Crie usuários convidados do Microsoft Entra e defina-os como um administrador do Microsoft Entra
Aplica-se a:Banco de Dados SQL do Azure Instância Gerenciada SQLdo Azure
Os usuários convidados com colaboração B2B do Microsoft Entra são usuários que têm contas em uma organização externa do Microsoft Entra ou em um provedor de identidade externo (por exemplo, Outlook, Windows Live Mail ou Gmail), que não é gerenciado em seu locatário do Microsoft Entra. As contas de usuário convidado são criadas quando essas pessoas são convidadas a colaborar em seu locatário, enquanto ainda executam a autenticação em seu provedor de identidade.
Este artigo demonstra como criar um usuário convidado do Microsoft Entra e definir esse usuário como um administrador do Microsoft Entra para a Instância Gerenciada SQL do Azure ou o servidor lógico no Azure usado pelo Banco de Dados SQL do Azure e pelo Azure Synapse Analytics.
Nota
Microsoft Entra ID é o novo nome para o Azure Ative Directory (Azure AD). Estamos atualizando a documentação neste momento.
Descrição das funcionalidades
O Banco de Dados SQL do Azure, a Instância Gerenciada SQL e o Azure Synapse Analytics dão suporte à criação de entidades a partir de contas de usuário convidado, diretamente ou como membros de grupos do Microsoft Entra em seu locatário. Os usuários convidados também podem ser definidos como o administrador do Microsoft Entra para o servidor lógico ou instância gerenciada.
Pré-requisitos
- O módulo Az.Sql 2.9.0 ou superior é necessário ao usar o PowerShell para definir um usuário convidado como administrador do Microsoft Entra para o servidor lógico ou instância gerenciada.
Criar usuário de banco de dados para usuário convidado do Microsoft Entra
Siga estas etapas para criar um usuário de banco de dados usando um usuário convidado do Microsoft Entra. Nesta seção, substitua <guest_user>
por um endereço de e-mail válido, por exemplo guest_user@example.com
.
Criar usuário convidado no Banco de Dados SQL e no Azure Synapse
Verifique se o usuário convidado já foi adicionado à sua ID do Microsoft Entra e se um administrador do Microsoft Entra foi definido para o servidor de banco de dados. Ter um administrador do Microsoft Entra é necessário para a autenticação do Microsoft Entra.
Conecte-se ao banco de dados SQL como administrador do Microsoft Entra ou um usuário do Microsoft Entra com permissões SQL suficientes para criar usuários e execute o seguinte comando no banco de dados onde o usuário convidado precisa ser adicionado:
CREATE USER [<guest_user>] FROM EXTERNAL PROVIDER;
Agora deve haver um usuário de banco de dados criado para o usuário convidado.
Execute o seguinte comando para verificar se o usuário do banco de dados foi criado com êxito:
SELECT * FROM sys.database_principals;
Desconecte e entre no banco de dados como usuário convidado usando o SQL Server Management Studio (SSMS) usando o método de autenticação Azure Ative Directory - Universal com MFA. Para obter mais informações, consulte Usando a autenticação multifator do Microsoft Entra.
Criar usuário convidado na instância gerenciada do SQL
Nota
A Instância Gerenciada SQL oferece suporte a logins para usuários do Microsoft Entra, bem como usuários de banco de dados contidos no Microsoft Entra ID. As etapas a seguir mostram como criar um logon e um usuário para um usuário convidado do Microsoft Entra na Instância Gerenciada do SQL. Você também pode optar por criar um usuário de banco de dados contido na Instância Gerenciada do SQL usando o método na seção Criar usuário convidado no Banco de Dados SQL e Sinapse do Azure.
Verifique se o usuário convidado já foi adicionado ao locatário do Microsoft Entra e se um administrador do Microsoft Entra foi definido para a Instância Gerenciada do SQL. Ter um administrador do Microsoft Entra é necessário para a autenticação do Microsoft Entra.
