Partilhar via

Autenticação do Microsoft Entra para Azure SQL

Aplica-se a:Banco de Dados SQL do AzureInstância Gerenciada SQL do Azure do Azure Synapse Analytics

Este artigo fornece uma visão geral detalhada do uso da autenticação Microsoft Entra com o Banco de Dados SQL do Azure, a Instância Gerenciada SQL do Azure, o SQL Server em VMs do Azure, o Synapse SQL no Azure Synapse Analytics e o SQL Server para Windows e Linux.

Se você quiser configurar a autenticação do Microsoft Entra, revise:

Observação

O Microsoft Entra ID era conhecido anteriormente como Azure Ative Directory (Azure AD).

Visão geral

O Microsoft Entra ID permite-lhe gerir centralmente as identidades de seres humanos e serviços no seu património de dados. Ao integrar o Microsoft Entra com o SQL do Azure para autenticação, você pode simplificar o gerenciamento de identidades e permissões e, ao mesmo tempo, habilitar o acesso condicional detalhado e a governança em todas as conexões com seus dados.

Usar a autenticação do Microsoft Entra inclui os seguintes benefícios:

  • Substitui métodos de autenticação menos seguros, como nomes de usuário e senhas.
  • Elimina ou ajuda a impedir a proliferação de identidades de usuários entre servidores.
  • Os grupos do Microsoft Entra permitem que o gerenciamento de permissões de banco de dados seja abstraído de contas individuais e em grupos operacionais.
  • Permite a rotação de senhas em um único lugar.
  • A autenticação Microsoft Entra somente fornece uma alternativa completa à autenticação SQL.
  • As identidades gerenciadas para recursos do Azure eliminam a necessidade de armazenar senhas para serviços que se conectam aos seus bancos de dados e conexões de seus bancos de dados com outros recursos do Azure.
  • Permite controles de segurança modernos, incluindo autenticação multifator forte com uma variedade de opções de verificação fáceis, como uma chamada telefônica, mensagem de texto, cartão inteligente com PIN ou notificação de aplicativo móvel.
  • O Microsoft Entra ID permite a integração com muitos protocolos de autenticação modernos, incluindo OpenID Connect, OAuth2.0, Delegação Restrita Kerberos e muito mais.
  • Permite o monitoramento centralizado de conexões com fontes de dados.
  • Permite controles de acesso condicional, como exigir dispositivos compatíveis ou métodos de autenticação para conexões bem-sucedidas.
  • Gerencie e monitore centralmente a autenticação com as Políticas do Azure.

Observação

A autenticação do Microsoft Entra suporta apenas tokens de acesso originados da ID do Microsoft Entra e não tokens de acesso de terceiros. O Microsoft Entra ID também não oferece suporte ao redirecionamento de consultas do Microsoft Entra ID para pontos de extremidade de terceiros. Isso se aplica a todas as plataformas SQL e todos os sistemas operacionais que oferecem suporte à autenticação Microsoft Entra.

Etapas de configuração

As etapas gerais para configurar a autenticação do Microsoft Entra são:

  1. Crie e preencha um tenant do Microsoft Entra.
  2. Crie um servidor lógico ou instância no Azure.
  3. Atribua um administrador do Microsoft Entra ao servidor ou instância.
  4. Crie entidades SQL em seu banco de dados que são mapeadas para identidades do Microsoft Entra.
  5. Configure seus aplicativos cliente para se conectar usando bibliotecas de identidade do Azure e métodos de autenticação.
  6. Conecte-se ao seu banco de dados com identidades do Microsoft Entra.

