다음을 통해 공유


Azure SQL로 Microsoft Entra 인증 구성 및 관리

적용 대상: Azure SQL 데이터베이스 Azure SQL Managed Instance Azure Synapse Analytics

이 문서에서는 Azure SQL 데이터베이스, Azure SQL Managed InstanceAzure Synapse Analytics에서 인증에 Microsoft Entra ID를 사용하는 방법을 보여 줍니다.

참고 항목

Microsoft Entra ID는 이전에 Azure Active Directory(Azure AD)로 알려졌습니다.

또는 Azure 가상 머신의 SQL Server에 대한 Microsoft Entra 인증을 구성할 수도 있습니다.

필수 조건

Azure SQL 리소스에 Microsoft Entra 인증을 사용하려면 다음 사전 요구 사항이 필요합니다:

Microsoft Entra 테넌트 만들기 및 채우기

Azure SQL 리소스에 대한 Microsoft Entra 인증을 구성하려면 Microsoft Entra 테넌트를 만들고 사용자 및 그룹으로 채워야 합니다. Microsoft Entra 테넌트는 Azure 내에서 전적으로 관리되거나 온-프레미스 Active Directory Domain Service의 페더레이션에 사용할 수 있습니다.

자세한 내용은 다음을 참조하세요.

Microsoft Entra 관리자 설정

리소스에서 Microsoft Entra 인증을 사용하려면 Microsoft Entra 관리자가 설정되어 있어야 합니다. 개념적으로 단계는 Azure SQL Database, Azure Synapse Analytics 및 Azure SQL Managed Instance에 대해 동일하지만 이 섹션에서는 제품별로 수행할 다양한 API 및 포털 환경을 자세히 설명합니다.

Azure SQL 리소스를 만들 때 Microsoft Entra 관리자를 구성할 수도 있습니다. Microsoft Entra 관리자가 이미 구성된 경우 이 섹션을 건너뜁니다.

Azure SQL Database 및 Azure Synapse Analytics

Microsoft Entra 관리자를 설정하면 Azure SQL Database 및 Azure Synapse Analytics에 대한 논리 서버에 대한 Microsoft Entra 인증이 가능합니다. Azure Portal, PowerShell, Azure CLI 또는 REST API를 사용하여 서버에 대한 Microsoft Entra 관리자를 설정할 수 있습니다.

Azure Portal에서 논리 서버 이름을 찾을 수 있습니다.

  • Azure SQL 데이터베이스의 개요 페이지의 서버 이름 필드에 서버 이름을 입력합니다.
  • Azure Synapse Analytics의 독립 실행형 전용 SQL 풀 개요 페이지의 서버 이름 필드에 있습니다.
  • Azure Synapse Analytics 작업 영역의 개요 페이지에 있는 관련 SQL 엔드포인트에서.

Azure Portal에서 논리 서버에 대한 Microsoft Entra 관리자를 설정하려면 다음 단계를 수행합니다.

  1. Azure Portal 디렉터리 + 구독 창에서 Azure SQL 리소스를 포함하는 디렉터리를 현재 디렉터리로 선택합니다.

  2. SQL 서버를 검색한 다음 데이터베이스 리소스에 대한 논리 서버를 선택하여 SQL 서버 창을 엽니다.

    SQL 서버를 검색하고 선택하는 방법을 보여주는 스크린샷.

  3. 논리 서버의 SQL Server 창에서 설정에서 Microsoft Entra ID를 선택하여 Microsoft Entra ID 창을 엽니다.

  4. Microsoft Entra 관리자 창의 탐색 모음에서 관리 설정을 선택하여 Microsoft Entra ID 창을 엽니다.

    스크린샷은 SQL 서버에 대한 Microsoft Entra 관리자를 설정하는 옵션을 보여줍니다.

  5. Microsoft Entra ID 창에는 현재 디렉터리의 모든 사용자, 그룹 및 애플리케이션이 표시되며 이름, 별칭 또는 ID로 검색할 수 있습니다. Microsoft Entra 관리자에 대해 원하는 ID를 찾아 선택한 다음 선택을 클릭하여 창을 닫습니다.

