Política do Azure para autenticação somente do Microsoft Entra com o SQL do Azure
Aplica-se a: Banco de Dados SQL do Azure Instância Gerenciada de SQL do Azure
O Azure Policy pode impor a criação de um Banco de Dados SQL do Azure ou da Instância Gerenciada de SQL do Azure com a Autenticação somente do Microsoft Entra habilitada durante o provisionamento. Com essa política em uso, qualquer tentativa de criar um servidor lógico no Azure ou na instância gerenciada falhará se ela não for criada com a autenticação somente do Microsoft Entra habilitada.
Observação
Embora o Azure AD (Azure Active Directory) tenha sido renomeado para Microsoft Entra ID, os nomes de política atualmente contêm o nome original do Azure AD. Portanto, a autenticação somente do Microsoft Entra e somente do Azure AD é usada de forma intercambiável neste artigo.
O Azure Policy pode ser aplicado a toda a assinatura do Azure ou apenas dentro de um grupo de recursos.
Duas novas políticas internas foram introduzidas no Azure Policy:
- O Banco de Dados SQL do Azure deve ter a autenticação somente do Azure Active Directory habilitada
- A Instância Gerenciada de SQL do Azure deve ter a autenticação somente do Azure Active Directory habilitada
Para obter mais informações sobre o Azure Policy, confira O que é o Azure Policy? e Estrutura de definição do Azure Policy.
Permissões
Para ter uma visão geral das permissões necessárias para gerenciar o Azure Policy, confira Permissões do Azure RBAC no Azure Policy.
Ações
Se você estiver usando uma função personalizada para gerenciar o Azure Policy, as Ações a seguir serão necessárias.
- */leitura
- Microsoft.Authorization/policyAssignments/*
- Microsoft.Authorization/policyDefinitions/*
- Microsoft.Authorization/policyexemptions/*
- Microsoft.Authorization/policysetdefinitions/*
- Microsoft.PolicyInsights/*
Para obter mais informações sobre as funções personalizadas, consulte Funções personalizadas do Azure.
Gerenciar o Azure Policy para autenticação somente do AAD
As políticas de autenticação somente do AAD podem ser gerenciadas no portal do Azure e procurando o serviço de Políticas. Em Definições, pesquise Autenticação somente do Azure Active Directory.
Para obter um guia, consulte Usar o Azure Policy para impor a autenticação somente do Microsoft Entra com o Azure SQL.
Há três efeitos para essas políticas:
- Auditoria – a configuração padrão e capturará apenas um relatório de auditoria nos logs de atividades do Azure Policy
- Negar – impede a criação de um servidor lógico ou de uma instância gerenciada sem a Autenticação somente do Microsoft Entra com o SQL do Azure habilitada
- Desabilitado – desabilitará a política e não restringirá os usuários de criarem um servidor lógico ou uma instância gerenciada sem a autenticação somente do Microsoft Entra habilitada
Se o Azure Policy para autenticação somente do Azure AD estiver definido como Negar, a criação de um servidor lógico ou de uma instância gerenciada falhará. Os detalhes dessa falha são registrados no Log de atividades do grupo de recursos.
Conformidade da política
Você pode consultar a configuração de Conformidade no serviço de Políticas para ver o estado de conformidade. O Estado de conformidade indicará se o servidor ou a instância gerenciada está atualmente em conformidade com a autenticação somente do Microsoft Entra habilitada.
O Azure Policy pode impedir que um novo servidor lógico ou uma instância gerenciada sejam criados sem ter a autenticação somente do Microsoft Entra habilitada, mas o recurso pode ser alterado após a criação do servidor ou da instância gerenciada. Se um usuário tiver desabilitado a autenticação somente do Microsoft Entra depois que o servidor ou a instância gerenciada tiverem sido criados, o estado de conformidade será Non-compliant
se o Azure Policy estiver definido como Negar.
Limitações
- O Azure Policy impõe a autenticação somente do AAD durante a criação do servidor lógico ou da instância gerenciada. Depois que o servidor é criado, os usuários autorizados do Microsoft Entra com funções especiais (por exemplo, Gerenciador de Segurança do SQL) podem desabilitar o recurso de autenticação somente do AAD. O Azure Policy permite isso, mas nesse caso, o servidor ou a instância gerenciada serão listados no relatório de conformidade como
Non-compliant
e o relatório indicará o nome do servidor ou da instância gerenciada. - Para obter mais comentários, problemas conhecidos e permissões necessárias, confira Autenticação somente do Microsoft Entra com o SQL do Azure.