Identidades e métodos de autenticação suportados

O SQL do Azure dá suporte ao uso das seguintes identidades do Microsoft Entra como logons e usuários (principais) em seus servidores e bancos de dados:

  • Usuários do Microsoft Entra: qualquer tipo de usuário em um locatário do Microsoft Entra, que inclui usuários internos, usuários externos, convidados e membros. Membros de um domínio do Ative Directory federado com ID do Microsoft Entra também são suportados e podem ser configurados para logon único contínuo.
  • Aplicativos: os aplicativos que existem no Azure podem usar entidades de serviço ou identidades gerenciadas para autenticar diretamente no Azure SQL. O uso de identidades gerenciadas é preferível, pois a autenticação não tem senha e elimina a necessidade de credenciais gerenciadas pelo desenvolvedor.
  • Grupos do Microsoft Entra, que podem simplificar o gerenciamento de acesso em toda a sua organização, gerenciando o acesso de usuários e aplicativos com base na associação ao grupo.

Para identidades de usuário, os seguintes métodos de autenticação são suportados:

  • Microsoft Entra Integrado (Autenticação do Windows) suportado pelo Microsoft Entra Identidades Híbridas com Active Directory [federação].
  • Microsoft Entra MFA, ou autenticação multifator, que requer verificações de segurança adicionais além do conhecimento do usuário.
  • Autenticação de senha do Microsoft Entra , que usa credenciais de usuário armazenadas e gerenciadas no Microsoft Entra ID.
  • Autenticação padrão do Microsoft Entra , que verifica vários caches de credenciais na máquina do aplicativo e pode usar tokens de usuário para autenticar em SQL.

Para identidades de serviço ou carga de trabalho, há suporte para os seguintes métodos de autenticação:

  • Identidades gerenciadas para recursos do Azure, atribuídos pelo usuário e pelo sistema. A autenticação de identidade gerenciada é baseada em token, na qual a identidade é atribuída ao recurso que deseja autenticar usando-a. A plataforma Azure Identity valida essa relação, o que permite a autenticação sem senha.
  • Nome principal do serviço Microsoft Entra e segredo do aplicativo (cliente). Esse método de autenticação não é recomendado devido ao risco associado a senhas que podem ser adivinhadas e vazadas.
  • Autenticação padrão do Microsoft Entra , que verifica vários caches de credenciais na máquina do aplicativo e pode usar tokens de aplicativo para autenticar no SQL.

Administrador do Microsoft Entra

Para habilitar a autenticação do Microsoft Entra, um administrador do Microsoft Entra deve ser definido para seu servidor lógico ou instância gerenciada. Esse administrador existe junto com o administrador do SQL Server (SA). O administrador do Microsoft Entra pode ser qualquer objeto de segurança em seu locatário do Azure, incluindo usuários, grupos, entidades de serviço e identidades gerenciadas do Microsoft Entra. O administrador do Microsoft Entra é uma propriedade singular, não uma lista, o que significa que apenas uma identidade pode ser configurada a qualquer momento. A remoção do administrador do Microsoft Entra do servidor desativa todas as conexões baseadas em autenticação do Microsoft Entra, mesmo para usuários existentes do Microsoft Entra com permissões em um banco de dados.

Sugestão

Os grupos do Microsoft Entra permitem que várias identidades atuem como o administrador do Microsoft Entra no servidor. Quando o administrador é definido como um grupo, todos os membros do grupo herdam a função de administrador do Microsoft Entra. Um administrador de grupo do Microsoft Entra aumenta a capacidade de gestão ao transferir a gestão administrativa das ações do plano de dados do servidor para o ID do Microsoft Entra e para os proprietários de grupos. Os grupos podem ser usados para todas as identidades do Microsoft Entra que se conectam ao SQL, permitindo a configuração de usuário único e permissão no servidor e bancos de dados, deixando todo o gerenciamento de usuários para os grupos.

O administrador do Microsoft Entra desempenha um papel especial: é a primeira conta que pode criar outros logins do Microsoft Entra (em pré-visualização no Banco de dados SQL) e usuários, coletivamente referidos como principais. O administrador é um usuário de banco de dados contido no master banco de dados do servidor. As contas de administrador são membros da função db_owner em cada banco de dados de utilizador, e cada banco de dados de utilizador está associado ao utilizador dbo. Para obter mais informações sobre contas de administrador, consulte Gerenciando bancos de dados e logons.

