Configuración y administración de la autenticación de Microsoft Entra con Azure SQL

Para establecer el administrador de Microsoft Entra para el servidor lógico en el portal de Azure, siga estos pasos:

1. En el panel Azure portal Directories + subscriptions, elija el directorio que contiene el recurso Azure SQL como directorio Current.

2. Busque servidores SQL Server y, después, seleccione el servidor lógico del recurso de base de datos para abrir el panel SQL Server.

   Captura de pantalla que muestra cómo buscar y seleccionar servidores SQL.

3. En el panel SQL del servidor lógico, seleccione Microsoft Entra ID en Settings para abrir el panel Microsoft Entra ID.

4. En el panel Microsoft Entra ID, seleccione Set admin para abrir el panel Microsoft Entra ID.

   

5. El panel Microsoft Entra ID muestra todos los usuarios, grupos y aplicaciones del directorio actual y le permite buscar por nombre, alias o identificador. Busque la identidad deseada para el administrador de Microsoft Entra y selecciónela y, después, seleccione Select para cerrar el panel.

6. En la parte superior de la página Microsoft Entra ID del servidor lógico, seleccione Guardar.

   

   El Object ID se muestra junto al nombre de administrador de usuarios y grupos de Microsoft Entra. En el caso de las aplicaciones (entidades de servicio), se muestra el identificador de la aplicación.

El proceso de cambio del administrador puede tardar varios minutos. A continuación, el nuevo administrador aparece en el campo Microsoft Entra admin.

Para quitar el administrador, en la parte superior de la página Microsoft Entra ID, seleccione Quitar administrador, luego seleccione Guardar. Al quitar el administrador de Microsoft Entra, se deshabilita la autenticación de Microsoft Entra para el servidor lógico.

Para ejecutar cmdlets de PowerShell, debe tener Azure PowerShell instalado y en ejecución. Consulte Cómo instalar y configurar Azure PowerShell para obtener información detallada.

Los siguientes cmdlets de Azure PowerShell se pueden usar para establecer y administrar un administrador de Microsoft Entra para Azure SQL Database y Azure Synapse Analytics:

Use el comando de PowerShell get-help para ver más información de cada uno de estos comandos. Por ejemplo, .

El siguiente script establece un grupo de administradores de Microsoft Entra denominado DBA_Group (id. de objeto de ejemplo aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) para el servidor de ejemplo example-server en un grupo de recursos de ejemplo denominado Example-Resource-Group:

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    ServerName = "example-server"
    DisplayName = "DBA_Group"
}

Set-AzSqlServerActiveDirectoryAdministrator @parameters

El parámetro DisplayName acepta el nombre para mostrar Microsoft Entra ID o el nombre principal de usuario, como los ejemplos siguientes: DisplayName="Adrian King" y DisplayName="adrian@contoso.com". Si usa un grupo de Microsoft Entra, solo se admite el nombre visible.

En el ejemplo siguiente se usa el parámetro opcional ObjectID:

$parameters = @{
  ResourceGroupName = "Example-Resource-Group"
  ServerName = "example-server"
  DisplayName = "DBA_Group"
  ObjectId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
}
Set-AzSqlServerActiveDirectoryAdministrator @parameters

En el ejemplo siguiente se devuelve información sobre el administrador de Microsoft Entra actual para el servidor:

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    ServerName = "example-server"
}

Get-AzSqlServerActiveDirectoryAdministrator @parameters | Format-List

En el ejemplo siguiente se quita un administrador de Microsoft Entra:

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    ServerName = "example-server"
}

Remove-AzSqlServerActiveDirectoryAdministrator @parameters

Puede establecer un administrador de Microsoft Entra para Azure SQL Database y Azure Synapse Analytics con los siguientes comandos CLI de Azure:

Para ver más comandos de la CLI, consulte az sql server.

También puede usar las APIs REST de Server Azure AD Administrator para crear, actualizar, eliminar y obtener al administrador de Microsoft Entra para Azure SQL Database y Azure Synapse Analytics.

Para conceder a la instancia administrada de SQL permisos de lectura para Microsoft Entra ID mediante el portal de Azure, inicia sesión como Administrador de roles privilegiados y sigue estos pasos:

1. En el portal de Azure, en la esquina superior derecha, seleccione su cuenta y luego elija Cambiar directorios para confirmar cuál directorio es su directorio actual. Cambie de directorio si fuera necesario.

   

2. En el panel Azure portal Directories + subscriptions, elija el directorio que contiene la instancia administrada como directorio Current''

3. Busque instancias administradas de SQL y, después, seleccione su instancia administrada para abrir el panel de instancias administradas de SQL. A continuación, seleccione Microsoft Entra ID en Settings para abrir el panel Microsoft Entra ID de la instancia.

   

4. En el panel Microsoft Entra admin, seleccione Set admin en la barra de navegación para abrir el panel Microsoft Entra ID.

   

5. En el panel Microsoft Entra ID, busque un usuario, active la casilla situada junto al usuario o grupo para que sea administrador y presione Select para cerrar el panel y volver a la página Microsoft Entra admin para la instancia administrada.

   El panel Microsoft Entra ID muestra todos los miembros y grupos del directorio actual. No se pueden seleccionar usuarios o grupos deshabilitados porque no son compatibles como administradores de Microsoft Entra. Seleccione la identidad que quiere asignar como administrador.

6. En la barra de navegación de la página Microsoft Entra admin de la instancia administrada, seleccione Save para confirmar el administrador de Microsoft Entra.

   

   Una vez completada la operación de cambio de administrador, el nuevo administrador aparece en el campo administrador de Microsoft Entra.

