Compartilhar via

Autenticação do Azure SQL Microsoft Entra

Aplica-se a:Banco de Dados SQL do AzureInstância Gerenciada de SQL do AzureAzure Synapse Analytics

Este artigo fornece uma visão detalhada sobre o uso da autenticação do Microsoft Entra no Banco de Dados SQL do Azure, na Instância Gerenciada de SQL do Azure, no SQL Server em VMs do Azure, no SQL do Synapse no Azure Synapse Analytics e no SQL Server para Windows e Linux.

Para configurar a autenticação do Microsoft Entra, confira:

Observação

O Microsoft Entra ID era anteriormente conhecido como Azure Active Directory (Azure AD).

Visão geral

O Microsoft Entra ID permite gerenciar centralmente as identidades de pessoas e serviços em seu patrimônio de dados. Ao integrar o Microsoft Entra ao SQL do Azure para autenticação, é possível simplificar o gerenciamento de identidades e permissões, além de habilitar o acesso condicional detalhado e a governança em todas as conexões com seus dados.

O uso da autenticação do Microsoft Entra inclui os seguintes benefícios:

  • Substitui métodos de autenticação menos seguros como senhas e nomes de usuário.
  • Elimina ou ajuda a impedir a proliferação de identidades de usuário entre servidores.
  • Os grupos do Microsoft Entra permitem que o gerenciamento de permissões de banco de dados seja abstraído de contas individuais e em grupos operacionais.
  • Permite o rodízio de senhas em um único lugar.
  • Autenticação somente do Microsoft Entra fornece uma alternativa completa para a autenticação SQL.
  • As identidades gerenciadas para recursos do Azure eliminam a necessidade de armazenar senhas para serviços que se conectam aos bancos de dados e conexões de seus bancos de dados com outros recursos do Azure.
  • Habilita controles de segurança avançados que incluem a autenticação multifator eficiente com uma variedade de opções de verificação fáceis, como chamada telefônica, mensagem SMS, cartões inteligentes com PIN ou notificação por aplicativos móveis.
  • O Microsoft Entra ID permite a integração com muitos protocolos de autenticação modernos, incluindo OpenID Connect, OAuth2.0, delegação restrita de Kerberos e muito mais.
  • Permite o monitoramento centralizado de conexões com fontes de dados.
  • Habilita controles de acesso condicional, como a exigência de dispositivos compatíveis ou métodos de autenticação para conexões bem-sucedidas.
  • Gerencie e monitore centralmente a autenticação com Azure Policies.

Observação

A autenticação do Microsoft Entra dá suporte apenas a tokens de acesso originados do Microsoft Entra ID e não dão suporte a tokens de acesso de terceiros. O Microsoft Entra ID também não oferece suporte ao redirecionamento de consultas do Microsoft Entra ID para endpoints de terceiros. Isso se aplica a todas as plataformas SQL e a todos os sistemas operacionais que dão suporte à autenticação do Microsoft Entra.

Etapas de configuração

Use as etapas abaixo para configurar a autenticação do Microsoft Entra:

  1. Crie e preencha um tenant do Microsoft Entra.
  2. Crie um servidor lógico ou instância no Azure.
  3. Atribua um administrador do Microsoft Entra ao servidor ou instância.
  4. Crie principais SQL no seu banco de dados mapeados para identidades Microsoft Entra.
  5. Configure seus aplicativos cliente para se conectar usando bibliotecas de identidade do Azure e métodos de autenticação.
  6. Conecte-se ao seu banco de dados com identidades do Microsoft Entra.

Identidades e métodos de autenticação com suporte

Azure SQL dá suporte ao uso das seguintes identidades do Microsoft Entra como logons e usuários (principais) nos servidores e bancos de dados:

  • Usuários do Microsoft Entra: qualquer tipo de usuário em um locatário do Microsoft Entra, incluindo internos, externos, convidados e membros. Membros de um domínio do Active Directory federado com o Microsoft Entra ID também são suportados e podem ser configurados para autenticação única contínua.
  • Aplicativos: os aplicativos existentes no Azure podem usar entidades de serviço ou identidades gerenciadas para autenticar diretamente no SQL do Azure. O uso de identidades gerenciadas para autenticação é preferido por ele ser sem senha e eliminar a necessidade de credenciais gerenciadas pelo desenvolvedor.
  • Grupos do Microsoft Entra, que podem simplificar o gerenciamento de acesso em toda a sua organização, gerenciando o acesso de usuários e aplicativos com base em sua associação de grupo.

