Compartilhar via


Autenticação somente do Microsoft Entra com o SQL do Azure

Aplica-se a: Banco de Dados SQL do Azure Instância Gerenciada de SQL do Azure Azure Synapse Analytics (somente pools de SQL dedicados)

A autenticação somente do Microsoft Entra é um recurso do SQL do Azure que permite que o serviço só dê suporte à autenticação do Microsoft Entra e seja compatível com o Banco de Dados SQL do Azure e a Instância Gerenciada de SQL do Azure.

Observação

O Microsoft Entra ID era anteriormente conhecido como Azure Active Directory (Azure AD).

A autenticação somente do Microsoft Entra também está disponível para pools de SQL dedicados (anteriormente SQL DW) em servidores autônomos. A autenticação somente do Microsoft Entra pode ser habilitada para o espaço de trabalho do Azure Synapse. Para obter mais informações, consulte Autenticação somente do Microsoft Entra com espaços de trabalho do Azure Synapse.

A autenticação do SQL é desabilitada ao habilitar a autenticação somente do Microsoft Entra no ambiente SQL do Azure, inclusive conexões de usuários, logons e administradores do SQL Server. Somente os usuários que usam a autenticação do Microsoft Entra são autorizados a se conectarem ao servidor ou ao banco de dados.

A autenticação somente do Microsoft Entra pode ser habilitada ou desabilitada por meio do portal do Azure, da CLI do Azure, do PowerShell ou da API REST. A autenticação somente do Microsoft Entra também pode ser configurada durante a criação do servidor com um modelo do ARM.

Para obter mais informações sobre a autenticação do SQL do Azure, confira Autenticação e autorização.

Descrição do recurso

Quando a autenticação somente do Microsoft Entra é habilitada, a autenticação do SQL é desabilitada no nível do servidor ou da instância gerenciada e impede autenticações baseadas em credenciais da autenticação do SQL. Os usuários da autenticação do SQL não poderão se conectar ao servidor lógico do Banco de Dados SQL do Microsoft Azure ou da instância gerenciada, incluindo todos os bancos de dados. Embora a autenticação do SQL esteja desabilitada, ainda podem ser criados logons e usuários da autenticação do SQL pelas contas do Microsoft Entra com as permissões apropriadas. As contas recém-criadas da autenticação do SQL não terão permissão para se conectar ao servidor. A habilitação da autenticação somente do Microsoft Entra não remove as contas de usuário e de logon existentes da autenticação do SQL. O recurso só impede que essas contas se conectem ao servidor e a qualquer banco de dados criado para esse servidor.

Você também pode forçar a criação de servidores com a autenticação somente do Microsoft Entra habilitada usando o Azure Policy. Para obter mais informações, confira Azure Policy para autenticação somente do Microsoft Entra com o SQL do Azure.

Permissões

A autenticação somente do Microsoft Entra pode ser habilitada ou desabilitada por usuários do Microsoft Entra que são membros de funções internas do Microsoft Entra com privilégios altos, como Proprietários, Colaboradores e Administradores Globais da assinatura do Azure. Além disso, a função Gerenciador de Segurança do SQL também pode habilitar ou desabilitar o recurso de autenticação somente do Microsoft Entra.

As funções Colaborador do SQL Server e Colaborador da Instância Gerenciada de SQL não terão permissões para habilitar nem desabilitar o recurso de autenticação somente do Microsoft Entra. Isso é consistente com a abordagem de diferenciação de direitos, na qual os usuários que podem criar um servidor do SQL do Azure ou criar um administrador do Microsoft Entra não podem habilitar nem desabilitar os recursos de segurança.

Ações necessárias

As ações a seguir são adicionadas à função Gerenciador de Segurança do SQL para permitir o gerenciamento do recurso de autenticação somente do Microsoft Entra.

  • Microsoft.Sql/servers/azureADOnlyAuthentications/*
  • Microsoft.Sql/servers/administrators/read: necessário somente para os usuários que acessam o menu Microsoft Entra no portal do Azure
  • Microsoft.Sql/managedInstances/azureADOnlyAuthentications/*
  • Microsoft.Sql/managedInstances/read

As ações acima também podem ser adicionadas a uma função personalizada para gerenciar a autenticação somente do Microsoft Entra. Para obter mais informações, consulte Criar e atribuir uma função personalizada no Microsoft Entra ID.

Gerenciar a autenticação somente do Microsoft Entra usando APIs

Importante

O administrador do Microsoft Entra deve ser definido antes da habilitação da autenticação somente do Microsoft Entra.

Você precisa ter a CLI do Azure versão 2.14.2 ou superior.

name corresponde ao prefixo do nome do servidor ou da instância (por exemplo, myserver), e resource-group corresponde ao recurso ao qual o servidor pertence (por exemplo, myresource).