Principais do Microsoft Entra

Observação

As entidades de servidor (logons) do Microsoft Entra estão atualmente em visualização pública para o Banco de Dados SQL do Azure e o Azure Synapse Analytics. Os logons do Microsoft Entra estão geralmente disponíveis para a Instância Gerenciada SQL do Azure e o SQL Server 2022.

As identidades Microsoft Entra podem ser criadas como entidades principais no Azure SQL de três maneiras:

  • como entidades de servidor ou logons (em visualização para o Banco de Dados SQL do Azure)
  • como usuários baseados em login (um tipo de entidade de banco de dados)
  • como usuários de banco de dados contidos

Importante

A autenticação do Microsoft Entra para Azure SQL não se integra ao Azure RBAC. Usar identidades do Microsoft Entra para se conectar ao SQL do Azure e executar consultas exige que essas identidades sejam criadas como entidades do Microsoft Entra no(s) banco(s) de dados que precisam acessar. As SQL Server Contributor funções e SQL DB Contributor são usadas para proteger operações de implantação relacionadas ao gerenciamento, não o acesso à conectividade do banco de dados.

Logins (principais do servidor)

As entidades de servidor (logons) para identidades do Microsoft Entra estão geralmente disponíveis para a Instância Gerenciada do SQL do Azure, o SQL Server 2022 e o SQL Server em VMs do Azure. Os logins do Microsoft Entra estão em versão prévia para a Base de Dados SQL do Azure.

O T-SQL a seguir mostra como criar um login do Microsoft Entra:

CREATE LOGIN [MSEntraUser] FROM EXTERNAL PROVIDER

Um login do Microsoft Entra tem os seguintes valores de propriedade em sys.server_principals:

Propriedade Valor
SID (Identificador de Segurança) Representação binária do ID do objeto de identidade Microsoft Entra
tipo E = Login externo ou aplicativo do Microsoft Entra ID
X = Grupo externo do Microsoft Entra ID
descrição_tipo EXTERNAL_LOGIN para o login ou aplicativo do Microsoft Entra
EXTERNAL_GROUP para o grupo Microsoft Entra

Usuários baseados em login

Os utilizadores baseados em login herdam as funções e permissões atribuídas ao seu login do Microsoft Entra a nível de servidor. Utilizadores do Microsoft Entra baseados em autenticação estão em fase de pré-visualização para o banco de dados SQL do Azure.

O T-SQL a seguir mostra como criar um usuário baseado em logon para uma identidade do Microsoft Entra:

CREATE USER [MSEntraUser] FROM LOGIN [MSEntraUser]

A tabela a seguir apresenta os valores das propriedades dos usuários com base no login do sistema Microsoft Entra em sys.database_principals:

Propriedade Valor
SID (Identificador de Segurança) Representação binária do ID de objeto da identidade Microsoft Entra, mais 'AADE'
tipo E = Login externo ou aplicativo do Microsoft Entra ID
X = Grupo externo do Microsoft Entra ID
descrição_tipo EXTERNAL_LOGIN para o login ou aplicativo do Microsoft Entra
EXTERNAL_GROUP para o grupo Microsoft Entra

Utilizadores contidos na base de dados

Os utilizadores do banco de dados contido são portáveis juntamente com o banco de dados. Eles não têm conexões com identidades definidas no servidor ou instância e, portanto, podem ser facilmente movidos junto com o banco de dados de um servidor ou instância para outro sem interrupção.

O T-SQL a seguir mostra como criar um usuário de banco de dados contido para uma identidade do Microsoft Entra:

CREATE USER [MSEntraUser] FROM EXTERNAL PROVIDER

Um utilizador do Microsoft Entra baseado em base de dados tem os mesmos valores de propriedade que os utilizadores baseados em logon no sys.database_principals, exceto a forma como o SID é construído:

Propriedade Valor
SID (Identificador de Segurança) Representação binária do ID do objeto de identidade Microsoft Entra
tipo E = Login externo ou aplicativo do Microsoft Entra ID
X = Grupo externo do Microsoft Entra ID
descrição_tipo EXTERNAL_LOGIN para o login ou aplicativo do Microsoft Entra
EXTERNAL_GROUP para o grupo Microsoft Entra

