra, omita esta sección.

Azure SQL Database y Azure Synapse Analytics

Al establecer el administrador de Microsoft Entra se habilita la autenticación de Microsoft Entra para el servidor Logical para Azure SQL Database y Azure Synapse Analytics. Puede establecer un administrador de Microsoft Entra para el servidor mediante el portal de Azure, PowerShell, Azure CLI o las API REST.

En el portal de Azure, puede encontrar el nombre del servidor lógico

En el campo nombre del servidor de la página Resumen de Azure SQL Database.
En el campo nombre del servidor de la página de Información general de su grupo SQL dedicado independiente en Azure Synapse Analytics.
En el punto final de SQL relevante en la página Información general del área de trabajo de Azure Synapse Analytics.

Para establecer el administrador de Microsoft Entra para el servidor lógico en el portal de Azure, siga estos pasos:

En el panel Azure portal Directories + subscriptions, elija el directorio que contiene el recurso Azure SQL como directorio Current.
Busque servidores SQL Server y, después, seleccione el servidor lógico del recurso de base de datos para abrir el panel SQL Server.
En el panel SQL del servidor lógico, seleccione Microsoft Entra ID en Settings para abrir el panel Microsoft Entra ID.
En el panel Microsoft Entra ID, seleccione Set admin para abrir el panel Microsoft Entra ID.
El panel Microsoft Entra ID muestra todos los usuarios, grupos y aplicaciones del directorio actual y le permite buscar por nombre, alias o identificador. Busque la identidad deseada para el administrador de Microsoft Entra y selecciónela y, después, seleccione Select para cerrar el panel.
En la parte superior de la página Microsoft Entra ID del servidor lógico, seleccione Guardar.

El Object ID se muestra junto al nombre de administrador para los usuarios y grupos de Microsoft Entra. En el caso de las aplicaciones (entidades de servicio), se muestra el identificador de la aplicación.

El proceso de cambio del administrador puede tardar varios minutos. A continuación, el nuevo administrador aparece en el campo Microsoft Entra admin.

Para quitar al administrador, en la parte superior de la página Microsoft Entra ID, seleccione Quitar administrador, luego seleccione Guardar. Al quitar el administrador de Microsoft Entra, se deshabilita la autenticación de Microsoft Entra para el servidor lógico.

Para ejecutar cmdlets de PowerShell, debe tener Azure PowerShell instalado y en ejecución. Consulte Cómo instalar y configurar Azure PowerShell para obtener información detallada.

Los siguientes cmdlets de Azure PowerShell se pueden usar para establecer y administrar un administrador de Microsoft Entra para Azure SQL Database y Azure Synapse Analytics:

Nombre del cmdlet	Descripción
Set-AzSqlServerActiveDirectoryAdministrator	Establece un administrador de Microsoft Entra para el servidor que hospeda SQL Database o Azure Synapse.
Remove-AzSqlServerActiveDirectoryAdministrator	Quita un administrador de Microsoft Entra para el servidor que hospeda SQL Database o Azure Synapse.
Get-AzSqlServerActiveDirectoryAdministrator	Devuelve información sobre un administrador de Microsoft Entra configurado actualmente para el servidor que hospeda SQL Database o Azure Synapse.

Use el comando de PowerShell get-help para ver más información de cada uno de estos comandos. Por ejemplo: get-help Set-AzSqlServerActiveDirectoryAdministrator.

El siguiente script establece un grupo de administradores de Microsoft Entra denominado DBA_Group (id. de objeto de ejemplo aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) para el servidor de ejemplo example-server en un grupo de recursos de ejemplo denominado Example-Resource-Group:

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    ServerName = "example-server"
    DisplayName = "DBA_Group"
}

Set-AzSqlServerActiveDirectoryAdministrator @parameters

El parámetro DisplayName acepta el nombre para mostrar Microsoft Entra ID o el nombre principal de usuario, como los ejemplos siguientes: DisplayName="Adrian King" y DisplayName="adrian@contoso.com". En caso de que utilice un grupo de Microsoft Entra, solo se admite el nombre visible.

