Azure SQL 사용하여 Microsoft Entra 인증 구성 및 관리

적용 대상:Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics

• SQL Server 2022
• SQL Server 2025
• Azure SQL Database 및 Azure SQL Managed Instance
• Azure VM의 SQL Server

이 문서에서는 인증에 Microsoft Entra ID Azure SQL Database, Azure SQL Managed Instance 및 Azure Synapse Analytics.

참고

Microsoft Entra ID 이전에는 Azure Active Directory(Azure AD)로 알려졌습니다.

대안으로, Microsoft Entra 인증을 Azure Virtual Machines의 SQL Server에 대해 구성할 수도 있습니다.

필수 조건

Azure SQL 리소스에서 Microsoft Entra 인증을 사용하려면 다음 필수 구성 요소가 필요합니다.

• 사용자 및 그룹으로 채워진 Microsoft Entra 테넌트입니다.
• Azure SQL Database 또는 Azure SQL Managed Instance 같은 기존 Azure SQL 리소스입니다.

Microsoft Entra 테넌트 만들기 및 채우기

Azure SQL 리소스에 대한 Microsoft Entra 인증을 구성하려면 Microsoft Entra 테넌트를 만들고 사용자 및 그룹으로 채워야 합니다. Microsoft Entra 테넌트는 Azure 내에서 전적으로 관리되거나 온-프레미스 Active Directory 도메인 서비스의 페더레이션에 사용할 수 있습니다.

자세한 내용은 다음을 참조하세요.

• Microsoft Entra ID란 무엇인가요?
• 온-프레미스 ID를 Microsoft Entra ID에 통합합니다
• 도메인 이름을 Microsoft Entra ID
• Microsoft Entra ID 페더레이션은 무엇인가요?
• Microsoft Entra ID와의 디렉터리 동기화
• Windows PowerShell을 사용하여 Microsoft Entra ID 관리
• 포트 및 프로토콜이 필요한 하이브리드 ID

Microsoft Entra 관리자 설정

리소스에서 Microsoft Entra 인증을 사용하려면 Microsoft Entra 관리자가 설정되어 있어야 합니다. 개념적으로 단계는 Azure SQL Database, Azure Synapse Analytics 및 Azure SQL Managed Instance 동일하지만, 이 섹션에서는 제품별로 수행할 다양한 API 및 포털 환경을 자세히 설명합니다.

Microsoft Entra 관리자는 Azure SQL 리소스를 만들 때 구성할 수도 있습니다. Microsoft Entra 관리자가 이미 구성된 경우 이 섹션을 건너뜁니다.

Azure SQL Database 및 Azure Synapse Analytics

Microsoft Entra 관리자를 설정하면 Azure SQL Database 및 Azure Synapse Analytics 논리 서버에 대한 Microsoft Entra 인증이 가능합니다. Azure 포털, PowerShell, Azure CLI 또는 REST API를 사용하여 서버에 대한 Microsoft Entra 관리자를 설정할 수 있습니다.

Azure 포털에서 논리 서버 이름을 찾을 수 있습니다.

• Azure SQL Database Overview 페이지의 server 이름 필드에 있습니다.
• Azure Synapse Analytics 독립 실행형 전용 SQL 풀의 Overview 페이지에 있는 server 이름 필드에 있습니다.
• Azure Synapse Analytics 작업 영역의 관련 SQL 엔드포인트Overview 페이지에 있습니다.

Azure 포털

Azure 포털에서 논리 서버에 대한 Microsoft Entra 관리자를 설정하려면 다음 단계를 수행합니다.

1. Azure 포털 디렉터리 + 구독 창 Azure SQL 리소스가 포함된 디렉터리를 Current 디렉터리 선택합니다.

2. SQL 서버를 검색한 다음 데이터베이스 리소스에 대한 논리 서버를 선택하여 SQL 서버 창을 엽니다.

   SQL 서버를 검색하고 선택하는 방법을 보여주는 스크린샷.

3. 논리 서버의 SQL 서버 패널에서, 설정 아래에 있는 Microsoft Entra ID를 선택하여 Microsoft Entra ID 패널을 엽니다.

