Autenticação exclusiva do Microsoft Entra com Azure SQL

Aplica-se a:Base de Dados SQL do Azure Instância Gerida do SQL do Azure Azure Synapse Analytics (somente pools SQL dedicados)

A autenticação somente Microsoft Entra é um recurso no Azure SQL que permite que o serviço suporte apenas a autenticação Microsoft Entra, com suporte no Azure SQL Database e Azure SQL Managed Instance.

Observação

O Microsoft Entra ID era conhecido anteriormente como Azure Ative Directory (Azure AD).

A autenticação apenas Microsoft Entra está disponível também para pools SQL dedicados (anteriormente conhecido como SQL DW) em servidores independentes. A autenticação somente Microsoft Entra pode ser habilitada para o espaço de trabalho do Azure Synapse. Para obter mais informações, consulte Autenticação exclusiva do Microsoft Entra com espaços de trabalho do Azure Synapse.

A autenticação SQL é desabilitada ao habilitar a autenticação somente Microsoft Entra-somente no ambiente SQL do Azure, incluindo conexões de administradores do SQL Server, logons e usuários. Somente os usuários que usam a autenticação do Microsoft Entra estão autorizados a se conectar ao servidor ou banco de dados.

A autenticação somente do Microsoft Entra, pode ser habilitada ou desabilitada usando o portal do Azure, a CLI do Azure, o PowerShell ou a API REST. A autenticação somente do Microsoft Entra também pode ser configurada durante a criação do servidor com um template do Azure Resource Manager (ARM).

Para obter mais informações sobre a autenticação SQL do Azure, consulte Autenticação e autorização.

Descrição das funcionalidades

Ao habilitar a autenticação somente Microsoft Entra, a autenticação SQL é desabilitada no nível do servidor ou da instância gerenciada e impede qualquer autenticação baseada em quaisquer credenciais de autenticação SQL. Os usuários de autenticação SQL não poderão se conectar ao servidor lógico do Banco de Dados SQL do Azure ou à instância gerenciada, incluindo todos os seus bancos de dados. Embora a autenticação SQL esteja desabilitada, novos logons e usuários de autenticação SQL ainda podem ser criados por contas do Microsoft Entra com permissões adequadas. As contas de autenticação SQL recém-criadas não terão permissão para se conectar ao servidor. Habilitar a autenticação somente do Microsoft Entra, não remove o logon e as contas de usuário de autenticação SQL existentes. O recurso impede apenas que essas contas se conectem ao servidor e a qualquer banco de dados criado para esse servidor.

Você também pode forçar a criação de servidores com autenticação apenas Microsoft Entra, habilitada através da Política do Azure. Para obter mais informações, consulte Política do Azure para autenticação somente Microsoft Entra-only com o Azure SQL.

Permissions

A autenticação somente do Microsoft Entra pode ser habilitada ou desabilitada por usuários do Microsoft Entra que são membros de funções internas altamente privilegiadas do Microsoft Entra, como Proprietários e Colaboradores da assinatura do Azure. Além disso, a função SQL Security Manager também pode habilitar ou desabilitar o recurso de autenticação somente Microsoft Entra.

As funções de Colaborador do SQL Server e Colaborador da Instância Gerenciada do SQL não terão permissões para habilitar ou desabilitar o recurso de autenticação somente do Microsoft Entra. Isso é consistente com a abordagem de Separação de Funções , onde os usuários que podem criar um servidor SQL do Azure ou criar um administrador do Microsoft Entra não podem habilitar ou desabilitar recursos de segurança.

Ações necessárias

As ações a seguir são adicionadas à função Gerenciador de Segurança SQL para permitir o gerenciamento do recurso de autenticação somente Microsoft Entra.

Microsoft.Sql/servers/azureADOnlyAuthentications/*
Microsoft.Sql/servers/administrators/read - necessário apenas para utilizadores que acedem ao portal Azure menu de ID do Microsoft Entra
Microsoft.Sql/managedInstances/azureADOnlyAuthentications/*
Microsoft.Sql/managedInstances/read

As ações acima também podem ser adicionadas a uma função personalizada para gerenciar a autenticação somente do Microsoft Entra. Para obter mais informações, consulte Criar e atribuir uma função personalizada no Microsoft Entra ID.

Gerenciar a autenticação somente do Microsoft Entra, usando APIs

Importante

O administrador do Microsoft Entra deve ser definido antes de habilitar a autenticação somente do Microsoft Entra.

Você deve ter a CLI do Azure versão 2.14.2 ou superior.

name corresponde ao prefixo do nome do servidor ou instância (por exemplo, myserver) e resource-group corresponde ao recurso ao qual o servidor pertence (por exemplo, myresource).

