Erstellen von Microsoft Entra-Gastbenutzern und Festlegen als Microsoft Entra-Administrator

Gilt für:Azure SQL-DatenbankAzure SQL Managed InstanceSQL Server auf Azure-VM

Hinweis

Dieses Feature gilt für SQL Server 2022 und höher auf virtuellen Azure-Computern und Arc-aktivierten SQL Server.

Gastbenutzer mit Microsoft Entra B2B-Zusammenarbeit sind Benutzer mit Konten in einer externen Microsoft Entra-Organisation oder bei einem externen Identitätsanbieter (z. B. Outlook, Windows Live Mail oder Gmail), deren Konten nicht in Ihrem Microsoft Entra-Mandanten verwaltet werden. Gastbenutzerkonten werden erstellt, wenn diese Personen zur Zusammenarbeit innerhalb Ihres Mandanten eingeladen werden, gleichzeitig jedoch die Authentifizierung anhand ihres Identitätsanbieters durchgeführt wird.

Dieser Artikel zeigt, wie ein Microsoft Entra-Gastbenutzer erstellt und als Microsoft Entra-Administrator für Azure SQL Managed Instance oder den logischen Server in Azure, der von Azure SQL-Datenbank und Azure Synapse Analytics verwendet wird, festgelegt wird.

Hinweis

Microsoft Entra ID war zuvor als Azure Active Directory (Azure AD) bekannt.

Funktionsbeschreibung

Azure SQL Datenbank, SQL Managed Instance und Azure Synapse Analytics unterstützen die Erstellung von Hauptbenutzerkonten aus Gastbenutzerkonten, entweder direkt oder als Mitglieder von Microsoft Entra-Gruppen innerhalb Ihres Mandanten. Gastbenutzer können auch als Microsoft Entra-Administrator für den logischen Server oder die verwaltete Instanz festgelegt werden.

Voraussetzungen

• Das Modul Az.Sql 2.9.0 oder höher ist erforderlich, wenn Sie PowerShell verwenden, um einen Gastbenutzer als Microsoft Entra-Administrator für den logischen Server oder die verwaltete Instanz einzurichten.

Datenbankbenutzer für Microsoft Entra-Gastbenutzer erstellen

Führen Sie die folgenden Schritte aus, um einen Datenbankbenutzer mit einem Microsoft Entra-Gastbenutzer zu erstellen. Ersetzen Sie in diesem Abschnitt <guest_user> durch eine gültige E-Mail-Adresse, zum Beispiel guest_user@example.com.

SQL-Datenbank und Azure Synapse

1. Stellen Sie sicher, dass der Gastbenutzer bereits zu Ihrem Microsoft Entra ID hinzugefügt wurde und ein Microsoft Entra-Administrator für den Datenbankserver festgelegt ist. Für die Microsoft Entra-Authentifizierung ist ein Microsoft Entra-Administrator erforderlich.

2. Stellen Sie als Microsoft Entra-Administrator oder Microsoft Entra-Benutzer mit ausreichenden SQL-Berechtigungen zum Erstellen von Benutzern eine Verbindung mit SQL-Datenbank her, und führen Sie den folgenden Befehl für die Datenbank aus, in der der Gastbenutzer hinzugefügt werden soll:

   CREATE USER [<guest_user>] FROM EXTERNAL PROVIDER;
   

3. Es sollte jetzt ein Datenbankbenutzer für den Gastbenutzer erstellt worden sein.

4. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob der Datenbankbenutzer erfolgreich erstellt wurde:

   SELECT * FROM sys.database_principals;
   

5. Trennen Sie die Verbindung mit der Datenbank, und melden Sie sich bei der Datenbank als Gastbenutzer über SQL Server Management Studio (SSMS) mithilfe der Authentifizierungsmethode Azure Active Directory - universell mit MFA an. Weitere Informationen finden Sie unter Verwenden der Multi-Faktor-Authentifizierung von Microsoft Entra.

Verwaltete SQL-Instanz

Hinweis

SQL Managed Instance unterstützt Anmeldungen von Microsoft Entra Benutzern sowie von eingebetteten Microsoft Entra ID-Datenbankbenutzern. In den folgenden Schritten wird gezeigt, wie Sie eine Anmeldung und einen Benutzer für einen Microsoft Entra-Gastbenutzer in SQL Managed Instance erstellen. Sie können auch einen enthaltenen Datenbankbenutzer in einer SQL Managed Instance erstellen, indem Sie die Methode auf der Registerkarte SQL-Datenbank und Azure Synapse verwenden.