En el ejemplo siguiente se usa el parámetro opcional ObjectID:

$parameters = @{
  ResourceGroupName = "Example-Resource-Group"
  ServerName = "example-server"
  DisplayName = "DBA_Group"
  ObjectId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
}
Set-AzSqlServerActiveDirectoryAdministrator @parameters

Nota:

ObjectID es necesario cuando DisplayName no es único. Para recuperar los valores ObjectID y DisplayName, puede ver las propiedades de un usuario o grupo en la sección Microsoft Entra ID del portal de Azure.

En el ejemplo siguiente se devuelve información sobre el administrador de Microsoft Entra actual para el servidor:

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    ServerName = "example-server"
}

Get-AzSqlServerActiveDirectoryAdministrator @parameters | Format-List

En el ejemplo siguiente se quita un administrador de Microsoft Entra:

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    ServerName = "example-server"
}

Remove-AzSqlServerActiveDirectoryAdministrator @parameters

Puede establecer un administrador de Microsoft Entra para Azure SQL Database y Azure Synapse Analytics con los siguientes comandos Azure CLI:

Comando	Descripción
az sql server ad-admin create	Establece un administrador de Microsoft Entra para el servidor lógico que hospeda SQL Database o Azure Synapse Analytics.
az sql server ad-admin delete (Eliminar administrador de AD de servidor SQL)	Quita un administrador de Microsoft Entra del servidor lógico que aloja la base de datos SQL o Azure Synapse Analytics.
az sql server ad-admin list	Devuelve información sobre el administrador de Microsoft Entra configurado para el servidor que hospeda SQL Database o Azure Synapse Analytics.
az sql server ad-admin update - Actualizar administrador de AD en el servidor SQL	Actualiza el administrador de Microsoft Entra para el servidor que aloja el SQL Database o Azure Synapse Analytics.

Para ver más comandos de la CLI, consulte az sql server.

También puede usar las API REST de Administrador de Azure AD del Servidor para crear, actualizar, eliminar y obtener el administrador de Microsoft Entra para Azure SQL Database y Azure Synapse Analytics.

API	Descripción
Crear o actualizar	Crea o actualiza un administrador de Microsoft Entra existente.
Eliminar	Elimina el administrador de Microsoft Entra con el nombre especificado.
Get	Obtiene el administrador de Microsoft Entra para el servidor especificado.
Lista por servidor	Obtiene una lista de administradores de Microsoft Entra en un servidor.

Nota:

El administrador de Microsoft Entra se almacena en la base de datos master del servidor como usuario (principal de base de datos). Dado que los nombres principales de la base de datos deben ser únicos, el nombre para mostrar del administrador no puede ser el mismo que el nombre de ningún usuario de la base de datos del master servidor. Si ya existe un usuario con ese nombre, la configuración del administrador de Microsoft Entra falla y se revierte, indicando que el nombre ya está en uso.

Azure SQL Managed Instance (Instancia Administrada de Azure SQL)

Al establecer el administrador de Microsoft Entra se habilita la autenticación de Microsoft Entra para Azure SQL Managed Instance. Puede establecer un administrador de Microsoft Entra para la instancia administrada de SQL mediante el portal de Azure, PowerShell, Azure CLI o API REST.