Para identidades do usuário, há suporte para os seguintes métodos de autenticação:

  • Microsoft Entra Integrado (Autenticação do Windows) é suportado por Identidades Híbridas do Microsoft Entra com Active Directory [federação].
  • Microsoft Entra MFA, ou autenticação multifator, que exige verificações de segurança adicionais além do conhecimento do usuário.
  • Autenticação de senha do Microsoft Entra, que usa credenciais de usuário armazenadas e gerenciadas no Microsoft Entra ID.
  • Autenticação padrão do Microsoft Entra, que verifica vários caches de credenciais no computador do aplicativo e pode usar tokens de usuário para autenticar no SQL.

Para identidades de carga de trabalho e serviço, há suporte para os seguintes métodos de autenticação:

  • Identidades gerenciadas para recursos do Azure, atribuídas pelo sistema e atribuídas pelo usuário. A autenticação de identidade gerenciada é baseada em token, na qual a identidade é atribuída ao recurso que deseja autenticar usando-a. A plataforma de Identidade do Azure valida esse relacionamento, o que permite a autenticação sem senha.
  • Nome do principal de serviço do Microsoft Entra e segredo do aplicativo (cliente). Esse método de autenticação não é recomendado devido ao risco associado a senhas que podem ser adivinhadas e vazadas.
  • Autenticação padrão do Microsoft Entra, que analisa vários caches de credenciais na máquina do aplicativo e pode usar tokens de aplicativo para autenticar no SQL.

Administrador do Microsoft Entra

Para habilitar a autenticação do Microsoft Entra, um administrador do Microsoft Entra deve ser definido para seu servidor lógico ou instância gerenciada. Esse administrador existe junto com o SA (administrador do SQL Server). O administrador do Microsoft Entra pode ser qualquer objeto de segurança em seu locatário do Azure, incluindo usuários, grupos, entidades de serviço e identidades gerenciadas do Microsoft Entra. O administrador do Microsoft Entra é uma propriedade singular, não uma lista, o que significa que apenas uma identidade pode ser configurada a qualquer momento. A remoção do administrador do Microsoft Entra do servidor desabilita todas as conexões baseadas em autenticação do Microsoft Entra, mesmo para usuários existentes do Microsoft Entra com permissões em um banco de dados.

Dica

Os grupos do Microsoft Entra permitem que várias identidades atuem como administrador do Microsoft Entra no servidor. Quando o administrador é definido como um grupo, todos os membros do grupo herdam a função de administrador do Microsoft Entra. Um administrador de grupo do Microsoft Entra melhora a facilidade de gerenciamento ao transferir a administração das ações do plano de dados do servidor para o Microsoft Entra ID e para os proprietários dos grupos. Os grupos podem ser usados para todas as identidades do Microsoft Entra que se conectam ao SQL, permitindo a configuração única de usuário e permissão no servidor e nos bancos de dados, deixando todo o gerenciamento de usuários para os grupos.

O administrador do Microsoft Entra desempenha uma função especial: é a primeira conta que pode criar outros logons do Microsoft Entra (em prévia no Banco de Dados SQL) e usuários, coletivamente referidos como principais. O administrador é um usuário de banco de dados independente no master banco de dados do servidor. As contas de administrador são membros da função db_owner em todos os bancos de dados de usuários e cada banco de dados de usuário é inserido como o usuário dbo. Para mais informações sobre contas de administrador, confira Gerenciamento de bancos de dados e logons.

