Azure SQL로 Microsoft Entra 인증 구성 및 관리

  • 아티클

적용 대상:Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics

이 문서에서는 Microsoft Entra 테넌트 만들기 및 채우기와 Azure SQL Database, Azure SQL Managed InstanceAzure Synapse Analytics에서 Microsoft Entra ID(이전의 Azure Active Directory)를 사용하는 방법을 설명합니다. 개요는 Microsoft Entra 인증을 참조하세요.

참고 항목

Microsoft Entra ID는 이전의 Azure Active Directory(Azure AD)입니다.

Microsoft Entra 인증 방법

Microsoft Entra ID에서는 다음과 같은 인증 방법을 지원합니다.

  • Microsoft Entra 클라우드 전용 ID
  • 지원하는 Microsoft Entra 하이브리드 ID.
    • 원활한 SSO(Single Sign-On)와 결합된 두 가지 옵션을 제공하는 클라우드 인증
      • Microsoft Entra 암호 해시 인증
      • Microsoft Entra 통과 인증
    • 페더레이션 인증

Microsoft Entra 인증 방법 및 선택하는 방법에 대한 자세한 내용은 Microsoft Entra 하이브리드 ID 솔루션에 적합한 인증 방법 선택하기를 참조하세요.

Microsoft Entra 하이브리드 ID, 설정 및 동기화에 대한 자세한 내용은 다음을 참조하세요.

Microsoft Entra 테넌트 만들기 및 채우기

Microsoft Entra 테넌트를 만들고 사용자 및 그룹으로 채웁니다. Microsoft Entra 테넌트는 Azure 내에서 전적으로 관리되거나 온-프레미스 Active Directory Domain Service의 페더레이션에 사용할 수 있습니다.

자세한 내용은 다음을 참조하세요.

Azure 구독을 Microsoft Entra ID에 연결 또는 추가

  1. 디렉터리를 데이터베이스를 호스트하는 Azure 구독에서 신뢰할 수 있는 디렉터리로 만들어 Microsoft Entra에 데이터베이스를 연결합니다. 자세한 내용은 Azure 구독을 Microsoft Entra 테넌트에 연결 또는 추가하기을 참조하세요.

  2. Azure Portal의 디렉터리 전환기를 사용하여 도메인과 연결된 구독으로 전환합니다.

    중요

    모든 Azure 구독은 Microsoft Entra 인스턴스와 트러스트 관계가 있습니다. 구독은 디렉토리가 구독이 사용자, 서비스, 디바이스를 인증할 것을 신뢰합니다. 여러 구독에서 동일한 디렉터리를 신뢰할 수 있지만 구독은 하나의 디렉터리만 신뢰합니다. 구독이 디렉터리와 갖는 이 트러스트 관계는 구독이 Azure의 다른 모든 리소스(웹 사이트, 데이터베이스 등)와 갖는 관계와 다르며 구독의 자식 리소스 관계와 더 유사합니다. 구독이 만료되면 구독과 연결된 다른 리소스에 대한 액세스도 중지됩니다. 하지만 디렉터리는 Azure에 남아 있으며 해당 디렉터리와 다른 구독을 연결하여 디렉터리 사용자를 계속 관리할 수 있습니다. 리소스에 대한 자세한 내용은 Azure의 리소스 액세스 이해를 참조하세요. 이러한 트러스트 관계에 대한 자세한 내용은 Microsoft Entra ID에 Azure 구독을 연결하거나 추가하는 방법을 참조하세요.

SQL Database에서 서버를 사용하여 Microsoft Entra 관리자 구성하기

Azure의 각 논리 서버(SQL Database 또는 Azure Synapse를 호스팅하는 서버)는 전체 서버의 관리자인 단일 서버 관리자 계정으로 시작됩니다. 두 번째 관리자 계정을 Microsoft Entra 계정으로 만들기. 이 보안 주체는 서버의 master 데이터베이스에서 포함된 데이터베이스 사용자로 만들어집니다. 관리자 계정은 모든 사용자 데이터베이스에서 db_owner 역할 멤버이며, 각 사용자 데이터베이스를 dbo 사용자로 입력합니다. 관리자 계정에 대한 자세한 내용은 데이터베이스 및 로그인 관리를 참조하세요.

지역 복제가 있는 Microsoft Entra ID를 사용하는 경우, 기본 및 보조 서버에 대해 Microsoft Entra 관리자를 구성해야 합니다. 서버에 Microsoft Entra 관리자가 없는 경우 Microsoft Entra 로그인 및 사용자가 서버 오류 Cannot connect(을)를 수신 합니다.

참고 항목

Microsoft Entra 계정(서버 관리자 계정 포함)을 기반으로 하지 않는 사용자는 Microsoft Entra ID를 사용하여 제안된 데이터베이스 사용자의 유효성을 검사할 권한이 없으므로 Microsoft Entra ID 기반 사용자를 만들 수 없습니다.

Microsoft Entra 관리자 프로비전(SQL Managed Instance)

중요

Azure SQL Managed Instance를 프로비전하는 경우에만 다음 단계를 수행합니다. 이 작업은 Microsoft Entra ID에서 전역 관리자 또는 권한 있는 역할 관리자만 실행할 수 있습니다.

Microsoft Entra ID 그룹에 디렉터리 읽기 권한자 역할을 할당할 수 있습니다. 그런 다음, 그룹 소유자는 Managed Instance ID를 이 그룹의 멤버로 추가할 수 있습니다. 그러면 SQL Managed Instance에 대한 Microsoft Entra 관리자를 프로비전할 수 있습니다. 이 기능에 대한 자세한 내용은 Azure SQL용 Microsoft Entra 디렉터리 읽기 권한자 역할을 참조하세요.

