Autenticación solo de Microsoft Entra con Azure SQL

Se aplica a:Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics (solo grupos SQL dedicados)

La autenticación exclusiva de Microsoft Entra es una característica de Azure SQL que permite que el servicio solo admita la autenticación de Microsoft Entra, y es compatible con la base de datos de Azure SQL y Azure SQL Managed Instance.

Nota:

Microsoft Entra ID era conocido anteriormente como Azure Active Directory (Azure AD).

La autenticación solo con Microsoft Entra también está disponible para los grupos de SQL dedicados (antes SQL DW) en servidores independientes. Se puede habilitar la autenticación solo de Microsoft Entra para el área de trabajo de Azure Synapse. Para obtener más información, consulte Autenticación solo con Microsoft Entra con áreas de trabajo de Azure Synapse.

La autenticación de SQL se deshabilita al habilitar la autenticación solo de Microsoft Entra en el entorno de Azure SQL, incluidas las conexiones de administradores, inicios de sesión y usuarios de SQL Server. Solo los usuarios que usan la autenticación de Microsoft Entra están autorizados para conectarse al servidor o la base de datos.

La autenticación solo de Microsoft Entra se puede habilitar o deshabilitar mediante Azure Portal, la CLI de Azure, PowerShell o la API de REST. La autenticación solo de Microsoft Entra también se puede configurar durante la creación del servidor con una plantilla de Azure Resource Manager (ARM).

Para más información sobre la autenticación de Azure SQL, consulte Autenticación y autorización.

Descripción de la característica

Al habilitar la autenticación solo de Microsoft Entra, se deshabilita la autenticación de SQL en el nivel de servidor o instancia administrada y se impide cualquier autenticación basada en cualquier credencial de autenticación de SQL. Los usuarios con autenticación de SQL no podrán conectarse al servidor lógico de Azure SQL Database o de la instancia administrada, incluidas todas sus bases de datos. Aunque se deshabilita la autenticación de SQL, se pueden crear nuevos inicios de sesión y usuarios de autenticación de SQL mediante cuentas de Microsoft Entra con los permisos adecuados. Las cuentas con autenticación de SQL recién creadas no podrán conectarse al servidor. Al habilitar la autenticación de solo Microsoft Entra no se quitan las cuentas de usuario y los inicios de sesión con autenticación de SQL existentes. La característica solo impide que estas cuentas se conecten al servidor y a cualquier base de datos creada para este servidor.

También puede forzar la creación de servidores con la autenticación solo de Microsoft Entra habilitada mediante Azure Policy. Para más información, consulte Azure Policy para la autenticación solo de Microsoft Entra.

Permisos

Los usuarios de Microsoft Entra pueden habilitar o deshabilitar la autenticación solo de Microsoft Entra si son miembros de roles integrados de Microsoft Entra con privilegios elevados, como propietarios, colaboradores y administradores globales de suscripciones de Azure. Además, el rol Administrador de seguridad de SQL también puede habilitar o deshabilitar la característica de autenticación solo de Microsoft Entra.

Los roles Colaborador de SQL Server y Colaborador de SQL Managed Instance no tendrán permisos para habilitar o deshabilitar la característica de autenticación solo de Microsoft Entra. Esto es coherente con el enfoque de separación de tareas, en el que los usuarios que pueden crear un servidor de Azure SQL o crear un administrador de Microsoft Entra no pueden habilitar ni deshabilitar las características de seguridad.

Acciones requeridas

Se han agregado las siguientes acciones al rol Administrador de seguridad de SQL para permitir la administración de la característica de autenticación solo de Microsoft Entra.

• Microsoft.Sql/servers/azureADOnlyAuthentications/*
• Microsoft.Sql/servers/administrators/read: solo es necesario para los usuarios que acceden al menú de Microsoft Entra ID de Azure Portal.
• Microsoft.Sql/managedInstances/azureADOnlyAuthentications/*
• Microsoft.Sql/managedInstances/read

Las acciones anteriores también se pueden agregar a un rol personalizado para administrar la autenticación solo de Microsoft Entra. Para más información, consulte Crear y asignar un rol personalizado en Microsoft Entra ID.

Administración de la autenticación exclusiva de Microsoft Entra mediante API

Importante

El administrador de Microsoft Entra debe estar configurado antes de habilitar la autenticación exclusiva de Microsoft Entra.

