Autenticação apenas no Microsoft Entra com o SQL do Azure

Aplica-se a:Banco de Dados SQL do Azure Azure SQL Managed InstanceAzure Synapse Analytics (somente pools SQLdedicados)

A autenticação somente Microsoft Entra-only é um recurso dentro do SQL do Azure que permite que o serviço ofereça suporte apenas à autenticação do Microsoft Entra e tem suporte para o Banco de Dados SQL do Azure e a Instância Gerenciada SQL do Azure.

Nota

Microsoft Entra ID é o novo nome para o Azure Ative Directory (Azure AD). Estamos atualizando a documentação neste momento.

A autenticação somente Microsoft Entra, também está disponível para pools SQL dedicados (anteriormente SQL DW) em servidores autônomos. A autenticação somente Microsoft Entra-only pode ser habilitada para o espaço de trabalho Azure Synapse. Para obter mais informações, consulte Autenticação somente Microsoft Entra-only com espaços de trabalho do Azure Synapse.

A autenticação SQL é desabilitada ao habilitar a autenticação somente Microsoft Entra-somente no ambiente SQL do Azure, incluindo conexões de administradores do SQL Server, logons e usuários. Somente os usuários que usam a autenticação do Microsoft Entra estão autorizados a se conectar ao servidor ou banco de dados.

A autenticação somente do Microsoft Entra, pode ser habilitada ou desabilitada usando o portal do Azure, a CLI do Azure, o PowerShell ou a API REST. A autenticação somente do Microsoft Entra, também pode ser configurada durante a criação do servidor com um modelo do Azure Resource Manager (ARM).

Para obter mais informações sobre a autenticação SQL do Azure, consulte Autenticação e autorização.

Descrição das funcionalidades

Ao habilitar a autenticação somente Microsoft Entra, a autenticação SQL é desabilitada no nível do servidor ou da instância gerenciada e impede qualquer autenticação baseada em quaisquer credenciais de autenticação SQL. Os usuários de autenticação SQL não poderão se conectar ao servidor lógico do Banco de Dados SQL do Azure ou à instância gerenciada, incluindo todos os seus bancos de dados. Embora a autenticação SQL esteja desabilitada, novos logons e usuários de autenticação SQL ainda podem ser criados por contas do Microsoft Entra com permissões adequadas. As contas de autenticação SQL recém-criadas não terão permissão para se conectar ao servidor. Habilitar a autenticação somente do Microsoft Entra, não remove o logon e as contas de usuário de autenticação SQL existentes. O recurso impede apenas que essas contas se conectem ao servidor e a qualquer banco de dados criado para esse servidor.

Você também pode forçar a criação de servidores com a autenticação somente Microsoft Entra, habilitada usando a Política do Azure. Para obter mais informações, consulte Política do Azure para autenticação somente do Microsoft Entra.

Permissões

A autenticação somente do Microsoft Entra pode ser habilitada ou desabilitada por usuários do Microsoft Entra que sejam membros de funções internas altamente privilegiadas do Microsoft Entra, como Proprietários, Colaboradores e Administradores Globais da assinatura do Azure. Além disso, a função SQL Security Manager também pode habilitar ou desabilitar o recurso de autenticação somente Microsoft Entra.

As funções de Colaborador do SQL Server e Colaborador da Instância Gerenciada do SQL não terão permissões para habilitar ou desabilitar o recurso de autenticação somente do Microsoft Entra. Isso é consistente com a abordagem de Separação de Funções, onde os usuários que podem criar um servidor SQL do Azure ou criar um administrador do Microsoft Entra não podem habilitar ou desabilitar recursos de segurança.

Ações necessárias

As ações a seguir são adicionadas à função Gerenciador de Segurança SQL para permitir o gerenciamento do recurso de autenticação somente Microsoft Entra.

• Microsoft.Sql/servers/azureADOnlyAuthentications/*
• Microsoft.Sql/servers/administrators/read - necessário apenas para usuários que acessam o portal do Azure Menu ID do Microsoft Entra
• Microsoft.Sql/managedInstances/azureADOnlyAuthentications/*
• Microsoft.Sql/managedInstances/read

As ações acima também podem ser adicionadas a uma função personalizada para gerenciar a autenticação somente do Microsoft Entra. Para obter mais informações, veja Criar e atribuir uma função personalizada no Microsoft Entra ID.

Gerenciando a autenticação somente do Microsoft Entra, usando APIs

Importante

O administrador do Microsoft Entra deve ser definido antes de habilitar a autenticação somente do Microsoft Entra.

CLI do Azure

Você deve ter a CLI do Azure versão 2.14.2 ou superior.

namecorresponde ao prefixo do nome do servidor ou instância (por exemplo, ) e resource-group corresponde ao recurso ao qual o servidor pertence (por exemplo, ). myresourcemyserver

Base de Dados SQL do Azure

Para obter mais informações, consulte az sql server ad-only-auth.

Habilitar ou desabilitar no Banco de dados SQL

Ativar

az sql server ad-only-auth enable --resource-group myresource --name myserver

Desativar

az sql server ad-only-auth disable --resource-group myresource --name myserver

Verificar o estado na Base de Dados SQL

az sql server ad-only-auth get --resource-group myresource --name myserver

Instância Gerida do Azure SQL

Para obter mais informações, consulte az sql mi ad-only-auth.

Ativar

az sql mi ad-only-auth enable --resource-group myresource --name myserver

Desativar

az sql mi ad-only-auth disable --resource-group myresource --name myserver

Verificar o status na instância gerenciada do SQL

az sql mi ad-only-auth get --resource-group myresource --name myserver

PowerShell

Az.Sql 2.10.0 módulo ou superior é necessário.