4. Microsoft Entra ID 창에서 set admin을 선택하여 Microsoft Entra ID 창을 엽니다.

   

5. Microsoft Entra ID 창에는 현재 디렉터리의 모든 사용자, 그룹 및 애플리케이션이 표시되며 이름, 별칭 또는 ID별로 검색할 수 있습니다. Microsoft Entra 관리자에 대해 원하는 ID를 찾은 다음, 선택 선택하여 창을 닫습니다.

6. 논리 서버의 Microsoft Entra ID 페이지 맨 위에서 저장을 선택하십시오.

   

   Microsoft Entra 사용자 및 그룹의 관리자 이름 옆에 Object ID 표시됩니다. 애플리케이션(서비스 주체)의 경우 애플리케이션 ID가 표시됩니다.

관리자를 변경하는 데는 몇 분이 걸릴 수 있습니다. 그런 다음 새 관리자가 Microsoft Entra 관리자 필드에 나타납니다.

관리자를 제거하려면 Microsoft Entra ID 페이지의 맨 위에서 관리자 제거를 선택한 다음, 저장을 선택합니다. Microsoft Entra 관리자를 제거하면 논리 서버에 대한 Microsoft Entra 인증이 비활성화됩니다.

PowerShell cmdlet을 실행하려면 Azure PowerShell 설치하고 실행해야 합니다. 자세한 내용은 Azure PowerShell 설치 및 구성하는 방법을 참조하세요.

다음 Azure PowerShell cmdlet을 사용하여 Azure SQL Database 및 Azure Synapse Analytics 대한 Microsoft Entra 관리자를 설정하고 관리할 수 있습니다.

Cmdlet의 이름	설명
Set-AzSqlServerActiveDirectoryAdministrator	SQL Database 또는 Azure Synapse 호스트하는 서버에 대한 Microsoft Entra 관리자를 설정합니다.
Remove-AzSqlServerActiveDirectoryAdministrator	SQL Database 또는 Azure Synapse 호스트하는 서버에 대한 Microsoft Entra 관리자를 제거합니다.
Get-AzSqlServerActiveDirectoryAdministrator	SQL Database 또는 Azure Synapse 호스트하는 서버에 대해 현재 구성된 Microsoft Entra 관리자에 대한 정보를 반환합니다.

PowerShell 명령에 대해 더 많은 정보를 보려면 get-help 명령을 사용하세요. 예를 들어

다음 스크립트는 예시 리소스 그룹인 Example-Resource-Group에 속한 샘플 서버 example-server에 대해 DBA_Group(예시 객체 ID aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb)라는 Microsoft Entra 관리자 그룹을 설정합니다.

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    ServerName = "example-server"
    DisplayName = "DBA_Group"
}

Set-AzSqlServerActiveDirectoryAdministrator @parameters

DisplayName 매개 변수는 Microsoft Entra ID 표시 이름 또는 사용자 계정 이름(예: DisplayName="Adrian King" 및 DisplayName="adrian@contoso.com")을 허용합니다. Microsoft Entra 그룹을 사용하는 경우 표시 이름만 지원됩니다.

다음 예제에서는 선택적 ObjectID 매개변수를 사용합니다:

$parameters = @{
  ResourceGroupName = "Example-Resource-Group"
  ServerName = "example-server"
  DisplayName = "DBA_Group"
  ObjectId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
}
Set-AzSqlServerActiveDirectoryAdministrator @parameters

참고

DisplayName이 고유하지 않은 경우 ObjectID가 필요합니다. ObjectID 및 DisplayName 값을 검색하려면 Azure 포털의 Microsoft Entra ID 섹션에서 사용자 또는 그룹의 속성을 볼 수 있습니다.

다음 예제에서는 서버에 대한 현재 Microsoft Entra 관리자에 대한 정보를 반환합니다.

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    ServerName = "example-server"
}

Get-AzSqlServerActiveDirectoryAdministrator @parameters | Format-List

다음 예제에서는 Microsoft Entra 관리자를 제거합니다.

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    ServerName = "example-server"
}

Remove-AzSqlServerActiveDirectoryAdministrator @parameters

Azure CLI

다음 Azure CLI 명령을 사용하여 Azure SQL Database 및 Azure Synapse Analytics 대한 Microsoft Entra 관리자를 설정할 수 있습니다.