CLI de Azure

La versión de la CLI de Azure debe ser la versión 2.14.2 o posterior.

name corresponde al prefijo del servidor o el nombre de instancia (por ejemplo, myserver), y resource-group corresponde al recurso al que pertenece el servidor (por ejemplo, myresource).

Azure SQL Database

Para más información, consulte az sql server ad-only-auth.

Habilitación o deshabilitación en SQL Database

Habilitación

az sql server ad-only-auth enable --resource-group myresource --name myserver

Deshabilitar

az sql server ad-only-auth disable --resource-group myresource --name myserver

Comprobación del estado en SQL Database

az sql server ad-only-auth get --resource-group myresource --name myserver

Instancia administrada de Azure SQL

Para más información, consulte az sql mi ad-only-auth.

Habilitación

az sql mi ad-only-auth enable --resource-group myresource --name myserver

Deshabilitar

az sql mi ad-only-auth disable --resource-group myresource --name myserver

Comprobación del estado en SQL Managed Instance

az sql mi ad-only-auth get --resource-group myresource --name myserver

PowerShell

Se requiere el módulo Az.Sql 2.10.0 o posterior.

ServerName o InstanceName corresponden al prefijo del nombre del servidor (por ejemplo, myserver o myinstance), y ResourceGroupName corresponde al recurso al que pertenece el servidor (por ejemplo, myresource).

Azure SQL Database

Habilitación o deshabilitación en SQL Database

Habilitar

Para más información, consulte Enable-AzSqlServerActiveDirectoryOnlyAuthentication. También puede ejecutar get-help Enable-AzSqlServerActiveDirectoryOnlyAuthentication -full.

Enable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName myserver -ResourceGroupName myresource

Además, puede utilizar el siguiente comando:

Get-AzSqlServer -ServerName myserver | Enable-AzSqlServerActiveDirectoryOnlyAuthentication

Deshabilitar

Para más información, consulte Disable-AzSqlServerActiveDirectoryOnlyAuthentication.

Disable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName myserver -ResourceGroupName myresource

Comprobación del estado en SQL Database

Get-AzSqlServerActiveDirectoryOnlyAuthentication  -ServerName myserver -ResourceGroupName myresource

Además, puede utilizar el siguiente comando:

Get-AzSqlServer -ServerName myserver | Get-AzSqlServerActiveDirectoryOnlyAuthentication

Instancia administrada de Azure SQL

Habilitación o deshabilitación en SQL Managed Instance

Habilitar

Para más información, consulte Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication.

Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName myinstance -ResourceGroupName myresource

Además, puede utilizar el siguiente comando:

Get-AzSqlInstance -InstanceName myinstance | Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication

Para más información sobre estos comandos de PowerShell, ejecute get-help Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -full.

Deshabilitar

Para más información, consulte Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication.

Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName myinstance -ResourceGroupName myresource

Comprobación del estado en SQL Managed Instance

Get-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName myinstance -ResourceGroupName myresource

Además, puede utilizar el siguiente comando:

Get-AzSqlInstance -InstanceName myinstance | Get-AzSqlInstanceActiveDirectoryOnlyAuthentication

REST API

Es necesario definir los parámetros siguientes:

• <subscriptionId> se puede encontrar en <subscriptionId> en Azure Portal.
• <myserver> corresponde al prefijo del servidor o el nombre de instancia (por ejemplo, myserver).
• <myresource> corresponde al recurso al que pertenece el servidor (por ejemplo, myresource).

Para usar la versión más reciente de MSAL, descárguela de https://www.powershellgallery.com/packages/MSAL.PS.

$subscriptionId = '<subscriptionId>'
$serverName = "<myserver>"
$resourceGroupName = "<myresource>"

Azure SQL Database

Para más información, consulte la documentación de la API REST sobre Autenticaciones solo de Azure AD de servidor.

Habilitación o deshabilitación en SQL Database

Habilitación

$body = @{ properties = @{ azureADOnlyAuthentication = 1 } } | ConvertTo-Json
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Deshabilitar

$body = @{ properties = @{ azureADOnlyAuthentication = 0 } } | ConvertTo-Json
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Comprobación del estado en SQL Database

Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method GET -Headers $authHeader  | Format-List

Instancia administrada de Azure SQL

Para más información, consulte la documentación de la API REST sobre Autenticaciones solo de Azure AD de Managed Instance.