Principais do Microsoft Entra

Observação

As entidades de segurança (logons) do servidor Microsoft Entra estão atualmente em visualização pública para o Banco de Dados SQL do Azure e o Azure Synapse Analytics. Os logons do Microsoft Entra estão em disponibilidade geral na Instância Gerenciada de SQL do Azure e no SQL Server 2022.

As identidades do Microsoft Entra podem ser criadas como principais no Azure SQL de três maneiras:

  • como entidades de servidor ou logons (em versão prévia do Banco de Dados SQL do Azure)
  • como usuários baseados em logon (um tipo de principal de banco de dados)
  • como usuários de banco de dados restritos

Importante

A autenticação do Microsoft Entra para SQL do Azure não se integra ao RBAC do Azure. Usar identidades do Microsoft Entra para se conectar ao Azure SQL e executar consultas requer que essas identidades sejam criadas como principais do Microsoft Entra nos bancos de dados que precisam acessar. Os papéis SQL Server Contributor e SQL DB Contributor são usados para proteger operações de implantação relacionadas ao gerenciamento, não o acesso de conectividade com o banco de dados.

Logins (principais do servidor)

Principais de servidor (logons) para identidades do Microsoft Entra estão em disponibilidade geral para Instância Gerenciada do SQL do Azure, SQL Server 2022 e SQL Server em VMs do Azure. Os logons do Microsoft Entra estão em versão prévia para Azure SQL Database.

O T-SQL a seguir mostra como criar um logon do Microsoft Entra:

CREATE LOGIN [MSEntraUser] FROM EXTERNAL PROVIDER

Um logon do Microsoft Entra tem os seguintes valores de propriedade em sys.server_principals:

Propriedade Valor
SID (Identificador de segurança) Representação binária do ID de objeto da identidade do Microsoft Entra
tipo E = Logon externo ou aplicativo do Microsoft Entra ID
X = Grupo externo do Microsoft Entra ID
descrição_do_tipo EXTERNAL_LOGIN para login ou aplicativo do Microsoft Entra
EXTERNAL_GROUP para o grupo do Microsoft Entra

Usuários baseados em login

Os usuários baseados em login herdam as funções e permissões atribuídas ao login do Microsoft Entra no nível do servidor. Os usuários baseados em login do Microsoft Entra estão em versão de prévia para o Azure SQL Database.

O T-SQL a seguir mostra como criar um usuário baseado em logon para uma identidade do Microsoft Entra:

CREATE USER [MSEntraUser] FROM LOGIN [MSEntraUser]

A tabela a seguir detalha os valores de propriedades do usuário baseados em logon do Microsoft Entra em sys.database_principals:

Propriedade Valor
SID (Identificador de segurança) Representação binária do identificador de objeto da identidade do Microsoft Entra, mais 'AADE'
tipo E = Logon externo ou aplicativo do Microsoft Entra ID
X = Grupo externo do Microsoft Entra ID
descrição_do_tipo EXTERNAL_LOGIN para login ou aplicativo do Microsoft Entra
EXTERNAL_GROUP para o grupo do Microsoft Entra

Usuários de banco de dados independente

Usuários do banco de dados contido são portáteis com o banco de dados. Eles não têm conexões com identidades definidas no servidor ou na instância e, portanto, podem ser facilmente movidos junto com o banco de dados de um servidor ou instância para outro sem interrupção.

O T-SQL a seguir mostra como criar um usuário de banco de dados independente para uma identidade do Microsoft Entra:

CREATE USER [MSEntraUser] FROM EXTERNAL PROVIDER

Um usuário baseado em banco de dados do Microsoft Entra tem os mesmos valores de propriedade que os usuários baseados em logon no sys.database_principals, exceto pela forma como o SID é construído:

Propriedade Valor
SID (Identificador de segurança) Representação binária do ID de objeto da identidade do Microsoft Entra
tipo E = Logon externo ou aplicativo do Microsoft Entra ID
X = Grupo externo do Microsoft Entra ID
descrição_do_tipo EXTERNAL_LOGIN para login ou aplicativo do Microsoft Entra
EXTERNAL_GROUP para o grupo do Microsoft Entra

Para obter o GUID original do Microsoft Entra em que o SID se baseia, use a seguinte conversão T-SQL:

SELECT CAST(sid AS UNIQUEIDENTIFIER) AS EntraID FROM sys.database_principals

Cuidado

É possível criar involuntariamente um usuário de banco de dados contido do Microsoft Entra com o mesmo nome que um logon do Microsoft Entra no nível do servidor ou da instância. Como as entidades não estão conectadas entre si, o usuário do banco de dados não herda permissões do logon do servidor e as identidades podem ser confundidas em solicitações de conexão, resultando em um comportamento indefinido.