명령	설명
az sql server ad-admin create 명령을 사용하여 Azure SQL Server의 AD 관리자 계정을 생성합니다.	SQL Database 또는 Azure Synapse Analytics 호스팅하는 논리 서버에 대한 Microsoft Entra 관리자를 설정합니다.
az sql server ad-admin delete 명령어는 Active Directory 관리자를 SQL 서버에서 삭제합니다.	SQL Database 또는 Azure Synapse Analytics 호스트하는 논리 서버에서 Microsoft Entra 관리자를 제거합니다.
az sql server ad-admin list SQL 서버 AD 관리자 목록 표시	SQL Database 또는 Azure Synapse Analytics 호스트하는 서버에 대해 구성된 Microsoft Entra 관리자에 대한 정보를 반환합니다.
az SQL 서버 AD 관리자 업데이트	SQL Database 또는 Azure Synapse Analytics 호스트하는 서버의 Microsoft Entra 관리자를 업데이트합니다.

CLI 명령에 대한 자세한 내용은 az sql server를 참조하세요.

또한 Server Azure AD Administrator REST API를 사용하여 Azure SQL Database 및 Azure Synapse Analytics 대한 Microsoft Entra 관리자를 만들고, 업데이트하고, 삭제하고, 가져올 수 있습니다.

API	설명
만들기 또는 업데이트	기존 Microsoft Entra 관리자를 만들거나 업데이트합니다.
삭제	지정된 이름의 Microsoft Entra 관리자를 삭제합니다.
가져오기	명명된 서버에 대한 Microsoft Entra 관리자를 가져옵니다.
서버별 목록	서버의 Microsoft Entra 관리자 목록을 가져옵니다.

참고

Microsoft Entra 관리자는 서버의 master 데이터베이스에 사용자(데이터베이스 보안 주체)로 저장됩니다. 데이터베이스 보안 주체 이름은 고유해야 하므로 관리자의 표시 이름은 서버 데이터베이스에 있는 사용자의 이름과 같을 수 없습니다. 이름을 가진 사용자가 이미 있는 경우 Microsoft Entra 관리자 설정이 실패하고 롤백되어 이름이 이미 사용 중임을 나타냅니다.

Azure SQL Managed Instance (애저 SQL 관리 인스턴스)

Microsoft Entra 관리자를 설정하면 Azure SQL Managed Instance Microsoft Entra 인증이 가능합니다. Azure 포털, PowerShell, Azure CLI 또는 REST API를 사용하여 SQL 관리형 인스턴스에 대한 Microsoft Entra 관리자를 설정할 수 있습니다.

Azure 포털

Azure 포털을 사용하여 MICROSOFT ENTRA ID SQL 관리형 인스턴스 읽기 권한을 부여하려면 Privileged 역할 관리자로 로그인하고 다음 단계를 수행합니다.

1. Azure 포털 오른쪽 위 모서리에서 계정을 선택한 다음 디렉터리 전환을 선택하여 해당 디렉터리가 현재 디렉터리인지 확인합니다. 필요한 경우 디렉터리를 전환합니다.

   

2. Azure 포털 디렉터리 + 구독 창에서 관리되는 인스턴스가 포함된 디렉터리를 현재 디렉터리'로 선택합니다.

3. SQL 관리형 인스턴스를 검색한 다음, 관리되는 인스턴스를 선택하여 SQL 관리형 인스턴스 창을 엽니다. 그런 다음, settings에서 Microsoft Entra ID를 선택하여 인스턴스에 대한 Microsoft Entra ID 창을 엽니다.

   

4. Microsoft Entra 관리자 창의 탐색 모음에서 set admin을 선택하여 Microsoft Entra ID 창을 엽니다.

   

5. Microsoft Entra ID 창에서 사용자를 검색하고 사용자 또는 그룹 옆에 있는 확인란을 선택하여 관리자로 지정한 다음 선출 키를 눌러 창을 닫고 관리되는 인스턴스의 Microsoft Entra 관리자 페이지로 돌아갑니다.

   Microsoft Entra ID 창에는 현재 디렉터리 내의 모든 멤버와 그룹이 표시됩니다. 회색으로 표시된 사용자 또는 그룹은 Microsoft Entra 관리자로 지원되지 않으므로 선택할 수 없습니다. 관리자로 지정할 식별자를 선택합니다.

