Compartilhar via

Função Leitores de Diretório no Microsoft Entra ID para SQL do Azure

  • Artigo

Aplica-se a:Banco de Dados SQL do AzureInstância Gerenciada de SQL do AzureAzure Synapse Analytics

O Microsoft Entra ID (anteriormente, Azure Active Directory) introduziu o uso de grupos para gerenciar atribuições de função. Isso permite que funções do Microsoft Entra sejam atribuídas a grupos.

Observação

Com o suporte do Microsoft Graph para SQL do Azure, a função Leitores de Diretório pode ser substituída com o uso de permissões de nível inferior. Para saber mais, confira Identidade gerenciada atribuída pelo usuário no Microsoft Entra para SQL do Azure.

Ao habilitar uma identidade gerenciada para o Banco de Dados SQL do Azure, a Instância Gerenciada de SQL do Azure ou o Azure Synapse Analytics, a função Leitores de Diretório do Microsoft Entra ID pode ser atribuída à identidade para permitir o acesso de leitura à API do Microsoft Graph. A identidade gerenciada do Banco de Dados SQL e do Azure Synapse é chamada de identidade do servidor. A identidade gerenciada da Instância Gerenciada de SQL é chamada de identidade da instância gerenciada e é atribuída automaticamente quando a instância é criada. Para saber mais sobre como atribuir a identidade do servidor ao Banco de Dados SQL ou ao Azure Synapse, confira Habilitar entidades de serviço para criar usuários do Microsoft Entra.

A função Leitores de Diretório pode ser usada como a identidade do servidor ou da instância para ajudar:

  • Criar logons do Microsoft Entra para Instância Gerenciada de SQL
  • Representar usuários do Microsoft Entra no SQL do Azure
  • Migrar usuários do SQL Server que usam a autenticação do Windows para a Instância Gerenciada de SQL com a autenticação do Microsoft Entra (usando o comando ALTER USER (Transact-SQL))
  • Alterar o administrador do Microsoft Entra para Instância Gerenciada do SQL
  • Permitir que entidades de serviço (aplicativos) criem usuários do Microsoft Entra no SQL do Azure

Observação

O Microsoft Entra ID era anteriormente conhecido como Azure Active Directory (Azure AD).

Atribuindo a função Leitores de Diretório

Para atribuir a função Leitores de Diretório a uma identidade, um usuário com permissões de Administrador Global ou Administrador de Funções com Privilégios é necessário. Usuários que costumam gerenciar ou implantar o Banco de Dados SQL, a Instância Gerenciada de SQL ou o Azure Synapse podem não ter acesso a essas funções com privilégios elevados. Muitas vezes, isso pode causar complicações para usuários que criam recursos do SQL do Azure não planejados ou que precisam de ajuda de membros com funções com privilégios elevados, que geralmente são inacessíveis em grandes organizações.

Para a Instância Gerenciada de SQL, atribua a função Leitores de diretório à identidade da instância gerenciada para configurar um administrador do Microsoft Entra para a instância gerenciada.

A atribuição da função de Leitores de diretório à identidade do servidor não é necessária para o Banco de Dados SQL nem para o Azure Synapse ao configurar um administrador do Microsoft Entra para o servidor lógico. No entanto, para habilitar a criação de um objeto do Microsoft Entra no Banco de Dados SQL ou no Azure Synapse em nome de um aplicativo do Microsoft Entra, a função Leitores de diretório é necessária. Se a função não for atribuída à identidade do servidor lógico, a criação de usuários do Microsoft Entra no SQL do Azure falhará. Para obter mais informações, consulte Entidade de serviço do Microsoft Entra com SQL do Azure.

Concedendo a função Leitores de Diretório a um grupo do Microsoft Entra

Você pode permitir que um Administrador Global ou um Administrador de Funções com Privilégios crie um grupo do Microsoft Entra e atribua a permissão de Leitores de Diretório ao grupo. Isso permitirá que os membros desse grupo tenham acesso à API do Microsoft Graph. Além disso, usuários do Microsoft Entra que são proprietários desse grupo têm permissão para atribuir novos membros a ele, incluindo identidades dos servidores lógicos.

Essa solução ainda requer que um usuário com privilégios elevados (Administrador Global ou Administrador de Funções com Privilégios) crie um grupo e atribua usuários como uma atividade única, mas os proprietários do grupo do Microsoft Entra poderão atribuir outros membros no futuro. Isso elimina a necessidade de envolver um usuário com privilégios elevados no futuro para configurar todos os servidores dos Bancos de Dados SQL, das Instâncias Gerenciadas de SQL ou do Azure Synapse em seu locatário do Microsoft Entra.

Próximas etapas

Tutorial: Atribuir a função de Leitores de diretório a um grupo do Microsoft Entra e gerenciar atribuições de função