Para obter o GUID original do Microsoft Entra no qual o SID se baseia, use a seguinte conversão T-SQL:

SELECT CAST(sid AS UNIQUEIDENTIFIER) AS EntraID FROM sys.database_principals

Atenção

É possível criar involuntariamente um usuário de banco de dados do Microsoft Entra contido com o mesmo nome de um login do Microsoft Entra no nível do servidor ou da instância. Como as entidades não estão conectadas entre si, o usuário do banco de dados não herda permissões do login do servidor e as identidades podem se confundir em solicitações de conexão, resultando em comportamento indefinido.

Use a seguinte consulta T-SQL para determinar se um usuário de banco de dados é um usuário baseado em logon ou um usuário de banco de dados contido:

SELECT CASE
    WHEN CONVERT(VARCHAR(100), sid, 2) LIKE '%AADE' AND len(sid) = 18 THEN 'login-based user'
    ELSE 'contained database user'
    END AS user_type,
    *
FROM sys.database_principals WHERE TYPE = 'E' OR TYPE = 'X'

Use a seguinte consulta T-SQL para exibir todas as entidades do Microsoft Entra em um banco de dados:

SELECT
  name,
  CAST(sid AS UNIQUEIDENTIFIER) AS EntraID,
  CASE WHEN TYPE = 'E' THEN 'App/User' ELSE 'Group' AS user_type,
  sid
FROM sys.database_principals WHERE TYPE = 'E' OR TYPE = 'X'

Autenticação apenas com o Microsoft Entra

Com a autenticação apenas com o Microsoft Entra ativada, todos os outros métodos de autenticação são desativados e não podem ser usados para estabelecer ligação ao servidor, instância ou banco de dados — incluindo contas SA e todas as outras baseadas em autenticação SQL para Azure SQL, bem como autenticação do Windows para Instâncias Geridas do Azure SQL.

Para começar, consulte Configurar a autenticação somente do Microsoft Entra.

Autenticação multifator (MFA)

A autenticação multifator Microsoft Entra é um recurso de segurança fornecido pelo serviço de gerenciamento de identidade e acesso baseado em nuvem da Microsoft. A autenticação multifator aumenta a segurança dos logins do usuário, exigindo que os usuários forneçam etapas de verificação adicionais além de uma senha.

A autenticação multifator do Microsoft Entra ajuda a proteger o acesso a dados e aplicativos e, ao mesmo tempo, atende à demanda do usuário por um processo de entrada simples. O MFA adiciona uma camada extra de segurança aos logins do usuário, exigindo que os usuários forneçam dois ou mais fatores de autenticação. Esses fatores geralmente incluem algo que o usuário sabe (senha), algo que o usuário possui (smartphone ou token de hardware) e/ou algo que o usuário é (dados biométricos). Ao combinar vários fatores, a MFA reduz significativamente a probabilidade de acesso não autorizado.

A autenticação multifator é um método de autenticação com suporte para o Banco de Dados SQL do Azure, a Instância Gerenciada do SQL do Azure, o Azure Synapse Analytics e o SQL Server 2022 (16.x) e versões posteriores.

Para começar, consulte Configurar a autenticação multifator do Microsoft Entra.

Suporte ao Microsoft Entra B2B

A autenticação do Microsoft Entra em todos os produtos SQL também oferece suporte à colaboração B2B do Microsoft Entra, que permite que as empresas convidem usuários convidados para colaborar com sua organização. Os usuários convidados podem se conectar a bancos de dados como usuários individuais ou membros de um grupo do Microsoft Entra. Para obter mais informações, consulte Criar usuário convidado.

Arquitetura de confiança da federação do Microsoft Entra para o Ative Directory

O Microsoft Entra ID também se integra com soluções familiares de gerenciamento de identidade e acesso, como o Ative Directory. A associação híbrida ao AD local permite que as identidades do Windows federadas por meio do Microsoft Entra ID usem credenciais de logon único para se conectar ao SQL do Azure.