6. 관리되는 인스턴스의 Microsoft Entra 관리자 페이지에서 탐색 모음의 저장을 선택하여 Microsoft Entra 관리자를 확정합니다.

   

   관리자 변경 작업이 완료되면 새 관리자가 Microsoft Entra 관리자 필드에 나타납니다.

   Microsoft Entra 사용자 및 그룹의 관리자 이름 옆에 Object ID 표시됩니다. 애플리케이션(서비스 주체)의 경우 애플리케이션 ID가 표시됩니다.

팁

관리자를 제거하려면 Microsoft Entra ID 페이지 맨 위에서 관리자 제거를 선택한 다음, 저장을 선택합니다.

PowerShell cmdlet을 실행하려면 Azure PowerShell 설치하고 실행해야 합니다. 자세한 내용은 Azure PowerShell 설치 및 구성하는 방법을 참조하세요.

다음 표에서는 관리되는 인스턴스에 대한 Microsoft Entra 관리자를 정의하고 관리하는 데 사용할 수 있는 PowerShell cmdlet을 나열합니다.

Cmdlet의 이름	설명
Set-AzSqlInstanceActiveDirectoryAdministrator	관리되는 인스턴스에 대한 Microsoft Entra 관리자를 설정합니다.
Remove-AzSqlInstanceActiveDirectoryAdministrator	관리되는 인스턴스에 대한 Microsoft Entra 관리자를 제거합니다.
Get-AzSqlInstanceActiveDirectoryAdministrator	관리되는 인스턴스의 Microsoft Entra 관리자에 대한 정보를 반환합니다.

이 예제 명령은 "Example-Resource-Group"이라는 리소스 그룹과 연결된 "Sample-Instance"라는 관리되는 인스턴스에 대한 Microsoft Entra 관리자에 대한 정보를 가져옵니다.

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    InstanceName = "Sample-Instance"
}

Get-AzSqlInstanceActiveDirectoryAdministrator @parameters

이 예제 명령은 Microsoft Entra 관리자를 "DBA"라는 그룹의 (샘플 객체 ID aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) SQL 관리형 인스턴스 "Sample-Instance"의 관리자 역할로 설정합니다. 이 서버는 리소스 그룹 “예제-리소스-그룹”과 연결되어 있습니다.

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    InstanceName = "Sample-Instance"
    DisplayName = "DBAs"
    ObjectId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
}

Set-AzSqlInstanceActiveDirectoryAdministrator @parameters

이 예제 명령은 리소스 그룹 "Example-Resource-Group"과 연결된 "Sample-Instance"라는 SQL Managed Instance 대한 Microsoft Entra 관리자를 제거합니다.

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    InstanceName = "Sample-Instance"
    Confirm = $true
    PassThru = $true
}

Remove-AzSqlInstanceActiveDirectoryAdministrator @parameters

Azure CLI

다음 Azure CLI 명령을 호출하여 SQL Managed Instance 대한 Microsoft Entra 관리자를 설정하고 관리할 수 있습니다.

명령	설명
az sql mi ad-admin create	SQL 관리되는 인스턴스에 대한 Microsoft Entra 관리자를 프로비전합니다.
az sql mi ad-admin delete (SQL 관리형 인스턴스의 AD 관리자 삭제)	SQL 관리되는 인스턴스에 대한 Microsoft Entra 관리자를 제거합니다.
az sql mi ad-admin list	SQL 관리되는 인스턴스에 대해 현재 구성된 Microsoft Entra 관리자에 대한 정보를 반환합니다.
이 명령은 Azure SQL 관리되는 인스턴스의 Active Directory 관리자 업데이트를 수행합니다: `az sql mi ad-admin update`	SQL 관리되는 인스턴스에 대한 Microsoft Entra 관리자를 업데이트합니다.

CLI 명령에 대한 자세한 내용은 az sql mi를 참조하세요.

Managed Instance Administrators REST API를 사용하여 SQL 관리형 인스턴스에 대한 Microsoft Entra 관리자를 만들고, 업데이트하고, 삭제하고, 가져올 수 있습니다.

API	설명
만들기 또는 업데이트	기존 Microsoft Entra 관리자를 만들거나 업데이트합니다.
삭제	명명된 관리되는 인스턴스에서 지정된 이름의 Microsoft Entra 관리자를 삭제합니다.
가져오기	명명된 관리되는 인스턴스에 대한 Microsoft Entra 관리자를 가져옵니다.
인스턴스별 목록	관리되는 인스턴스의 Microsoft Entra 관리자 목록을 가져옵니다.