Base de Dados SQL do Azure

Para obter mais informações, consulte az sql server ad-only-auth.

Habilitar ou desabilitar no Banco de dados SQL

Enable

az sql server ad-only-auth enable --resource-group myresource --name myserver

Disable

az sql server ad-only-auth disable --resource-group myresource --name myserver

Verificar o estado na Base de Dados SQL

az sql server ad-only-auth get --resource-group myresource --name myserver

Azure SQL Managed Instance

Para obter mais informações, consulte az sql mi ad-only-auth.

Enable

az sql mi ad-only-auth enable --resource-group myresource --name myserver

Disable

az sql mi ad-only-auth disable --resource-group myresource --name myserver

Verificar o status na instância gerenciada do SQL

az sql mi ad-only-auth get --resource-group myresource --name myserver

Az.Sql 2.10.0 módulo ou superior é necessário.

ServerName ou InstanceName correspondem ao prefixo do nome do servidor (por exemplo, myserver ou myinstance) e ResourceGroupName correspondem ao recurso ao qual o servidor pertence (por exemplo, myresource).

Base de Dados SQL do Azure

Habilitar ou desabilitar no Banco de dados SQL

Enable

Para obter mais informações, consulte Enable-AzSqlServerActiveDirectoryOnlyAuthentication. Você também pode executar get-help Enable-AzSqlServerActiveDirectoryOnlyAuthentication -full.

Enable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName myserver -ResourceGroupName myresource

Você também pode usar o seguinte comando:

Get-AzSqlServer -ServerName myserver | Enable-AzSqlServerActiveDirectoryOnlyAuthentication

Disable

Para obter mais informações, consulte Disable-AzSqlServerActiveDirectoryOnlyAuthentication.

Disable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName myserver -ResourceGroupName myresource

Verificar o estado na Base de Dados SQL

Get-AzSqlServerActiveDirectoryOnlyAuthentication  -ServerName myserver -ResourceGroupName myresource

Você também pode usar o seguinte comando:

Get-AzSqlServer -ServerName myserver | Get-AzSqlServerActiveDirectoryOnlyAuthentication

Azure SQL Managed Instance

Habilitar ou desabilitar na instância gerenciada do SQL

Enable

Para obter mais informações, consulte Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication.

Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName myinstance -ResourceGroupName myresource

Você também pode usar o seguinte comando:

Get-AzSqlInstance -InstanceName myinstance | Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication

Para obter mais informações sobre esses comandos do PowerShell, execute get-help Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -full.

Disable

Para obter mais informações, consulte Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication.

Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName myinstance -ResourceGroupName myresource

Verificar o status na instância gerenciada do SQL

Get-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName myinstance -ResourceGroupName myresource

Você também pode usar o seguinte comando:

Get-AzSqlInstance -InstanceName myinstance | Get-AzSqlInstanceActiveDirectoryOnlyAuthentication

É necessário definir os seguintes parâmetros:

<subscriptionId> pode ser encontrado navegando para Subscrições no portal do Azure.
<myserver> correspondem ao prefixo do nome do servidor ou da instância (por exemplo, myserver).
<myresource> corresponde ao recurso ao qual o servidor pertence (por exemplo, myresource)

Para utilizar o MSAL mais recente, transfira-o a partir de https://www.powershellgallery.com/packages/MSAL.PS.

$subscriptionId = '<subscriptionId>'
$serverName = "<myserver>"
$resourceGroupName = "<myresource>"

Base de Dados SQL do Azure

Para obter mais informações, consulte a documentação da API REST de Autenticações Apenas de Servidor do Azure AD.

Habilitar ou desabilitar no Banco de dados SQL

Enable

$body = @{ properties = @{ azureADOnlyAuthentication = 1 } } | ConvertTo-Json
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Disable

$body = @{ properties = @{ azureADOnlyAuthentication = 0 } } | ConvertTo-Json
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Verificar o estado na Base de Dados SQL

Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method GET -Headers $authHeader  | Format-List

Azure SQL Managed Instance

** Para obter mais informações, consulte a documentação da API REST de Autenticação Apenas Azure AD do Azure SQL Managed Instance.

Habilitar ou desabilitar na instância gerenciada do SQL

Enable

$body = @{   properties = @{  azureADOnlyAuthentication = 1 }  } | ConvertTo-Json
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Disable

$body = @{   properties = @{  azureADOnlyAuthentication = 0 }  } | ConvertTo-Json
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Verificar o status na instância gerenciada do SQL

Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method GET -Headers $authHeader  | Format-List

Forneça o administrador do Microsoft Entra para a implementação. Você encontrará o ID do objeto de utilizador acessando o portal do Azure e navegando até o recurso Microsoft Entra ID. Em Gerir, selecione Utilizadores. Procure o usuário que você deseja definir como administrador do Microsoft Entra para seu servidor SQL do Azure. Selecione o usuário e, na página Perfil , você verá a ID do objeto.
O ID do Locatário pode ser encontrado na página Visão geral do recurso Microsoft Entra ID.

