Rol Lectores de directorio en Microsoft Entra ID para Azure SQL

  • Artículo

Se aplica a:Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics

Microsoft Entra ID (anteriormente Azure Active Directory) ha introducido el uso de grupos para administrar asignaciones de roles. Esto permite asignar roles de Microsoft Entra a los grupos.

Nota:

Con la compatibilidad de Microsoft Graph para Azure SQL, el rol Lectores de directorios se puede reemplazar con el uso de permisos de nivel inferior. Para más información, vea Identidad administrada asignada por el usuario en Microsoft Entra para Azure SQL.

Al habilitar una identidad administrada para Azure SQL Database, Azure SQL Managed Instance o Azure Synapse Analytics, el rol Lectores de directorio de Microsoft Entra ID puede estar asignado a la identidad para permitir el acceso de lectura a Microsoft Graph API. La identidad administrada de SQL Database y Azure Synapse se conoce como identidad del servidor. La identidad administrada de la Instancia administrada de SQL se conoce como identidad de la instancia administrada y se asigna automáticamente cuando se crea la instancia. Para más información sobre cómo asignar una identidad del servidor a SQL Database o Azure Synapse, consulte Habilitación de entidades de servicio para crear usuarios de Microsoft Entra.

El rol de lectores de directorios se puede usar como identidad de servidor o instancia para ayudar con lo siguiente:

  • Creación de inicios de sesión de Microsoft Entra para SQL Managed Instance
  • Suplantación de usuarios de Microsoft Entra en Azure SQL
  • Migración de usuarios de SQL Server que utilizan autenticación de Windows a SQL Managed Instance con autenticación de Microsoft Entra (mediante el comando ALTER USER (Transact-SQL))
  • Cambio del administrador de Microsoft Entra para SQL Managed Instance
  • Habilitación de entidades de servicio (aplicaciones) para crear usuarios de Microsoft Entra en Azure SQL

Nota:

Microsoft Entra ID era conocido anteriormente como Azure Active Directory (Azure AD).

Asignación del rol Lectores de directorios

Para asignar el rol Lectores de directorios a una identidad, se necesita un usuario con permisos Administrador global o Administrador de roles con privilegios. Es posible que los usuarios que administren o implementen SQL Database, Instancia administrada de SQL o Azure Synapse no tengan acceso a estos roles con privilegios elevados. Esto suele provocar complicaciones para los usuarios que crean recursos de Azure SQL no planeados o necesitan ayuda de miembros que tengan roles con privilegios elevados, que a menudo son inaccesibles en organizaciones de gran tamaño.

En el caso de SQL Managed Instance, el rol Lectores de directorio debe estar asignado a la identidad de la instancia administrada si desea configurar un administrador de Microsoft Entra para la instancia administrada.

No es necesario asignar el rol Lectores de directorio a la identidad del servidor para SQL Database o Azure Synapse al configurar un administrador de Microsoft Entra para el servidor lógico. Sin embargo, para habilitar la creación de un objeto de Microsoft Entra en SQL Database o Azure Synapse en nombre de una aplicación de Microsoft Entra, se requiere el rol Lectores de directorio. Si el rol no se asigna a la identidad del servidor lógico, se producirá un error al crear los usuarios de Microsoft Entra en Azure SQL. Para obtener más información, consulte Entidad de servicio de Microsoft Entra con Azure SQL.

Concesión del rol Lectores de directorio a un grupo de Microsoft Entra

Ya puede tener un administrador global o un administrador de roles con privilegios para crear un grupo de Microsoft Entra y asignar el permiso Lectores de directorio al grupo. Esto permitirá el acceso a Microsoft Graph API a los miembros de este grupo. Además, los usuarios de Microsoft Entra que sean propietarios de este grupo pueden asignar nuevos miembros a este grupo, incluidas las identidades de los servidores lógicos.

Esta solución todavía requiere un usuario con privilegios elevados (Administrador global o Administrador de roles con privilegios) para crear un grupo y asignar usuarios como una actividad de una sola vez, pero los propietarios de los grupos de Microsoft Entra podrán asignar miembros adicionales más adelante. Esto elimina la necesidad de implicar a un usuario con privilegios elevados en el futuro para configurar todas las instancias de SQL Database, SQL Managed Instance o los servidores de Azure Synapse en su inquilino de Microsoft Entra.

Pasos siguientes

Tutorial: Asignación del rol Lectores de directorio a un grupo de Microsoft Entra y administración de las asignaciones de roles