Use a seguinte consulta T-SQL para determinar se um usuário do banco de dados é um usuário baseado em logon ou um usuário contido no banco de dados.

SELECT CASE
    WHEN CONVERT(VARCHAR(100), sid, 2) LIKE '%AADE' AND len(sid) = 18 THEN 'login-based user'
    ELSE 'contained database user'
    END AS user_type,
    *
FROM sys.database_principals WHERE TYPE = 'E' OR TYPE = 'X'

Use a seguinte consulta T-SQL para exibir todos os principais do Microsoft Entra em um banco de dados:

SELECT
  name,
  CAST(sid AS UNIQUEIDENTIFIER) AS EntraID,
  CASE WHEN TYPE = 'E' THEN 'App/User' ELSE 'Group' AS user_type,
  sid
FROM sys.database_principals WHERE TYPE = 'E' OR TYPE = 'X'

Autenticação exclusiva do Microsoft Entra

Com a autenticação somente do Microsoft Entra habilitada, todos os outros métodos de autenticação são desabilitados e não podem ser usados para se conectar ao servidor, instância ou banco de dados, o que inclui SA e todas as outras contas baseadas em autenticação SQL para SQL do Azure, bem como autenticação do Windows para Instância Gerenciada de SQL do Azure.

Para começar, confira Configurar a autenticação somente do Microsoft Entra.

MFA (autenticação multifator)

A autenticação multifator do Microsoft Entra é um recurso de segurança fornecido pelo serviço de gerenciamento de identidade e acesso baseado em nuvem da Microsoft. A autenticação multifator aumenta a segurança dos logons dos usuários, exigindo que os usuários forneçam etapas extras de verificação além de uma senha.

A autenticação multifator do Microsoft Entra ajuda a proteger o acesso a dados e aplicativos enquanto atende à demanda do usuário por um processo de entrada simples. A MFA adiciona uma camada extra de segurança às entradas do usuário, exigindo que os usuários forneçam dois ou mais fatores de autenticação. Esses fatores normalmente incluem algo que o usuário sabe (senha), algo que o usuário possui (smartphone ou token de hardware) e/ou algo que o usuário é (dados biométricos). Ao combinar vários fatores, a MFA reduz significativamente a probabilidade de acesso não autorizado.

A autenticação multifator é um método de autenticação com suporte para o Banco de Dados SQL do Azure, a Instância Gerenciada de SQL do Azure, o Azure Synapse Analytics e o SQL Server 2022 (16.x) e versões posteriores.

Para começar, confira Configurar a autenticação multifator do Microsoft Entra.

suporte do Microsoft Entra B2B

A autenticação do Microsoft Entra em todos os produtos SQL também dá suporte à colaboração Microsoft Entra B2B, que permite às empresas convidar usuários convidados para colaborar com sua organização. Os usuários convidados podem se conectar a bancos de dados como usuários individuais ou membros de um grupo do Microsoft Entra. Para obter mais informações, consulte Criar usuário convidado do Banco de Dados para o Microsoft Entra.

Arquitetura de confiança para federação do Microsoft Entra com Active Directory

O Microsoft Entra ID também se integra a soluções familiares de gerenciamento de identidade e acesso, como o Active Directory. O ingresso híbrido no AD local permite que as identidades do Windows federadas por meio do Microsoft Entra ID usem credenciais de logon único para se conectar ao SQL do Azure.