Base de Dados SQL do Azure

Enable

O Template ARM a seguir habilita a autenticação Microsoft Entra apenas na sua base de dados SQL do Azure. Para desativar a autenticação somente do Microsoft Entra, defina a azureADOnlyAuthentication propriedade como false.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "sqlServer_name": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String"
        },
        "aad_admin_objectid": {
            "type": "String"
        },
        "aad_admin_tenantid": {
            "type": "String"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers/administrators",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('sqlServer_name'), '/ActiveDirectory')]",
            "properties": {
                "administratorType": "ActiveDirectory",
                "login": "[parameters('aad_admin_name')]",
                "sid": "[parameters('aad_admin_objectid')]",
                "tenantId": "[parameters('aad_admin_tenantId')]"
            }
        },
        {
            "type": "Microsoft.Sql/servers/azureADOnlyAuthentications",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('sqlServer_name'), '/Default')]",
            "dependsOn": [
                "[resourceId('Microsoft.Sql/servers/administrators', parameters('sqlServer_name'), 'ActiveDirectory')]"
            ],
            "properties": {
                "azureADOnlyAuthentication": true
            }
        }
    ]
}

Para obter mais informações, consulte Microsoft.Sql servers/azureADOnlyAuthentications.

Azure SQL Managed Instance

Enable

O Modelo ARM a seguir habilita a autenticação somente Microsoft Entra-somente em sua Instância Gerenciada SQL do Azure. Para desativar a autenticação somente do Microsoft Entra, defina a azureADOnlyAuthentication propriedade como false.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "instance": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String"
        },
        "aad_admin_objectid": {
            "type": "String"
        },
        "aad_admin_tenantid": {
            "type": "String"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/managedInstances/administrators",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('instance'), '/ActiveDirectory')]",
            "properties": {
                "administratorType": "ActiveDirectory",
                "login": "[parameters('aad_admin_name')]",
                "sid": "[parameters('aad_admin_objectid')]",
                "tenantId": "[parameters('aad_admin_tenantId')]"
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances/azureADOnlyAuthentications",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('instance'), '/Default')]",
            "dependsOn": [
                "[resourceId('Microsoft.Sql/managedInstances/administrators', parameters('instance'), 'ActiveDirectory')]"
            ],
            "properties": {
                "azureADOnlyAuthentication": true
            }
        }
    ]
}

Para obter mais informações, consulte Microsoft.Sql managedInstances/azureADOnlyAuthentications.

Verifique a autenticação somente do Microsoft Entra, usando o T-SQL

A propriedade SERVERPROPERTYIsExternalAuthenticationOnly foi adicionada para verificar se a autenticação apenas do Microsoft Entra está habilitada para o seu servidor ou instância gerida. 1 indica que o recurso está habilitado e 0 representa que o recurso está desabilitado.

SELECT SERVERPROPERTY('IsExternalAuthenticationOnly')

Observações

Um Colaborador do SQL Server pode definir ou remover um administrador do Microsoft Entra, mas não pode definir apenas a configuração de autenticação do Microsoft Entra . O Gerenciador de Segurança SQL não pode definir ou remover um administrador do Microsoft Entra, mas pode definir apenas a configuração de autenticação do Microsoft Entra . Somente contas com funções RBAC do Azure mais altas ou funções personalizadas que contenham ambas as permissões podem definir ou remover um administrador do Microsoft Entra e definir a configuração somente autenticação do Microsoft Entra . Uma dessas funções é a função de Colaborador .
Depois de ativar ou desativar a autenticação somente do Microsoft Entra no portal do Azure, uma entrada no registo de atividades pode ser vista no menu do servidor SQL.
A configuração de autenticação exclusiva do Microsoft Entra apenas pode ser habilitada ou desabilitada por usuários com as permissões adequadas se o administrador do Microsoft Entra estiver especificado. Se o administrador do Microsoft Entra não estiver definido, a configuração Somente autenticação do Microsoft Entra permanecerá inativa e não poderá ser habilitada ou desabilitada. O uso de APIs para habilitar a autenticação somente do Microsoft Entra também falhará se o administrador do Microsoft Entra não tiver sido definido.
A alteração de um administrador do Microsoft Entra quando a autenticação somente do Microsoft Entra está habilitada é suportada por usuários com as permissões apropriadas.
Alterar um administrador do Microsoft Entra e habilitar ou desabilitar a autenticação somente do Microsoft Entra é permitido no portal do Azure para usuários com as permissões apropriadas. Ambas as operações podem ser concluídas com um Save no portal do Azure. O administrador do Microsoft Entra deve ser definido para habilitar a autenticação somente do Microsoft Entra.
Não há suporte para a remoção de um administrador do Microsoft Entra quando o recurso de autenticação somente do Microsoft Entra está habilitado. O uso de uma API para remover um administrador do Microsoft Entra falhará se a autenticação somente do Microsoft Entra estiver habilitada.
- Se a configuração Somente autenticação do Microsoft Entra estiver ativada, o botão Remover admin estará inativo no portal do Azure.
Remover um administrador do Microsoft Entra e desativar a configuração somente de autenticação do Microsoft Entra é permitido, mas requer a permissão de usuário certa para concluir as operações. Ambas as operações podem ser concluídas com um Save no portal do Azure.
Os usuários do Microsoft Entra com permissões adequadas podem representar usuários SQL existentes.
- A representação continua a funcionar entre utilizadores de autenticação SQL mesmo quando a funcionalidade de autenticação exclusiva do Microsoft Entra está habilitada.