Microsoft Graph 권한 할당

SQL Managed Instance 보안 그룹 멤버 자격을 통해 연결하는 사용자에게 권한을 부여하고 새 사용자 만들기와 같은 시나리오에 대한 Microsoft Entra ID 읽을 수 있는 권한이 필요합니다. Microsoft Entra 인증이 작동하려면 관리되는 인스턴스 ID를 Directory Reader 역할에 할당해야 합니다. Azure 포털 또는 PowerShell을 사용하여 이 작업을 수행할 수 있습니다.

일부 작업의 경우, Azure SQL Database 및 Azure Synapse Analytics도 Microsoft Graph 권한에 설명된 대로 Microsoft Graph를 쿼리할 수 있는 권한이 필요합니다. Azure SQL Database 및 Azure Synapse Analytics 이러한 시나리오에 대해 세분화된 그래프 권한을 지원하는 반면, SQL Managed Instance Directory Reader 역할이 필요합니다. 세분화된 권한 및 해당 할당에 대한 자세한 설명은 서비스 주체가 Microsoft Entra 사용자를 생성할 수 있도록 활성화하기에 있습니다.

중요합니다

Azure SQL Database 및 SQL Managed Instance Microsoft Graph 액세스를 위해 다른 권한 모델을 사용합니다.

• Azure SQL Database 및 Azure Synapse Analytics: 서버 ID에 직접 할당된 세분화된 Microsoft Graph API 권한(예: User.Read.All, GroupMember.Read.All 및 Application.Read.All)을 지원합니다. 이 방법은 최소 권한 원칙을 따르며 권장됩니다. 서비스 주체가 Microsoft Entra 사용자를 만들도록 설정하는 방법의 단계별 지침을 참조하십시오. 디렉터리 읽기 권한자 역할을 더 광범위한 대안으로 사용할 수도 있습니다.
• SQL Managed Instance: 인스턴스 ID에 할당된 디렉터리 리더 역할 또는 이에 상응하는 세분화된 Microsoft Graph 권한이 필요합니다. Azure 포털은 Microsoft Entra ID 페이지에 디렉터리 읽기 권한자 역할을 부여하라는 메시지를 표시하는 편리한 배너를 제공합니다. 디렉터리 읽기 권한자 역할 섹션의 단계를 따릅니다.

Azure SQL Database 구성하는 경우 기본 Microsoft Entra 관리자 설정에 대한 디렉터리 읽기 권한자 역할을 할당할 필요가 없습니다. 대신, Microsoft Entra의 관리 ID를 사용하여 Azure SQL의 서버 ID에 세분화된 Microsoft Graph 권한을 할당합니다.

디렉터리 읽기 권한자 역할

이 섹션에 설명된 Directory Reader 역할 및 포털 배너는 주로 SQL Managed Instance 적용됩니다. Azure SQL Database 경우 대신 fine-grained Microsoft Graph 권한 할당하거나 필요에 따라 디렉터리 판독기를 보다 광범위한 대안으로 사용할 수 있습니다.

Azure 포털

Azure 포털의 SQL Managed Instance Microsoft Entra ID 페이지에는 인스턴스에 디렉터리 읽기 권한자 권한이 할당되지 않은 경우 편리한 배너가 표시됩니다.

1. Microsoft Entra ID 페이지 맨 위에 있는 배너를 선택하고 인스턴스를 나타내는 시스템 할당 또는 사용자 할당 관리 ID에 권한을 부여합니다. 테넌트에서 권한 있는 역할 관리자 이상의 역할만 이 작업을 수행할 수 있습니다.

   참고

   배너가 표시되지 않으면 인스턴스에 디렉터리 읽기 권한자 역할이 이미 할당되어 있거나 필요한 권한 있는 역할 관리자 역할이 없을 수 있습니다. 이 역할이 없는 경우 테넌트 관리자에게 권한을 부여하도록 요청하거나 PowerShell 탭에서 PowerShell 메서드를 사용합니다.

   

2. 작업이 성공하면 오른쪽 위 모서리에 성공 알림이 표시됩니다.