Para federação, o Microsoft Entra ID fornece dois métodos de autenticação seguros: passagem e autenticação de hash de senha. Se quiser federar seu Active Directory local para o Microsoft Entra ID, confira Escolher o método de autenticação certo para sua solução de identidade híbrida do Microsoft Entra.

Para obter mais informações sobre a configuração e a sincronização de identidades híbridas do Microsoft Entra, confira os seguintes artigos:

Este diagrama mostra um exemplo de autenticação federada com a infraestrutura de ADFS (ou usuário/senha para credenciais do Windows). As setas indicam caminhos para comunicação.

Diagrama da autenticação do Microsoft Entra para SQL do Azure.

O diagrama a seguir indica as relações de federação, confiança e hospedagem que permitem que um cliente se conecte a um banco de dados enviando um token. O Microsoft Entra ID autentica o token e o banco de dados confia nele e valida o emissor e outros detalhes. O Cliente 1 pode representar o Microsoft Entra ID com usuários nativos ou o Microsoft Entra ID com usuários federados. O Cliente 2 representa uma solução possível, incluindo os usuários importados; neste exemplo, provenientes de um Microsoft Entra ID federado com o ADFS sendo sincronizado com o Microsoft Entra ID. É importante entender que o acesso a um banco de dados com a autenticação do Microsoft Entra ID exige que a assinatura de hospedagem esteja associada ao Microsoft Entra ID. A mesma assinatura deve ser usada para criar os recursos do Azure Synapse ou do SQL do Azure.

O diagrama mostra a relação entre as assinaturas na configuração do Microsoft Entra.

Permissões

As permissões que são atribuídas ao administrador do Microsoft Entra são diferentes das que são designadas aos principais no Azure SQL. Em alguns cenários, o SQL do Azure também precisa de permissões do Microsoft Graph para usar a autenticação do Microsoft Entra.

Permissões de administrador

O administrador do Microsoft Entra recebe as seguintes permissões e funções quando criado:

  • db_owner de cada banco de dados no servidor ou instância

O diagrama mostra a estrutura do administrador para a ID do Microsoft Entra usada com o SQL Server.

Permissões do SQL do Azure

Um principal precisa da ALTER ANY USER permissão no banco de dados para criar um usuário. Por padrão, ALTER ANY USER é fornecido a: contas de administrador de servidor, usuários de banco de dados com CONTROL ON DATABASEe membros da db_owner função de banco de dados.

** Para criar um principal do Microsoft Entra no Azure SQL, a identidade solicitante precisa consultar o Microsoft Graph para obter detalhes sobre o principal. Na implantação inicial, a única identidade possivelmente capaz de consultar o MS Graph é o admin do Microsoft Entra; assim, o admin deve ser a primeira identidade a criar outras principais do Microsoft Entra. Depois disso, ele pode atribuir ALTER ANY USER a outras entidades para permitir que elas também criem outras entidades do Microsoft Entra.

Implantações sem toque com autenticação do Microsoft Entra

Como o administrador do Microsoft Entra deve ser a primeira identidade a se conectar ao banco de dados e criar outros usuários do Microsoft Entra, pode ser útil adicionar a identidade da infraestrutura de implantação como administrador. Suas implantações podem fazer a configuração inicial, como criar outros principais do Microsoft Entra e atribuir permissões a eles. As implantações podem usar ferramentas como templates ARM do PowerShell para scriptar a criação automatizada de principals. O SQL do Azure não dá suporte a APIs nativas hoje para configurar a criação de usuários e o gerenciamento de permissões; essas operações só podem ser feitas com uma conexão direta com a instância SQL.

