Compartilhar via


Criar usuários convidados do Microsoft Entra e configurá-los como administradores do Microsoft Entra

Aplica-se a: Banco de Dados SQL do Azure Instância Gerenciada de SQL do Azure

Os usuários convidados com colaboração B2B do Microsoft Entra são usuários que têm contas em uma organização externa do Microsoft Entra ou em um provedor de identidade externa (por exemplo, Outlook, Windows Live Mail ou Gmail) que não é gerenciado no locatário do Microsoft Entra. As contas de usuário convidado são criadas quando essas pessoas são convidadas a colaborar em seu locatário, enquanto ainda executam a autenticação em seu provedor de identidade.

Este artigo demonstra como criar um usuário convidado do Microsoft Entra e defini-lo como administrador do Microsoft Entra para a Instância Gerenciada de SQL do Azure ou o servidor lógico no Azure usado pelo Banco de Dados SQL do Azure e pelo Azure Synapse Analytics.

Observação

O Microsoft Entra ID era anteriormente conhecido como Azure Active Directory (Azure AD).

Descrição do recurso

O Banco de Dados SQL do Azure, a Instância Gerenciada de SQL e o Azure Synapse Analytics dão suporte à criação de entidades de segurança por meio de contas de usuário convidado, diretamente ou como membros de grupos do Microsoft Entra em seu locatário. Os usuários convidados também podem ser definidos como o administrador do Microsoft Entra para o servidor lógico ou a instância gerenciada.

Pré-requisitos

  • O módulo Az.Sql 2.9.0 ou superior é necessário ao usar o PowerShell para definir um usuário convidado como um administrador do Microsoft Entra para o servidor lógico ou a instância gerenciada.

Criar usuário de banco de dados para usuário convidado do Microsoft Entra

Siga estas etapas para criar um usuário de banco de dados usando um usuário convidado do Microsoft Entra. Nesta seção, mude <guest_user> por um endereço de email válido, por exemplo guest_user@example.com.

Criar usuário convidado no Banco de Dados SQL e Azure Synapse

  1. Verifique se o usuário convidado já foi adicionado ao Microsoft Entra ID e se um administrador do Microsoft Entra foi definido para o servidor de banco de dados. É necessário ter um administrador do Microsoft Entra para a autenticação do Microsoft Entra.

  2. Conecte-se ao banco de dados SQL como o administrador do Microsoft Entra ou um usuário do Microsoft Entra com permissões SQL suficientes para criar usuários e execute o comando a seguir no banco de dados em que o usuário convidado precisa ser adicionado:

    CREATE USER [<guest_user>] FROM EXTERNAL PROVIDER;
    
  3. Agora deve haver um usuário de banco de dados criado para o usuário convidado .

  4. Execute o seguinte comando para verificar se o usuário do banco de dados foi criado com êxito:

    SELECT * FROM sys.database_principals;
    
  5. Desconecte e entre no banco de dados como o usuário convidado usando o SSMS (SQL Server Management Studio) e o método de autenticação universal para o Azure Active Directory - Universal com MFA. Para obter mais informações, consulte Usar a autenticação multifator do Microsoft Entra.

Criar usuário convidado na Instância Gerenciada de SQL

Observação

O Instância Gerenciada de SQL dá suporte a logons para usuários do Microsoft Entra, bem como usuários de banco de dados independente do Microsoft Entra ID. As etapas a seguir mostram como criar um logon e um usuário para um usuário convidado do Microsoft Entra na Instância Gerenciada de SQL. Você também pode optar por criar um usuário de banco de dados independente na Instância Gerenciada de SQL usando o método na seção Criar usuário convidado no Banco de Dados SQL e no Azure Synapse.

  1. Verifique se o usuário convidado já foi adicionado ao locatário do Microsoft Entra e se um administrador Microsoft Entra foi definido para a Instância Gerenciada de SQL. É necessário ter um administrador do Microsoft Entra para a autenticação do Microsoft Entra.