Limitações para autenticação apenas Microsoft Entra no Banco de Dados SQL

Quando a autenticação apenas Microsoft Entra está habilitada para o Banco de Dados SQL, os seguintes recursos não são suportados:

As funções de servidor da Azure SQL Database para gestão de permissões são suportadas para princípios de servidor do Microsoft Entra, mas não se o login do Microsoft Entra for um grupo.
Trabalhos elásticos no Banco de Dados SQL do Azure
Sincronização de Dados SQL
Captura de dados de alteração (CDC) - Se você criar um banco de dados no Banco de Dados SQL do Azure como um usuário do Microsoft Entra e habilitar a captura de dados de alteração nele, um usuário SQL não poderá desabilitar ou fazer alterações nos artefatos CDC. No entanto, outro usuário do Microsoft Entra poderá habilitar ou desabilitar o CDC no mesmo banco de dados. Da mesma forma, se você criar um Banco de Dados SQL do Azure como um usuário SQL, habilitar ou desabilitar o CDC como um usuário do Microsoft Entra não funcionará
pt-PT: Replicação transacional com a Instância Gerenciada SQL do Azure - Como a autenticação SQL é necessária para a conectividade entre os participantes da replicação, quando a autenticação apenas Microsoft Entra está ativada, a replicação transacional não é suportada para o Banco de Dados SQL do Azure em cenários onde a replicação transacional é usada para fazer push das alterações feitas numa Instância Gerenciada SQL do Azure, no SQL Server no local, ou numa instância do SQL Server da VM do Azure para um banco de dados no Banco de Dados SQL do Azure.
SQL Insights (preview)
EXEC AS declaração para contas de membros do grupo Microsoft Entra

Limitações para autenticação somente Microsoft Entra-only na Instância Gerenciada SQL do Azure

Quando a autenticação somente Microsoft Entra está habilitada para a Instância Gerenciada SQL, os seguintes recursos não são suportados:

Replicação transacional com a Instância Gerenciada SQL do Azure
Automatizar tarefas de gerenciamento usando trabalhos do SQL Agent na Instância Gerida do Azure SQL suporta apenas autenticação Microsoft Entra. No entanto, o utilizador do Microsoft Entra que é membro de um grupo do Microsoft Entra que tem acesso à instância gerida não pode possuir tarefas do SQL Agent.
SQL Insights (visualização)
EXEC AS declaração para contas de membros de grupos do Microsoft Entra

Para obter mais limitações, consulte Diferenças de T-SQL entre SQL Server e Instância Gerenciada SQL do Azure.

Comentários

Esta página foi útil?

Last updated on 2025-09-15

Partilhar via

Autenticação exclusiva do Microsoft Entra com Azure SQL

Descrição das funcionalidades

Permissions

Ações necessárias

Gerenciar a autenticação somente do Microsoft Entra, usando APIs

Base de Dados SQL do Azure

Habilitar ou desabilitar no Banco de dados SQL

Verificar o estado na Base de Dados SQL

Azure SQL Managed Instance

Verificar o status na instância gerenciada do SQL

Verifique a autenticação somente do Microsoft Entra, usando o T-SQL

Observações

Limitações para autenticação apenas Microsoft Entra no Banco de Dados SQL

Limitações para autenticação somente Microsoft Entra-only na Instância Gerenciada SQL do Azure

Conteúdo relacionado

Comentários

Recursos adicionais