1. Stellen Sie sicher, dass der Gastbenutzer bereits zu Ihrem Microsoft Entra-Mandanten hinzugefügt wurde und ein Microsoft Entra-Administrator für die SQL Managed Instance festgelegt ist. Für die Microsoft Entra-Authentifizierung ist ein Microsoft Entra-Administrator erforderlich.

2. Stellen Sie als Microsoft Entra-Administrator oder Microsoft Entra-Benutzer mit ausreichenden SQL-Berechtigungen zum Erstellen von Benutzern eine Verbindung mit SQL Managed Instance her, und führen Sie den folgenden Befehl für die Datenbank master aus, um eine Anmeldung für den Gastbenutzer zu erstellen:

   CREATE LOGIN [<guest_user>] FROM EXTERNAL PROVIDER;
   

3. Es sollte jetzt eine Anmeldung für den Gastbenutzer in der master Datenbank erstellt worden sein.

4. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob die Anmeldung erfolgreich erstellt wurde:

   SELECT * FROM sys.server_principals;
   

5. Führen Sie den folgenden Befehl für die Datenbank aus, in der der Gastbenutzer hinzugefügt werden soll:

   CREATE USER [<guest_user>] FROM LOGIN [<guest_user>];
   

6. Es sollte jetzt ein Datenbankbenutzer für den Gastbenutzer erstellt worden sein.

7. Trennen Sie die Verbindung mit der Datenbank, und melden Sie sich bei der Datenbank als Gastbenutzer über SQL Server Management Studio (SSMS) mithilfe der Authentifizierungsmethode Azure Active Directory - universell mit MFA an. Weitere Informationen finden Sie unter Verwenden der Multi-Faktor-Authentifizierung von Microsoft Entra.

SQL Server

Hinweis

Verwenden Sie diesen Abschnitt, nachdem die Microsoft Entra-Authentifizierung für Ihren SQL Server auf Azure-VMs oder arcfähigem SQL Server aktiviert ist.

1. Stellen Sie sicher, dass die Microsoft Entra-Authentifizierung für sql Server aktiviert ist.

2. Stellen Sie sicher, dass der Gastbenutzer Ihrem Microsoft Entra-Mandanten bereits hinzugefügt wurde.

3. Stellen Sie sicher, dass die für die Aktivierung der Microsoft Entra-Authentifizierung ausgewählte verwaltete Identität entweder über die Rolle " Verzeichnisleser " oder über die folgenden Microsoft Graph-App-Rollen verfügt: "User.Read.All", "GroupMember.Read.All" und "Application.Read.All".

4. Stellen Sie eine Verbindung mit der SQL Server-Instanz als Microsoft Entra-Administrator (sysadmin) her.

5. Erstellen Sie den Gastbenutzer mithilfe einer der folgenden Optionen:

Option A: Erstellen Sie zuerst eine Anmeldung (Serverprinzipal), und erstellen Sie dann einen Datenbankbenutzer aus dieser Anmeldung.

-- Run in master
CREATE LOGIN [<guest_user>] FROM EXTERNAL PROVIDER;
GO

-- Run in the target user database
CREATE USER [<guest_user>] FROM LOGIN [<guest_user>];
GO

Option B: Erstellen eines enthaltenen Datenbankbenutzers (keine Serveranmeldung)

-- Run in the target user database
CREATE USER [<guest_user>] FROM EXTERNAL PROVIDER;
GO

Festlegen eines Gastbenutzers als Serveradministrator

Ersetzen Sie <guest_user> in diesem Abschnitt durch eine gültige E-Mail-Adresse, beispielsweise guest_user@example.com.

USE [master];
GO

-- Create the Microsoft Entra login for the guest user
CREATE LOGIN [<guest_user>] FROM EXTERNAL PROVIDER;
GO

-- Grant full server admin rights
ALTER SERVER ROLE [sysadmin] ADD MEMBER [<guest_user>];
GO

Hinweis

Wenn Sie möchten, dass Gastbenutzer andere Microsoft-Entra-Logins oder Benutzer erstellen können, müssen sie die Berechtigung haben, andere Identitäten im Microsoft-Entra-Verzeichnis zu lesen. Diese Berechtigung ist auf Verzeichnisebene konfiguriert. Weitere Informationen finden Sie unter Gastzugangsberechtigungen in Microsoft Entra ID.

Festlegen eines Gastbenutzers als Microsoft Entra-Administrator

Legen Sie den Microsoft Entra-Administrator mithilfe des Azure-Portals, mit Azure PowerShell oder mit der Azure CLI fest. Ersetzen Sie in diesem Abschnitt <guest_user> durch eine gültige E-Mail-Adresse, zum Beispiel guest_user@example.com.