Para conceder a la instancia administrada de SQL permisos de lectura para Microsoft Entra ID mediante el portal de Azure, inicie sesión como Administrador de roles con privilegios y siga estos pasos:

En el portal de Azure, en la esquina superior derecha, seleccione su cuenta y, a continuación, elija Cambiar directorios para confirmar qué directorio es su directorio actual. Cambie de directorio si fuera necesario.
En el panel Azure portal Directories + subscriptions, elija el directorio que contiene la instancia administrada como directorio Current''
Busque instancias administradas de SQL y, después, seleccione su instancia administrada para abrir el panel de instancia administrada de SQL. A continuación, seleccione Microsoft Entra ID en Settings para abrir el panel Microsoft Entra ID de la instancia.
En el panel Microsoft Entra admin, seleccione Set admin en la barra de navegación para abrir el panel Microsoft Entra ID.
En el panel Microsoft Entra ID, busque un usuario, active la casilla situada junto al usuario o grupo para que sea administrador y presione Select para cerrar el panel y volver a la página Microsoft Entra admin para la instancia administrada.

El panel Microsoft Entra ID muestra todos los miembros y grupos del directorio actual. No se pueden seleccionar usuarios o grupos deshabilitados porque no son compatibles como administradores de Microsoft Entra. Seleccione la identidad que quiere asignar como administrador.
En la barra de navegación de la página Microsoft Entra admin de la instancia administrada, seleccione Save para confirmar el administrador de Microsoft Entra.

Una vez completada la operación de cambio de administrador, el nuevo administrador aparece en el campo administrador de Microsoft Entra.

El Object ID se muestra junto al nombre de administrador para los usuarios y grupos de Microsoft Entra. En el caso de las aplicaciones (entidades de servicio), se muestra el identificador de la aplicación.

Sugerencia

Para quitar el administrador, seleccione Administrador en la parte superior de la página de Microsoft Entra ID y seleccione Guardar.

Para ejecutar cmdlets de PowerShell, debe tener Azure PowerShell instalado y en ejecución. Consulte Cómo instalar y configurar Azure PowerShell para obtener información detallada.

En la tabla siguiente se enumeran los cmdlets de PowerShell que puede usar para definir y administrar el administrador de Microsoft Entra para las instancias administradas:

Nombre del cmdlet	Descripción
Set-AzSqlInstanceActiveDirectoryAdministrator	Establece un administrador de Microsoft Entra para la instancia administrada.
Remove-AzSqlInstanceActiveDirectoryAdministrator	Quita el administrador de Microsoft Entra de la instancia administrada.
Get-AzSqlInstanceActiveDirectoryAdministrator	Devuelve información sobre el administrador de Microsoft Entra para la instancia administrada.

Este comando de ejemplo obtiene información sobre un administrador de Microsoft Entra para una instancia administrada denominada "Sample-Instance" asociada a un grupo de recursos denominado "Example-Resource-Group".

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    InstanceName = "Sample-Instance"
}

Get-AzSqlInstanceActiveDirectoryAdministrator @parameters

Este comando de ejemplo establece el administrador de Microsoft Entra en un grupo denominado DBA (con el identificador de objeto de ejemplo aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) para la instancia administrada de SQL denominada "Sample-Instance". Este servidor está asociado al grupo de recursos "Example-Resource-Group".

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    InstanceName = "Sample-Instance"
    DisplayName = "DBAs"
    ObjectId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
}

Set-AzSqlInstanceActiveDirectoryAdministrator @parameters

Este comando de ejemplo quita al administrador de Microsoft Entra de la Instancia Administrada de SQL denominada "Sample-Instance" asociada al grupo de recursos "Example-Resource-Group".

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    InstanceName = "Sample-Instance"
    Confirm = $true
    PassThru = $true
}

Remove-AzSqlInstanceActiveDirectoryAdministrator @parameters

Puede establecer y administrar un administrador de Microsoft Entra para el SQL Managed Instance llamando a los siguientes comandos de Azure CLI:

Comando	Descripción
az sql mi ad-admin create	Configura un administrador de Microsoft Entra para la SQL instancia administrada.
az sql mi ad-admin delete	Quita a un administrador de Microsoft Entra de la instancia de SQL administrada.
az sql mi ad-admin list - Lista los administradores de Azure SQL Managed Instance.	Devuelve información sobre un administrador de Microsoft Entra configurado actualmente para la instancia administrada de SQL.
az sql mi ad-admin update	Actualiza el administrador de Microsoft Entra para la instancia administrada de SQL.