   

다음 PowerShell 스크립트는 디렉터리 읽기 권한자 역할에 ID를 추가합니다. 논리 서버(또는 Microsoft Entra ID)에 대한 관리되는 인스턴스 또는 주 서버 ID에 권한을 할당하는 데 사용할 수 있습니다.

# This script grants "Directory Readers" permission to a service principal representing a SQL Managed Instance or logical server.
# It can be executed only by a user who is a member of the **Privileged Roles Administrator** role.

Import-Module Microsoft.Graph.Authentication
$instanceName = "<InstanceName>"        # Enter the name of your managed instance or server
$tenantId = "<TenantId>"                       # Enter your tenant ID

Connect-MgGraph -TenantId $tenantId -Scopes "RoleManagement.ReadWrite.Directory"

# Get Microsoft Entra "Directory Readers" role and create if it doesn't exist
$roleName = "Directory Readers"
$role = Get-MgDirectoryRole -Filter "DisplayName eq '$roleName'"
if ($role -eq $null) {
    # Instantiate an instance of the role template
    $roleTemplate = Get-MgDirectoryRoleTemplate -Filter "DisplayName eq '$roleName'"
    New-MgDirectoryRoleTemplate -RoleTemplateId $roleTemplate.Id
    $role = Get-MgDirectoryRole -Filter "DisplayName eq '$roleName'"
}

# Get service principal for your SQL Managed Instance or logical server
$roleMember = Get-MgServicePrincipal -Filter "DisplayName eq '$instanceName'"
$roleMember.Count
if ($roleMember -eq $null) {
    Write-Output "Error: No service principal with name '$($instanceName)' found, make sure that instanceName parameter was entered correctly."
    exit
}
if (-not ($roleMember.Count -eq 1)) {
    Write-Output "Error: Multiple service principals with name '$($instanceName)'"
    Write-Output $roleMember | Format-List DisplayName, Id, AppId
    exit
}

# Check if service principal is already member of Directory Readers role
$isDirReader = Get-MgDirectoryRoleMember -DirectoryRoleId $role.Id -Filter "Id eq '$($roleMember.Id)'"
if ($isDirReader -eq $null) {
    # Add principal to Directory Readers role
    Write-Output "Adding service principal '$($instanceName)' to 'Directory Readers' role..."
    $body = @{
        "@odata.id"= "https://graph.microsoft.com/v1.0/directoryObjects/{$($roleMember.Id)}"
    }
    New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $body
    Write-Output "'$($instanceName)' service principal added to 'Directory Readers' role."
} else {
    Write-Output "Service principal '$($instanceName)' is already member of 'Directory Readers' role."
}

Azure CLI

Azure CLI 통해 Azure 역할을 할당하는 방법에 대한 자세한 내용은 Azure CLI 참조하세요.

REST API 사용하여 Azure 역할을 할당합니다.

이제 Microsoft Entra 관리자를 사용하여 Microsoft Entra 서버 보안 주체(로그인) 및 데이터베이스 보안 주체(사용자)를 만들 수 있습니다. 자세한 내용은 Microsoft Entra와 Azure SQL Managed Instance 통합을 참조하세요.

SQL에서 Microsoft Entra 프린서플 만들기

SQL Database 또는 Azure Synapse Analytics에서 Microsoft Entra 인증으로 데이터베이스에 연결하려면, 해당 ID를 위한 보안 주체가 데이터베이스에 적어도 CONNECT 권한으로 구성되어야 합니다.

데이터베이스 사용자 권한

데이터베이스 사용자가 만들어지면 기본적으로 데이터베이스에 대한 사용 권한을 받습니다. 또한 데이터베이스 사용자는 다음 두 가지 상황에서 사용 권한을 상속합니다.

• 사용자가 서버에 대한 사용 권한도 할당된 Microsoft Entra 그룹의 구성원인 경우
• 사용자가 로그인에서 만들어진 경우 데이터베이스에 적용할 수 있는 로그인의 서버 할당 권한을 상속합니다.