Para a federação, o Microsoft Entra ID fornece dois métodos de autenticação segura: autenticação de passagem direta e autenticação de hash de senha. Se você estiver pensando em federar seu Ative Directory local à ID do Microsoft Entra, consulte Escolha o método de autenticação certo para sua solução de identidade híbrida do Microsoft Entra.

Para obter mais informações sobre a instalação e sincronização de identidades híbridas do Microsoft Entra, consulte os seguintes artigos:

Este diagrama mostra um exemplo de autenticação federada com infraestrutura ADFS (ou usuário/senha para credenciais do Windows). As setas indicam vias de comunicação.

Diagrama da autenticação do Microsoft Entra para Azure SQL.

O diagrama a seguir indica as relações de federação, confiança e hospedagem que permitem que um cliente se conecte a um banco de dados enviando um token. O Microsoft Entra ID autentica o token, e o banco de dados confia nele e valida o emissor e outros detalhes. O Cliente 1 pode representar o Microsoft Entra ID com usuários nativos ou o Microsoft Entra ID com usuários federados. O Cliente 2 representa uma possível solução incluindo usuários importados, neste exemplo proveniente de uma ID federada do Microsoft Entra com ADFS sendo sincronizado com a ID do Microsoft Entra. É importante entender que o acesso a um banco de dados usando a autenticação do Microsoft Entra requer que a assinatura de hospedagem esteja associada à ID do Microsoft Entra. A mesma assinatura deve ser usada para criar os recursos do Azure SQL ou do Azure Synapse.

Diagrama mostra a relação entre assinaturas na configuração do Microsoft Entra.

Permissions

As permissões atribuídas ao administrador do Microsoft Entra são diferentes das permissões atribuídas aos principais no Azure SQL. Em alguns cenários, o SQL do Azure também precisa de permissões do Microsoft Graph para usar a autenticação do Microsoft Entra.

Permissões de administrador

O administrador do Microsoft Entra recebe as seguintes permissões e funções quando criado:

  • db_owner de cada base de dados no servidor ou instância

O diagrama mostra a estrutura do administrador para o Microsoft Entra ID usado com o SQL Server.

Permissões SQL do Azure

Um principal precisa da ALTER ANY USER permissão na base de dados para criar um utilizador. Por padrão, ALTER ANY USER é fornecido a: contas de administrador de servidor, usuários de banco de dados com CONTROL ON DATABASEe membros da db_owner função de banco de dados.

Para criar um princípal do Microsoft Entra no Azure SQL, a identidade solicitante precisa interrogar o Microsoft Graph para obter detalhes sobre o principal. Na implantação inicial, a única identidade possivelmente capaz de consultar o MS Graph é o administrador do Microsoft Entra; portanto, o administrador tem que ser a primeira identidade a criar outras entidades do Microsoft Entra. Depois disso, ele pode atribuir ALTER ANY USER a outras entidades para permitir que elas também criem outras entidades do Microsoft Entra.

Implantações sem intervenção com autenticação do Microsoft Entra

Como o administrador do Microsoft Entra deve ser a primeira identidade a se conectar ao banco de dados e criar outros usuários do Microsoft Entra, pode ser útil adicionar a identidade da sua infraestrutura de implantação como administrador. Suas implantações podem então fazer a configuração inicial, como criar outras entidades do Microsoft Entra e atribuir-lhes permissões. As implantações podem usar ferramentas como scripts PowerShell e modelos ARM para a criação automatizada de principais. Atualmente, o SQL do Azure não oferece suporte a APIs nativas para configurar a criação de usuários e o gerenciamento de permissões; essas operações só podem ser feitas com uma conexão direta com a instância SQL.