SQL Managed Instance에는 보안 그룹 멤버 자격을 통한 사용자 인증 또는 새 사용자 만들기와 같은 작업을 성공적으로 수행하기 위해 Microsoft Entra ID를 읽을 수 있는 권한이 필요합니다. 이를 위해 Microsoft Entra를 읽을 수 있는 SQL Managed Instance 권한을 부여해야 합니다. 이 작업은 Azure Portal 또는 PowerShell을 사용하여 수행할 수 있습니다.

Azure Portal

Azure Portal을 사용하여 SQL Managed Instance에 Microsoft Entra 읽기 권한을 부여하려면, 전역 관리자 권한으로 로그인하고 다음 단계를 수행합니다.

  1. Azure Portal의 오른쪽 위 모서리에서 계정을 선택한 다음, 디렉터리 전환을 선택하여 현재 디렉터리를 확인합니다. 필요한 경우 디렉터리를 전환합니다.

    Screenshot of the Azure portal showing where to switch your directory.

  2. 올바른 Microsoft Entra 디렉터리를 현재 디렉터리로 선택합니다.

    이 단계에서는 Microsoft Entra ID와 연결된 구독을 SQL Managed Instance에 연결하여 Microsoft Entra 테넌트와 SQL Managed Instance가 동일한 구독을 사용하도록 합니다.

  3. 이제 SQL Managed Instance에 대한 Microsoft Entra 관리자를 선택할 수 있습니다. 이를 위해 Azure Portal에서 Managed Instance 리소스로 이동하여 설정 아래에서 Microsoft Entra 관리자를 선택합니다.

    Screenshot of the Azure portal showing the Microsoft Entra admin page open for the selected SQL managed instance.

  4. Microsoft Entra 관리자 페이지 위쪽에서 배너를 선택하고 현재 사용자에게 권한을 부여합니다.

    Screenshot of the dialog for granting permissions to a SQL managed instance for accessing Microsoft Entra ID with the Grant permissions button selected.

  5. 작업이 성공하면 오른쪽 위 모서리에 다음과 같은 알림이 표시됩니다.

    Screenshot of a notification confirming that Microsoft Entra ID read permissions have been successfully updated for the managed instance.

  6. Microsoft Entra 관리자 페이지의 탐색 모음에서 관리자 설정을 선택하여 Microsoft Entra ID 창을 엽니다.

    Screenshot showing the Set admin command highlighted on the Microsoft Entra admin page for the selected SQL managed instance.

  7. Microsoft Entra ID 창에서 사용자를 검색하고 사용자 또는 그룹 옆에 있는 박스를 체크하여 관리자로 선택한 다음 선택을 눌러 창을 닫고 Managed Instance에 대한 Microsoft Entra 관리자 페이지로 돌아갑니다.

    Microsoft Entra ID 창에는 현재 디렉터리 내의 모든 멤버와 그룹이 표시됩니다. 회색으로 표시된 사용자나 그룹은 Microsoft Entra 관리자로 지원되지 않기 때문에 선택할 수 없습니다. Microsoft Entra 기능 및 제한 사항에서 지원되는 관리자 목록을 참조하세요. Azure RBAC(Azure 역할 기반 액세스 제어)는 Azure Portal에만 적용되며 SQL Database, SQL Managed Instance 또는 Azure Synapse로 전파되지 않습니다.

  8. Managed Instance에 대한 Microsoft Entra 관리자 페이지의 탐색 모음에서 저장을 선택하여 Microsoft Entra 관리자를 확인합니다.

    Screenshot of the Microsoft Entra admin page with the Save button in the top row next to the Set admin and Remove admin buttons.

    관리자를 변경하는 데는 몇 분이 걸릴 수 있습니다. 새 관리자가 Microsoft Entra 관리자 필드에 표시됩니다.

    Microsoft Entra 사용자 및 그룹의 경우 관리자 이름 옆에 개체 ID가 표시됩니다. 애플리케이션(서비스 주체)의 경우 애플리케이션 ID가 표시됩니다.

SQL Managed Instance에 대한 Microsoft Entra 관리자가 프로비전되면 CREATE LOGIN 구문을 사용하여 Microsoft Entra 서버 보안 주체(로그인) 만들기를 시작할 수 있습니다. 자세한 내용은 SQL Managed Instance 개요를 참조하세요.

나중에 관리자를 제거하려면 Microsoft Entra 관리자 페이지 위쪽에서 관리자 제거를 선택한 다음, 저장을 선택합니다.

PowerShell

PowerShell을 사용하여 Microsoft Entra ID에 SQL Managed Instance 읽기 권한을 부여하려면 다음 스크립트를 실행합니다.

# This script grants "Directory Readers" permission to a service principal representing the SQL Managed Instance.
# It can be executed only by a user who is a member of the **Global Administrator** or **Privileged Roles Administrator** role.