Banco de Dados SQL do Azure

Para obter mais informações, confira az sql server ad-only-auth.

Habilitação ou desabilitação no Banco de Dados SQL

Habilitar

az sql server ad-only-auth enable --resource-group myresource --name myserver

Desabilitar

az sql server ad-only-auth disable --resource-group myresource --name myserver

Verificar o status no Banco de Dados SQL

az sql server ad-only-auth get --resource-group myresource --name myserver

Instância Gerenciada do Azure SQL

Para obter mais informações, confira az sql mi ad-only-auth.

Habilitar

az sql mi ad-only-auth enable --resource-group myresource --name myserver

Desabilitar

az sql mi ad-only-auth disable --resource-group myresource --name myserver

Verificar o status na Instância Gerenciada de SQL

az sql mi ad-only-auth get --resource-group myresource --name myserver

Verificar a autenticação somente do Microsoft Entra usando T-SQL

A SERVERPROPERTY IsExternalAuthenticationOnly foi adicionada para verificar se a autenticação somente do Microsoft Entra está habilitada para o servidor ou a instância gerenciada. 1 indica que o recurso está habilitado e 0 indica que o recurso está desabilitado.

SELECT SERVERPROPERTY('IsExternalAuthenticationOnly') 

Comentários

  • Um Colaborador do SQL Server pode definir ou remover um administrador do Microsoft Entra, mas não pode definir a configuração de autenticação do Microsoft Entra somente. O Gerenciador de Segurança do SQL não pode definir ou remover um administrador do Microsoft Entra, mas pode definir a configuração somente autenticação do Microsoft Entra. Somente as contas com funções RBAC do Azure mais elevadas ou com funções personalizadas que contenham ambas as permissões podem definir ou remover um administrador do Microsoft Entra e definir a configuração Autenticação somente do Microsoft Entra. Uma dessas funções é a função Colaborador.
  • Depois que você habilitar ou desabilitar a autenticação somente do Microsoft Entra no portal do Azure, uma entrada do Log de atividades poderá ser vista no menu do SQL Server. Captura de tela do portal do Azure mostrando a entrada do log de atividades.
  • A configuração Autenticação somente do Microsoft Entra só poderá ser habilitada ou desabilitada por usuários com as permissões corretas se o administrador do Microsoft Entra for especificado. Se o administrador do Microsoft Entra não estiver definido, a configuração Somente autenticação do Microsoft Entra permanecerá inativa e não poderá ser habilitada nem desabilitada. O uso de APIs para habilitar a autenticação somente do Microsoft Entra também falhará se o administrador do Microsoft Entra não tiver sido definido.
  • Há suporte para a alteração de um administrador do Microsoft Entra quando a autenticação somente do Microsoft Entra está habilitada para os usuários com as permissões apropriadas.
  • A alteração de um administrador do Microsoft Entra e a habilitação ou a desabilitação da autenticação somente do Microsoft Entra são permitidas no portal do Azure para os usuários com as permissões apropriadas. Ambas as operações podem ser concluídas com um clique na opção Salvar no portal do Azure. O administrador do Microsoft Entra deve ser definido para habilitar a autenticação somente do Microsoft Entra.
  • Não há suporte para a remoção de um administrador do Microsoft Entra quando o recurso de autenticação somente do Microsoft Entra está habilitado. O uso de uma API para remover um administrador do Microsoft Entra falhará se a autenticação somente do Microsoft Entra estiver habilitada.
    • Se a configuração Autenticação somente do Microsoft Entra estiver habilitada, o botão Remover administrador ficará inativo no portal do Azure.
  • A remoção de um administrador do Microsoft Entra e a desabilitação da configuração Autenticação somente do Microsoft Entra são permitidas, mas exigem a permissão de usuário correta para concluir as operações. Ambas as operações podem ser concluídas com um clique na opção Salvar no portal do Azure.
  • Os usuários do Microsoft Entra com as permissões apropriadas podem representar os usuários existentes do SQL.
    • A representação continua funcionando entre os usuários da autenticação do SQL mesmo quando o recurso de autenticação somente do Microsoft Entra está habilitado.

Limitações para a autenticação somente do Microsoft Entra no Banco de Dados SQL

Quando a autenticação somente do Microsoft Entra está habilitada no Banco de Dados SQL, os seguintes recursos não têm suporte:

Limitações da autenticação somente do Microsoft Entra na Instância Gerenciada de SQL do Azure

Quando a autenticação somente do Microsoft Entra está habilitada na Instância Gerenciada de SQL, os seguintes recursos não têm suporte:

Para obter mais limitações, confira as diferenças de T-SQL entre o SQL Server e a Instância Gerenciada de SQL do Azure.