Creación de usuarios invitados de Microsoft Entra y establecimiento como administrador de Microsoft Entra

Se aplica a:Azure SQL DatabaseAzure SQL Managed Instance

Los usuarios invitados con la colaboración B2B de Microsoft Entra son usuarios que tienen cuentas en una organización externa de Microsoft Entra o un proveedor de identidades externo (por ejemplo, Outlook, Windows Live Mail, o Gmail), que no se administra en el inquilino de Microsoft Entra. Las cuentas de usuario invitado se crean cuando se invita a los usuarios a colaborar en el inquilino, mientras siguen realizando la autenticación en su proveedor de identidades.

En este artículo se muestra cómo crear un usuario invitado de Microsoft Entra y cómo establecerlo como administrador de Microsoft Entra para Azure SQL Managed Instance o el servidor lógico de Azure que usa Azure SQL Database y Azure Synapse Analytics.

Nota:

Microsoft Entra ID era conocido anteriormente como Azure Active Directory (Azure AD).

Descripción de la característica

Azure SQL Database, SQL Managed Instance y Azure Synapse Analytics admiten la creación de entidades de seguridad a partir de cuentas de usuario invitado, ya sea directamente o como miembros de grupos de Microsoft Entra dentro del inquilino. Los usuarios invitados también se pueden establecer como administradores de Microsoft Entra para el servidor lógico o la instancia administrada.

Requisitos previos

• Si se utiliza PowerShell para configurar un usuario invitado como administrador de Microsoft Entra para el servidor lógico o la instancia administrada, se necesita el módulo Az.Sql 2.9.0 o una versión posterior.

Creación de un usuario de base de datos para el usuario invitado de Microsoft Entra

Siga estos pasos para crear un usuario de base de datos que se utilice como usuario invitado de Microsoft Entra. En esta sección, reemplaza <guest_user> por una dirección de correo electrónico válida, por ejemplo guest_user@example.com.

Creación de un usuario invitado en Azure SQL Database y Azure Synapse

1. Asegúrate de que el usuario invitado ya esté agregado en Microsoft Entra ID y de que se haya configurado un administrador de Microsoft Entra para el servidor de bases de datos. Es necesario tener un administrador de Microsoft Entra para la autenticación de Microsoft Entra.

2. Conéctate a SQL Database como administrador de Microsoft Entra o como un usuario de Microsoft Entra con permisos de SQL suficientes como para crear usuarios y ejecuta el comando siguiente en la base de datos en la que debe agregarse el usuario invitado:

   CREATE USER [<guest_user>] FROM EXTERNAL PROVIDER;
   

3. Ahora debería haber un usuario de base de datos para el usuario invitado .

4. Ejecuta el comando siguiente para comprobar si el usuario de base de datos se creó correctamente:

   SELECT * FROM sys.database_principals;
   

5. Desconéctate de la base de datos e inicia sesión de nuevo como el usuario invitado mediante SQL Server Management Studio (SSMS) con el método de autenticación Azure Active Directory - Universal con MFA. Para más información, consulte Uso de la autenticación multifactor de Microsoft Entra.

Creación de un usuario invitado en Azure SQL Managed Instance

Nota:

SQL Managed Instance admite los inicios de sesión de usuarios de Microsoft Entra, así como de los usuarios de base de datos independiente de Microsoft Entra. El procedimiento siguiente permite crear un inicio de sesión y un usuario para un usuario invitado de Microsoft Entra en SQL Managed Instance. Si lo desea, también puede crear un usuario de base de datos independiente en Azure SQL Managed Instance siguiendo el método que se describe en la sección Creación de un usuario invitado en Azure SQL Database y Azure Synapse.

1. Asegúrate de que el usuario invitado ya esté agregado en Microsoft Entra y de que se haya configurado un administrador de Microsoft Entra para SQL Managed Instance. Es necesario tener un administrador de Microsoft Entra para la autenticación de Microsoft Entra.

2. Conéctate al servidor de SQL Managed Instance como administrador de Microsoft Entra o como un usuario de Microsoft Entra con permisos de SQL suficientes para crear usuarios y ejecuta el comando siguiente en la base de datos master, con lo que crearás un inicio de sesión para el usuario invitado:

   CREATE LOGIN [<guest_user>] FROM EXTERNAL PROVIDER;
   

3. Ahora debería haber un usuario de base de datos para el usuario invitado en la base de datos master.

4. Ejecuta el comando siguiente para comprobar si el inicio de sesión se creó correctamente:

   SELECT * FROM sys.server_principals;
   

5. Ejecuta el comando siguiente en la base de datos en la que debe agregarse el usuario invitado:

   CREATE USER [<guest_user>] FROM LOGIN [<guest_user>];
   

6. Ahora debería haber un usuario de base de datos para el usuario invitado .

7. Desconéctate de la base de datos e inicia sesión de nuevo como el usuario invitado mediante SQL Server Management Studio (SSMS) con el método de autenticación Azure Active Directory - Universal con MFA. Para más información, consulte Uso de la autenticación multifactor de Microsoft Entra.