   El Object ID se muestra junto al nombre de administrador de usuarios y grupos de Microsoft Entra. En el caso de las aplicaciones (entidades de servicio), se muestra el identificador de la aplicación.

Para ejecutar cmdlets de PowerShell, debe tener Azure PowerShell instalado y en ejecución. Consulte Cómo instalar y configurar Azure PowerShell para obtener información detallada.

En la tabla siguiente se enumeran los cmdlets de PowerShell que puede usar para definir y administrar el administrador de Microsoft Entra para las instancias administradas:

Este comando de ejemplo obtiene información sobre un administrador de Microsoft Entra para una instancia administrada denominada "Sample-Instance" asociada a un grupo de recursos denominado "Example-Resource-Group".

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    InstanceName = "Sample-Instance"
}

Get-AzSqlInstanceActiveDirectoryAdministrator @parameters

Este comando de ejemplo establece el administrador de Microsoft Entra en un grupo denominado DBA (con el identificador de objeto de ejemplo aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) para la instancia administrada de SQL denominada "Sample-Instance". Este servidor está asociado al grupo de recursos "Example-Resource-Group".

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    InstanceName = "Sample-Instance"
    DisplayName = "DBAs"
    ObjectId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
}

Set-AzSqlInstanceActiveDirectoryAdministrator @parameters

Este comando de ejemplo quita el administrador de Microsoft Entra de la SQL Managed Instance llamada "Sample-Instance" asociada al grupo de recursos "Example-Resource-Group".

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    InstanceName = "Sample-Instance"
    Confirm = $true
    PassThru = $true
}

Remove-AzSqlInstanceActiveDirectoryAdministrator @parameters

Puede establecer y administrar un administrador de Microsoft Entra para el SQL Managed Instance llamando a los siguientes comandos de CLI de Azure:

Para más información sobre los comandos de la CLI, consulta az sql mi.

Puede usar las API REST de Administradores de Instancia Administrada para crear, actualizar, eliminar y obtener el administrador de Microsoft Entra para instancias de SQL administradas.

La página Microsoft Entra ID de SQL Managed Instance en el portal de Azure muestra un banner práctico cuando la instancia no tiene asignados los permisos lector de directorios.

1. Seleccione el banner en la parte superior de la página Microsoft Entra ID y conceda permiso a la identidad administrada asignada por el sistema o asignada por el usuario que representa la instancia. Solo un Administrador de Roles Privilegiados o un rol superior en su arrendatario puede realizar esta operación.

   Nota:

   Si no ve el banner, es posible que la instancia ya tenga el rol Lectores de directorios asignado, o que no tenga el rol de Administrador de Roles con Privilegios necesario. Si no tiene este rol, pida al administrador de inquilinos que conceda el permiso o use el método de PowerShell en la pestaña de PowerShell .

   

2. Cuando la operación se realiza correctamente, se muestra una notificación de 'Success' en la esquina superior derecha.

   

El siguiente script de PowerShell agrega una identidad al rol Lectores de Directorio. Esto se puede usar para asignar permisos a una instancia administrada o a una identidad de servidor principal para el servidor lógico (o cualquier identidad de Microsoft Entra).

# This script grants "Directory Readers" permission to a service principal representing a SQL Managed Instance or logical server.
# It can be executed only by a user who is a member of the **Privileged Roles Administrator** role.

Import-Module Microsoft.Graph.Authentication
$instanceName = "<InstanceName>"        # Enter the name of your managed instance or server
$tenantId = "<TenantId>"                       # Enter your tenant ID

Connect-MgGraph -TenantId $tenantId -Scopes "RoleManagement.ReadWrite.Directory"

# Get Microsoft Entra "Directory Readers" role and create if it doesn't exist
$roleName = "Directory Readers"
$role = Get-MgDirectoryRole -Filter "DisplayName eq '$roleName'"
if ($role -eq $null) {
    # Instantiate an instance of the role template
    $roleTemplate = Get-MgDirectoryRoleTemplate -Filter "DisplayName eq '$roleName'"
    New-MgDirectoryRoleTemplate -RoleTemplateId $roleTemplate.Id
    $role = Get-MgDirectoryRole -Filter "DisplayName eq '$roleName'"
}

# Get service principal for your SQL Managed Instance or logical server
$roleMember = Get-MgServicePrincipal -Filter "DisplayName eq '$instanceName'"
$roleMember.Count
if ($roleMember -eq $null) {
    Write-Output "Error: No service principal with name '$($instanceName)' found, make sure that instanceName parameter was entered correctly."
    exit
}
if (-not ($roleMember.Count -eq 1)) {
    Write-Output "Error: Multiple service principals with name '$($instanceName)'"
    Write-Output $roleMember | Format-List DisplayName, Id, AppId
    exit
}

# Check if service principal is already member of Directory Readers role
$isDirReader = Get-MgDirectoryRoleMember -DirectoryRoleId $role.Id -Filter "Id eq '$($roleMember.Id)'"
if ($isDirReader -eq $null) {
    # Add principal to Directory Readers role
    Write-Output "Adding service principal '$($instanceName)' to 'Directory Readers' role..."
    $body = @{
        "@odata.id"= "https://graph.microsoft.com/v1.0/directoryObjects/{$($roleMember.Id)}"
    }
    New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $body
    Write-Output "'$($instanceName)' service principal added to 'Directory Readers' role."
} else {
    Write-Output "Service principal '$($instanceName)' is already member of 'Directory Readers' role."
}

Consulte los detalles sobre cómo asignar roles de Azure a través del CLI de Azure aquí Assign Azure roles mediante CLI de Azure.

Asignar roles de Azure mediante la API REST.