  6. 논리 서버의 Microsoft Entra ID 페이지 맨 위에서 저장을 선택합니다.

    스크린샷은 Microsoft Entra 관리자를 저장하는 옵션을 보여줍니다.

    Microsoft Entra 사용자 및 그룹의 경우 관리자 이름 옆에 개체 ID가 표시됩니다. 애플리케이션(서비스 주체)의 경우 애플리케이션 ID가 표시됩니다.

관리자를 변경하는 데는 몇 분이 걸릴 수 있습니다. 작업이 완료되면 새 관리자가 Microsoft Entra 관리 필드에 나타납니다.

관리자를 제거하려면 Microsoft Entra ID 페이지 위쪽에서 관리자 제거를 선택한 다음, 저장을 선택합니다. Microsoft Entra 관리자를 제거하면 논리 서버에 대한 Microsoft Entra 인증이 비활성화됩니다.

참고 항목

Microsoft Entra 관리자는 서버의 master 데이터베이스에 사용자(데이터베이스 보안 주체)로 저장됩니다. 데이터베이스 보안 주체 이름은 고유해야 하므로 관리자의 표시 이름은 서버 master 데이터베이스에 있는 사용자의 이름과 같을 수 없습니다. 이름이 이미 있는 사용자가 있으면 Microsoft Entra 관리자 설정이 실패하고 롤백되어 이름이 이미 사용 중임을 나타냅니다.

Azure SQL Managed Instance

Microsoft Entra 관리자를 설정하면 Azure SQL Managed Instance에 대한 Microsoft Entra 인증이 가능합니다. Azure Portal, PowerShell, Azure CLI 또는 REST API를 사용하여 SQL 관리형 인스턴스에 대한 Microsoft Entra 관리자를 설정할 수 있습니다.

Azure 포털을 사용하여 SQL 관리형 인스턴스 읽기 권한을 Microsoft Entra ID에 부여하려면 전역 관리자 또는 권한 있는 역할 관리자로 로그인하고 다음 단계를 따르세요:

  1. Azure Portal의 오른쪽 위 모서리에서 계정을 선택한 다음, 디렉터리 전환을 선택하여 현재 디렉터리를 확인합니다. 필요한 경우 디렉터리를 전환합니다.

    디렉터리 전환 위치를 보여 주는 Azure Portal의 스크린샷.

  2. Azure Portal 디렉터리 + 구독 창에서 관리형 인스턴스를 포함하는 디렉터리를 현재 디렉터리로 선택합니다.```

  3. SQL 관리형 인스턴스를 검색한 다음, 관리되는 인스턴스를 선택하여 SQL 관리형 인스턴스 창을 엽니다. 그런 다음 설정에서 Microsoft Entra ID를 선택하여 인스턴스에 대한 Microsoft Entra ID 창을 엽니다.

    선택한 SQL Managed Instance에 대해 열려 있는 Microsoft Entra 관리 페이지를 보여주는 Azure Portal의 스크린샷.

  4. Microsoft Entra 관리자 창의 탐색 모음에서 관리자 설정을 선택하여 Microsoft Entra ID 창을 엽니다.

    선택한 SQL Managed Instance에 대한 Microsoft Entra 관리 페이지에서 강조 표시된 관리자 설정 명령을 보여주는 스크린샷.

  5. Microsoft Entra ID 창에서 사용자를 검색하고 사용자 또는 그룹 옆에 있는 박스를 체크하여 관리자로 선택한 다음 선택을 눌러 창을 닫고 Managed Instance에 대한 Microsoft Entra 관리자 페이지로 돌아갑니다.

    Microsoft Entra ID 창에는 현재 디렉터리 내의 모든 멤버와 그룹이 표시됩니다. 회색으로 표시된 사용자나 그룹은 Microsoft Entra 관리자로 지원되지 않기 때문에 선택할 수 없습니다. 관리자로 지정할 식별자를 선택합니다.

  6. Managed Instance에 대한 Microsoft Entra 관리자 페이지의 탐색 모음에서 저장을 선택하여 Microsoft Entra 관리자를 확인합니다.

    관리자 설정 및 관리자 제거 버튼 옆의 맨 윗줄에 저장 버튼이 있는 Microsoft Entra 관리자 페이지의 스크린샷.

