Configurar e gerenciar Microsoft Entra autenticação com Azure SQL

Para definir o administrador do Microsoft Entra para o seu servidor lógico no Portal do Azure, siga estas etapas:

1. No Azure portal Diretórios + painel de assinaturas, escolha o diretório que contém o recurso Azure SQL como o diretório Current.

2. Pesquise servidores SQL e selecione o servidor lógico para o recurso de banco de dados para abrir o painel do servidor SQL.

   

3. No painel SQL server para o servidor lógico, selecione Microsoft Entra ID em Settings para abrir o painel Microsoft Entra ID.

4. No painel Microsoft Entra ID, selecione Set admin para abrir o painel Microsoft Entra ID.

   

5. O painel Microsoft Entra ID mostra todos os usuários, grupos e aplicativos no diretório atual e permite que você pesquise por nome, alias ou ID. Localize a identidade desejada para o administrador do Microsoft Entra e selecione-a e selecione Select para fechar o painel.

6. Na parte superior da página Microsoft Entra ID para o servidor lógico, selecione Save.

   

   O ID do Objeto é exibido ao lado do nome do administrador para usuários e grupos do Microsoft Entra. Para aplicativos (entidades de serviço), a ID do aplicativo é exibida.

O processo de alteração do administrador pode levar vários minutos. Em seguida, o novo administrador aparece no campo Microsoft Entra administrador.

Para remover o administrador, na parte superior da página Microsoft Entra ID, selecione DminRemove e selecione Save. Remover o administrador do Microsoft Entra desabilita Microsoft Entra autenticação para seu servidor lógico.

Para executar cmdlets do PowerShell, você precisa ter o Azure PowerShell instalado e em execução. Consulte Como instalar e configurar Azure PowerShell para obter informações detalhadas.

Os seguintes cmdlets de Azure PowerShell podem ser usados para definir e gerenciar um administrador Microsoft Entra para Azure SQL Database e Azure Synapse Analytics:

Use o comando get-help do PowerShell para ver mais informações sobre cada um desses comandos. Por exemplo, get-help Set-AzSqlServerActiveDirectoryAdministrator.

O script a seguir define um grupo de administradores Microsoft Entra chamado DBA_Group (ID de objeto de exemplo aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) para o servidor de exemplo example-server em um grupo de recursos de exemplo chamado Example-Resource-Group:

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    ServerName = "example-server"
    DisplayName = "DBA_Group"
}

Set-AzSqlServerActiveDirectoryAdministrator @parameters

O parâmetro DisplayName aceita o nome de exibição Microsoft Entra ID ou o Nome Principal do Usuário, como os seguintes exemplos: DisplayName="Adrian King" e DisplayName="adrian@contoso.com". Se você estiver usando um grupo Microsoft Entra, somente o nome de exibição terá suporte.

O seguinte exemplo usa o parâmetro ObjectIDopcional:

$parameters = @{
  ResourceGroupName = "Example-Resource-Group"
  ServerName = "example-server"
  DisplayName = "DBA_Group"
  ObjectId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
}
Set-AzSqlServerActiveDirectoryAdministrator @parameters

O exemplo a seguir retorna informações sobre o administrador Microsoft Entra atual para o servidor:

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    ServerName = "example-server"
}

Get-AzSqlServerActiveDirectoryAdministrator @parameters | Format-List

O exemplo a seguir remove um administrador de Microsoft Entra:

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    ServerName = "example-server"
}

Remove-AzSqlServerActiveDirectoryAdministrator @parameters

Você pode definir um administrador Microsoft Entra para Azure SQL Database e Azure Synapse Analytics com os seguintes comandos de Azure CLI:

Para obter mais comandos da CLI, consulte az sql server.

Você também pode usar as APIs REST Administrador do Azure AD do Servidor para criar, atualizar, excluir e obter o administrador do Microsoft Entra para Azure SQL Database e Azure Synapse Analytics.

Para conceder permissões de leitura à instância gerenciada de SQL ao Microsoft Entra ID usando o portal do Azure, entre como Administrador de Função com Privilégios e siga estas etapas:

1. No Azure portal, no canto superior direito, selecione sua conta e escolha Switch directories para confirmar qual diretório é seu diretório Current. Alterne diretórios, se necessário.

   

2. No Azure portal Diretórios + painel de assinaturas, escolha o diretório que contém sua instância gerenciada como o diretório Current'''

3. Pesquise por instâncias gerenciadas de SQL e, em seguida, selecione sua instância gerenciada para abrir o painel instância gerenciada de SQL . Em seguida, selecione Microsoft Entra ID em Settings para abrir o painel Microsoft Entra ID para sua instância.

   

4. No painel Microsoft Entra administrador, selecione Set admin na barra de navegação para abrir o painel Microsoft Entra ID.

   

5. No painel Microsoft Entra ID, pesquise um usuário, marque a caixa ao lado do usuário ou grupo para ser administrador e pressione Select para fechar o painel e voltar para a página Microsoft Entra administrador para sua instância gerenciada.

   O painel Microsoft Entra ID mostra todos os membros e grupos no diretório atual. Usuários ou grupos desabilitados não podem ser selecionados porque não são suportados como administradores do Microsoft Entra. Selecione a identidade que você deseja atribuir como administrador.

6. Na barra de navegação da página do Microsoft Entra admin para sua instância gerenciada, selecione Salvar para confirmar seu administrador do Microsoft Entra.

   

   Após a conclusão da operação de alteração do administrador, o novo administrador aparecerá no campo de administrador do Microsoft Entra.