Import-Module Microsoft.Graph.Authentication
$managedInstanceName = "<ManagedInstanceName>" # Enter the name of your managed instance
$tenantId = "<TenantId>"                       # Enter your tenant ID

Connect-MgGraph -TenantId $tenantId -Scopes "RoleManagement.ReadWrite.Directory"
 
# Get Microsoft Entra "Directory Readers" role and create if it doesn't exist
$roleName = "Directory Readers"
$role = Get-MgDirectoryRole -Filter "DisplayName eq '$roleName'"
if ($role -eq $null) {
    # Instantiate an instance of the role template
    $roleTemplate = Get-MgDirectoryRoleTemplate -Filter "DisplayName eq '$roleName'"
    New-MgDirectoryRoleTemplate -RoleTemplateId $roleTemplate.Id
    $role = Get-MgDirectoryRole -Filter "DisplayName eq '$roleName'"
}

# Get service principal for your SQL Managed Instance
$roleMember = Get-MgServicePrincipal -Filter "DisplayName eq '$managedInstanceName'"
$roleMember.Count
if ($roleMember -eq $null) {
    Write-Output "Error: No service principal with name '$($managedInstanceName)' found, make sure that managedInstanceName parameter was entered correctly."
    exit
}
if (-not ($roleMember.Count -eq 1)) {
    Write-Output "Error: Multiple service principals with name '$($managedInstanceName)'"
    Write-Output $roleMember | Format-List DisplayName, Id, AppId
    exit
}

# Check if service principal is already member of Directory Readers role
$isDirReader = Get-MgDirectoryRoleMember -DirectoryRoleId $role.Id -Filter "Id eq '$($roleMember.Id)'"
if ($isDirReader -eq $null) {
    # Add principal to Directory Readers role
    Write-Output "Adding service principal '$($managedInstanceName)' to 'Directory Readers' role..."
    $body = @{
        "@odata.id"= "https://graph.microsoft.com/v1.0/directoryObjects/{$($roleMember.Id)}"
    }
    New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $body
    Write-Output "'$($managedInstanceName)' service principal added to 'Directory Readers' role."
} else {
    Write-Output "Service principal '$($managedInstanceName)' is already member of 'Directory Readers' role."
}

SQL Managed Instance에 대한 PowerShell

PowerShell cmdlet을 실행하려면 Azure powershell을 설치하고 실행해야 합니다. 자세한 내용은 Azure PowerShell 설치 및 구성하는 방법을 참조하세요.

중요

SQL Managed Instance는 여전히 PowerShell Azure Resource Manager 모듈은 지원하지만 향후 모든 개발은 Az.Sql 모듈을 기준으로 합니다. AzureRM 모듈은 최소 2020년 12월까지 버그 수정 계속 진행할 예정입니다. Az 모듈 및 AzureRm 모듈의 명령에 대한 인수는 실질적으로 동일합니다. 호환성에 대한 자세한 내용은 새로운 Azure PowerShell Az 모듈 소개를 참조하세요.

Microsoft Entra 관리자를 프로비전하려면 다음 Azure PowerShell 명령을 실행합니다.

  • 연결 AzAccount
  • Select-AzSubscription

SQL Managed Instance에 대한 Microsoft Entra 관리자를 프로비전하고 관리하는 데 사용되는 cmdlet이 다음 표에 나와 있습니다.

Cmdlet 이름 설명
Set-AzSqlInstanceActiveDirectoryAdministrator 현재 구독의 SQL Managed Instance에 대한 Microsoft Entra 관리자를 프로비전합니다. (현재 구독에 있어야 함)
Remove-AzSqlInstanceActiveDirectoryAdministrator 현재 구독의 SQL Managed Instance에 대한 Microsoft Entra 관리자를 제거합니다.
Get-AzSqlInstanceActiveDirectoryAdministrator 현재 구독의 SQL Managed Instance에 대한 Microsoft Entra 관리자 정보를 반환합니다.

다음 명령은 ResourceGroup01 리소스 그룹과 연결된 ManagedInstance01 SQL Managed Instance에 대한 Microsoft Entra 관리자 정보를 가져옵니다.

Get-AzSqlInstanceActiveDirectoryAdministrator -ResourceGroupName "ResourceGroup01" -InstanceName "ManagedInstance01"

다음 명령은 ManagedInstance01 SQL Managed Instance에 대해 DBA라는 Microsoft Entra 관리자 그룹을 프로비전합니다. 이 서버는 ResourceGroup01 리소스 그룹과 연결됩니다.

Set-AzSqlInstanceActiveDirectoryAdministrator -ResourceGroupName "ResourceGroup01" -InstanceName "ManagedInstance01" -DisplayName "DBAs" -ObjectId "40b79501-b343-44ed-9ce7-da4c8cc7353b"

다음 명령은 ResourceGroup01 리소스 그룹과 연결된 ManagedInstanceName01 SQL Managed Instance에 대한 Microsoft Entra 관리자를 제거합니다.

Remove-AzSqlInstanceActiveDirectoryAdministrator -ResourceGroupName "ResourceGroup01" -InstanceName "ManagedInstanceName01" -Confirm -PassThru

Microsoft Entra 관리 프로비전(SQL Database)

중요

SQL Database 또는 Azure Synapse용 서버를 프로비전하는 경우에만 다음 단계를 수행합니다.

다음 두 절차는 Azure Portal 및 PowerShell을 사용하여 서버에 대한 Microsoft Entra 관리자를 프로비전하는 방법을 설명합니다.

Azure Portal

  1. Azure Portal의 오른쪽 위 모서리에서 계정을 선택한 다음 디렉터리 전환(Switch Directory)을 선택하여 디렉터리 + 구독 페이지를 엽니다. Azure SQL Database 또는 Azure Synapse Analytics를 현재 디렉터리로 포함하는 Microsoft Entra 디렉터리를 선택합니다.

  2. SQL 서버를 검색하고 Azure SQL Database에 대한 논리 서버를 선택합니다.

    Search for and select SQL servers.

    참고 항목

    이 페이지에서 SQL Server를 선택하기 전에 이름 옆에 있는 별표 표시을 선택하면 범주를 즐겨 찾기에 추가하고 왼쪽 탐색 모음에 SQL Server를 추가합니다.

    또한 Azure SQL 대시보드를 방문하는 것을 권장합니다.

  3. SQL Server 페이지에서 Microsoft Entra ID를 선택합니다.

  4. Microsoft Entra 관리자 페이지의 탐색 모음에서 관리 설정을 선택하여 Microsoft Entra ID 창을 엽니다.

    Screenshot shows the option to set the Microsoft Entra admin for SQL servers.