Habilitación o deshabilitación en SQL Managed Instance

Habilitación

$body = @{   properties = @{  azureADOnlyAuthentication = 1 }  } | ConvertTo-Json 
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Deshabilitar

$body = @{   properties = @{  azureADOnlyAuthentication = 0 }  } | ConvertTo-Json 
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Comprobación del estado en SQL Managed Instance

Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method GET -Headers $authHeader  | Format-List

Plantilla de ARM

• Ingrese el administrador de Microsoft Entra para la implementación. Para encontrar el identificador del objeto de usuario, vaya a Azure Portal y vaya al recurso de Microsoft Entra ID.. En Administrar, seleccione Usuarios. Busque el usuario que desea establecer como administrador de Microsoft Entra ID para el servidor de Azure SQL. Seleccione el usuario y, en la página Perfil, verá el identificador de objeto.
• El identificador de cuenta empresarial puede encontrarse en la página de información general de su recurso Microsoft Entra ID.

Azure SQL Database

Habilitar

La siguiente Plantilla de ARM habilita la autenticación solo de Microsoft Entra en la Base de Datos de Azure SQL. Para deshabilitar la autenticación solo de Microsoft Entra, establezca la propiedad azureADOnlyAuthentication en false.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "sqlServer_name": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String"
        },
        "aad_admin_objectid": {
            "type": "String"
        },
        "aad_admin_tenantid": {
            "type": "String"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers/administrators",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('sqlServer_name'), '/ActiveDirectory')]",
            "properties": {
                "administratorType": "ActiveDirectory",
                "login": "[parameters('aad_admin_name')]",
                "sid": "[parameters('aad_admin_objectid')]",
                "tenantId": "[parameters('aad_admin_tenantId')]"
            }
        },        
        {
            "type": "Microsoft.Sql/servers/azureADOnlyAuthentications",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('sqlServer_name'), '/Default')]",
            "dependsOn": [
                "[resourceId('Microsoft.Sql/servers/administrators', parameters('sqlServer_name'), 'ActiveDirectory')]"
            ],
            "properties": {
                "azureADOnlyAuthentication": true
            }
        }
    ]
}

Para más información, consulte Microsoft.Sql servers/azureADOnlyAuthentications.

Instancia administrada de Azure SQL

Habilitar

La siguiente plantilla de ARM habilita la autenticación solo de Microsoft Entra en Azure SQL Managed Instance. Para deshabilitar la autenticación solo de Microsoft Entra, establezca la propiedad azureADOnlyAuthentication en false.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "instance": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String"
        },
        "aad_admin_objectid": {
            "type": "String"
        },
        "aad_admin_tenantid": {
            "type": "String"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/managedInstances/administrators",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('instance'), '/ActiveDirectory')]",
            "properties": {
                "administratorType": "ActiveDirectory",
                "login": "[parameters('aad_admin_name')]",
                "sid": "[parameters('aad_admin_objectid')]",
                "tenantId": "[parameters('aad_admin_tenantId')]"
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances/azureADOnlyAuthentications",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('instance'), '/Default')]",
            "dependsOn": [
                "[resourceId('Microsoft.Sql/managedInstances/administrators', parameters('instance'), 'ActiveDirectory')]"
            ],
            "properties": {
                "azureADOnlyAuthentication": true
            }
        }
    ]
}

Para más información, consulte Microsoft.Sql managedInstances/azureADOnlyAuthentications.

Comprobación de la autenticación solo de Microsoft Entra mediante T-SQL

Se ha agregado SEVERPROPERTYIsExternalAuthenticationOnly para comprobar si la autenticación solo de Microsoft Entra está habilitada para el servidor o la instancia administrada. 1 indica que la característica está habilitada y 0 representa que la característica está deshabilitada.

SELECT SERVERPROPERTY('IsExternalAuthenticationOnly') 