   O ID do Objeto é exibido ao lado do nome do administrador para usuários e grupos do Microsoft Entra. Para aplicativos (entidades de serviço), a ID do aplicativo é exibida.

Para executar cmdlets do PowerShell, você precisa ter o Azure PowerShell instalado e em execução. Consulte Como instalar e configurar Azure PowerShell para obter informações detalhadas.

A tabela a seguir lista os cmdlets do PowerShell que você pode usar para definir e gerenciar o administrador Microsoft Entra para instâncias gerenciadas:

Este comando de exemplo obtém informações sobre um administrador de Microsoft Entra para uma instância gerenciada chamada "Sample-Instance" associada a um grupo de recursos chamado "Example-Resource-Group".

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    InstanceName = "Sample-Instance"
}

Get-AzSqlInstanceActiveDirectoryAdministrator @parameters

Este comando de exemplo define o administrador Microsoft Entra para um grupo chamado DBAs (com ID de objeto de exemplo aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) para a instância gerenciada de SQL chamada "Sample-Instance". Este servidor está associado ao grupo de recursos Example-Resource-Group.

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    InstanceName = "Sample-Instance"
    DisplayName = "DBAs"
    ObjectId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
}

Set-AzSqlInstanceActiveDirectoryAdministrator @parameters

Este comando de exemplo remove o administrador de Microsoft Entra do SQL Managed Instance chamado "Sample-Instance" associado ao grupo de recursos "Example-Resource-Group".

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    InstanceName = "Sample-Instance"
    Confirm = $true
    PassThru = $true
}

Remove-AzSqlInstanceActiveDirectoryAdministrator @parameters

Você pode definir e gerenciar um administrador Microsoft Entra para o SQL Managed Instance chamando os seguintes comandos Azure CLI:

Para obter mais comandos da CLI, consulte az sql mi.

Você pode usar as APIs REST Managed Instance Administrators para criar, atualizar, excluir e obter o administrador do Microsoft Entra para instâncias de SQL gerenciadas.

A página Microsoft Entra ID para SQL Managed Instance no portal do Azure exibe um banner informativo conveniente quando a instância não está atribuída às Permissões de Leitor de Diretório.

1. Selecione a faixa na parte superior da página Microsoft Entra ID e conceda permissão à identidade gerenciada atribuída pelo sistema ou atribuída pelo usuário que representa sua instância. Somente um Administrador de Funções Com Privilégios ou uma função superior em seu locatário pode executar essa operação.

   Observação

   Se você não vir a faixa, a instância poderá já ter a função Leitores de Diretório atribuída ou talvez você não tenha a função de Administrador de Função Com Privilégios necessária. Se você não tiver essa função, peça ao administrador do inquilino para conceder essa permissão ou use o método do PowerShell na guia PowerShell.

   

2. Quando a operação for bem-sucedida, uma notificação de sucesso será exibida no canto superior direito:

   

O script do PowerShell a seguir adiciona uma identidade à função Leitores de Diretório. Isso pode ser usado para atribuir permissões a uma instância gerenciada ou à identidade do servidor primário para o servidor lógico (ou qualquer identidade Microsoft Entra).

# This script grants "Directory Readers" permission to a service principal representing a SQL Managed Instance or logical server.
# It can be executed only by a user who is a member of the **Privileged Roles Administrator** role.

Import-Module Microsoft.Graph.Authentication
$instanceName = "<InstanceName>"        # Enter the name of your managed instance or server
$tenantId = "<TenantId>"                       # Enter your tenant ID

Connect-MgGraph -TenantId $tenantId -Scopes "RoleManagement.ReadWrite.Directory"

# Get Microsoft Entra "Directory Readers" role and create if it doesn't exist
$roleName = "Directory Readers"
$role = Get-MgDirectoryRole -Filter "DisplayName eq '$roleName'"
if ($role -eq $null) {
    # Instantiate an instance of the role template
    $roleTemplate = Get-MgDirectoryRoleTemplate -Filter "DisplayName eq '$roleName'"
    New-MgDirectoryRoleTemplate -RoleTemplateId $roleTemplate.Id
    $role = Get-MgDirectoryRole -Filter "DisplayName eq '$roleName'"
}

# Get service principal for your SQL Managed Instance or logical server
$roleMember = Get-MgServicePrincipal -Filter "DisplayName eq '$instanceName'"
$roleMember.Count
if ($roleMember -eq $null) {
    Write-Output "Error: No service principal with name '$($instanceName)' found, make sure that instanceName parameter was entered correctly."
    exit
}
if (-not ($roleMember.Count -eq 1)) {
    Write-Output "Error: Multiple service principals with name '$($instanceName)'"
    Write-Output $roleMember | Format-List DisplayName, Id, AppId
    exit
}

# Check if service principal is already member of Directory Readers role
$isDirReader = Get-MgDirectoryRoleMember -DirectoryRoleId $role.Id -Filter "Id eq '$($roleMember.Id)'"
if ($isDirReader -eq $null) {
    # Add principal to Directory Readers role
    Write-Output "Adding service principal '$($instanceName)' to 'Directory Readers' role..."
    $body = @{
        "@odata.id"= "https://graph.microsoft.com/v1.0/directoryObjects/{$($roleMember.Id)}"
    }
    New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $body
    Write-Output "'$($instanceName)' service principal added to 'Directory Readers' role."
} else {
    Write-Output "Service principal '$($instanceName)' is already member of 'Directory Readers' role."
}

Veja detalhes de como atribuir funções Azure por meio do Azure CLI aqui Assign Azure funções usando Azure CLI.

Atribuir funções do Azure usando a API REST.