  5. Microsoft Entra ID 창에서 사용자를 검색한 다음 관리자가 될 사용자 또는 그룹을 선택합니다. 선택 항목을 사용하여 선택을 확인하고 창을 닫아 논리 서버의 Microsoft Entra ID 페이지로 돌아갑니다. (Microsoft Entra ID 창에는 현재 디렉터리의 모든 멤버와 그룹이 표시됩니다. 회색으로 표시된 사용자 또는 그룹은 Microsoft Entra 관리자로 지원되지 않으므로 선택할 수 없습니다. SQL Database 또는 Azure Synapse에서 Microsoft Entra 인증 사용하기Microsoft Entra 기능 및 제한 사항 섹션에서 지원되는 관리자 목록을 참조하세요.) Azure RBAC(Azure 역할 기반 액세스 제어)는 포털에만 적용되며 서버에 전파되지 않습니다.

  6. 논리 서버의 Microsoft Entra ID 페이지 맨 위에서 저장을 선택합니다.

    Screenshot shows the option to save a Microsoft Entra admin.

    Microsoft Entra 사용자 및 그룹의 경우 관리자 이름 옆에 개체 ID가 표시됩니다. 애플리케이션(서비스 주체)의 경우 애플리케이션 ID가 표시됩니다.

관리자를 변경하는 데는 몇 분이 걸릴 수 있습니다. 작업이 완료되면 새 관리자가 Microsoft Entra 관리 필드에 나타납니다.

참고 항목

Microsoft Entra 관리자를 설정하는 경우 새 관리자 이름(사용자 또는 그룹)은 이미 서버 인증 사용자로 가상 master 데이터베이스에 있는 이름일 수 없습니다. 같은 이름의 사용자가 있는 경우 Microsoft Entra 관리자 설정이 실패하고 변경 내용이 롤백되며, 해당 관리자 이름이 이미 있다고 표시됩니다. 서버 인증 사용자는 Microsoft Entra ID에 속하지 않으므로 Microsoft Entra 인증을 사용하여 이 사용자에 연결하려는 작업은 모두 실패합니다.

나중에 관리자를 제거하려면 Microsoft Entra ID 페이지 위쪽에서 관리자 제거를 선택한 다음, 저장을 선택합니다. 이렇게 하면 논리 서버에 대한 Microsoft Entra 인증이 비활성화됩니다.

SQL Database 및 Azure Synapse에 대한 PowerShell

PowerShell cmdlet을 실행하려면 Azure powershell을 설치하고 실행해야 합니다. 자세한 내용은 Azure PowerShell 설치 및 구성하는 방법을 참조하세요. Microsoft Entra 관리자를 프로비전하려면 다음 Azure PowerShell 명령을 실행합니다.

  • 연결 AzAccount
  • Select-AzSubscription

SQL Database 및 Azure Synapse에 대한 Microsoft Entra 관리를 프로비전하고 관리하는 데 사용되는 cmdlet은 다음과 같습니다.

Cmdlet 이름 설명
Set-AzSqlServerActiveDirectoryAdministrator SQL Database 또는 Azure Synapse를 호스팅하는 서버에 대한 Microsoft Entra 관리자를 프로비전합니다. (현재 구독에 있어야 함)
Remove-AzSqlServerActiveDirectoryAdministrator SQL Database 또는 Azure Synapse를 호스팅하는 서버에 대한 Microsoft Entra 관리자를 제거합니다.
Get-AzSqlServerActiveDirectoryAdministrator SQL Database 또는 Azure Synapse를 호스팅하는 서버에 대해 현재 구성된 Microsoft Entra 관리자에 대한 정보를 반환합니다.

get-help PowerShell 명령을 이러한 각 명령에 대한 자세한 정보를 확인합니다. 예들 들어 get-help Set-AzSqlServerActiveDirectoryAdministrator입니다.

다음 스크립트는 리소스 그룹 Group-23에서 demo_server 서버에 대해 이름이 DBA_Group(개체 ID 40b79501-b343-44ed-9ce7-da4c8cc7353f)인 Microsoft Entra 관리자 그룹을 프로비전합니다.

Set-AzSqlServerActiveDirectoryAdministrator -ResourceGroupName "Group-23" -ServerName "demo_server" -DisplayName "DBA_Group"

DisplayName 입력 매개 변수에는 Microsoft Entra 표시 이름이나 사용자 계정 이름이 허용됩니다. 예를 들어 DisplayName="John Smith"DisplayName="johns@contoso.com"를 지정합니다. Microsoft Entra 그룹의 경우 Microsoft Entra ID 표시 이름만 지원됩니다.

참고 항목

Azure PowerShell 명령 Set-AzSqlServerActiveDirectoryAdministrator(은)는 지원되지 않는 사용자에 대한 Microsoft Entra 관리자 프로비저닝을 차단하지 않습니다. 지원되지 않는 사용자를 프로비전할 수는 있지만 데이터베이스에 연결할 수는 없습니다.

다음 예제에서는 ObjectID옵션을 사용합니다.

Set-AzSqlServerActiveDirectoryAdministrator -ResourceGroupName "Group-23" -ServerName "demo_server" `
    -DisplayName "DBA_Group" -ObjectId "40b79501-b343-44ed-9ce7-da4c8cc7353f"

참고 항목

DisplayName이 고유하지 않을 경우 Microsoft Entra ObjectID가 요구됩니다. ObjectIDDisplayName 값을 검색하려면 Azure Portal의 Microsoft Entra ID에서 사용자 또는 그룹의 속성을 확인합니다.