Permissões do Microsoft Graph

Para criar entidades do Microsoft Entra e alguns outros cenários, o SQL do Azure precisa fazer chamadas do Microsoft Graph para recuperar informações e validar a existência da identidade na ID do Microsoft Entra. Para fazer isso, o processo SQL deve ter, ou obter, acesso a permissões de leitura do MS Graph dentro do locatário do cliente, o que é alcançado de algumas maneiras:

  • Se o princípio SQL que executa o comando for uma identidade de usuário, nenhuma permissão adicional na instância SQL será necessária para consultar o MS Graph.
  • Se a entidade de segurança SQL que executa o comando for uma identidade de serviço, como, por exemplo, uma entidade de serviço ou identidade gerida, então a instância SQL do Azure precisará das suas próprias permissões para consultar o MS Graph.
    • As permissões de aplicativo podem ser atribuídas à identidade do servidor primário (identidade gerenciada) do servidor lógico ou da instância gerenciada. O processo SQL pode usar a identidade do servidor primário para autenticar outros serviços do Azure em um locatário, como o MS Graph. A tabela a seguir explica vários cenários e as permissões do MS Graph necessárias para que o comando seja executado com êxito.
Scenario Permissão mínima
CREATE USER ou CREATE LOGIN para um principal de serviço ou identidade gerida do Microsoft Entra Application.Read.All
CREATE USUÁRIO ou CREATE LOGIN para um usuário do Microsoft Entra User.Read.All
CREATE USER ou CREATE LOGIN para um grupo do Microsoft Entra GroupMember.Read.All
Autenticação do Microsoft Entra com a Instância Gerenciada SQL do Azure Função de Leitura de Diretório atribuída à identidade da instância gerida

Sugestão

A função Leitores de Diretório é a função de escopo menor que pode ser atribuída a uma identidade que cobre todas as permissões de que o Azure SQL precisa. O uso de funções tem a vantagem de poder ser atribuído a grupos de segurança do Microsoft Entra, abstraindo o gerenciamento de entidades individuais e em grupos conceituais.

Suporte de ferramentas

O SQL Server Management Studio (SSMS) oferece suporte a várias opções de conexão de autenticação do Microsoft Entra, incluindo autenticação multifator.

O SSDT (SQL Server Data Tools) para Visual Studio, a partir de 2015, oferece suporte à autenticação de senha, integrada e interativa com o Microsoft Entra ID. Para obter mais informações, consulte Suporte ao Microsoft Entra ID no SSDT (SQL Server Data Tools).

  • Atualmente, os usuários do Microsoft Entra não são mostrados no Pesquisador de Objetos SSDT. Como solução alternativa, exiba os usuários no sys.database_principals.

Versões mínimas

Para usar a autenticação do Microsoft Entra com o Azure SQL, você precisa das seguintes versões mínimas ao usar essas ferramentas:

Conecte-se com o Microsoft Entra aos recursos SQL do Azure

Depois que a autenticação do Microsoft Entra tiver sido configurada para seu recurso SQL do Azure, você poderá se conectar usando o SQL Server Management Studio, o SQL Server Data Tools e um aplicativo cliente.

Limitações

Ao usar a autenticação do Microsoft Entra com o Azure SQL, considere as seguintes limitações:

  • Os usuários e entidades de serviço do Microsoft Entra (aplicativos Microsoft Entra) que são membros de mais de 2048 grupos de segurança do Microsoft Entra não são suportados e não podem fazer logon no banco de dados.

  • As seguintes funções do sistema não são suportadas e devolvem valores NULL quando executadas por entidades do Microsoft Entra.

    • SUSER_ID()
    • SUSER_NAME(<ID>)
    • SUSER_SNAME(<SID>)
    • SUSER_ID(<name>)
    • SUSER_SID(<name>)

  • Recomendamos definir o tempo limite de conexão para 30 segundos.

Banco de Dados SQL do Azure e Azure Synapse Analytics

Ao usar a autenticação do Microsoft Entra com o Banco de Dados SQL do Azure e o Azure Synapse Analytics, considere as seguintes limitações:

  • Os utilizadores do Microsoft Entra que fazem parte de um grupo que é membro da função de base de dados podem ver o seguinte erro ao tentar usar a sintaxe db_owner na Base de Dados SQL do Azure e no Synapse do Azure:

    SQL Error [2760] [S0001]: The specified schema name 'user@mydomain.com' either doesn't exist or you do not have permission to use it.

