Política do Azure para autenticação somente Microsoft Entra-only com o Azure SQL
Aplica-se a:
Banco de Dados SQL do Azure Instância Gerenciada SQLdo Azure
A Política do Azure pode impor a criação de um Banco de Dados SQL do Azure ou de uma Instância Gerenciada SQL do Azure com a autenticação somente Microsoft Entra, habilitada durante o provisionamento. Com essa política em vigor, todas as tentativas de criar um servidor lógico no Azure ou uma instância gerenciada falharão se ele não for criado com a autenticação somente Microsoft Entra.
Nota
Embora o Azure Ative Directory (Azure AD) tenha sido renomeado para Microsoft Entra ID, os nomes de política atualmente contêm o nome original do Azure AD, portanto, a autenticação somente Microsoft Entra-only e Azure AD-only é usada indistintamente neste artigo.
A Política do Azure pode ser aplicada a toda a assinatura do Azure ou apenas dentro de um grupo de recursos.
Duas novas políticas internas foram introduzidas na Política do Azure:
- O Banco de Dados SQL do Azure deve ter a Autenticação Apenas do Ative Directory do Azure habilitada
- A Instância Gerenciada SQL do Azure deve ter a Autenticação Apenas do Ative Directory do Azure habilitada
Para obter mais informações sobre a Política do Azure, consulte O que é a Política do Azure? e a estrutura de definição da Política do Azure.
Permissões
Para obter uma visão geral das permissões necessárias para gerenciar a Política do Azure, consulte Permissões do RBAC do Azure na Política do Azure.
Ações
Se você estiver usando uma função personalizada para gerenciar a Política do Azure, as seguintes Ações serão necessárias.
- */read
- Microsoft.Authorization/policyassignments/*
- Microsoft.Authorization/policydefinitions/*
- Microsoft.Autorização/isenções de políticas/*
- Microsoft.Authorization/policysetdefinitions/*
- Microsoft.PolicyInsights/*
Para obter mais informações sobre funções personalizadas, consulte Funções personalizadas do Azure.
Gerenciar a Política do Azure para autenticação somente do Azure AD
As políticas de autenticação somente do Azure AD podem ser gerenciadas acessando o portal do Azure e procurando o serviço de Política. Em Definições, procure autenticação somente do Azure Ative Directory.
Para obter um guia, consulte Usando a Política do Azure para impor a autenticação somente do Azure AD com o Azure SQL.
Estas políticas têm três efeitos:
- Auditoria - A configuração padrão e capturará apenas um relatório de auditoria nos logs de atividade da Política do Azure
- Negar - Impede a criação de servidor lógico ou instância gerenciada sem a autenticação somente Microsoft Entra-habilitada
- Desabilitado - Desabilitará a política e não impedirá que os usuários criem um servidor lógico ou uma instância gerenciada sem a autenticação somente do Microsoft Entra.
Se a Política do Azure para autenticação somente do Azure AD estiver definida como Negar, a criação de um servidor lógico ou instância gerenciada falhará. Os detalhes dessa falha são registrados no log de atividades do grupo de recursos.
Conformidade com a política
Você pode exibir a configuração Conformidade no serviço Política para ver o estado de conformidade. O estado de Conformidade informará se o servidor ou a instância gerenciada está atualmente em conformidade com a habilitação da autenticação somente Microsoft Entra.
A Política do Azure pode impedir que um novo servidor lógico ou instância gerenciada seja criado sem ter a autenticação somente Microsoft Entra-habilitada, mas o recurso pode ser alterado após a criação do servidor ou da instância gerenciada. Se um usuário tiver desabilitado a autenticação somente do Microsoft Entra, depois que o servidor ou a instância gerenciada tiver sido criado, o estado de conformidade será Non-compliant se a Política do Azure estiver definida como Negar.
Limitações
- A Política do Azure impõe a autenticação somente do Azure AD durante a criação do servidor lógico ou da instância gerenciada. Depois que o servidor é criado, os usuários autorizados do Microsoft Entra com funções especiais (por exemplo, SQL Security Manager) podem desabilitar o recurso de autenticação somente do Azure AD. A Política do Azure permite, mas, nesse caso, o servidor ou a instância gerenciada será listado no relatório de conformidade como
Non-compliante o relatório indicará o nome do servidor ou da instância gerenciada. - Para obter mais observações, problemas conhecidos e permissões necessárias, consulte Autenticação somente Microsoft Entra.