    관리자 변경 작업이 완료되면 새 관리자가 Microsoft Entra 관리 필드에 표시됩니다.

    Microsoft Entra 사용자 및 그룹의 경우 관리자 이름 옆에 개체 ID가 표시됩니다. 애플리케이션(서비스 주체)의 경우 애플리케이션 ID가 표시됩니다.

관리자를 제거하려면 Microsoft Entra ID 페이지 상단에서 관리자 제거를 선택한 다음 저장을 선택합니다.

Microsoft Graph 사용 권한 할당

보안 그룹 멤버십을 통해 연결하는 사용자에게 권한을 부여하고 새 사용자를 만드는 등의 시나리오를 위해 SQL Managed Instance에 Microsoft Entra ID를 읽을 수 있는 권한이 필요합니다. Microsoft Entra 인증이 작동하려면 관리되는 인스턴스 ID를 디렉터리 읽기 권한자 역할에 할당해야 합니다. 이 작업은 Azure Portal 또는 PowerShell을 사용하여 수행할 수 있습니다.

일부 작업의 경우 Azure SQL Database 및 Azure Synapse Analytics에도 Microsoft Graph 사용 권한에 설명된 Microsoft Graph를 쿼리할 수 있는 권한이 필요합니다. Azure SQL Database 및 Azure Synapse Analytics는 이러한 시나리오에 대한 세분화된 그래프 권한을 지원하는 반면 SQL Managed Instance에는 디렉터리 읽기 권한자 역할이 필요합니다. 세분화된 권한 및 해당 권한의 할당은 서비스 주체가 Microsoft Entra 사용자를 만들 수 있도록 설정에 자세히 설명되어 있습니다.

디렉터리 읽기 권한자 역할

Azure Portal의 SQL Managed Instance에 대한 Microsoft Entra ID 페이지에는 인스턴스에 디렉터리 읽기 권한자 권한이 할당되지 않은 경우 편리한 배너가 표시됩니다.

  1. Microsoft Entra ID 페이지 맨 위에 있는 배너를 선택하고 인스턴스를 나타내는 시스템 할당 또는 사용자 할당 관리 ID에 권한을 부여합니다. 테넌트의 글로벌 관리자 또는 권한 있는 역할 관리자만 이 작업을 수행할 수 있습니다.

    권한 부여 버튼을 선택한 상태에서 Microsoft Entra ID에 액세스하기 위해 SQL Managed Instance에 권한을 부여하는 대화 상자의 스크린샷.

  2. 작업이 성공하면 오른쪽 위 모서리에 성공 알림이 표시됩니다.

    관리 인스턴스에 대한 Microsoft Entra ID 읽기 권한이 성공적으로 업데이트되었음을 확인하는 알림의 스크린샷.

이제 Microsoft Entra 관리자를 사용하여 Microsoft Entra 서버 보안 주체(로그인) 및 데이터베이스 보안 주체(사용자)를 만들 수 있습니다. 자세한 내용은 Microsoft Entra와 Azure SQL Managed Instance 통합을 참조하세요.

SQL에서 Microsoft Entra 보안 주체 만들기

Microsoft Entra 인증을 사용하여 SQL Database 또는 Azure Synapse Analytics의 데이터베이스에 연결하려면 최소한 CONNECT 권한이 있는 해당 ID 에 대한 데이터베이스에서 보안 주체를 구성해야 합니다.

데이터베이스 사용자 권한

데이터베이스 사용자가 만들어지면 기본적으로 데이터베이스에 대한 CONNECT 권한을 받습니다. 또한 데이터베이스 사용자는 다음 두 가지 상황에서 사용 권한을 상속합니다.

  • 사용자가 서버에 대한 사용 권한도 할당된 Microsoft Entra 그룹의 구성원인 경우
  • 사용자가 로그인에서 만들어진 경우 데이터베이스에 적용할 수 있는 로그인의 서버 할당 권한을 상속합니다.

