Configurar e gerenciar a autenticação do Microsoft Entra com o Azure SQL

Para definir o administrador do Microsoft Entra para o servidor lógico no portal do Azure, siga estas etapas:

1. No painel Diretórios + assinaturas do portal do Azure, escolha o diretório que contém o recurso SQL do Azure como o diretório atual.

2. Pesquise servidores SQL e selecione o servidor lógico para o recurso de banco de dados para abrir o painel do servidor SQL.

   

3. No painel do SQL Server do servidor lógico, selecione Microsoft Entra ID em Configurações para abrir o painel do Microsoft Entra ID.

4. Na página Microsoft Entra ID, selecione Definir administrador para abrir o painel Microsoft Entra ID.

   

5. O painel do Microsoft Entra ID mostra todos os usuários, grupos e aplicativos em seu diretório atual e permite que você pesquise por nome, alias ou ID. Encontre a identidade desejada para o administrador do Microsoft Entra, selecione-a e clique em Selecionar para fechar o painel.

6. Na parte superior da página Microsoft Entra ID para o servidor lógico, selecione Salvar.

   

   A ID do objeto é exibida ao lado do nome do administrador para usuários e grupos do Microsoft Entra. Para aplicativos (entidades de serviço), a ID do aplicativo é exibida.

O processo de alteração do administrador pode levar vários minutos. Em seguida, o novo administrador aparece no campo Administração do Microsoft Entra.

Para remover o administrador, na parte superior da página Microsoft Entra ID, selecione Remover administrador e Salvar. A remoção do administrador do Microsoft Entra desabilita a autenticação do Microsoft Entra para o servidor lógico.

Para executar os cmdlets do PowerShell, você precisa ter o Azure PowerShell instalado e em execução. Para obter informações detalhadas, confira Como instalar e configurar o Azure PowerShell.

Os seguintes cmdlets do Azure PowerShell podem ser usados para definir e gerenciar um administrador do Microsoft Entra para o Banco de Dados SQL do Azure e o Azure Synapse Analytics:

Use o comando get-help do PowerShell para ver mais informações sobre cada um desses comandos. Por exemplo, get-help Set-AzSqlServerActiveDirectoryAdministrator.

O seguinte script define um grupo de administradores do Microsoft Entra nomeado DBA_Group (ID de objeto aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb de exemplo) para o servidor example-server em um grupo de recursos nomeado Example-Resource-Group:

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    ServerName = "example-server"
    DisplayName = "DBA_Group"
}

Set-AzSqlServerActiveDirectoryAdministrator @parameters

O parâmetro DisplayName aceita o nome de exibição do Microsoft Entra ID ou o Nome principal de segurança, como nos seguintes exemplos: DisplayName="Adrian King" e DisplayName="adrian@contoso.com". Se você estiver usando um grupo do Microsoft Entra, somente o nome de exibição terá suporte.

O seguinte exemplo usa o parâmetro ObjectIDopcional:

$parameters = @{
  ResourceGroupName = "Example-Resource-Group"
  ServerName = "example-server"
  DisplayName = "DBA_Group"
  ObjectId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
}
Set-AzSqlServerActiveDirectoryAdministrator @parameters

O exemplo a seguir retorna informações sobre o administrador atual do Microsoft Entra para o servidor:

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    ServerName = "example-server"
}

Get-AzSqlServerActiveDirectoryAdministrator @parameters | Format-List

O seguinte exemplo remove um administrador do Microsoft Entra:

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    ServerName = "example-server"
}

Remove-AzSqlServerActiveDirectoryAdministrator @parameters

Você pode definir um administrador do Microsoft Entra para o Banco de Dados SQL do Azure e o Azure Synapse Analytics com os seguintes comandos da CLI do Azure:

Para obter mais comandos da CLI, consulte az sql server.

Você também pode usar as APIs REST do Administrador do Azure AD do Servidor para criar, atualizar, excluir e obter o administrador do Microsoft Entra para o Banco de Dados SQL do Azure e o Azure Synapse Analytics.

Para conceder permissões de leitura a sua Instância Gerenciada de SQL para o Microsoft Entra ID usando o portal do Azure, entre como Administrador Global ou Administrador de funções com privilégios e siga estas etapas:

1. No portal do Azure, no canto superior direito selecione sua conta e escolha Alternar diretórios para confirmar qual diretório é seu Diretório atual. Alterne diretórios, se necessário.

   

2. No painel Diretórios + assinaturas do portal do Azure, escolha o diretório que contém sua instância gerenciada como o diretório atual.'''

3. Pesquise instâncias gerenciadas de SQL e selecione sua instância gerenciada para abrir o painel Instância gerenciada de SQL. Em seguida, selecione Microsoft Entra ID em Configurações para abrir o painel Microsoft Entra ID para sua instância.

   

4. No painel de Administração do Microsoft Entra, selecione Definir administrador na barra de navegação para abrir o painel Microsoft Entra ID.

   

5. No painel Microsoft Entra ID, procure um usuário, marque a caixa ao lado do usuário ou grupo para ser um administrador e pressione Selecionar para fechar o painel e voltar à página Administração do Microsoft Entra para sua instância gerenciada.

   O painel Microsoft Entra ID mostra todos os membros e grupos no diretório atual. Os usuários ou grupos esmaecidos não podem ser selecionados, pois não têm suporte como administradores do Microsoft Entra. Selecione a identidade que você deseja atribuir como administrador.

6. Na barra de navegação da página Administração do Microsoft Entra de sua instância gerenciada, selecione Salvar para confirmar o administrador do Microsoft Entra.

