Membuat pengguna tamu Microsoft Entra dan mengaturnya sebagai admin Microsoft Entra

Berlaku untuk:Azure SQL DatabaseAzure SQL Managed Instance

Pengguna tamu dengan kolaborasi Microsoft Entra B2B adalah pengguna yang memiliki akun di organisasi Microsoft Entra eksternal atau penyedia identitas eksternal (misalnya, Outlook, Windows Live Mail, atau Gmail), yang tidak dikelola dalam penyewa Microsoft Entra Anda. Akun pengguna tamu dibuat ketika individu tersebut diundang untuk berkolaborasi dalam penyewa Anda, sambil tetap melakukan autentikasi terhadap penyedia identitas mereka.

Artikel ini menunjukkan cara membuat pengguna tamu Microsoft Entra dan mengatur pengguna tersebut sebagai admin Microsoft Entra untuk Azure SQL Managed Instance atau server logis di Azure yang digunakan oleh Azure SQL Database dan Azure Synapse Analytics.

Catatan

ID Microsoft Entra sebelumnya dikenal sebagai Azure Active Directory (Azure AD).

Deskripsi fitur

Dukungan Azure SQL Database, SQL Managed Instance, dan Azure Synapse Analytics membuat prinsipal dari akun pengguna tamu, baik secara langsung atau sebagai anggota grup Microsoft Entra dalam penyewa Anda. Pengguna tamu juga dapat ditetapkan sebagai admin Microsoft Entra untuk server logis atau instans terkelola.

Prasyarat

• Modul Az.Sql 2.9.0 atau yang lebih tinggi diperlukan saat menggunakan PowerShell untuk mengatur pengguna tamu sebagai admin Microsoft Entra untuk server logis atau instans terkelola.

Membuat pengguna database untuk pengguna tamu Microsoft Entra

Ikuti langkah-langkah ini untuk membuat pengguna database menggunakan pengguna tamu Microsoft Entra. Di bagian ini, ganti <guest_user> dengan alamat email yang valid, misalnya guest_user@example.com.

Membuat pengguna tamu di SQL Database dan Azure Synapse

1. Pastikan bahwa pengguna tamu sudah ditambahkan ke ID Microsoft Entra Anda dan admin Microsoft Entra telah diatur untuk server database. Memiliki admin Microsoft Entra diperlukan untuk autentikasi Microsoft Entra.

2. Koneksi ke database SQL sebagai admin Microsoft Entra, atau pengguna Microsoft Entra dengan izin SQL yang memadai untuk membuat pengguna, dan menjalankan perintah berikut pada database tempat pengguna tamu perlu ditambahkan:

   CREATE USER [<guest_user>] FROM EXTERNAL PROVIDER;
   

3. Sekarang telah tersedia pengguna database yang dibuat untuk pengguna tamu .

4. Jalankan perintah berikut untuk memverifikasi bahwa pengguna database berhasil dibuat:

   SELECT * FROM sys.database_principals;
   

5. Putuskan sambungan dan masuk ke database sebagai pengguna tamu menggunakan SQL Server Management Studio (SSMS) menggunakan metode autentikasi Azure Active Directory - Universal dengan MFA. Untuk informasi selengkapnya, lihat Menggunakan autentikasi multifaktor Microsoft Entra.

Membuat pengguna tamu di SQL Managed Instance

Catatan

SQL Managed Instance mendukung login untuk pengguna Microsoft Entra, serta pengguna database berisi ID Microsoft Entra. Langkah-langkah berikut menunjukkan cara membuat login dan pengguna untuk pengguna tamu Microsoft Entra di SQL Managed Instance. Anda juga dapat memilih untuk membuat pengguna database mandiri di SQL Managed Instance dengan menggunakan metode di bagian Buat pengguna tamu di SQL Database dan Azure Synapse.

1. Pastikan bahwa pengguna tamu sudah ditambahkan ke penyewa Microsoft Entra Anda dan admin Microsoft Entra telah ditetapkan untuk SQL Managed Instance. Memiliki admin Microsoft Entra diperlukan untuk autentikasi Microsoft Entra.

2. Koneksi ke SQL Managed Instance sebagai admin Microsoft Entra, atau pengguna Microsoft Entra dengan izin SQL yang memadai untuk membuat pengguna, dan menjalankan perintah berikut pada master database untuk membuat login bagi pengguna tamu:

   CREATE LOGIN [<guest_user>] FROM EXTERNAL PROVIDER;
   

3. Sekarang harus ada login yang dibuat untuk pengguna tamu dalam master database.

4. Jalankan perintah berikut untuk memverifikasi bahwa login berhasil dibuat:

   SELECT * FROM sys.server_principals;
   

5. Jalankan perintah berikut pada database tempat pengguna tamu perlu ditambahkan:

   CREATE USER [<guest_user>] FROM LOGIN [<guest_user>];
   

6. Sekarang telah tersedia pengguna database yang dibuat untuk pengguna tamu .

7. Putuskan sambungan dan masuk ke database sebagai pengguna tamu menggunakan SQL Server Management Studio (SSMS) menggunakan metode autentikasi Azure Active Directory - Universal dengan MFA. Untuk informasi selengkapnya, lihat Menggunakan autentikasi multifaktor Microsoft Entra.