Conecte-se à Instância Gerenciada do SQL como administrador do Microsoft Entra ou um usuário do Microsoft Entra com permissões SQL suficientes para criar usuários e execute o seguinte comando no
master
banco de dados para criar um logon para o usuário convidado:CREATE LOGIN [<guest_user>] FROM EXTERNAL PROVIDER;
Agora deve haver um login criado para o usuário convidado no
master
banco de dados.Execute o seguinte comando para verificar se o login foi criado com êxito:
SELECT * FROM sys.server_principals;
Execute o seguinte comando no banco de dados onde o usuário convidado precisa ser adicionado:
CREATE USER [<guest_user>] FROM LOGIN [<guest_user>];
Agora deve haver um usuário de banco de dados criado para o usuário convidado.
Desconecte e entre no banco de dados como usuário convidado usando o SQL Server Management Studio (SSMS) usando o método de autenticação Azure Ative Directory - Universal com MFA. Para obter mais informações, consulte Usando a autenticação multifator do Microsoft Entra.
Definir um usuário convidado como administrador do Microsoft Entra
Defina o administrador do Microsoft Entra usando o portal do Azure, o Azure PowerShell ou a CLI do Azure. Nesta seção, substitua <guest_user>
por um endereço de e-mail válido, por exemplo guest_user@example.com
.
Portal do Azure
Para configurar um administrador do Microsoft Entra para um servidor lógico ou uma instância gerenciada usando o portal do Azure, siga estas etapas:
- Abra o portal do Azure.
- Navegue até a página do servidor SQL ou do recurso de instância gerenciada Microsoft Entra em Configurações.
- Selecione Definir administrador para abrir o painel ID do Microsoft Entra.
- No painel ID do Microsoft Entra, digite o nome da conta de usuário convidado.
- Selecione esse novo usuário e salve a operação.
Para obter mais informações, consulte Definindo o administrador do Microsoft Entra.
Azure PowerShell (Banco de Dados SQL e Sinapse do Azure)
Para configurar um utilizador convidado do Microsoft Entra para um servidor lógico, siga estes passos:
Verifique se o usuário convidado já está adicionado ao seu locatário do Microsoft Entra.
Execute o seguinte comando do PowerShell para adicionar o usuário convidado como administrador do Microsoft Entra para seu servidor lógico:
- Substitua
<ResourceGroupName>
pelo nome do Grupo de Recursos do Azure que contém o servidor lógico. - Substitua
<ServerName>
pelo nome do servidor lógico. Se o nome do servidor formyserver.database.windows.net
, substitua<Server Name>
pormyserver
. - Substitua
<DisplayNameOfGuestUser>
pelo nome de usuário do convidado.
Set-AzSqlServerActiveDirectoryAdministrator -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DisplayName <DisplayNameOfGuestUser>
- Substitua
Você também pode usar o comando da CLI do Azure az sql server ad-admin para definir o usuário convidado como um administrador do Microsoft Entra para seu servidor lógico.
Azure PowerShell (Instância Gerenciada SQL)
Para configurar um usuário convidado do Microsoft Entra para uma instância gerenciada, siga estas etapas:
Verifique se o usuário convidado já está adicionado ao seu locatário do Microsoft Entra.
Vá para o portal do Azure e vá para o recurso de ID do Microsoft Entra. Em Gerir, aceda ao painel Utilizadores. Selecione seu usuário convidado e registre o
Object ID
arquivo .Execute o seguinte comando do PowerShell para adicionar o usuário convidado como administrador do Microsoft Entra para sua instância gerenciada do SQL:
- Substitua
<ResourceGroupName>
pelo nome do Grupo de Recursos do Azure que contém a Instância Gerenciada SQL. - Substitua
<ManagedInstanceName>
pelo nome da Instância Gerenciada SQL. - Substitua
<DisplayNameOfGuestUser>
pelo nome de usuário do convidado. - Substitua
<AADObjectIDOfGuestUser>
pelo recolhidoObject ID
anteriormente.
Set-AzSqlInstanceActiveDirectoryAdministrator -ResourceGroupName <ResourceGroupName> -InstanceName "<ManagedInstanceName>" -DisplayName <DisplayNameOfGuestUser> -ObjectId <AADObjectIDOfGuestUser>
- Substitua
Você também pode usar o comando da CLI do Azure az sql mi ad-admin para definir o usuário convidado como o administrador do Microsoft Entra para sua instância gerenciada.