Para más información sobre los comandos de la CLI, consulta az sql mi.

Puede usar las API REST de Administradores de Instancias Administradas para crear, actualizar, eliminar y obtener el administrador de Microsoft Entra para instancias de SQL administradas.

API	Descripción
Crear o actualizar	Crea o actualiza un administrador de Microsoft Entra existente.
Eliminar	Elimina al administrador de Microsoft Entra con el nombre especificado de la instancia administrada específica con nombre.
Get	Obtiene al administrador de Microsoft Entra de la instancia administrada nombrada.
Lista por instancia	Obtiene una lista de administradores de Microsoft Entra en una instancia administrada.

Asignación de permisos de Microsoft Graph

SQL Managed Instance necesita permisos para leer Microsoft Entra ID en escenarios como autorizar a los usuarios que se conectan a través de la pertenencia a grupos de seguridad y la creación de nuevos usuarios. Para que la autenticación de Microsoft Entra funcione, debe asignar la identidad de instancia administrada al rol de lectores del directorio. Puede hacerlo mediante el portal de Azure o PowerShell.

En algunas operaciones, Azure SQL Database y Azure Synapse Analytics también requieren permisos para consultar Microsoft Graph, que se explica en Microsoft Graph permisos. Azure SQL Database y Azure Synapse Analytics admiten permisos de Graph específicos para estos escenarios, mientras que SQL Managed Instance requiere el rol Directory Reader. Los permisos detallados y su asignación se describen en detalle en principales de servicio para crear usuarios de Microsoft Entra.

Importante

Azure SQL Database y SQL Managed Instance usan diferentes modelos de permisos para acceso a Microsoft Graph.

Azure SQL Database y Azure Synapse Analytics: admite permisos específicos de Microsoft Graph API (como User.Read.All, GroupMember.Read.All y Application.Read.All) asignados directamente a la identidad del servidor. Este enfoque sigue el principio de privilegios mínimos y se recomienda. Para obtener instrucciones paso a paso, consulte Habilitar los principales de servicio para crear usuarios de Microsoft Entra. El rol Lectores de Directorio también se puede usar como una alternativa más general.
SQL Managed Instance: requiere los permisos Directory Readers o permisos de Microsoft Graph específicos equivalentes asignados a la identidad de instancia. El portal de Azure proporciona un banner práctico en la página Microsoft Entra ID que le solicita conceder el rol de Lectores de Directorio. Siga los pasos en la sección Rol de Lector de Directorio.

Si está configurando Azure SQL Database, no es necesario asignar el rol Lectores de Directorio para la configuración básica del administrador de Microsoft Entra. En su lugar, asigne los permisos granulares de Microsoft Graph a la identidad del servidor, según lo descrito en Identidades administradas en Microsoft Entra para Azure SQL.

El rol de Lectores de directorio

El rol Directory Readers y el banner del portal descrito en esta sección se aplican principalmente a SQL Managed Instance. Para Azure SQL Database, puede asignar permisos de Microsoft Graph específicos o, opcionalmente, usar lectores de directorios como alternativa más amplia.

La página Microsoft Entra ID de SQL Managed Instance en el portal de Azure muestra un banner práctico cuando la instancia no tiene asignados los permisos lector de directorios.

Seleccione el banner en la parte superior de la página Microsoft Entra ID y conceda permiso a la identidad administrada asignada por el sistema o asignada por el usuario que representa la instancia. Solo un Administrador de Roles Privilegiado o un rol superior en su inquilino puede realizar esta operación.