다음 예제에서는 서버에 대한 현재 Microsoft Entra 관리 정보를 반환합니다.

Get-AzSqlServerActiveDirectoryAdministrator -ResourceGroupName "Group-23" -ServerName "demo_server" | Format-List

다음 예제에서는 Microsoft Entra 관리자를 제거합니다.

Remove-AzSqlServerActiveDirectoryAdministrator -ResourceGroupName "Group-23" -ServerName "demo_server"

참고 항목

REST API를 사용하여 Microsoft Entra 관리자를 프로비전할 수도 있습니다. 자세한 내용은 서비스 관리 REST API 참조 및 Azure SQL Database에 대한 작업을 참조하세요.

클라이언트 컴퓨터 구성

참고 항목

System.Data.SqlClient는 더 이상 사용되지 않는 Azure ADAL(Active Directory 인증 라이브러리)을 사용합니다. Microsoft Entra 인증에 System.Data.SqlClient 네임스페이스를 사용하는 경우 애플리케이션을 Microsoft.Data.SqlClientMSAL(Microsoft 인증 라이브러리)로 마이그레이션하세요. 자세한 내용은 SqlClient Microsoft Entra 인증을 참조하세요.

애플리케이션에서 ADAL.DLL을 계속 사용하려면 이 섹션의 링크를 사용하여 최신 ADAL.DLL 라이브러리가 포함된 최신 ODBC 또는 OLE DB 드라이버를 설치하면 됩니다.

애플리케이션 또는 사용자가 Microsoft Entra ID를 사용하여 SQL Database 또는 Azure Synapse에 연결하는 모든 클라이언트 컴퓨터에서 다음 소프트웨어를 설치해야 합니다.

다음을 통해 이러한 요구 사항을 충족할 수 있습니다.

  • 최신 버전의 SQL Server Management Studio 또는 SQL Server Data Tools를 설치하면 .NET Framework 4.6 요구 사항이 충족됩니다.
    • SSMS는 x86 버전의 ADAL.DLL을 설치합니다.
    • SSDT는 amd64 버전의 ADAL.DLL을 설치합니다.
    • Visual Studio 다운로드에서 제공되는 최신 Visual Studio는 .NET Framework 4.6 요구 사항을 충족하지만, 필요한 amd64 버전의 ADAL.DLL은 설치되지 않습니다.

Microsoft Entra ID에 매핑되어 있는 포함된 사용자 만들기

이 섹션에서는 Azure SQL Database, Azure SQL Managed Instance 및 Azure Synapse에서 Microsoft Entra 인증을 사용하기 위한 요구 사항 및 중요한 고려 사항을 검토합니다.

  • SQL Database 및 Azure Synapse를 사용하여 Microsoft Entra 인증을 수행하려면 Microsoft Entra ID를 기반으로 포함된 데이터베이스 사용자를 사용해야 합니다. 포함된 데이터베이스 사용자는 데이터베이스와 연결된 Microsoft Entra ID에 매핑되며, master 데이터베이스에는 로그인이 없습니다. Microsoft Entra ID는 개별 사용자 계정 또는 그룹일 수 있습니다. 포함된 데이터베이스 사용자에 대한 자세한 내용은 포함된 데이터베이스 사용자 - 데이터베이스를 이식 가능하게 만들기를 참조하세요. Microsoft Entra ID 기반의 포함된 데이터베이스 사용자 만들기와 관련한 자세한 내용은 CREATE USER(Transact-SQL)를 참조하세요.

  • SQL Managed Instance는 Microsoft Entra 서버 주체(로그인)를 지원하므로 포함된 데이터베이스 사용자를 사용할 필요가 없습니다. 이렇게 하면 Microsoft Entra 사용자, 그룹 또는 애플리케이션에서 로그인을 만들 수 있습니다. 즉, 포함된 데이터베이스 사용자가 아닌 Microsoft Entra 서버 로그인을 사용하여 SQL Managed Instance로 인증할 수 있습니다. 자세한 내용은 SQL Managed Instance 개요를 참조하세요. Microsoft Entra 서버 주체(로그인)를 만드는 구문은 CREATE LOGIN을 참조하세요.

  • 데이터베이스 사용자(관리자 예외)는 Azure Portal을 사용하여 만들 수 없습니다. Microsoft Entra 역할은 SQL Database, SQL Managed Instance 또는 Azure Synapse의 데이터베이스로 전파되지 않습니다. Microsoft Entra 역할은 Azure 리소스를 관리하며 데이터베이스 권한에는 적용되지 않습니다. 예를 들어 SQL Server 참가자 역할은 SQL Database, SQL Managed Instance 또는 Azure Synapse의 데이터베이스에 연결할 수 있는 액세스 권한을 부여하지 않습니다. TRANSACT-SQL 문을 사용하여 데이터베이스에 직접 액세스 권한을 부여해야 합니다.

  • Azure 구독과 연결된 것과 다른 Microsoft Entra 테넌트에서 관리되는 ID에 대한 데이터베이스 사용자를 직접 만들 수 없습니다. 그러나 다른 디렉터리의 사용자를 외부 사용자로 연결된 디렉터리로 가져올 수 있습니다. 그런 다음 SQL Database에 액세스할 수 있는 포함된 데이터베이스 사용자를 만드는 데 사용할 수 있습니다. 외부 사용자는 데이터베이스 사용자를 포함하는 Microsoft Entra 그룹의 멤버 자격을 통해 액세스 권한을 얻을 수도 있습니다.

  • CREATE LOGINCREATE USER T-SQL 문에 사용자 이름으로 포함된 콜론(:) 또는 앰퍼샌드(&)와 같은 특수 문자는 지원되지 않습니다.

