Share via

Tutorial: Atribuir a função Leitores de Diretório a um grupo do Microsoft Entra e gerenciar atribuições de função

  • Artigo

Aplica-se a:Banco de Dados SQL do Azure Azure SQLManaged InstanceAzure Synapse Analytics

Este artigo orienta você na criação de um grupo no Microsoft Entra ID (anteriormente Azure Ative Directory) e atribui a esse grupo a função Leitores de Diretório . As permissões de Leitores de Diretório permitem que os proprietários do grupo adicionem membros adicionais ao grupo, como uma identidade gerenciada do Banco de Dados SQL do Azure, da Instância Gerenciada SQL do Azure e do Azure Synapse Analytics. Isso ignora a necessidade de um Administrador Global ou Administrador de Função Privilegiada atribuir a função Leitores de Diretório diretamente para cada identidade de servidor lógico no locatário.

Nota

Microsoft Entra ID é o novo nome para o Azure Ative Directory (Azure AD). Estamos atualizando a documentação neste momento.

Este tutorial usa o recurso introduzido em Usar grupos do Microsoft Entra para gerenciar atribuições de função.

Para obter mais informações sobre os benefícios de atribuir a função Leitores de Diretório a um grupo do Microsoft Entra para SQL do Azure, consulte Função Leitores de Diretório na ID do Microsoft Entra para SQL do Azure.

Nota

Com o suporte do Microsoft Graph para SQL do Azure, a função Leitores de Diretório pode ser substituída pelo uso de permissões de nível inferior. Para obter mais informações, consulte Identidade gerenciada atribuída pelo usuário no Microsoft Entra ID para SQL do Azure.

Pré-requisitos

Atribuição de função de Leitores de Diretório usando o portal do Azure

Criar um novo grupo e atribuir proprietários e funções

  1. Um usuário com permissões de Administrador Global ou Administrador de Função Privilegiada é necessário para essa configuração inicial.

  2. Faça com que o usuário privilegiado entre no portal do Azure.

  3. Vá para o recurso Microsoft Entra ID . Em Gerido, aceda a Grupos. Selecione Novo grupo para criar um novo grupo .

  4. Selecione Segurança como o tipo de grupo e preencha o restante dos campos. Certifique-se de que a configuração de funções do Microsoft Entra pode ser atribuída ao grupo está mudada para Sim. Em seguida, atribua a função de leitores do Microsoft Entra ID Directory ao grupo.

  5. Atribua usuários do Microsoft Entra como proprietário(s) ao grupo que foi criado. Um proprietário de grupo pode ser um usuário regular do AD sem qualquer função administrativa do Microsoft Entra atribuída. O proprietário deve ser um usuário que esteja gerenciando seu Banco de Dados SQL, Instância Gerenciada SQL ou Sinapse do Azure.

    Microsoft Entra ID-new-group

  6. Selecione Criar

Verificar o grupo que foi criado

Nota

Certifique-se de que o Tipo de Grupo é Segurança. Os grupos do Microsoft 365 não são suportados para o Azure SQL.

Para verificar e gerir o grupo que foi criado, volte ao painel Grupos no portal do Azure e procure o nome do grupo. Proprietários e membros adicionais podem ser adicionados no menu Proprietários e Membros da configuração Gerenciar depois de selecionar seu grupo. Você também pode revisar as funções atribuídas para o grupo.

Screenshot of a Group pane with the links that open the Settings menus for Members, Owners, and Assigned roles highlighted.

Adicionar identidade gerenciada SQL do Azure ao grupo

Nota

Estamos usando a Instância Gerenciada do SQL para este exemplo, mas etapas semelhantes podem ser aplicadas ao Banco de Dados SQL ou ao Azure Synapse para obter os mesmos resultados.

Para as etapas subsequentes, o usuário Administrador Global ou Administrador de Função Privilegiada não é mais necessário.

  1. Faça logon no portal do Azure como o usuário que gerencia a Instância Gerenciada do SQL e é proprietário do grupo criado anteriormente.

  2. Encontre o nome do seu recurso de instância gerenciada SQL no portal do Azure.

    Screenshot of the SQL managed instances screen with the SQL instance name ssomitest and the Subnet name ManagedInstance highlighted.

    Durante o provisionamento da Instância Gerenciada do SQL, uma identidade do Microsoft Entra é criada para sua instância, registrando-a como um aplicativo Microsoft Entra. A identidade tem o mesmo nome que o prefixo do nome da Instância Gerenciada SQL. Você pode encontrar a identidade (também conhecida como entidade de serviço) para sua Instância Gerenciada SQL seguindo estas etapas:

    • Vá para o recurso Microsoft Entra ID . Na configuração Gerenciar, selecione Aplicativos corporativos. O ID do objeto é a identidade da instância.

    Screenshot of the Enterprise applications page for a Microsoft Entra ID resource with the Object ID of the SQL Managed instance highlighted.