서버 및 데이터베이스 보안 주체에 대한 권한 관리는 보안 주체 유형(Microsoft Entra ID, SQL 인증 등)에 관계없이 동일하게 작동합니다. 사용자에게 권한을 직접 부여하는 대신 데이터베이스 역할에 권한을 부여하는 것이 좋습니다. 그런 다음 적절한 권한이 있는 역할에 사용자를 추가할 수 있습니다. 이렇게 하면 장기 권한 관리가 간소화되고 ID가 적절한 시점을 넘어서도 액세스 권한을 유지할 가능성이 줄어듭니다.

자세한 내용은 다음을 참조하세요.

• 데이터베이스 엔진 권한 및 예제
• Blog: 데이터베이스 엔진 권한 기본 사항
• Azure SQL Database

포함된 데이터베이스 사용자

포함된 데이터베이스 사용자는 데이터베이스의 로그인에 연결되지 않은 SQL 사용자 유형입니다. 포함된 Microsoft Entra 데이터베이스 사용자를 만들려면 ALTER ANY USER** 권한이 있는 Microsoft Entra ID를 사용하여 데이터베이스에 연결합니다. 다음 T-SQL 예제에서는 Microsoft Entra ID에서 데이터베이스 주체 Microsoft_Entra_principal_name를 생성합니다.

CREATE USER [<Microsoft_Entra_principal_name>] FROM EXTERNAL PROVIDER;

Microsoft Entra 그룹에 대해 포함된 데이터베이스 사용자를 만들려면 그룹의 표시 이름을 입력합니다.

CREATE USER [ICU Nurses] FROM EXTERNAL PROVIDER;

관리 ID 또는 서비스 주체에 대해 포함된 데이터베이스 사용자를 만들려면 ID의 표시 이름을 입력합니다.

CREATE USER [appName] FROM EXTERNAL PROVIDER;

Microsoft Entra 사용자에 대해 제한된 데이터베이스 사용자를 만들려면 ID의 사용자 주 이름을 입력합니다.

CREATE USER [adrian@contoso.com] FROM EXTERNAL PROVIDER;

로그인 기반 사용자

참고

Microsoft Entra 서버 보안 주체(로그인)는 현재 Azure SQL Database 및 Azure Synapse Analytics의 공개 미리 보기 상태입니다. Microsoft Entra 로그인은 일반적으로 Azure SQL Managed Instance 및 SQL Server 2022에 사용할 수 있습니다.

Microsoft Entra 서버 원장(또는 로그인)을 지원하므로 포함된 데이터베이스 사용자가 필요하지 않습니다. 데이터베이스 보안 주체(사용자)는 서버 보안 주체를 기반으로 만들 수 있습니다. 즉, Microsoft Entra 사용자가 로그인의 서버 수준 할당 권한을 상속할 수 있습니다.

CREATE USER [appName] FROM LOGIN [appName];

자세한 내용은 SQL Managed Instance 개요 참조하세요. Microsoft Entra 서버 보안 주체(로그인)를 만드는 구문은 CREATE LOGIN 참조하세요.

외부 사용자

Azure 구독과 연결된 것과 다른 Microsoft Entra 테넌트에서 관리되는 ID에 대한 데이터베이스 사용자를 직접 만들 수 없습니다. 그러나 다른 디렉터리의 사용자를 외부 사용자로 연결된 디렉터리로 가져올 수 있습니다. 그런 다음 Database에 액세스할 수 있는 포함된 데이터베이스 사용자를 만드는 데 사용할 수 있습니다. 외부 사용자는 Microsoft Entra 그룹의 멤버 자격을 통해 액세스 권한을 얻을 수도 있습니다.

Examples: 페더레이션되거나 관리되는 Microsoft Entra 도메인 사용자를 나타내는 포함된 데이터베이스 사용자를 만들려면 다음을 수행합니다.

CREATE USER [alice@fabrikam.com] FROM EXTERNAL PROVIDER;

관리되는 도메인에 외부 사용자로 가져온 페더레이션된 도메인 사용자 계정은 관리되는 도메인 ID를 사용해야 합니다.

이름 고려 사항

및 T-SQL 문에 사용자 이름으로 포함된 콜론() 또는 앰퍼샌드()와 같은 특수 문자는 지원되지 않습니다.