중요

2,048개가 넘는 Microsoft Entra 보안 그룹의 멤버인 Microsoft Entra 사용자와 서비스 주체는 SQL Database, SQL Managed Instance, Azure Synapse의 데이터베이스에 로그인할 수 없습니다.

Microsoft Entra ID 기반의 포함된 데이터베이스 사용자(데이터베이스를 소유한 서버 관리자자가 아닌 사용자여야 함)를 만들려면 ALTER ANY USER 이상의 권한이 있는 사용자인 Microsoft Entra ID를 통해 데이터베이스에 연결합니다. 다음 T-SQL 예제에서 Microsoft_Entra_principal_name(은)는 Microsoft Entra 사용자의 사용자 계정 이름 또는 Microsoft Entra 그룹의 표시 이름일 수 있습니다.

CREATE USER [<Microsoft_Entra_principal_name>] FROM EXTERNAL PROVIDER;

예제: Microsoft Entra 페더레이션 또는 관리되는 도메인 사용자를 대표하는 포함된 데이터베이스 사용자를 만드는 방법

CREATE USER [bob@contoso.com] FROM EXTERNAL PROVIDER;
CREATE USER [alice@fabrikam.onmicrosoft.com] FROM EXTERNAL PROVIDER;

Microsoft Entra 그룹을 대표하는 포함된 데이터베이스 사용자를 만들려면 그룹의 표시 이름을 제공합니다.

CREATE USER [ICU Nurses] FROM EXTERNAL PROVIDER;

Microsoft Entra 토큰을 사용하여 연결할 애플리케이션을 나타내는 포함된 데이터베이스 사용자를 만들려면 다음을 실행합니다.

CREATE USER [appName] FROM EXTERNAL PROVIDER;

CREATE USER ... FROM EXTERNAL PROVIDER 명령을 사용하려면 로그인한 사용자를 대신하여 SQL에서 Microsoft Entra("외부 공급자")에 액세스해야 합니다. 경우에 따라 Microsoft Entra에서 예외를 SQL에 반환하는 상황이 발생할 수 있습니다.

  • Microsoft Entra ID 관련 오류 메시지가 포함된 SQL 오류 33134가 발생할 수 있습니다. 대부분의 경우 액세스가 거부되었거나, 사용자가 리소스에 액세스하려면 MFA에 등록해야 하거나, 사전 인증을 통해 자사 애플리케이션 간의 액세스를 처리해야 한다는 오류가 표시됩니다. 처음 두 경우에서 문제는 일반적으로 사용자의 Microsoft Entra 테넌트에 설정된 조건부 액세스 정책으로 인해 발생합니다. 이러한 정책은 사용자가 외부 공급자에 액세스하지 못하도록 합니다. '00000003-0000-0000-c000-000000000000'(Microsoft Graph API의 애플리케이션 ID) 애플리케이션에 대한 액세스를 허용하도록 조건부 액세스 정책을 업데이트하면 문제가 해결됩니다. 사전 인증을 통해 자사 애플리케이션 간의 액세스를 처리해야 한다는 오류가 표시되는 경우 사용자가 서비스 주체로 로그인했기 때문에 문제가 발생합니다. 사용자로 실행하면 명령이 성공합니다.
  • 연결 시간 초과 만료됨을 수신하면 연결 문자열의 TransparentNetworkIPResolution 매개 변수를 false로 설정해야 할 수 있습니다. 자세한 내용은 .NET Framework 4.6.1의 연결 시간 초과 문제 – TransparentNetworkIPResolution을 참조하세요.

중요

서버에서 사용되는 Microsoft Entra 관리자를 제거하면 Microsoft Entra 인증 사용자가 서버에 연결할 수 없습니다. 필요한 경우 SQL Database 관리자는 사용할 수 없는 Microsoft Entra 사용자를 수동으로 삭제할 수 있습니다.

데이터베이스 사용자를 만들 때 해당 사용자는 연결 권한을 부여 받으며 공용 역할의 멤버로서 해당 데이터베이스에 연결할 수 있습니다. 처음에 사용자가 사용할 수 있는 유일한 사용 권한은 PUBLIC 역할뿐이며, 멤버인 모든 Microsoft Entra 그룹에만 유효합니다. Microsoft Entra 기반 포함된 데이터베이스 사용자에게 사용 권한을 부여하는 것은 다른 유형의 사용자에게 사용 권한을 부여하는 것과 동일한 방식으로 작동합니다. 개별 사용자에게 권한을 직접 부여하는 대신 데이터베이스 역할에 권한을 부여하고 해당 역할에 사용자를 추가하는 것이 좋습니다. 자세한 내용은 데이터베이스 엔진의 권한 기초를 참조하세요. 특수 SQL Database 역할에 대한 자세한 내용은 Azure SQL Database에서 데이터베이스 및 로그인 관리를 참조하세요. 관리되는 도메인에 외부 사용자로 가져온 페더레이션된 도메인 사용자 계정은 관리되는 도메인 ID를 사용해야 합니다.

Microsoft Entra 사용자는 데이터베이스 메타데이터에서 TYPE E(EXTERNAL_USER) 및 그룹의 경우 TYPE X(EXTERNAL_GROUPS)으로 표시됩니다. 자세한 내용은 sys.database_principals를 참조하세요.

SSMS 또는 SSDT를 사용하여 데이터베이스에 연결

Microsoft Entra 관리자가 제대로 설정되었는지 확인하려면 Microsoft Entra 관리자 계정을 사용하여 master 데이터베이스에 연결합니다. Microsoft Entra 기반 포함된 데이터베이스 사용자를 만들려면 데이터베이스에 대한 액세스 권한이 있고 최소 ALTER ANY USER 사용 권한이 있는 Microsoft Entra ID를 사용하여 데이터베이스에 연결합니다.