  2. Conecte-se à Instância Gerenciada de SQL como administrador do Microsoft Entra ou como usuário do Microsoft Entra com permissões SQL suficientes para criar usuários e execute o seguinte comando no banco de dados master para criar um logon para o usuário convidado:

    CREATE LOGIN [<guest_user>] FROM EXTERNAL PROVIDER;
    
  3. Agora deve ser criado um logon para o usuário convidado no banco de dados master.

  4. Execute o seguinte comando para verificar se o logon foi criado com êxito:

    SELECT * FROM sys.server_principals;
    
  5. Execute o seguinte comando no banco de dados em que o usuário convidado precisa ser adicionado:

    CREATE USER [<guest_user>] FROM LOGIN [<guest_user>];
    
  6. Agora deve haver um usuário de banco de dados criado para o usuário convidado .

  7. Desconecte e entre no banco de dados como o usuário convidado usando o SSMS (SQL Server Management Studio) e o método de autenticação universal para o Azure Active Directory - Universal com MFA. Para obter mais informações, consulte Usar a autenticação multifator do Microsoft Entra.

Definir um usuário convidado como administrador do Microsoft Entra

Definir o administrador do Microsoft Entra usando o portal do Azure, o Azure PowerShell ou a CLI do Azure. Nesta seção, mude <guest_user> por um endereço de email válido, por exemplo guest_user@example.com.

Observação

Se você quiser que os usuários convidados possam criar outros logons ou usuários do Microsoft Entra, eles devem ter permissões para ler outras identidades no diretório do Microsoft Entra. Essa permissão é configurada no nível do diretório. Para obter mais informações, consulte permissões de acesso de convidado no Microsoft Entra ID.

Portal do Azure

Para configurar um administrador do Microsoft Entra para um servidor lógico ou uma instância gerenciada usando o portal do Azure, siga estas etapas:

  1. Abra o Portal do Azure.
  2. Navegue até a página do SQL Server ou do recurso de instância gerenciada do Microsoft Entra em Configurações.
  3. Selecione Definir administrador para abrir o painel do Microsoft Entra ID.
  4. No painel Microsoft Entra ID, digite o nome da conta de usuário convidado.
  5. Selecione esse novo usuário e salve a operação.

Para obter mais informações, consulte Configurar o administrador do Microsoft Entra.

Azure PowerShell (Banco de Dados SQL e Azure Synapse)

Para configurar um usuário convidado do Microsoft Entra para um servidor lógico, siga estas etapas:

  1. Verifique se o usuário convidado já foi adicionado ao locatário do Microsoft Entra.

  2. Execute o seguinte comando do PowerShell para adicionar o usuário convidado como o administrador do Microsoft Entra para seu servidor lógico:

    • Substitua <ResourceGroupName> pelo nome do grupo de recursos do Azure que contém o servidor lógico.
    • Substitua <ServerName> pelo seu nome do servidor lógico. Se o nome do servidor for myserver.database.windows.net, substitua <Server Name> por myserver.
    • Substitua <DisplayNameOfGuestUser> por seu nome de convidado.
    Set-AzSqlServerActiveDirectoryAdministrator -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DisplayName <DisplayNameOfGuestUser>
    

Você também pode usar o comando da CLI do Azure az sql server ad-admin para definir o usuário convidado como um administrador do Microsoft Entra para seu servidor lógico.

Azure PowerShell (Instância Gerenciada de SQL)

Para configurar um usuário convidado do Microsoft Entra para uma instância gerenciada, siga estas etapas:

  1. Verifique se o usuário convidado já foi adicionado ao locatário do Microsoft Entra.

  2. Acesse o portal do Azure e o recurso Microsoft Entra ID. Em Gerenciar, vá para o painel Usuários. Selecione o usuário convidado e registre o Object ID.

  3. Execute o seguinte comando do PowerShell para adicionar o usuário convidado como o administrador do Microsoft Entra para sua Instância Gerenciada de SQL:

    • Substitua <ResourceGroupName> pelo nome do grupo de recursos do Azure que contém a Instância Gerenciada de SQL.
    • Substitua <ManagedInstanceName> pelo nome da sua Instância Gerenciada de SQL.
    • Substitua <DisplayNameOfGuestUser> por seu nome de convidado.
    • Substitua <AADObjectIDOfGuestUser> pelo Object ID coletado anteriormente.
    Set-AzSqlInstanceActiveDirectoryAdministrator -ResourceGroupName <ResourceGroupName> -InstanceName "<ManagedInstanceName>" -DisplayName <DisplayNameOfGuestUser> -ObjectId <AADObjectIDOfGuestUser>
    

Você também pode usar o comando da CLI do Azure az sql mi ad-admin para definir o usuário convidado como um administrador do Microsoft Entra para a Instância Gerenciada.