Compartir a través de


Autenticación solo de Microsoft Entra con Azure SQL

Se aplica a: Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics (solo grupos de SQL dedicados)

La autenticación exclusiva de Microsoft Entra es una característica de Azure SQL que permite que el servicio solo admita la autenticación de Microsoft Entra, y es compatible con la base de datos de Azure SQL y Azure SQL Managed Instance.

Nota:

Microsoft Entra ID era conocido anteriormente como Azure Active Directory (Azure AD).

La autenticación solo con Microsoft Entra también está disponible para los grupos de SQL dedicados (antes SQL DW) en servidores independientes. Se puede habilitar la autenticación solo de Microsoft Entra para el área de trabajo de Azure Synapse. Para obtener más información, consulte Autenticación solo con Microsoft Entra con áreas de trabajo de Azure Synapse.

La autenticación de SQL se deshabilita al habilitar la autenticación solo de Microsoft Entra en el entorno de Azure SQL, incluidas las conexiones de administradores, inicios de sesión y usuarios de SQL Server. Solo los usuarios que usan la autenticación de Microsoft Entra están autorizados para conectarse al servidor o la base de datos.

La autenticación solo de Microsoft Entra se puede habilitar o deshabilitar mediante Azure Portal, la CLI de Azure, PowerShell o la API de REST. La autenticación solo de Microsoft Entra también se puede configurar durante la creación del servidor con una plantilla de Azure Resource Manager (ARM).

Para más información sobre la autenticación de Azure SQL, consulte Autenticación y autorización.

Descripción de la característica

Al habilitar la autenticación solo de Microsoft Entra, se deshabilita la autenticación de SQL en el nivel de servidor o instancia administrada y se impide cualquier autenticación basada en cualquier credencial de autenticación de SQL. Los usuarios con autenticación de SQL no podrán conectarse al servidor lógico de Azure SQL Database o de la instancia administrada, incluidas todas sus bases de datos. Aunque se deshabilita la autenticación de SQL, se pueden crear nuevos inicios de sesión y usuarios de autenticación de SQL mediante cuentas de Microsoft Entra con los permisos adecuados. Las cuentas con autenticación de SQL recién creadas no podrán conectarse al servidor. Al habilitar la autenticación de solo Microsoft Entra no se quitan las cuentas de usuario y los inicios de sesión con autenticación de SQL existentes. La característica solo impide que estas cuentas se conecten al servidor y a cualquier base de datos creada para este servidor.

También puede forzar la creación de servidores con la autenticación solo de Microsoft Entra habilitada mediante Azure Policy. Para obtener más información, consulte Azure Policy para la autenticación solo de Microsoft Entra con Azure SQL.

Permisos

Los usuarios de Microsoft Entra pueden habilitar o deshabilitar la autenticación solo de Microsoft Entra si son miembros de roles integrados de Microsoft Entra con privilegios elevados, como propietarios, colaboradores y administradores globales de suscripciones de Azure. Además, el rol Administrador de seguridad de SQL también puede habilitar o deshabilitar la característica de autenticación solo de Microsoft Entra.

Los roles Colaborador de SQL Server y Colaborador de SQL Managed Instance no tendrán permisos para habilitar o deshabilitar la característica de autenticación solo de Microsoft Entra. Esto es coherente con el enfoque de separación de tareas, en el que los usuarios que pueden crear un servidor de Azure SQL o crear un administrador de Microsoft Entra no pueden habilitar ni deshabilitar las características de seguridad.

Acciones requeridas

Se han agregado las siguientes acciones al rol Administrador de seguridad de SQL para permitir la administración de la característica de autenticación solo de Microsoft Entra.

  • Microsoft.Sql/servers/azureADOnlyAuthentications/*
  • Microsoft.Sql/servers/administrators/read: solo es necesario para los usuarios que acceden al menú de Microsoft Entra ID de Azure Portal.
  • Microsoft.Sql/managedInstances/azureADOnlyAuthentications/*
  • Microsoft.Sql/managedInstances/read

Las acciones anteriores también se pueden agregar a un rol personalizado para administrar la autenticación solo de Microsoft Entra. Para más información, consulte Crear y asignar un rol personalizado en Microsoft Entra ID.

Administración de la autenticación exclusiva de Microsoft Entra mediante API

Importante

El administrador de Microsoft Entra debe estar configurado antes de habilitar la autenticación exclusiva de Microsoft Entra.

La versión de la CLI de Azure debe ser la versión 2.14.2 o posterior.

name corresponde al prefijo del servidor o el nombre de instancia (por ejemplo, myserver), y resource-group corresponde al recurso al que pertenece el servidor (por ejemplo, myresource).