Microsoft Entra ID로 SSMS 또는 SSDT를 사용하여 연결

다음 절차에서는 Microsoft Entra로 SSMS(SQL Server Management Studio) 또는 SSDT(SQL Server Database Tools)를 사용하여 SQL Database에 연결을 안내합니다.

Microsoft Entra ID - 통합

페더레이션된 도메인의 Microsoft Entra 자격 증명을 사용하여 Windows에 로그인하거나 원활한 통과 및 암호 해시 인증을 위해 구성된 관리되는 도메인에 로그인한 경우 이 방법을 사용하세요. 자세한 내용은 Microsoft Entra 원활한 Single Sign-On을 참조하세요.

  1. SSMS 또는 SSDT을 시작하고, 서버에 연결(또는 데이터베이스 엔진에 연결) 대화 상자의 인증 박스에서 Azure Active Directory - 통합을 선택합니다. 연결에 대한 기존 자격 증명이 제공되므로 암호를 입력할 필요가 없습니다.

    Screenshot from SSMS showing Microsoft Entra Integrated authentication.

  2. 옵션 단추를 선택하고 연결 속성 페이지의 데이터베이스에 연결 상자에서 연결하려는 사용자 데이터베이스의 이름을 입력합니다.

    Screenshot from SSMS of the Options menu.

Microsoft Entra ID - 암호

Microsoft Entra 관리되는 도메인 사용하여 Microsoft Entra 보안 주체 이름으로 연결할 경우 이 방법을 사용하세요. 예를 들어 원격으로 작업하는 경우 도메인에 액세스하지 않고 페더레이션된 계정에 사용할 수도 있습니다.

이 방법을 사용하여 Microsoft Entra 클라우드 전용 ID 사용자 또는 Microsoft Entra 하이브리드 ID를 사용하는 사용자를 사용하여 SQL Database 또는 SQL Managed Instance의 데이터베이스에 인증합니다. 이 방법은 Windows 자격 증명을 사용하고자 하지만 로컬 컴퓨터가 도메인에 조인되지 않은 사용자를 지원합니다(예: 원격 액세스 사용). 이 경우 Windows 사용자는 도메인 계정 및 암호를 표시할 수 있으며, SQL Database, SQL Managed Instance 또는 Azure Synapse의 데이터베이스에 인증할 수 있습니다.

  1. SSMS 또는 SSDT을 시작하고, 서버에 연결(또는 데이터베이스 엔진에 연결) 대화 상자의 인증 상자에서 Azure Active Directory - 암호를 선택합니다.

  2. 사용자 이름 상자에 Microsoft Entra 사용자 이름을 username\@domain.com 형식으로 입력합니다. 사용자 이름은 Microsoft Entra ID의 계정이거나 Microsoft Entra ID 관리 또는 페더레이션 도메인 계정이어야 합니다.

  3. 암호 상자에서 Microsoft Entra 계정 또는 관리/페더레이션 도메인 계정의 사용자 암호를 입력합니다.

    Screenshot from SSMS using Microsoft Entra Password authentication.

  4. 옵션 단추를 선택하고 연결 속성 페이지의 데이터베이스에 연결 상자에서 연결하려는 사용자 데이터베이스의 이름을 입력합니다. (이전 옵션의 그래픽을 참조하세요.)

Microsoft Entra ID - 유니버설 MFA 사용

이 방법은 암호가 대화형으로 요청되고, MFA(Multi-Factor Authentication)를 사용하는 대화형 인증에 사용합니다. 이 방법을 사용하여 Microsoft Entra 클라우드 전용 ID 사용자 또는 Microsoft Entra 하이브리드 ID를 사용하는 사용자에 대한 SQL Database, SQL Managed Instance 및 Azure Synapse의 데이터베이스에 인증할 수 있습니다.

자세한 내용은 SQL Database 및 Azure Synapse에서 다단계 Microsoft Entra 인증 사용(MFA에 대한 SSMS 지원)을 참조하세요.

Microsoft Entra ID - 서비스 주체.

이 메서드를 사용하여 Microsoft Entra 서비스 주체(Microsoft Entra 애플리케이션)를 사용하여 SQL Database 또는 SQL Managed Instance의 데이터베이스에 인증합니다. 자세한 내용은 Azure SQL과 Microsoft Entra 서버 주체를 참조하세요.

Microsoft Entra 사용자, 관리 ID

이 메서드를 사용하여 Microsoft Entra 관리 ID를 사용하여 SQL Database 또는 SQL Managed Instance의 데이터베이스에 인증합니다. 자세한 내용은 Azure SQL Microsoft Entra 관리 ID를 참조하세요.

Microsoft Entra ID - 기본값

Microsoft Entra ID를 사용하는 기본 인증 옵션을 사용하면 관리 ID를 포함하여 암호 없는 비대화형 메커니즘을 통해 수행되는 인증을 사용할 수 있습니다.

Microsoft Entra ID를 사용하여 Azure SQL Database용 Azure Portal 쿼리 편집기를 사용하여 연결하기

Azure SQL Database용 Azure Portal 쿼리 편집기에 대한 자세한 내용은 빠른 시작: Azure Portal 쿼리 편집기를 사용하여 Azure SQL Database 쿼리하기를 참조하세요.

  1. Azure Portal에서 SQL Database로 이동합니다. 예를 들어 Azure SQL 대시보드를 방문해 보겠습니다.

  2. Azure portal의 SQL Database 개요 페이지에 있는 왼쪽 메뉴에서 쿼리 편집기를 선택합니다.

  3. SQL Database 쿼리 편집기에 오신 것을 환영합니다 아래 로그인 화면에서 사용자 또는 <그룹 ID>로 계속을 선택합니다.

    Screenshot showing sign-in to the Azure portal Query editor with Microsoft Entra authentication.