서버 및 데이터베이스 보안 주체에 대한 권한 관리는 보안 주체 유형(Microsoft Entra ID, SQL 인증 등)에 관계없이 동일하게 작동합니다. 사용자에게 권한을 직접 부여하는 대신 데이터베이스 역할에 권한을 부여하는 것이 좋습니다. 그런 다음 적절한 권한이 있는 역할에 사용자를 추가할 수 있습니다. 이렇게 하면 장기 권한 관리가 간소화되고 적절한 경우 ID가 액세스 권한을 유지할 가능성이 줄어듭니다.

자세한 내용은 다음을 참조하세요.

포함된 데이터베이스 사용자

포함된 데이터베이스 사용자는 master 데이터베이스의 로그인에 연결되지 않은 SQL 사용자 유형입니다. Microsoft Entra가 포함된 데이터베이스 사용자를 만들려면 최소한 ALTER ANY USER 권한이 있는 Microsoft Entra ID로 데이터베이스에 연결합니다. 다음 T-SQL 예제에서는 Microsoft Entra ID에서 데이터베이스 주체 Microsoft_Entra_principal_name를 만듭니다.

CREATE USER [<Microsoft_Entra_principal_name>] FROM EXTERNAL PROVIDER;

Microsoft Entra 그룹에 대해 포함된 데이터베이스 사용자를 만들려면 그룹의 표시 이름을 입력합니다:

CREATE USER [ICU Nurses] FROM EXTERNAL PROVIDER;

관리 ID 또는 서비스 주체에 대해 포함된 데이터베이스 사용자를 만들려면 ID의 표시 이름을 입력합니다.

CREATE USER [appName] FROM EXTERNAL PROVIDER;

Microsoft Entra 사용자에 대해 포함된 데이터베이스 사용자를 만들려면 ID의 사용자 계정 이름을 입력합니다.

CREATE USER [adrian@contoso.com] FROM EXTERNAL PROVIDER;

로그인 기반 사용자

참고 항목

Microsoft Entra 서버 주체(로그인)는 현재 Azure SQL 데이터베이스 및 Azure Synapse Analytics에 대한 공개 미리 보기로 제공됩니다. Microsoft Entra 로그인은 일반적으로 Azure SQL Managed Instance 및 SQL Server 2022에서 사용할 수 있습니다.

Microsoft Entra 서버 보안 주체(또는 로그인) 가 지원되므로 포함된 데이터베이스 사용자가 필요하지 않습니다. 데이터베이스 보안 주체(사용자)는 서버 보안 주체를 기반으로 만들 수 있습니다. 즉, Microsoft Entra 사용자는 로그인의 서버 수준 할당 권한을 상속할 수 있습니다.

CREATE USER [appName] FROM LOGIN [appName];

자세한 내용은 SQL Managed Instance 개요를 참조하세요. Microsoft Entra 서버 주체(로그인)를 만드는 구문은 CREATE LOGIN을 참조하세요.

외부 사용자

Azure 구독과 연결된 것과 다른 Microsoft Entra 테넌트에서 관리되는 ID에 대한 데이터베이스 사용자를 직접 만들 수 없습니다. 그러나 다른 디렉터리의 사용자를 외부 사용자로 연결된 디렉터리로 가져올 수 있습니다. 그런 다음 Database에 액세스할 수 있는 포함된 데이터베이스 사용자를 만드는 데 사용할 수 있습니다. 외부 사용자도 Microsoft Entra 그룹의 멤버십을 통해 액세스 권한을 얻을 수 있습니다.

예시: Microsoft Entra 페더레이션 또는 관리되는 도메인 사용자를 대표하는 포함된 데이터베이스 사용자를 만드는 방법

CREATE USER [alice@fabrikam.com] FROM EXTERNAL PROVIDER;

관리되는 도메인에 외부 사용자로 가져온 페더레이션된 도메인 사용자 계정은 관리되는 도메인 ID를 사용해야 합니다.

리소스 명명 고려 사항

CREATE LOGINCREATE USER T-SQL 문에 사용자 이름으로 포함된 콜론(:) 또는 앰퍼샌드(&)와 같은 특수 문자는 지원되지 않습니다.

