Usar o Azure Policy para impor a autenticação somente do Microsoft Entra com o Azure SQL
Aplica-se a: Banco de Dados SQL do Azure Instância Gerenciada de SQL do Azure
Este artigo orienta você na criação de uma política do Azure para impor a autenticação somente do Microsoft Entra quando os usuários criarem uma Instância Gerenciada de SQL do Azure ou um servidor lógico para o Banco de Dados SQL do Azure. Para saber mais sobre a autenticação somente do Microsoft Entra durante a criação de recursos, confira Criar servidor com autenticação somente do Microsoft Entra habilitada no SQL do Azure.
Observação
Embora o Azure AD (Azure Active Directory) tenha sido renomeado para Microsoft Entra ID, os nomes de política atualmente contêm o nome original do Azure AD. Portanto, a autenticação somente do Microsoft Entra e somente do Azure AD é usada de forma intercambiável neste artigo.
Neste artigo, você aprenderá como:
- Criar uma política do Azure que impõe a criação de um servidor lógico ou uma instância gerenciada com a autenticação somente do Microsoft Entra habilitada
- Verificar conformidade do Azure Policy
Pré-requisito
- Ter permissões para gerenciar o Azure Policy. Para obter mais informações, confira Permissões do RBAC do Azure no Azure Policy.
Criar uma política do Azure
Comece criando uma política do Azure impondo o provisionamento do Banco de Dados SQL ou da Instância Gerenciada com a autenticação somente do Azure AD habilitada.
Acesse o portal do Azure.
Pesquise a Política do serviço.
Em configurações de Criação, selecione Definições.
Na caixa Pesquisar, procure autenticação somente do Azure Active Directory.
Há duas políticas internas disponíveis para impor a autenticação somente do Azure AD. Um é para Banco de Dados SQL e o outro é para Instância Gerenciada de SQL.
- O Banco de Dados SQL do Azure deve ter a autenticação somente do Azure Active Directory habilitada
- A Instância Gerenciada de SQL do Azure deve ter a autenticação somente do Azure Active Directory habilitada
Selecione o nome da política para o serviço. Neste exemplo, vamos usar o Banco de Dados SQL do Azure. Selecione O Banco de Dados SQL do Azure deve ter a autenticação somente do Azure Active Directory habilitada.
Selecione Atribuir no novo menu.
Observação
O script JSON no menu mostra a definição de política interna que pode ser usada como um modelo a fim de criar uma política do Azure personalizada para o Banco de Dados SQL. O padrão é definido como
Audit
.Na guia Noções básicas, adicione um Escopo usando o seletor ( ... ) ao lado da caixa.
no painel Escopo, selecione sua Assinatura no menu suspenso e um Grupo de Recursos para essa política. Quando terminar, use o botão Selecionar para salvar a seleção.
Observação
Se você não selecionar um grupo de recursos, a política será aplicada a toda a assinatura.
Depois de voltar à guia Noções Básicas, personalize o Nome da atribuição e forneça uma Descrição opcional. Verifique se a Imposição de política está Habilitada.
Vá para a guia Parâmetros. Desmarque a opção Mostrar somente parâmetros que exigem entrada.
Em Efeito, selecione Negar. Essa configuração impede a criação de um servidor lógico sem a autenticação somente do Azure AD habilitada.
Na guia Mensagens de não conformidade, é possível personalizar a mensagem que é exibida quando ocorre uma violação da política. Essa mensagem permitirá que os usuários saibam qual política foi imposta durante a criação do servidor.
Selecione Examinar + criar. Examine a política e selecione o botão Criar.
Observação
Pode levar algum tempo até que a política recém-criada seja imposta.
Verifique a conformidade da política
Você pode consultar a configuração Conformidade no serviço Política para ver o estado de conformidade.
Pesquise o nome da atribuição que você deu anteriormente à política.
Depois que o servidor lógico for criado com a autenticação somente do Azure AD, o relatório da política aumentará o contador no visual Recursos por estado de conformidade. Você poderá ver quais recursos estão ou não em conformidade.
Se o grupo de recursos que a política foi escolhida para abranger contiver servidores já criados, o relatório da política indicará os recursos que estão e não estão em conformidade.
Observação
A atualização do relatório de conformidade pode levar algum tempo. As alterações relacionadas à criação de recursos ou às configurações de autenticação somente do Microsoft Entra não são reportadas imediatamente.
Provisionar um servidor
Em seguida, você pode tentar provisionar um servidor lógico ou uma instância gerenciada no grupo de recursos em que atribuiu a política do Azure. Se a autenticação somente do Azure AD estiver habilitada durante a criação do servidor, o provisionamento terá êxito. Quando a autenticação somente do Azure AD não estiver habilitada, o provisionamento falhará.
Para obter mais informações, confira Criar um servidor com a autenticação somente do Microsoft Entra habilitada no SQL do Azure.