Azure SQL Database

Para más información, consulte az sql server ad-only-auth.

Habilitación o deshabilitación en SQL Database

Habilitación

az sql server ad-only-auth enable --resource-group myresource --name myserver

Deshabilitar

az sql server ad-only-auth disable --resource-group myresource --name myserver

Comprobación del estado en SQL Database

az sql server ad-only-auth get --resource-group myresource --name myserver

Instancia administrada de Azure SQL

Para más información, consulte az sql mi ad-only-auth.

Habilitación

az sql mi ad-only-auth enable --resource-group myresource --name myserver

Deshabilitar

az sql mi ad-only-auth disable --resource-group myresource --name myserver

Comprobación del estado en SQL Managed Instance

az sql mi ad-only-auth get --resource-group myresource --name myserver

Comprobación de la autenticación solo de Microsoft Entra mediante T-SQL

Se ha agregado SEVERPROPERTY IsExternalAuthenticationOnly para comprobar si la autenticación solo de Microsoft Entra está habilitada para el servidor o la instancia administrada. 1 indica que la característica está habilitada y 0 representa que la característica está deshabilitada.

SELECT SERVERPROPERTY('IsExternalAuthenticationOnly') 

Comentarios

  • Un colaborador de SQL Server puede establecer o eliminar un administrador de Microsoft Entra, pero no puede establecer la configuración de solo autenticación de Microsoft Entra. El Administrador de seguridad de SQL no puede establecer o eliminar un administrador de Microsoft Entra, pero puede establecer la configuración de solo autenticación de Microsoft Entra. Solo las cuentas con roles de RBAC de Azure superiores o roles personalizados que contengan ambos permisos pueden establecer o quitar un administrador de Microsoft Entra y establecer la configuración de autenticación solo de Microsoft Entra. Uno de estos roles es el rol Colaborador.
  • Después de habilitar o deshabilitar la autenticación solo de Microsoft Entra en Azure Portal, se puede ver una entrada del registro de actividad en el menú del SQL Server. Captura de pantalla de Azure Portal que muestra el registro de actividad.
  • La autenticación solo de Microsoft Entra solo la pueden habilitar o deshabilitar los usuarios con los permisos adecuados si se especifica el administrador de Microsoft Entra. Si el administrador de Microsoft Entra no está configurado, la configuración de solo autenticación de Microsoft Entra permanece inactiva y no se puede habilitar ni deshabilitar. El uso de las API para habilitar la autenticación exclusiva de Microsoft Entra también dará error si no se ha configurado el administrador de Microsoft Entra.
  • El cambio de un administrador de Microsoft Entra cuando está habilitada la autenticación exclusiva de Microsoft Entra es compatible para los usuarios con los permisos adecuados.
  • El cambio de un administrador de Microsoft Entra y la habilitación o deshabilitación de la autenticación solo de Microsoft Entra se permite en Azure Portal para los usuarios con los permisos adecuados. Ambas operaciones se pueden completar con una operación Guardar en Azure Portal. El administrador de Microsoft Entra tiene que estar configurado para habilitar la autenticación exclusiva de Microsoft Entra.
  • No se admite la eliminación de un administrador de Microsoft Entra cuando está habilitada la característica de autenticación solo de Microsoft Entra. El uso de una API para eliminar un administrador de Microsoft Entra dará error si está activada la autenticación solo de Microsoft Entra.
    • Si la configuración de autenticación solo de Microsoft Entra está habilitada, el botón Quitar administrador está inactivo en Azure Portal.
  • Se permite quitar un administrador de Microsoft Entra y deshabilitar la configuración de autenticación solo de Microsoft Entra, pero requiere el permiso de usuario adecuado para completar las operaciones. Ambas operaciones se pueden completar con una operación Guardar en Azure Portal.
  • Los usuarios de Microsoft Entra con los permisos adecuados pueden suplantar a los usuarios de SQL existentes.
    • La suplantación sigue funcionando entre los usuarios con autenticación de SQL, incluso cuando la característica de autenticación solo de Microsoft Entra está habilitada.

Limitaciones de la autenticación solo de Microsoft Entra en SQL Database

Cuando la autenticación solo de Microsoft Entra está habilitada para SQL Database, no se admiten las siguientes características:

Limitaciones de la autenticación solo de Microsoft Entra en Azure SQL Managed Instance

Cuando la autenticación solo de Microsoft Entra está habilitada para SQL Managed Instance, no se admiten las siguientes características:

Para obtener más información sobre las limitaciones, consulte Diferencias de T-SQL entre SQL Server y Azure SQL Managed Instance.