   

   Após a conclusão da operação de alteração do administrador, o novo administrador aparece no campo de administração do Microsoft Entra.

   A ID do objeto é exibida ao lado do nome do administrador para usuários e grupos do Microsoft Entra. Para aplicativos (entidades de serviço), a ID do aplicativo é exibida.

Para executar os cmdlets do PowerShell, você precisa ter o Azure PowerShell instalado e em execução. Para obter informações detalhadas, confira Como instalar e configurar o Azure PowerShell.

A tabela a seguir lista os cmdlets do PowerShell que você pode usar para definir e gerenciar o administrador do Microsoft Entra para instâncias gerenciadas:

O exemplo de comando a seguir obtém informações sobre um administrador do Microsoft Entra para uma Instância Gerenciada denominada Sample-Instance associada a um grupo de recursos chamado de Example-Resource-Group.

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    InstanceName = "Sample-Instance"
}

Get-AzSqlInstanceActiveDirectoryAdministrator @parameters

Este comando de exemplo define o administrador do Microsoft Entra como um grupo chamado DBAs (com ID aaaaaaaa-0000-1111-2222-bbbbbbbbbbbbde objeto de exemplo) para a Instância Gerenciada de SQL chamada "Instância de Exemplo". Este servidor está associado ao grupo de recursos Example-Resource-Group.

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    InstanceName = "Sample-Instance"
    DisplayName = "DBAs"
    ObjectId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
}

Set-AzSqlInstanceActiveDirectoryAdministrator @parameters

O exemplo de comando a seguir remove o administrador do Microsoft Entra para a Instância Gerenciada de SQL denominada Sample-Instance, associada ao grupo de recursos Example-Resource-Group.

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    InstanceName = "Sample-Instance"
    Confirm = $true
    PassThru = $true
}

Remove-AzSqlInstanceActiveDirectoryAdministrator @parameters

Você pode configurar um administrador do Microsoft Entra para a Instância Gerenciada de SQL chamando os seguintes comandos da CLI do Azure:

Para obter mais comandos da CLI, consulte az sql mi.

Você pode usar as APIs REST dos Administradores de Instância Gerenciada para criar, atualizar, excluir e obter o administrador do Microsoft Entra para instâncias gerenciadas de SQL.

A págino Microsoft Entra ID para a Instância Gerenciada de SQL no portal do Azure exibe uma faixa conveniente quando a instância não recebe as permissões de Leitor de Diretório.

1. Selecione a faixa na parte superior da págino Microsoft Entra ID e conceda permissão à identidade gerenciada atribuída pelo sistema ou pelo usuário que representa sua instância. Esta operação só pode ser executada pelo administrador global ou por um Administrador de funções com privilégios no locatário.

   

2. Quando a operação for bem-sucedida, uma notificação de sucesso será exibida no canto superior direito:

   

O script do PowerShell a seguir adiciona uma identidade à função Leitores de Diretório. Isso pode ser usado para atribuir permissões a uma instância gerenciada ou identidade de servidor primário para o servidor lógico (ou qualquer identidade do Microsoft Entra).

# This script grants "Directory Readers" permission to a service principal representing a SQL Managed Instance or logical server.
# It can be executed only by a user who is a member of the **Global Administrator** or **Privileged Roles Administrator** role.

Import-Module Microsoft.Graph.Authentication
$instanceName = "<InstanceName>"        # Enter the name of your managed instance or server
$tenantId = "<TenantId>"                       # Enter your tenant ID

Connect-MgGraph -TenantId $tenantId -Scopes "RoleManagement.ReadWrite.Directory"

# Get Microsoft Entra "Directory Readers" role and create if it doesn't exist
$roleName = "Directory Readers"
$role = Get-MgDirectoryRole -Filter "DisplayName eq '$roleName'"
if ($role -eq $null) {
    # Instantiate an instance of the role template
    $roleTemplate = Get-MgDirectoryRoleTemplate -Filter "DisplayName eq '$roleName'"
    New-MgDirectoryRoleTemplate -RoleTemplateId $roleTemplate.Id
    $role = Get-MgDirectoryRole -Filter "DisplayName eq '$roleName'"
}

# Get service principal for your SQL Managed Instance or logical server
$roleMember = Get-MgServicePrincipal -Filter "DisplayName eq '$instanceName'"
$roleMember.Count
if ($roleMember -eq $null) {
    Write-Output "Error: No service principal with name '$($instanceName)' found, make sure that instanceName parameter was entered correctly."
    exit
}
if (-not ($roleMember.Count -eq 1)) {
    Write-Output "Error: Multiple service principals with name '$($instanceName)'"
    Write-Output $roleMember | Format-List DisplayName, Id, AppId
    exit
}

# Check if service principal is already member of Directory Readers role
$isDirReader = Get-MgDirectoryRoleMember -DirectoryRoleId $role.Id -Filter "Id eq '$($roleMember.Id)'"
if ($isDirReader -eq $null) {
    # Add principal to Directory Readers role
    Write-Output "Adding service principal '$($instanceName)' to 'Directory Readers' role..."
    $body = @{
        "@odata.id"= "https://graph.microsoft.com/v1.0/directoryObjects/{$($roleMember.Id)}"
    }
    New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $body
    Write-Output "'$($instanceName)' service principal added to 'Directory Readers' role."
} else {
    Write-Output "Service principal '$($instanceName)' is already member of 'Directory Readers' role."
}

Confira Atribuir funções do Azure usando a CLI do Azure para obter detalhes de como atribuir funções no Azure com a CLI do Azure.

Atribuir funções do Azure usando a API REST.