Permissões do Microsoft Graph

Para criar entidades principais do Microsoft Entra e em outros cenários, o Azure SQL precisa fazer solicitações ao Microsoft Graph para recuperar informações e validar a existência da identidade no Microsoft Entra ID. Para fazer isso, o processo SQL deve ter ou obter acesso às permissões de leitura do MS Graph no locatário do cliente, o que é obtido de algumas maneiras:

  • Se o principal SQL que executa o comando for uma identidade de usuário, nenhuma permissão adicional na instância SQL será necessária para acessar o MS Graph.
  • Se a entidade SQL que executa o comando for uma identidade de serviço, por exemplo, uma entidade de serviço ou identidade gerenciada, a instância do SQL do Azure exigirá suas próprias permissões para consultar o MS Graph.
    • As permissões de aplicativo podem ser atribuídas à identidade do servidor primário (identidade gerenciada) do servidor lógico ou da instância gerenciada. O processo SQL pode usar a identidade do servidor primário para autenticar em outros serviços do Azure em um locatário, como o MS Graph. A tabela a seguir explica vários cenários e as permissões do MS Graph necessárias para que o comando seja executado com êxito.
Cenário Permissão mínima
CREATE USUÁRIO ou CREATE LOGIN para um principal de serviço ou identidade gerenciada do Microsoft Entra Application.Read.All
CREATE USUÁRIO ou CREATE LOGIN para um usuário do Microsoft Entra User.Read.All
CREATE USUÁRIO ou CREATE LOGIN para grupo Microsoft Entra GroupMember.Read.All
Autenticação do Microsoft Entra com Azure SQL Managed Instance Função de Leitores de Diretório atribuída à identidade da instância gerenciada

Dica

A função Leitores de Diretório é a função de menor escopo que pode ser atribuída a uma identidade que abrange todas as permissões de que o SQL do Azure precisa. O uso de funções tem a vantagem de serem atribuídas a grupos de segurança do Microsoft Entra, abstraindo o gerenciamento de entidades individuais para grupos conceituais.

Suporte a ferramentas

O SQL Server Management Studio (SSMS) dá suporte a várias opções de conexão de autenticação do Microsoft Entra, incluindo autenticação multifator.

O SSDT (SQL Server Data Tools) para Visual Studio, a partir de 2015, dá suporte à autenticação de senha, integrada e interativa com o Microsoft Entra ID. Para obter mais informações, confira Suporte do Microsoft Entra ID no SQL Server Data Tools (SSDT).

  • Atualmente, os usuários do Microsoft Entra não são mostrados no Pesquisador de Objetos do SSDT. Como alternativa, exiba os usuários em sys.database_principals.

Versões mínimas

Para usar a autenticação do Microsoft Entra com o SQL do Azure, você precisa das seguintes versões mínimas ao usar essas ferramentas:

Conectar-se aos recursos do SQL do Azure com o Microsoft Entra

Depois de configurar a autenticação do Microsoft Entra para o recurso SQL do Azure, você pode se conectar usando o SQL Server Management Studio, o SQL Server Data Tools e um aplicativo cliente.

Limitações

Ao usar a autenticação do Microsoft Entra com o SQL do Azure, considere as seguintes limitações:

  • Usuários do Microsoft Entra e Entidades de serviço do Microsoft Entra (aplicativos do Microsoft Entra) que são membros de mais de 2048 grupos de segurança do Microsoft Entra não são suportados e não podem fazer login no banco de dados.

  • As seguintes funções do sistema não têm suporte e retornam valores NULL quando executadas pelas entidades do Microsoft Entra:

    • SUSER_ID()
    • SUSER_NAME(<ID>)
    • SUSER_SNAME(<SID>)
    • SUSER_ID(<name>)
    • SUSER_SID(<name>)

  • É recomendável configurar o tempo limite da conexão para 30 segundos.

Banco de Dados SQL do Microsoft Azure e Azure Synapse Analytics

Ao usar a autenticação do Microsoft Entra com o Banco de Dados SQL do Azure e o Azure Synapse Analytics, considere as seguintes limitações:

  • Os usuários do Microsoft Entra que fazem parte de um grupo que seja membro da função de banco de dados db_owner podem ver o seguinte erro ao tentar usar a sintaxe CREATE DATABASE SCOPED CREDENTIAL no Banco de Dados SQL do Azure e no Azure Synapse:

    SQL Error [2760] [S0001]: The specified schema name 'user@mydomain.com' either doesn't exist or you do not have permission to use it.