Microsoft Entra ID와 Azure SQL은 서로 다른 사용자 관리 방식을 한 가지 주요 측면에서 가집니다. Microsoft Entra ID는 테넌트 내에서 표시 이름의 중복이 허용되는 반면, Azure SQL은 서버 또는 인스턴스의 모든 서버 원칙과 데이터베이스의 모든 데이터베이스 원칙에 고유한 이름이 필요합니다. Azure SQL은 주체를 만들 때 ID의 Microsoft Entra 표시 이름을 직접 사용하기 때문에, 사용자를 생성할 때 오류가 발생할 수 있습니다. 이 문제를 해결하기 위해 Azure SQL은 현재 미리 보기로 WITH OBJECT_ID 기능을 개선하여 릴리스했습니다. 이를 통해 사용자는 서버 또는 인스턴스에 추가되는 식별자의 Microsoft Entra 객체 ID를 지정할 수 있습니다.

Microsoft Graph 권한

CREATE USER ... FROM EXTERNAL PROVIDER 명령을 사용하려면 로그인한 사용자를 대신하여 Microsoft Entra ID("외부 공급자")에 대한 Azure SQL 액세스 권한이 필요합니다. 때때로 Microsoft Entra ID가 Azure SQL에 예외를 반환하는 상황이 발생합니다.

• Microsoft Entra ID 관련 오류 메시지가 포함된 SQL 오류 33134가 발생할 수 있습니다. 대부분의 경우 액세스가 거부되었거나, 사용자가 리소스에 액세스하려면 MFA에 등록해야 하거나, 사전 인증을 통해 자사 애플리케이션 간의 액세스를 처리해야 한다는 오류가 표시됩니다. 처음 두 경우에서 문제는 일반적으로 사용자의 Microsoft Entra 테넌트에 설정된 조건부 액세스 정책으로 인해 발생합니다. 사용자가 외부 공급자에 액세스하지 못하게 합니다. 애플리케이션 '000000003-0000-0000-c000-000000000000'(Microsoft Graph API 애플리케이션 ID)에 대한 액세스를 허용하도록 조건부 액세스 정책을 업데이트하면 문제가 해결됩니다. 사전 인증을 통해 자사 애플리케이션 간의 액세스를 처리해야 한다는 오류가 표시되는 경우 사용자가 서비스 주체로 로그인했기 때문에 문제가 발생합니다. 사용자가 실행하면 명령이 성공할 것입니다.
• Connection Timeout Expired를 수신하는 경우 연결 문자열 TransparentNetworkIPResolution 매개 변수를 false로 설정해야 할 수 있습니다. 자세한 내용은 .NET Framework 4.6.1 - TransparentNetworkIPResolution의 연결 시간 제한 문제를 참조하세요.

Microsoft Entra ID를 기반으로 포함된 데이터베이스 사용자를 만드는 방법에 대한 자세한 내용은 CREATE USER 참조하세요.

다단계 인증 구성

Azure SQL 리소스에 대한 보안을 향상하려면 multifactor Authentication(MFA) 구성하여 사용자에게 전화 통화 또는 인증자 앱과 같은 두 번째 대체 방법을 사용하여 데이터베이스에 인증하라는 메시지를 표시합니다.

Azure SQL 리소스에서 다단계 인증을 사용하려면 먼저 인증 가능한 다단계 인증 다음 사용자 액세스 정책을 사용하여 Azure SQL 리소스에 MFA를 적용합니다.

Microsoft Entra와 연결

Microsoft Entra 인증을 구성한 후, SQL Server Management Studio 및 SQL Server Data Tools 같은 Microsoft 도구를 사용하여 SQL 리소스에 연결할 수 있으며, Microsoft Entra ID를 사용하여 클라이언트 애플리케이션을 연결하도록 구성할 수 있습니다.

Microsoft Entra 인증 문제 해결

문제 해결에 대한 지침은 Blog: Azure SQL Database 및 Azure Synapse 참조하세요.

관련 콘텐츠

• SQL Database, SQL Managed Instance 및 Azure Synapse Analytics
• Azure SQL을 위한 Microsoft Entra의 관리 ID
• Azure SQLMicrosoft Entra 서비스 주체입니다>
• 보안 주체
• 데이터베이스 역할
• Azure SQL Database 및 Azure Synapse IP 방화벽 규칙
• 게스트 사용자를 Microsoft Entra 만들고 Microsoft Entra 관리자로 설정합니다
• Tutorial: Microsoft Entra 애플리케이션을 사용하여 Microsoft Entra 사용자 만들기