Microsoft Entra ID를 사용하여 클라이언트 애플리케이션에서 연결하기

다음 절차는 클라이언트 애플리케이션에서 Microsoft Entra ID를 사용하여 SQL Database에 연결하는 방법을 보여 줍니다. Microsoft Entra ID를 사용할 때 사용할 수 있는 인증 방법의 포괄적인 목록은 아닙니다. 자세한 내용은 Microsoft Entra 인증 및 SqlClient로 Azure SQL에 연결하기를 참조하세요.

Microsoft Entra 통합 인증

통합 Windows 인증을 사용하려면 도메인의 Active Directory가 Microsoft Entra ID와 페더레이션되었거나, 통과 또는 암호 해시 인증을 할 수 있는 원활한 Single Sign-On 구성이 완료된 관리되는 도메인이어야 합니다. 자세한 내용은 Microsoft Entra 원활한 Single Sign-On을 참조하세요.

데이터베이스에 연결하는 클라이언트 애플리케이션(또는 서비스)은 사용자의 도메인 자격 증명으로 도메인에 조인된 컴퓨터에서 실행해야 합니다.

통합 인증 및 Microsoft Entra ID를 사용하여 데이터베이스에 연결하려면 데이터베이스 연결 문자열의 인증 키워드를 Active Directory Integrated(으)로 설정해야 합니다. <database_name>을 데이터베이스 이름으로 바꿉니다. 다음 C# 코드 예제에서는 ADO.NET을 사용합니다.

string ConnectionString = @"Data Source=<database_name>.database.windows.net; Authentication=Active Directory Integrated; Initial Catalog=testdb;";
SqlConnection conn = new SqlConnection(ConnectionString);
conn.Open();

연결 문자열 키워드 Integrated Security=True(은)는 Azure SQL Database 연결에 지원되지 않습니다. ODBC 연결을 설정할 때는 공백을 제거하고 인증을 ActiveDirectoryIntegrated(으)로 설정해야 합니다.

Microsoft Entra 암호 인증

Microsoft Entra 클라우드 전용 ID 사용자 계정 또는 Microsoft Entra 하이브리드 ID를 사용하는 사용자를 사용하여 데이터베이스에 연결하려면 인증 키워드를 Active Directory Password(으)로 설정해야 합니다. 연결 문자열에는 사용자 ID/UID 및 암호/PWD 키워드와 값이 포함되어 있어야 합니다. <database_name>, <email_address><password>을 적절한 값으로 바꿉니다. 다음 C# 코드 예제에서는 ADO.NET을 사용합니다.

string ConnectionString =
@"Data Source=<database_name>.database.windows.net; Authentication=Active Directory Password; Initial Catalog=testdb; UID=<email_address>; PWD=<password>";
SqlConnection conn = new SqlConnection(ConnectionString);
conn.Open();

Microsoft Entra 인증 GitHub 데모의 데모 코드 샘플을 사용하여 Microsoft Entra 인증 방법에 대해 자세히 알아보세요.

Microsoft Entra 액세스 토큰

이 인증 방법을 사용하면 중간 계층 서비스를 통해 JSON Web Tokens (JWT)을 토큰을 가져오고, Microsoft Entra ID에서 토큰을 가져와서 SQL Database, SQL Managed Instance 또는 Azure Synapse의 데이터베이스에 연결합니다. 이 방법을 사용하면 인증서 기반 인증을 사용하는 서비스 ID, 서비스 주체 및 애플리케이션을 포함한 다양한 애플리케이션 시나리오를 사용할 수 있습니다. Microsoft Entra 토큰 인증을 사용하려면 다음 네 가지 기본 단계를 완료해야 합니다.

  1. Microsoft Entra ID로 애플리케이션을 등록하고, 코드에 대한 클라이언트 ID를 가져옵니다.
  2. 애플리케이션을 나타내는 데이터베이스 사용자를 만듭니다(이전 (Microsoft Entra ID에 매핑된 포함된 사용자를 만들기는 이 섹션의 앞부분에서 완료되었습니다.)
  3. 애플리케이션을 실행하는 클라이언트 컴퓨터에서 인증서를 만듭니다.
  4. 인증서를 애플리케이션의 키로 추가합니다.

샘플 연결 문자열: <database_name>을(를) 데이터베이스 이름으로 바꿉니다.

string ConnectionString = @"Data Source=<database_name>.database.windows.net; Initial Catalog=testdb;";
SqlConnection conn = new SqlConnection(ConnectionString);
conn.AccessToken = "Your JWT token";
conn.Open();

자세한 내용은 SQL Server 보안 블로그를 참조하세요. 인증서 추가에 대한 정보는 Microsoft Entra ID에서 인증서 기반 인증 시작하기를 참조하세요.

sqlcmd

다음 문은 sqlcmd 버전 13.1을 사용하여 연결됩니다. SQL Server용 Microsoft 명령줄 유틸리티 14.0 다운로드

참고 항목

-G 명령을 사용하는 sqlcmd는 시스템 ID에서 작동하지 않으며 사용자 주체 로그인이 필요합니다.

sqlcmd -S Target_DB_or_DW.testsrv.database.windows.net -G
sqlcmd -S Target_DB_or_DW.testsrv.database.windows.net -U bob@contoso.com -P MyAADPassword -G -l 30

Microsoft Entra 인증 문제 해결

Microsoft Entra 인증 관련 문제 해결에 대한 지침은 블로그: Azure SQL DB 및 DW를의 Azure AD 인증과 관련된 문제 해결을 참조하세요.

관련 콘텐츠