    Para atenuar o CREATE DATABASE SCOPED CREDENTIAL problema, adicione a identidade do usuário do Microsoft Entra diretamente à db_owner função.

  • O Banco de Dados SQL do Azure e o Azure Synapse Analytics não criam usuários implícitos para usuários conectados como parte de uma associação de grupo do Microsoft Entra. Por isso, várias operações que exigem a atribuição de propriedade podem falhar, mesmo que o grupo Microsoft Entra seja adicionado como membro a uma função com essas permissões.

    Por exemplo, um usuário conectado a um banco de dados por meio de um grupo do Microsoft Entra com a função db_ddladmin não pode executar CREATE SCHEMA, ALTER SCHEMAe outras instruções de criação de objeto sem um esquema explicitamente definido (como tabela, exibição ou tipo, por exemplo). Para resolver isso, um usuário do Microsoft Entra deve ser criado para esse usuário ou o grupo Microsoft Entra deve ser alterado para atribuir um DEFAULT_SCHEMA tal como dbo.

  • Ao utilizar a replicação geográfica e os grupos de recuperação automática, o administrador do Microsoft Entra deve ser configurado para os servidores primário e secundário. Se um servidor não tiver um administrador do Microsoft Entra, os logins e usuários do Microsoft Entra receberão um Cannot connect erro.

  • Remover o administrador do Microsoft Entra para o servidor impede qualquer conexão de autenticação do Microsoft Entra com o servidor. Se necessário, um administrador do Banco de dados SQL pode descartar usuários inutilizáveis do Microsoft Entra manualmente.

Azure SQL Managed Instance

Ao usar a autenticação do Microsoft Entra com a Instância Gerenciada SQL do Azure, considere as seguintes limitações:

  • As entidades de servidor (logons) e os usuários do Microsoft Entra têm suporte para a Instância Gerenciada SQL.

  • Não há suporte para a configuração de um logon de grupo do Microsoft Entra como proprietário do banco de dados na Instância Gerenciada do SQL.

    • Uma extensão disso é que, quando um grupo é adicionado como parte da função de servidor, os dbcreator usuários desse grupo podem se conectar à Instância Gerenciada SQL e criar novos bancos de dados, mas não poderão acessar o banco de dados. Isso ocorre porque o novo proprietário do banco de dados é SA e não o usuário do Microsoft Entra. Esse problema não se manifesta se o usuário individual for adicionado à dbcreator função de servidor.

  • As entidades de servidor Microsoft Entra (logons) para Instância Gerenciada SQL permitem a possibilidade de criar vários logons que podem ser adicionados à sysadmin função.

  • O gerenciamento do SQL Agent e a execução de trabalhos são suportados para logons do Microsoft Entra.

  • As operações de backup e restauração do banco de dados podem ser executadas por principais do servidor Microsoft Entra (logins).

  • Há suporte para a auditoria de todas as instruções relacionadas a entidades de servidor (logons) e eventos de autenticação do Microsoft Entra.

  • Há suporte para conexão de administrador dedicado para entidades de servidor Microsoft Entra (logons) que são membros da função de servidor sysadmin.

    • Suporte através do utilitário SQLCMD e do SQL Server Management Studio.

  • Os gatilhos de logon são suportados para eventos de logon provenientes de entidades de servidor (logons) do Microsoft Entra.

  • O Service Broker e o DB Mail podem ser configurados utilizando um login de servidor principal do Microsoft Entra.

  • Ao usar grupos de failover, o administrador do Microsoft Entra deve ser configurado para as instâncias primária e secundária. Se uma instância não tiver um administrador do Microsoft Entra, os logins e usuários do Microsoft Entra receberão um Cannot connect erro.

  • O PolyBase não pode autenticar usando a autenticação do Microsoft Entra.

  • A remoção do administrador do Microsoft Entra para a instância impede qualquer conexão de autenticação do Microsoft Entra com a instância. Se necessário, um administrador de Instância Gerenciada SQL pode descartar usuários inutilizáveis do Microsoft Entra manualmente.

Conteúdo relacionado

  • Last updated on