Comentarios

• Un colaborador de SQL Server puede establecer o eliminar un administrador de Microsoft Entra, pero no puede establecer la configuración de solo autenticación de Microsoft Entra. El Administrador de seguridad de SQL no puede establecer o eliminar un administrador de Microsoft Entra, pero puede establecer la configuración de solo autenticación de Microsoft Entra. Solo las cuentas con roles de RBAC de Azure superiores o roles personalizados que contengan ambos permisos pueden establecer o quitar un administrador de Microsoft Entra y establecer la configuración de autenticación solo de Microsoft Entra. Uno de estos roles es el rol Colaborador.
• Después de habilitar o deshabilitar la autenticación solo de Microsoft Entra en Azure Portal, se puede ver una entrada del registro de actividad en el menú del SQL Server.
• La autenticación solo de Microsoft Entra solo la pueden habilitar o deshabilitar los usuarios con los permisos adecuados si se especifica el administrador de Microsoft Entra. Si el administrador de Microsoft Entra no está configurado, la configuración de solo autenticación de Microsoft Entra permanece inactiva y no se puede habilitar ni deshabilitar. El uso de las API para habilitar la autenticación exclusiva de Microsoft Entra también dará error si no se ha configurado el administrador de Microsoft Entra.
• El cambio de un administrador de Microsoft Entra cuando está habilitada la autenticación exclusiva de Microsoft Entra es compatible para los usuarios con los permisos adecuados.
• El cambio de un administrador de Microsoft Entra y la habilitación o deshabilitación de la autenticación solo de Microsoft Entra se permite en Azure Portal para los usuarios con los permisos adecuados. Ambas operaciones se pueden completar con una operación Guardar en Azure Portal. El administrador de Microsoft Entra tiene que estar configurado para habilitar la autenticación exclusiva de Microsoft Entra.
• No se admite la eliminación de un administrador de Microsoft Entra cuando está habilitada la característica de autenticación solo de Microsoft Entra. El uso de una API para eliminar un administrador de Microsoft Entra dará error si está activada la autenticación solo de Microsoft Entra.
  • Si la configuración de autenticación solo de Microsoft Entra está habilitada, el botón Quitar administrador está inactivo en Azure Portal.
• Se permite quitar un administrador de Microsoft Entra y deshabilitar la configuración de autenticación solo de Microsoft Entra, pero requiere el permiso de usuario adecuado para completar las operaciones. Ambas operaciones se pueden completar con una operación Guardar en Azure Portal.
• Los usuarios de Microsoft Entra con los permisos adecuados pueden suplantar a los usuarios de SQL existentes.
  • La suplantación sigue funcionando entre los usuarios con autenticación de SQL, incluso cuando la característica de autenticación solo de Microsoft Entra está habilitada.

Limitaciones de la autenticación solo de Microsoft Entra en SQL Database

Cuando la autenticación solo de Microsoft Entra está habilitada para SQL Database, no se admiten las siguientes características:

• Los roles de servidor de Azure SQL Database son compatibles con entidad de seguridad de servidor de Microsoft Entra, pero no si el inicio de sesión de Microsoft Entra es un grupo.
• Trabajos elásticos
• SQL Data Sync
• Captura de datos modificados (CDC): si crea una base de datos en Azure SQL Database como usuario de Microsoft Entra y habilita en ella la captura de datos modificados, un usuario de SQL no podrá deshabilitar ni realizar cambios en los artefactos de CDC. Aun así, otro usuario de Microsoft Entra podrá habilitar o deshabilitar CDC en la misma base de datos. De forma similar, si crea una instancia de Azure SQL Database como usuario de SQL, la habilitación o deshabilitación de CDC como usuario de Microsoft Entra no funcionará.
• Replicación transaccional: dado que se requiere la autenticación de SQL para la conectividad entre los participantes de la replicación, cuando se habilita la autenticación solo de Microsoft Entra, la replicación transaccional no se admite para SQL Database en escenarios en los que la replicación transaccional se usa para insertar los cambios realizados en Azure SQL Managed Instance, SQL Server en el entorno local o una instancia de SQL Server de una máquina virtual de Azure en una base de datos de Azure SQL Database
• SQL Insights (versión preliminar)
• Instrucción EXEC AS para las cuentas de miembros de un grupo de Microsoft Entra

Limitaciones de la autenticación solo de Microsoft Entra en Instancia administrada

Cuando la autenticación solo de Microsoft Entra está habilitada para Instancia administrada, no se admiten las siguientes características:

• Replicación transaccional
• Los trabajos del Agente SQL en Instancia administrada admiten la autenticación solo de Microsoft Entra. Sin embargo, el usuario de Microsoft Entra que sea miembro de un grupo de Microsoft Entra que tenga acceso a la instancia administrada no puede ser propietario de los trabajos del Agente SQL.
• SQL Insights (versión preliminar)
• Instrucción EXEC AS para las cuentas de miembros de un grupo de Microsoft Entra

Para obtener más información sobre las limitaciones, consulte Diferencias de T-SQL entre SQL Server y Azure SQL Managed Instance.

Pasos siguientes

Tutorial: Habilitar la autenticación solo de Microsoft Entra con Azure SQL

Creación de un servidor con la autenticación solo de Microsoft Entra habilitada en Azure SQL