Partilhar via

Usando a Política do Azure para impor a autenticação somente Microsoft Entra-only com o Azure SQL

  • Artigo

Aplica-se a:Banco de Dados SQL do Azure Instância Gerenciada SQLdo Azure

Este artigo orienta você na criação de uma Política do Azure que impõe a autenticação somente do Microsoft Entra, quando os usuários criam uma Instância Gerenciada SQL do Azure ou um servidor lógico para o Banco de Dados SQL do Azure. Para saber mais sobre a autenticação somente Microsoft Entra-only durante a criação de recursos, consulte Criar servidor com autenticação somente Microsoft Entra-habilitada no Azure SQL.

Nota

Embora o Azure Ative Directory (Azure AD) tenha sido renomeado para Microsoft Entra ID, os nomes de política atualmente contêm o nome original do Azure AD, portanto, a autenticação somente Microsoft Entra-only e Azure AD-only é usada indistintamente neste artigo.

Neste artigo, vai aprender a:

  • Criar uma Política do Azure que imponha a criação de servidor lógico ou instância gerenciada com a autenticação somente Microsoft Entra-habilitada
  • Verificar a conformidade com a Política do Azure

Pré-requisito

Criar uma Política do Azure

Comece criando uma Política do Azure impondo o provisionamento do Banco de Dados SQL ou da Instância Gerenciada com a autenticação somente do Azure AD habilitada.

  1. Aceda ao portal do Azure.

  2. Procure a Política de serviço.

  3. Em Configurações de criação, selecione Definições.

  4. Na caixa Pesquisar, procure apenas autenticação do Azure Ative Directory.

    Há duas políticas internas disponíveis para impor a autenticação somente do Azure AD. Um é para o Banco de Dados SQL e o outro é para a Instância Gerenciada SQL.

    • O Banco de Dados SQL do Azure deve ter a Autenticação Apenas do Ative Directory do Azure habilitada
    • A Instância Gerenciada SQL do Azure deve ter a Autenticação Apenas do Ative Directory do Azure habilitada

    Screenshot of Azure Policy for Azure AD-only authentication

  5. Selecione o nome da política para o seu serviço. Neste exemplo, usaremos o Banco de Dados SQL do Azure. Selecione Banco de Dados SQL do Azure deve ter a Autenticação Apenas do Ative Directory do Azure habilitada.

  6. Selecione Atribuir no novo menu.

    Nota

    O script JSON no menu mostra a definição de política interna que pode ser usada como um modelo para criar uma Política do Azure personalizada para o Banco de Dados SQL. O padrão é definido como Audit.

    Screenshot of assigning Azure Policy for Azure AD-only authentication

  7. Na guia Noções básicas, adicione um Escopo usando o seletor (...) na lateral da caixa.

    Screenshot of selecting Azure Policy scope for Azure AD-only authentication

  8. No painel Escopo, selecione sua Assinatura no menu suspenso e selecione um Grupo de Recursos para esta política. Quando terminar, use o botão Selecionar para salvar a seleção.

    Nota

    Se você não selecionar um grupo de recursos, a política será aplicada a toda a assinatura.

    Screenshot of adding Azure Policy scope for Azure AD-only authentication.

  9. Quando voltar à guia Noções básicas, personalize o nome da atribuição e forneça uma Descrição opcional. Verifique se a imposição de política está habilitada.

  10. Desmarque a opção Mostrar apenas parâmetros que exigem entrada.

  11. Em Efeito, selecione Negar. Essa configuração impede a criação de um servidor lógico sem a autenticação somente do Azure AD habilitada.

    Screenshot of Azure Policy effect parameter for Azure AD-only authentication.

  12. Na guia Mensagens de não conformidade, você pode personalizar a mensagem de política que será exibida se ocorrer uma violação da política. A mensagem informará aos usuários qual política foi imposta durante a criação do servidor.

    Screenshot of Azure Policy non-compliance message for Azure AD-only authentication.

  13. Selecione Rever + criar. Reveja a política e selecione o botão Criar .

Nota

Pode levar algum tempo para que a política recém-criada seja aplicada.

Verificar conformidade da política

Você pode verificar a configuração de Conformidade no serviço Política para ver o estado de conformidade.

Procure o nome da atribuição que você deu anteriormente à política.

Screenshot of Azure Policy compliance for Azure AD-only authentication.

Depois que o servidor lógico for criado com a autenticação somente do Azure AD, o relatório de política aumentará o contador no visual Recursos por estado de conformidade. Você poderá ver quais recursos estão em conformidade ou não estão em conformidade.

Se o grupo de recursos que a política foi escolhida para cobrir contiver servidores já criados, o relatório de política indicará os recursos que são compatíveis e não compatíveis.

Nota

A atualização do relatório de conformidade pode levar algum tempo. As alterações relacionadas à criação de recursos ou às configurações de autenticação somente do Microsoft Entra, não são relatadas imediatamente.

Provisionar um servidor

Em seguida, você pode tentar provisionar um servidor lógico ou uma instância gerenciada no grupo de recursos que atribuiu à Política do Azure. Se a autenticação somente do Azure AD estiver habilitada durante a criação do servidor, o provisionamento terá êxito. Quando a autenticação somente do Azure AD não estiver habilitada, o provisionamento falhará.

Para obter mais informações, consulte Criar servidor com a autenticação somente Microsoft Entra-somente habilitada no Azure SQL.

Próximos passos