Compartilhar via


Usar o Azure Policy para impor a autenticação somente do Microsoft Entra com o Azure SQL

Aplica-se a: Banco de Dados SQL do Azure Instância Gerenciada de SQL do Azure

Este artigo orienta você na criação de uma política do Azure para impor a autenticação somente do Microsoft Entra quando os usuários criarem uma Instância Gerenciada de SQL do Azure ou um servidor lógico para o Banco de Dados SQL do Azure. Para saber mais sobre a autenticação somente do Microsoft Entra durante a criação de recursos, confira Criar servidor com autenticação somente do Microsoft Entra habilitada no SQL do Azure.

Observação

Embora o Azure AD (Azure Active Directory) tenha sido renomeado para Microsoft Entra ID, os nomes de política atualmente contêm o nome original do Azure AD. Portanto, a autenticação somente do Microsoft Entra e somente do Azure AD é usada de forma intercambiável neste artigo.

Neste artigo, você aprenderá como:

Pré-requisito

Criar uma política do Azure

Comece criando uma política do Azure impondo o provisionamento do Banco de Dados SQL ou da Instância Gerenciada com a autenticação somente do Azure AD habilitada.

  1. Acesse o portal do Azure.

  2. Pesquise a Política do serviço.

  3. Em configurações de Criação, selecione Definições.

  4. Na caixa Pesquisar, procure autenticação somente do Azure Active Directory.

    Há duas políticas internas disponíveis para impor a autenticação somente do Azure AD. Um é para Banco de Dados SQL e o outro é para Instância Gerenciada de SQL.

    • O Banco de Dados SQL do Azure deve ter a autenticação somente do Azure Active Directory habilitada
    • A Instância Gerenciada de SQL do Azure deve ter a autenticação somente do Azure Active Directory habilitada

    Captura de tela do Azure Policy para autenticação somente do Azure AD

  5. Selecione o nome da política para o serviço. Neste exemplo, vamos usar o Banco de Dados SQL do Azure. Selecione O Banco de Dados SQL do Azure deve ter a autenticação somente do Azure Active Directory habilitada.

  6. Selecione Atribuir no novo menu.

    Observação

    O script JSON no menu mostra a definição de política interna que pode ser usada como um modelo a fim de criar uma política do Azure personalizada para o Banco de Dados SQL. O padrão é definido como Audit.

    Captura de tela de atribuição do Azure Policy para autenticação somente do Azure AD

  7. Na guia Noções básicas, adicione um Escopo usando o seletor ( ... ) ao lado da caixa.

    Captura de tela de seleção do escopo do Azure Policy para autenticação somente do Azure AD

  8. no painel Escopo, selecione sua Assinatura no menu suspenso e um Grupo de Recursos para essa política. Quando terminar, use o botão Selecionar para salvar a seleção.

    Observação

    Se você não selecionar um grupo de recursos, a política será aplicada a toda a assinatura.

    Captura de tela de adição do escopo do Azure Policy para autenticação somente do Azure AD.

  9. Depois de voltar à guia Noções Básicas, personalize o Nome da atribuição e forneça uma Descrição opcional. Verifique se a Imposição de política está Habilitada.

  10. Vá para a guia Parâmetros. Desmarque a opção Mostrar somente parâmetros que exigem entrada.

  11. Em Efeito, selecione Negar. Essa configuração impede a criação de um servidor lógico sem a autenticação somente do Azure AD habilitada.

    Captura de tela do parâmetro de efeito do Azure Policy para autenticação somente do Azure AD.

  12. Na guia Mensagens de não conformidade, é possível personalizar a mensagem que é exibida quando ocorre uma violação da política. Essa mensagem permitirá que os usuários saibam qual política foi imposta durante a criação do servidor.

    Captura de tela da mensagem de não conformidade do Azure Policy para autenticação somente do Azure AD.

  13. Selecione Examinar + criar. Examine a política e selecione o botão Criar.

Observação

Pode levar algum tempo até que a política recém-criada seja imposta.

Verifique a conformidade da política

Você pode consultar a configuração Conformidade no serviço Política para ver o estado de conformidade.

Pesquise o nome da atribuição que você deu anteriormente à política.

Captura de tela de conformidade do Azure Policy para autenticação somente do Azure AD.

Depois que o servidor lógico for criado com a autenticação somente do Azure AD, o relatório da política aumentará o contador no visual Recursos por estado de conformidade. Você poderá ver quais recursos estão ou não em conformidade.

Se o grupo de recursos que a política foi escolhida para abranger contiver servidores já criados, o relatório da política indicará os recursos que estão e não estão em conformidade.

Observação

A atualização do relatório de conformidade pode levar algum tempo. As alterações relacionadas à criação de recursos ou às configurações de autenticação somente do Microsoft Entra não são reportadas imediatamente.

Provisionar um servidor

Em seguida, você pode tentar provisionar um servidor lógico ou uma instância gerenciada no grupo de recursos em que atribuiu a política do Azure. Se a autenticação somente do Azure AD estiver habilitada durante a criação do servidor, o provisionamento terá êxito. Quando a autenticação somente do Azure AD não estiver habilitada, o provisionamento falhará.

Para obter mais informações, confira Criar um servidor com a autenticação somente do Microsoft Entra habilitada no SQL do Azure.

Próximas etapas