Mengatur pengguna tamu sebagai admin Microsoft Entra

Atur admin Microsoft Entra menggunakan portal Azure, Azure PowerShell, atau Azure CLI. Di bagian ini, ganti <guest_user> dengan alamat email yang valid, misalnya guest_user@example.com.

Catatan

Jika Anda ingin pengguna tamu dapat membuat login atau pengguna Microsoft Entra lainnya, mereka harus memiliki izin untuk membaca identitas lain di direktori Microsoft Entra. Izin ini dikonfigurasi pada tingkat direktori. Untuk informasi selengkapnya, lihat izin akses tamu di ID Microsoft Entra.

Portal Azure

Untuk menyiapkan admin Microsoft Entra untuk server logis atau instans terkelola menggunakan portal Azure, ikuti langkah-langkah berikut:

1. Buka portal Microsoft Azure.
2. Navigasi ke server SQL atau halaman Microsoft Entra sumber daya instans terkelola Anda di bawah Pengaturan.
3. Pilih Atur admin untuk membuka panel ID Microsoft Entra.
4. Di panel ID Microsoft Entra, ketik nama akun pengguna tamu.
5. Pilih pengguna baru ini, lalu simpan operasi.

Untuk informasi selengkapnya, lihat Mengatur admin Microsoft Entra.

Azure PowerShell (SQL Database dan Azure Synapse)

Untuk menyiapkan pengguna tamu Microsoft Entra untuk server logis, ikuti langkah-langkah berikut:

1. Pastikan bahwa pengguna tamu sudah ditambahkan ke penyewa Microsoft Entra Anda.

2. Jalankan perintah PowerShell berikut untuk menambahkan pengguna tamu sebagai admin Microsoft Entra untuk server logis Anda:

   • Ganti <ResourceGroupName> dengan nama Grup Sumber Daya Azure yang berisi server logis.
   • Ganti <ServerName> dengan nama server logis SQL Anda. Jika nama server Anda adalah myserver.database.windows.net, ganti <Server Name> dengan myserver.
   • Ganti <DisplayNameOfGuestUser> dengan nama pengguna tamu Anda.

   Set-AzSqlServerActiveDirectoryAdministrator -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DisplayName <DisplayNameOfGuestUser>
   

Anda juga dapat menggunakan perintah Azure CLI az sql server ad-admin untuk mengatur pengguna tamu sebagai admin Microsoft Entra untuk server logis Anda.

Azure PowerShell (SQL Managed Instance)

Untuk menyiapkan pengguna tamu Microsoft Entra untuk instans terkelola, ikuti langkah-langkah berikut:

1. Pastikan bahwa pengguna tamu sudah ditambahkan ke penyewa Microsoft Entra Anda.

2. Buka portal Azure, dan buka sumber daya ID Microsoft Entra Anda. Di bawah Kelola, masuk ke panel Pengguna. Pilih pengguna tamu Anda, dan rekam Object ID.

3. Jalankan perintah PowerShell berikut untuk menambahkan pengguna tamu sebagai admin Microsoft Entra untuk SQL Managed Instance Anda:

   • Ganti <ResourceGroupName> dengan nama Azure Resource Group yang berisi SQL Managed Instance.
   • Ganti <ManagedInstanceName> dengan nama SQL Managed Instance Anda.
   • Ganti <DisplayNameOfGuestUser> dengan nama pengguna tamu Anda.
   • Ganti <AADObjectIDOfGuestUser> dengan Object ID yang dikumpulkan sebelumnya.

   Set-AzSqlInstanceActiveDirectoryAdministrator -ResourceGroupName <ResourceGroupName> -InstanceName "<ManagedInstanceName>" -DisplayName <DisplayNameOfGuestUser> -ObjectId <AADObjectIDOfGuestUser>
   

Anda juga dapat menggunakan perintah Azure CLI az sql mi ad-admin untuk mengatur pengguna tamu sebagai admin Microsoft Entra untuk instans terkelola Anda.

Konten terkait

• Mengonfigurasi dan mengelola autentikasi Microsoft Entra dengan Azure SQL
• Menggunakan autentikasi multifaktor Microsoft Entra
• CREATE USER (Transact-SQL)