Hinweis

Wenn Sie möchten, dass Gastbenutzer andere Microsoft-Entra-Logins oder Benutzer erstellen können, müssen sie die Berechtigung haben, andere Identitäten im Microsoft-Entra-Verzeichnis zu lesen. Diese Berechtigung ist auf Verzeichnisebene konfiguriert. Weitere Informationen finden Sie unter Gastzugangsberechtigungen in Microsoft Entra ID.

Azure-Portal

Führen Sie die folgenden Schritte aus, um einen Microsoft Entra-Administrator für einen logischen Server oder eine verwaltete Instanz über das Azure-Portal einzurichten:

1. Öffnen Sie das Azure-Portal.
2. Navigieren Sie auf der Microsoft Entra-Seite unter Einstellungen zu Ihrer SQL Server- oder verwalteten Instanzressource.
3. Wählen Sie Administrator festlegen aus, um den Bereich Microsoft Entra ID zu öffnen.
4. Geben Sie im Fenster Microsoft Entra ID den Kontonamen des Gastbenutzers ein.
5. Wählen Sie diesen neuen Benutzer aus, und speichern Sie den Vorgang dann.

Weitere Informationen finden Sie unter Festlegen eines Microsoft Entra-Administrators.

Azure PowerShell (SQL-Datenbank und Azure Synapse)

Führen Sie zum Einrichten eines Microsoft Entra-Gastbenutzers für einen logischen Server die folgenden Schritte aus:

1. Vergewissern Sie sich, dass der Gastbenutzer bereits Ihrem Microsoft Entra-Mandanten hinzugefügt wurde.

2. Führen Sie den folgenden PowerShell-Befehl aus, um den Gastbenutzer als Microsoft Entra-Administrator für Ihren logischen Server hinzuzufügen:

   • Ersetzen Sie <ResourceGroupName> durch den Namen Ihrer Azure-Ressourcengruppe, die den logischen Server enthält.
   • Ersetzen Sie <ServerName> durch den Namen Ihres logischen Servers. Wenn der Servername myserver.database.windows.net ist, ersetzen Sie <Server Name> durch myserver.
   • Ersetzen Sie <DisplayNameOfGuestUser> durch den Gastbenutzernamen.

   Set-AzSqlServerActiveDirectoryAdministrator -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DisplayName <DisplayNameOfGuestUser>
   

Sie können auch den Azure CLI-Befehl az sql server ad-admin verwenden, um den Gastbenutzer als Microsoft Entra-Administrator für Ihren logischen Server festzulegen.

Azure PowerShell (SQL Managed Instance)

Führen Sie zum Einrichten eines Microsoft Entra-Gastbenutzers für eine verwaltete Instanz die folgenden Schritte aus:

1. Vergewissern Sie sich, dass der Gastbenutzer bereits zu Ihrem Microsoft Entra-Mandanten hinzugefügt wurde.

2. Melden Sie sich beim Azure-Portal an, und wechseln Sie zur Microsoft Entra ID-Ressource. Navigieren Sie unter Verwalten zum Bereich Benutzer. Wählen Sie den Gastbenutzer aus, und notieren Sie die Object ID.

3. Führen Sie den folgenden PowerShell-Befehl aus, um den Gastbenutzer als Microsoft Entra-Administrator für SQL Managed Instance hinzuzufügen:

   • Ersetzen Sie <ResourceGroupName> durch den Namen Ihrer Azure-Ressourcengruppe, die SQL Managed Instance enthält.
   • Ersetzen Sie <ManagedInstanceName> durch den Namen Ihrer Instanz von SQL Managed Instance.
   • Ersetzen Sie <DisplayNameOfGuestUser> durch den Gastbenutzernamen.
   • Ersetzen Sie <AADObjectIDOfGuestUser> durch die zuvor gesammelte Object ID.

   Set-AzSqlInstanceActiveDirectoryAdministrator -ResourceGroupName <ResourceGroupName> -InstanceName "<ManagedInstanceName>" -DisplayName <DisplayNameOfGuestUser> -ObjectId <AADObjectIDOfGuestUser>
   

Sie können auch den Azure CLI-Befehl az sql mi ad-admin verwenden, um den Gastbenutzer als Microsoft Entra-Administrator für SQL Managed Instance festzulegen.

Zugehöriger Inhalt

• Konfigurieren und Verwalten der Microsoft Entra-Authentifizierung mit Azure SQL
• Verwenden der Multi-Faktor-Authentifizierung von Microsoft Entra
• BENUTZER ERSTELLEN (Transact-SQL)
• Microsoft Entra-Authentifizierung für Arc-fähige SQL Server
• Konfigurieren der Microsoft Entra-Authentifizierung für SQL Server auf virtuellen Azure-Computern