    Para atenuar o CREATE DATABASE SCOPED CREDENTIAL problema, adicione a identidade do usuário do Microsoft Entra à db_owner função diretamente.

  • O Banco de Dados SQL do Azure e o Azure Synapse Analytics não criam usuários implícitos para usuários conectados como parte de uma associação de grupo do Microsoft Entra. Por isso, várias operações que exigem atribuição de propriedade podem falhar, mesmo que o grupo do Microsoft Entra seja adicionado como um membro a uma função com essas permissões.

    Por exemplo, um usuário conectado a um banco de dados por meio de um grupo do Microsoft Entra com a função db_ddladmin não pode executar CREATE SCHEMA, ALTER SCHEMAe outras instruções de criação de objeto sem um esquema definido explicitamente (como tabela, exibição ou tipo, por exemplo). Para resolver isso, um usuário do Microsoft Entra deve ser criado para esse usuário, ou o grupo do Microsoft Entra deve ser alterado para atribuir algo como um DEFAULT_SCHEMAdbo.

  • Ao usar replicação geográfica e grupos de recuperação automática, o administrador do Microsoft Entra deve ser configurado para os servidores primário e secundário. Se um servidor não tiver um administrador do Microsoft Entra, os logons e os usuários do Microsoft Entra receberão um erro Cannot connect.

  • Remover o administrador do Microsoft Entra do servidor impede qualquer conexão com autenticação do Microsoft Entra ao servidor. Se for necessário, o administrador do Banco de Dados SQL pode remover manualmente os usuários do Microsoft Entra inutilizáveis.

Instância Gerenciada de SQL do Azure

Considere as seguintes limitações ao usar autenticação do Microsoft Entra com a Instância Gerenciada de SQL do Azure:

  • Entidades de servidor do Microsoft Entra (logons) e usuários têm suporte para Instância Gerenciada de SQL.

  • Não há suporte para definir um logon de grupo do Microsoft Entra como proprietário do banco de dados na Instância Gerenciada de SQL.

    • Uma extensão disso é que, quando um grupo é adicionado como parte da função de servidor dbcreator, os usuários desse grupo podem se conectar à Instância Gerenciada de SQL e criar bancos de dados, mas não poderão acessar o banco de dados. Isso ocorre porque o novo proprietário do banco de dados é SA e não o usuário do Microsoft Entra. Esse problema não se manifesta se o usuário individual é adicionado à função de servidor dbcreator.

  • Os principais de servidor do Microsoft Entra (logins) para Instância Gerenciada de SQL permitem criar vários logins que podem ser adicionados à função sysadmin.

  • Há suporte para gerenciamento do agente SQL e execução de tarefas para logons do Microsoft Entra.

  • As operações de backup e restauração do banco de dados podem ser executadas pelos princípios de servidor do Microsoft Entra (logons).

  • A auditoria de todas as instruções relacionadas aos principais do servidor do Microsoft Entra (logins) e aos eventos de autenticação é suportada.

  • É suportada uma conexão dedicada ao administrador para os principais (contas de login) do servidor Microsoft Entra que são membros do papel do servidor sysadmin.

    • Compatível por meio do utilitário sqlcmd e do SQL Server Management Studio.

  • Os gatilhos de logon têm suporte para eventos de logon provenientes dos principais do servidor Microsoft Entra (logons).

  • O Service Broker e o gerenciamento de emails no banco de dados podem ser configurados utilizando um principal de servidor do Microsoft Entra (login).

  • Ao utilizar grupos de failover, o administrador do Microsoft Entra deve ser configurado para as instâncias principal e secundária. Quando uma instância não tem um administrador do Microsoft Entra, os logons e os usuários do Microsoft Entra recebem um erro Cannot connect.

  • O PolyBase não pode ser autenticado com a autenticação do Microsoft Entra.

  • Remover o administrador do Microsoft Entra da instância impede qualquer conexão de autenticação do Microsoft Entra com a instância. Se for necessário, o administrador da Instância Gerenciada de SQL pode remover manualmente os usuários do Microsoft Entra inutilizáveis.

Conteúdo relacionado

  • Last updated on