Establecimiento de un usuario invitado como administrador de Microsoft Entra

Establezca el administrador de Microsoft Entra mediante Azure Portal, Azure PowerShell o la CLI de Azure. En esta sección, reemplaza <guest_user> por una dirección de correo electrónico válida, por ejemplo guest_user@example.com.

Nota:

Si desea que los usuarios invitados puedan crear otros inicios de sesión o usuarios de Microsoft Entra, deben tener permisos para leer otras identidades en el directorio Microsoft Entra. Este permiso se configura en el nivel de directorio. Para obtener más información, consulte Permisos de acceso de usuarios invitados en Microsoft Entra ID.

Azure portal

Para configurar un administrador de Microsoft Entra para un servidor lógico o una instancia administrada mediante Azure Portal, sigue estos pasos:

1. Abra Azure Portal.
2. Vaya a la página de Microsoft Entra del recurso de instancia administrada o SQL Server en Configuración.
3. Seleccione Establecer administrador para abrir el panel Microsoft Entra ID.
4. En el panel Microsoft Entra ID escribe el nombre de la cuenta de usuario invitado.
5. Seleccione este nuevo usuario y guarde la operación.

Para obtener más información, consulte Establecimiento de un administrador de Microsoft Entra.

Azure PowerShell (SQL Database y Azure Synapse)

Para configurar un usuario invitado de Microsoft Entra para un servidor lógico, sigue estos pasos:

1. Asegúrate de que el usuario invitado ya se haya agregado al inquilino de Microsoft Entra.

2. Ejecute el siguiente comando de PowerShell para agregar el usuario invitado como administrador de Microsoft Entra en el servidor lógico:

   • Sustituya <ResourceGroupName> por el nombre del grupo de recursos de Azure que contiene el servidor lógico.
   • Reemplace <ServerName> por el nombre del servidor lógico. Si el nombre del servidor es myserver.database.windows.net, sustituya <Server Name> por myserver.
   • Sustituya <DisplayNameOfGuestUser> por el nombre del usuario invitado.

   Set-AzSqlServerActiveDirectoryAdministrator -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DisplayName <DisplayNameOfGuestUser>
   

También puede usar el comando az sql server ad-admin de la CLI de Azure para establecer el usuario invitado como un administrador de Microsoft Entra en el servidor lógico.

Azure PowerShell (SQL Managed Instance)

Para configurar un usuario invitado de Microsoft Entra para una instancia administrada, sigue estos pasos:

1. Asegúrate de que el usuario invitado ya se haya agregado al inquilino de Microsoft Entra.

2. Vaya a Azure Portal y vaya al recurso de Microsoft Entra ID. En Administrar, vaya al panel Usuarios. Seleccione el usuario invitado y anote el valor de Object ID.

3. Ejecute el siguiente comando de PowerShell para agregar el usuario invitado como administrador de Microsoft Entra en SQL Managed Instance:

   • Sustituya <ResourceGroupName> por el nombre del grupo de recursos de Azure que contiene la instancia de Azure SQL Managed Instance.
   • Sustituya <ManagedInstanceName> por el nombre de la instancia de Azure SQL Managed Instance.
   • Sustituya <DisplayNameOfGuestUser> por el nombre del usuario invitado.
   • Sustituya <AADObjectIDOfGuestUser> por el valor de Object ID que anotó anteriormente.

   Set-AzSqlInstanceActiveDirectoryAdministrator -ResourceGroupName <ResourceGroupName> -InstanceName "<ManagedInstanceName>" -DisplayName <DisplayNameOfGuestUser> -ObjectId <AADObjectIDOfGuestUser>
   

También puede usar el comando az sql server ad-admin de la CLI de Azure para establecer el usuario invitado como administrador de Microsoft Entra en la instancia administrada.

Contenido relacionado

• Configurar y administrar la autenticación de Microsoft Entra con Azure SQL
• Uso de la autenticación multifactor de Microsoft Entra
• CREATE USER (Transact-SQL)