  3. Vá para o recurso Microsoft Entra ID . Em Gerido, aceda a Grupos. Selecione o grupo que criou. Na configuração Gerenciado do seu grupo, selecione Membros. Selecione Adicionar membros e adicione sua entidade de serviço de Instância Gerenciada SQL como membro do grupo pesquisando o nome encontrado acima.

    Screenshot of the Members page for a Microsoft Entra resource with the options highlighted for adding an SQL Managed instance as a new member.

Nota

Pode levar alguns minutos para propagar as permissões da entidade de serviço por meio do sistema Azure e permitir o acesso à API do Microsoft Graph. Talvez seja necessário aguardar alguns minutos antes de provisionar um administrador do Microsoft Entra para Instância Gerenciada SQL.

Observações

Para o Banco de Dados SQL e o Azure Synapse, a identidade do servidor pode ser criada durante a criação do servidor lógico ou após a criação do servidor . Para obter mais informações sobre como criar ou definir a identidade do servidor no Banco de Dados SQL ou no Azure Synapse, consulte Habilitar entidades de serviço para criar usuários do Microsoft Entra.

Para Instância Gerenciada SQL, a função Leitores de Diretório deve ser atribuída à identidade da instância gerenciada antes que você possa configurar um administrador do Microsoft Entra para a instância gerenciada.

A atribuição da função Leitores de Diretório à identidade do servidor não é necessária para o Banco de Dados SQL ou a Sinapse do Azure ao configurar um administrador do Microsoft Entra para o servidor lógico. No entanto, para habilitar a criação de objetos do Microsoft Entra no Banco de Dados SQL ou no Azure Synapse em nome de um aplicativo Microsoft Entra, a função Leitores de Diretório é necessária. Se a função não for atribuída à identidade do servidor lógico, a criação de usuários do Microsoft Entra no SQL do Azure falhará. Para obter mais informações, consulte Entidade de serviço do Microsoft Entra com Azure SQL.

Atribuição de função Leitores de Diretório usando o PowerShell

Importante

Um Administrador Global ou Administrador de Função Privilegiada precisará executar essas etapas iniciais. Além do PowerShell, o Microsoft Entra ID oferece a API do Microsoft Graph para criar um grupo atribuível de função no Microsoft Entra ID.

  1. Baixe o módulo do Microsoft Graph PowerShell usando os comandos a seguir. Talvez seja necessário executar o PowerShell como administrador.

    Install-Module Microsoft.Graph.Authentication
Import-Module Microsoft.Graph.Authentication
# To verify that the module is ready to use, run the following command:
Get-Module Microsoft.Graph.Authentication

  2. Conecte-se ao seu locatário do Microsoft Entra.

    Connect-MgGraph

  3. Crie um grupo de segurança para atribuir a função Leitores de Diretório .

    • DirectoryReaderGroup, Directory Reader Groupe DirRead pode ser alterado de acordo com a sua preferência.
    $group = New-MgGroup -DisplayName "DirectoryReaderGroup" -Description "Directory Reader Group" -SecurityEnabled:$true -IsAssignableToRole:$true -MailEnabled:$false -MailNickname "DirRead"
$group

  4. Atribua a função Leitores de Diretório ao grupo.

    # Displays the Directory Readers role information
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Directory Readers'"
$roleDefinition

    # Assigns the Directory Readers role to the group
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id
$roleAssignment

  5. Atribua proprietários ao grupo.

    • Substitua <username> pelo usuário que você deseja possuir esse grupo. Vários proprietários podem ser adicionados repetindo essas etapas.
    $newGroupOwner = Get-MgUser -UserId "<username>"
$newGroupOwner

    $GrOwner = New-MgGroupOwnerByRef -GroupId $group.Id -DirectoryObjectId $newGroupOwner.Id

    Confira os proprietários do grupo:

    Get-MgGroupOwner -GroupId $group.Id

    Você também pode verificar os proprietários do grupo no portal do Azure. Siga as etapas em Verificando o grupo que foi criado.

Atribuindo a entidade de serviço como membro do grupo

Para as etapas subsequentes, o usuário Administrador Global ou Administrador de Função Privilegiada não é mais necessário.

  1. Usando um proprietário do grupo que também gerencia o recurso SQL do Azure, execute o seguinte comando para se conectar à sua ID do Microsoft Entra.

    Connect-MgGraph

  2. Atribua a entidade de serviço como membro do grupo que foi criado.

    # Returns the service principal of your Azure SQL resource
$managedIdentity = Get-MgServicePrincipal -Filter "displayName eq '<ServerName>'"
$managedIdentity

    # Adds the service principal to the group
New-MgGroupMember -GroupId $group.Id -DirectoryObjectId $managedIdentity.Id

    O comando a seguir retornará a ID do objeto da entidade de serviço indicando que ela foi adicionada ao grupo:

    Get-MgGroupMember -GroupId $group.Id -Filter "Id eq '$($managedIdentity.Id)'"

Próximos passos