Nota:

Si no ve el banner, es posible que la instancia ya tenga asignado el rol Lectores de Directorios o que no tenga el rol de Administrador de Roles con Privilegios necesario. Si no tiene este rol, pida al administrador de inquilinos que conceda el permiso o use el método de PowerShell en la pestaña de PowerShell .
Cuando la operación se realiza correctamente, se muestra una notificación Correcto en la esquina superior derecha:

El siguiente script de PowerShell agrega una identidad al rol Lectores de Directorio. Esto se puede usar para asignar permisos a una instancia administrada o a una identidad de servidor principal para el servidor lógico (o cualquier identidad de Microsoft Entra).

# This script grants "Directory Readers" permission to a service principal representing a SQL Managed Instance or logical server.
# It can be executed only by a user who is a member of the **Privileged Roles Administrator** role.

Import-Module Microsoft.Graph.Authentication
$instanceName = "<InstanceName>"        # Enter the name of your managed instance or server
$tenantId = "<TenantId>"                       # Enter your tenant ID

Connect-MgGraph -TenantId $tenantId -Scopes "RoleManagement.ReadWrite.Directory"

# Get Microsoft Entra "Directory Readers" role and create if it doesn't exist
$roleName = "Directory Readers"
$role = Get-MgDirectoryRole -Filter "DisplayName eq '$roleName'"
if ($role -eq $null) {
    # Instantiate an instance of the role template
    $roleTemplate = Get-MgDirectoryRoleTemplate -Filter "DisplayName eq '$roleName'"
    New-MgDirectoryRoleTemplate -RoleTemplateId $roleTemplate.Id
    $role = Get-MgDirectoryRole -Filter "DisplayName eq '$roleName'"
}

# Get service principal for your SQL Managed Instance or logical server
$roleMember = Get-MgServicePrincipal -Filter "DisplayName eq '$instanceName'"
$roleMember.Count
if ($roleMember -eq $null) {
    Write-Output "Error: No service principal with name '$($instanceName)' found, make sure that instanceName parameter was entered correctly."
    exit
}
if (-not ($roleMember.Count -eq 1)) {
    Write-Output "Error: Multiple service principals with name '$($instanceName)'"
    Write-Output $roleMember | Format-List DisplayName, Id, AppId
    exit
}

# Check if service principal is already member of Directory Readers role
$isDirReader = Get-MgDirectoryRoleMember -DirectoryRoleId $role.Id -Filter "Id eq '$($roleMember.Id)'"
if ($isDirReader -eq $null) {
    # Add principal to Directory Readers role
    Write-Output "Adding service principal '$($instanceName)' to 'Directory Readers' role..."
    $body = @{
        "@odata.id"= "https://graph.microsoft.com/v1.0/directoryObjects/{$($roleMember.Id)}"
    }
    New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $body
    Write-Output "'$($instanceName)' service principal added to 'Directory Readers' role."
} else {
    Write-Output "Service principal '$($instanceName)' is already member of 'Directory Readers' role."
}

El administrador de Microsoft Entra ahora se puede utilizar para crear principales de servidor de Microsoft Entra (inicios de sesión) y principales de base de datos (usuarios). Para obtener más información, consulte Microsoft Entra integración con Azure SQL Managed Instance.

Crear principales de Microsoft Entra en SQL

Para conectarse a una base de datos en SQL Database o Azure Synapse Analytics con autenticación de Microsoft Entra, se debe configurar un principal en la base de datos para dicha identidad con al menos el permiso CONNECT.

Permisos de usuario de base de datos

Cuando se crea un usuario de base de datos, recibe el CONNECT permiso para la base de datos de forma predeterminada. Un usuario de base de datos también hereda los permisos en dos circunstancias:

Si el usuario es miembro de un grupo de Microsoft Entra que también tiene asignados permisos en el servidor.
Si el usuario se crea a partir de un inicio de sesión, hereda los permisos asignados por el servidor del inicio de sesión aplicable en la base de datos.

La administración de permisos para principales de servidor y base de datos funciona igual independientemente del tipo de principal (Microsoft Entra ID, autenticación SQL, etc.). Se recomienda conceder permisos a los roles de base de datos en lugar de conceder permisos directamente a los usuarios. Luego, los usuarios se pueden asignar a roles con los permisos adecuados. Esto simplifica la administración de permisos a largo plazo y reduce la probabilidad de que una identidad conserve el acceso pasado cuando sea adecuado.