Microsoft Entra ID 및 Azure SQL은 사용자 관리 디자인에서 한 가지 주요 방식으로 구분됩니다. Microsoft Entra ID를 사용하면 테넌트 내에서 표시 이름을 복제할 수 있지만, Azure SQL에서는 서버 또는 인스턴스의 모든 서버 보안 주체와 데이터베이스의 모든 데이터베이스 보안 주체에 고유한 이름이 있어야 합니다. Azure SQL은 보안 주체를 만들 때 ID의 Microsoft Entra 표시 이름을 직접 사용하므로 사용자를 만들 때 오류가 발생할 수 있습니다. 이 문제를 해결하기 위해 Azure SQL에서는 사용자가 서버 또는 인스턴스에 추가되는 ID의 Microsoft Entra 개체 ID를 지정할 수 있는 WITH OBJECT_ID 개선 사항을 현재 미리 보기로 출시했습니다.

Microsoft Graph 권한

CREATE USER ... FROM EXTERNAL PROVIDER 명령을 사용하려면 로그인한 사용자를 대신하여 Azure SQL에서 Microsoft Entra("외부 공급자")에 액세스해야 합니다. 경우에 따라 Microsoft Entra에서 예외를 Azure SQL에 반환하는 상황이 발생할 수 있습니다.

  • Microsoft Entra ID 관련 오류 메시지가 포함된 SQL 오류 33134가 발생할 수 있습니다. 대부분의 경우 액세스가 거부되었거나, 사용자가 리소스에 액세스하려면 MFA에 등록해야 하거나, 사전 인증을 통해 자사 애플리케이션 간의 액세스를 처리해야 한다는 오류가 표시됩니다. 처음 두 경우에서 문제는 일반적으로 사용자의 Microsoft Entra 테넌트에 설정된 조건부 액세스 정책으로 인해 발생합니다. 이러한 정책은 사용자가 외부 공급자에 액세스하지 못하도록 합니다. '00000003-0000-0000-c000-000000000000'(Microsoft Graph API의 애플리케이션 ID) 애플리케이션에 대한 액세스를 허용하도록 조건부 액세스 정책을 업데이트하면 문제가 해결됩니다. 사전 인증을 통해 자사 애플리케이션 간의 액세스를 처리해야 한다는 오류가 표시되는 경우 사용자가 서비스 주체로 로그인했기 때문에 문제가 발생합니다. 사용자로 실행하면 명령이 성공합니다.
  • 연결 시간 초과 만료됨을 수신하면 연결 문자열의 TransparentNetworkIPResolution 매개 변수를 false로 설정해야 할 수 있습니다. 자세한 내용은 .NET Framework 4.6.1의 연결 시간 초과 문제 – TransparentNetworkIPResolution을 참조하세요.

Microsoft Entra ID 기반의 포함된 데이터베이스 사용자 만들기와 관련한 자세한 내용은 CREATE USER를 참조하세요.

다단계 인증 구성

Azure SQL 리소스에 대한 보안 향상을 위해 전화 통화 또는 인증자 앱과 같은 두 번째 대체 방법을 사용하여 데이터베이스에 인증하라는 메시지를 표시하는 MFA(다단계 인증)를 구성하는 것이 좋습니다.

Azure SQL 리소스에서 다단계 인증을 사용하려면 먼저 다단계 인증을 사용하도록 설정한 다음 조건부 액세스 정책을 사용하여 Azure SQL 리소스에 MFA를 적용합니다.

Microsoft Entra로 연결

Microsoft Entra 인증이 구성되면 이를 사용하여 SQL Server Management StudioSQL Server Data Tools와 같은 Microsoft 도구를 사용하여 SQL 리소스에 연결하고 Microsoft Entra ID를 사용하여 연결하도록 클라이언트 애플리케이션을 구성할 수 있습니다.

Microsoft Entra 인증 문제 해결

문제 해결에 대한 지침은 블로그: Azure SQL 데이터베이스 및 Azure Synapse.oft Entra 그룹을 사용한 Microsoft Entra 인증과 관련된 문제 해결을 참조하세요.세요.