Compartir a través de


Tutorial: Habilitar la autenticación solo de Microsoft Entra con Azure SQL

Se aplica a: Azure SQL Database Azure SQL Managed Instance

En este artículo se explica cómo habilitar la característica Autenticación solo de Microsoft Entra con Azure SQL Database y Azure SQL Managed Instance. Si desea aprovisionar SQL Database o SQL Managed Instance con la autenticación solo de Microsoft Entra habilitada, consulte Creación de un servidor con la autenticación solo de Microsoft Entra habilitada en Azure SQL.

Nota:

Microsoft Entra ID era conocido anteriormente como Azure Active Directory (Azure AD).

En este tutorial, aprenderá a:

  • Asignación de un rol para habilitar la autenticación solo de Microsoft Entra
  • Habilitar la autenticación solo de Microsoft Entra mediante Azure Portal, la CLI de Azure o PowerShell
  • Comprobar si la autenticación solo de Microsoft Entra está habilitada
  • Probar la conexión a Azure SQL
  • Deshabilitar la autenticación solo de Microsoft Entra mediante Azure Portal, la CLI de Azure o PowerShell

Requisitos previos

Asignación de un rol para habilitar la autenticación solo de Microsoft Entra

Para habilitar o deshabilitar la autenticación solo de Microsoft Entra, los roles integrados seleccionados son necesarios para los usuarios de Microsoft Entra que ejecutan estas operaciones en este tutorial. En este tutorial vamos a asignar al usuario el rol Administrador de seguridad SQL.

Para más información sobre cómo asignar un rol a una cuenta de Microsoft Entra, consulte Asignación de roles de administrador y no administrador a los usuarios con Microsoft Entra ID.

Para obtener más información sobre el permiso necesario para habilitar o deshabilitar la autenticación solo de Microsoft Entra, consulte la sección Permisos del artículo sobre la autenticación solo de Microsoft Entra.

  1. En nuestro ejemplo, asignaremos el rol Administrador de seguridad SQL al usuario UserSqlSecurityManager@contoso.onmicrosoft.com. Con un usuario con privilegios que puede asignar roles de Microsoft Entra, inicie sesión en Azure Portal.

  2. Vaya al recurso del servidor SQL y seleccione Control de acceso (IAM) en el menú. Seleccione el botón Agregar y, a continuación, Agregar asignación de roles en el menú desplegable.

    Captura de pantalla que muestra la página Control de acceso donde puede agregar una asignación de roles.

  3. En el panel Agregar asignación de roles, seleccione el rol Administrador de seguridad de SQL y elija el usuario que quiera que tenga la capacidad de habilitar o deshabilitar la autenticación solo de Microsoft Entra.

    Incorporación del panel de asignación de roles en Azure Portal

  4. Haga clic en Save(Guardar).

Habilitar la autenticación solo de Microsoft Entra

Habilitación en SQL Database con Azure Portal

Siga estos pasos para habilitar la autenticación solo de Microsoft Entra en Azure Portal:

  1. Con el usuario con el rol Administrador de seguridad SQL, vaya a Azure Portal.

  2. Vaya al recurso de SQL Server y seleccione Microsoft Entra ID en el menú Configuración.

    Captura de pantalla que muestra la opción para admitir solo la autenticación de Microsoft Entra para el servidor.

  3. Si no ha agregado un administrador de Microsoft Entra, deberá establecerlo antes de habilitar la autenticación solo de Microsoft Entra.

  4. Active la casilla Admitir solo la autenticación de Microsoft Entra para este servidor.

  5. Se mostrará la ventana emergente Habilitar autenticación solo de Microsoft Entra. Seleccione para habilitar la característica y guarde la configuración.

Habilitar en SQL Managed Instance con Azure Portal

Para habilitar la autenticación solo de Microsoft Entra en Azure Portal, consulte los pasos siguientes.

  1. Con el usuario con el rol Administrador de seguridad SQL, vaya a Azure Portal.

  2. Vaya al recurso de SQL Managed Instance y seleccione Administrador de Microsoft Entra en el menú Configuración.

  3. Si no ha agregado un administrador de Microsoft Entra, deberá establecerlo antes de habilitar la autenticación solo de Microsoft Entra.

  4. Seleccione la casilla Admitir solo la autenticación de Microsoft Entra para esta instancia administrada.

  5. Se mostrará la ventana emergente Habilitar autenticación solo de Microsoft Entra. Seleccione para habilitar la característica y guarde la configuración.

Comprobación del estado de autenticación solo de Microsoft Entra

Compruebe si la autenticación solo de Microsoft Entra está habilitada para el servidor o la instancia.

Comprobación del estado en SQL Database

Vaya al recurso del servidor SQL en Azure Portal. Seleccione Microsoft Entra ID en el menú Configuración.

Comprobación del estado en SQL Managed Instance

Vaya al recurso de SQL Managed Instance en Azure Portal. Seleccione Administrador de Microsoft Entra en el menú Configuración.

Prueba de autenticación SQL con error de conexión

Después de habilitar la autenticación solo de Microsoft Entra, haga la prueba con SQL Server Management Studio (SSMS) para conectarse a SQL Database o SQL Managed Instance. Use la autenticación SQL para la conexión.

Debería aparecer un mensaje de error de inicio de sesión similar al siguiente:

Cannot connect to <myserver>.database.windows.net.
Additional information:
  Login failed for user 'username'. Reason: Azure Active Directory only authentication is enabled.
  Please contact your system administrator. (Microsoft SQL Server, Error: 18456)

Deshabilitar la autenticación solo de Microsoft Entra

Al deshabilitar la característica de autenticación solo de Microsoft Entra, permite la autenticación de SQL y de Microsoft Entra para Azure SQL.

Deshabilitación en SQL Database con Azure Portal

  1. Con el usuario con el rol Administrador de seguridad SQL, vaya a Azure Portal.
  2. Vaya al recurso de SQL Server y seleccione Microsoft Entra ID en el menú Configuración.
  3. Para deshabilitar la característica de autenticación solo de Microsoft Entra, desactive la casilla Admitir solo la autenticación de Microsoft Entra para este servidor y guarde la configuración.

Deshabilitación en SQL Managed Instance con Azure Portal

  1. Con el usuario con el rol Administrador de seguridad SQL, vaya a Azure Portal.
  2. Vaya al recurso de SQL Managed Instance y seleccione Administrador de Active Directory en el menú Configuración.
  3. Para deshabilitar la característica de autenticación solo de Microsoft Entra, desactive la casilla Solo se admite la autenticación de Microsoft Entra para esta instancia administrada y guarde la configuración.

Volver a probar la conexión a Azure SQL

Después de deshabilitar la autenticación solo de Microsoft Entra, pruebe a conectarse mediante inicio de sesión con autenticación SQL. Ahora debería poder conectarse a su servidor o instancia.

Pasos siguientes