Para más información, vea:

Usuarios de bases de datos contenidos

Un usuario de base de datos contenido es un tipo de usuario SQL que no está conectado a un inicio de sesión en la base de datos master. Para crear un usuario de base de datos contenida de Microsoft Entra, conéctese a la base de datos con una identidad de Microsoft Entra que tenga al menos el permiso ALTER ANY USER**. En el siguiente ejemplo de T-SQL se crea un principal de base de datos Microsoft_Entra_principal_name desde Microsoft Entra ID.

CREATE USER [<Microsoft_Entra_principal_name>] FROM EXTERNAL PROVIDER;

Para crear un usuario de base de datos independiente para un grupo de Microsoft Entra, escriba el nombre para mostrar del grupo:

CREATE USER [ICU Nurses] FROM EXTERNAL PROVIDER;

A fin de crear un usuario de base de datos contenido para una identidad administrada o un principal de servicio, escriba el nombre para mostrar de la identidad:

CREATE USER [appName] FROM EXTERNAL PROVIDER;

Para crear un usuario de base de datos contenido para un usuario de Microsoft Entra, introduzca el nombre principal de usuario de la identidad:

CREATE USER [adrian@contoso.com] FROM EXTERNAL PROVIDER;

Nota:

Entidades principales del servidor de Microsoft Entra (inicios de sesión) están actualmente en versión preliminar pública para Azure SQL Database y Azure Synapse Analytics. los inicios de sesión de Microsoft Entra están disponibles con carácter general para Azure SQL Managed Instance y SQL Server 2022.

Microsoft Entra principales del servidor (o inicios de sesión) son admitidos, lo que significa que los usuarios de bases de datos contenidos no son necesarios. Las entidades de seguridad de base de datos (usuarios) se pueden crear en función de una entidad de seguridad del servidor, lo que significa que los usuarios de Microsoft Entra pueden heredar permisos asignados a nivel de servidor de un inicio de sesión.

CREATE USER [appName] FROM LOGIN [appName];

Para obtener más información, consulte SQL Managed Instance información general. Para obtener la sintaxis sobre la creación de entidades de seguridad de servidor de Microsoft Entra (inicios de sesión), consulte CREATE LOGIN.

Usuarios externos

No se puede crear directamente un usuario de base de datos para una identidad que se administra en un inquilino de Microsoft Entra diferente al que está asociado a tu suscripción de Azure. Sin embargo, los usuarios de otros directorios se pueden importar al directorio asociado como usuarios externos. Se pueden usar para crear usuarios de base de datos independientes que puedan acceder a la base de datos. Los usuarios externos también pueden obtener acceso a través de la pertenencia a grupos de Microsoft Entra.

Examples: Para crear un usuario de base de datos independiente que represente un usuario de dominio federado o administrado de Microsoft Entra:

CREATE USER [alice@fabrikam.com] FROM EXTERNAL PROVIDER;

Una cuenta de usuario de dominio federado que se importa en un dominio administrado como un usuario externo debe usar la identidad del dominio administrado.

Consideraciones sobre nombres

No se admiten caracteres especiales, como los dos puntos (:) o el ampersand (&), cuando se incluyen en los nombres de usuario de las instrucciones CREATE LOGIN y CREATE USER de T-SQL.

Microsoft Entra ID y Azure SQL difieren en su diseño de gestión de usuarios de una manera clave: Microsoft Entra ID permite duplicar los nombres para mostrar dentro de un tenant, mientras que Azure SQL requiere que todos los principales de servidor en un servidor o instancia y todos los principales de base de datos en una base de datos tengan un nombre único. Dado que Azure SQL usa directamente el nombre para mostrar de Microsoft Entra de la identidad al crear principales, esto puede dar lugar a errores al crear usuarios. Para solucionar este problema, Azure SQL ha publicado la mejora de WITH OBJECT_ID actualmente en versión preliminar, lo que permite a los usuarios especificar el identificador de objeto Microsoft Entra de la identidad que se va a agregar al servidor o a la instancia.

permisos de Microsoft Graph

El comando CREATE USER ... FROM EXTERNAL PROVIDER requiere acceso de Azure SQL a Microsoft Entra ID (el "proveedor externo") en nombre del usuario conectado. A veces, surgen circunstancias que hacen que Microsoft Entra ID devuelvan una excepción a Azure SQL.

Es posible que encuentre el error 33134 de SQL, que contiene el mensaje de error específico del Microsoft Entra ID. El error suele indicar que se deniega el acceso, que el usuario debe inscribirse en MFA para acceder al recurso, o que el acceso entre las aplicaciones propias debe controlarse con autorización previa. En los dos primeros casos, el problema suele deberse a directivas de acceso condicional que se establecen en el inquilino de Microsoft Entra del usuario: impiden que el usuario acceda al proveedor externo. La actualización de las directivas de acceso condicional para permitir el acceso a la aplicación "00000003-0000-0000-c0000-000000000000" (el identificador de aplicación de Microsoft Graph API) debe resolver el problema. Si el error indica que el acceso entre las aplicaciones propias debe controlarse con autorización previa, el problema se debe a que el usuario ha iniciado sesión como entidad de servicio. El comando debería tener éxito si es ejecutado por un usuario.
Si recibe un Tiempo de espera de conexión expirado, es posible que tenga que establecer el parámetro TransparentNetworkIPResolution del connection string en false. Para obtener más información, consulte Problema de tiempo de espera de conexión con .NET Framework 4.6.1 - TransparentNetworkIPResolution.

Para obtener más información sobre cómo crear usuarios de base de datos independientes basados en identidades de Microsoft Entra, vea CREATE USER.

Configuración de la autenticación multifactor

Para mejorar la seguridad del recurso de Azure SQL, considere la posibilidad de configurar multifactor authentication (MFA), que pide al usuario que use un segundo método alternativo para autenticarse en la base de datos, como una llamada telefónica o una aplicación autenticadora.

Para usar la autenticación multifactor con el recurso de Azure SQL, primero enable multifactor authentication y, a continuación, use una directiva de acceso Conditional para aplicar MFA para el recurso de Azure SQL.

Conexión con Microsoft Entra

Una vez configurada la autenticación de Microsoft Entra, puede usarla para conectarse a su recurso SQL con herramientas de Microsoft como SQL Server Management Studio y SQL Server Data Tools, y configurar aplicaciones cliente para conectarse mediante identidades de Microsoft Entra.

Solución de problemas de autenticación Microsoft Entra

Para obtener instrucciones sobre cómo solucionar problemas, consulte Blog: Solución de problemas relacionados con la autenticación de Microsoft Entra con Azure SQL Database y Azure Synapse.

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-03-12

Compartir a través de

Configuración y administración de la autenticación de Microsoft Entra con Azure SQL

Requisitos previos

Creación y población de un tenant de Microsoft Entra

Configurar al administrador de Microsoft Entra

Azure SQL Database y Azure Synapse Analytics

Azure SQL Managed Instance (Instancia Administrada de Azure SQL)

Asignación de permisos de Microsoft Graph

El rol de Lectores de directorio

Crear principales de Microsoft Entra en SQL

Permisos de usuario de base de datos

Usuarios de bases de datos contenidos

Usuarios basados en credenciales de inicio de sesión

Usuarios externos

Consideraciones sobre nombres

permisos de Microsoft Graph

Configuración de la autenticación multifactor

Conexión con Microsoft Entra

Solución de problemas de autenticación Microsoft Entra

Contenido relacionado

Comentarios

Recursos adicionales