ServerNameou correspondem ao prefixo do nome do servidor (por exemplo, ou InstanceNamemyinstance) e ResourceGroupName correspondem ao recurso ao qual o servidor pertence (por exemplo, myresourcemyserver ).

Base de Dados SQL do Azure

Habilitar ou desabilitar no Banco de dados SQL

Ativar

Para obter mais informações, consulte Enable-AzSqlServerActiveDirectoryOnlyAuthentication. Você também pode executar get-help Enable-AzSqlServerActiveDirectoryOnlyAuthentication -fullo .

Enable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName myserver -ResourceGroupName myresource

Você também pode usar o seguinte comando:

Get-AzSqlServer -ServerName myserver | Enable-AzSqlServerActiveDirectoryOnlyAuthentication

Desativar

Para obter mais informações, consulte Disable-AzSqlServerActiveDirectoryOnlyAuthentication.

Disable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName myserver -ResourceGroupName myresource

Verificar o estado na Base de Dados SQL

Get-AzSqlServerActiveDirectoryOnlyAuthentication  -ServerName myserver -ResourceGroupName myresource

Você também pode usar o seguinte comando:

Get-AzSqlServer -ServerName myserver | Get-AzSqlServerActiveDirectoryOnlyAuthentication

Instância Gerida do Azure SQL

Habilitar ou desabilitar na instância gerenciada do SQL

Ativar

Para obter mais informações, consulte Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication.

Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName myinstance -ResourceGroupName myresource

Você também pode usar o seguinte comando:

Get-AzSqlInstance -InstanceName myinstance | Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication

Para obter mais informações sobre esses comandos do PowerShell, execute get-help Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -full.

Desativar

Para obter mais informações, consulte Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication.

Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName myinstance -ResourceGroupName myresource

Verificar o status na instância gerenciada do SQL

Get-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName myinstance -ResourceGroupName myresource

Você também pode usar o seguinte comando:

Get-AzSqlInstance -InstanceName myinstance | Get-AzSqlInstanceActiveDirectoryOnlyAuthentication

API REST

Será necessário definir os seguintes parâmetros:

• <subscriptionId> pode ser encontrado navegando para Subscrições no portal do Azure.
• <myserver> correspondem ao prefixo do nome do servidor ou da instância (por exemplo, myserver).
• <myresource> corresponde ao recurso ao qual o servidor pertence (por exemplo, myresource)

Para utilizar o MSAL mais recente, transfira-o a partir de https://www.powershellgallery.com/packages/MSAL.PS.

$subscriptionId = '<subscriptionId>'
$serverName = "<myserver>"
$resourceGroupName = "<myresource>"

Base de Dados SQL do Azure

Para obter mais informações, consulte a documentação da API REST de Autenticações Apenas do Azure AD do Azure.

Habilitar ou desabilitar no Banco de dados SQL

Ativar

$body = @{ properties = @{ azureADOnlyAuthentication = 1 } } | ConvertTo-Json
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Desativar

$body = @{ properties = @{ azureADOnlyAuthentication = 0 } } | ConvertTo-Json
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Verificar o estado na Base de Dados SQL

Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method GET -Headers $authHeader  | Format-List

Instância Gerida do Azure SQL

Para obter mais informações, consulte a documentação da API REST de Autenticações Somente do Azure AD de Instância Gerenciada.

Habilitar ou desabilitar na instância gerenciada do SQL

Ativar

$body = @{   properties = @{  azureADOnlyAuthentication = 1 }  } | ConvertTo-Json 
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Desativar

$body = @{   properties = @{  azureADOnlyAuthentication = 0 }  } | ConvertTo-Json 
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Verificar o status na instância gerenciada do SQL

Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method GET -Headers $authHeader  | Format-List

Modelo do ARM

• Insira o administrador do Microsoft Entra para a implantação. Você encontrará a ID do Objeto do usuário acessando o portal do Azure e navegando até o recurso ID do Microsoft Entra. Em Gerir, selecione Utilizadores. Procure o usuário que você deseja definir como administrador do Microsoft Entra para seu servidor SQL do Azure. Selecione o usuário e, na página Perfil, você verá a ID do objeto.
• A ID do Locatário pode ser encontrada na página Visão geral do recurso ID do Microsoft Entra .

Base de Dados SQL do Azure

Ativar

O Modelo ARM abaixo habilita a autenticação somente Microsoft Entra-somente em seu Banco de Dados SQL do Azure. Para desativar a autenticação somente do Microsoft Entra, defina a azureADOnlyAuthentication propriedade como false.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "sqlServer_name": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String"
        },
        "aad_admin_objectid": {
            "type": "String"
        },
        "aad_admin_tenantid": {
            "type": "String"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers/administrators",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('sqlServer_name'), '/ActiveDirectory')]",
            "properties": {
                "administratorType": "ActiveDirectory",
                "login": "[parameters('aad_admin_name')]",
                "sid": "[parameters('aad_admin_objectid')]",
                "tenantId": "[parameters('aad_admin_tenantId')]"
            }
        },        
        {
            "type": "Microsoft.Sql/servers/azureADOnlyAuthentications",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('sqlServer_name'), '/Default')]",
            "dependsOn": [
                "[resourceId('Microsoft.Sql/servers/administrators', parameters('sqlServer_name'), 'ActiveDirectory')]"
            ],
            "properties": {
                "azureADOnlyAuthentication": true
            }
        }
    ]
}

Para obter mais informações, consulte Microsoft.Sql servers/azureADOnlyAuthentications.

Instância Gerida do Azure SQL

Ativar

O Modelo ARM abaixo habilita a autenticação somente Microsoft Entra-somente em sua Instância Gerenciada SQL do Azure. Para desativar a autenticação somente do Microsoft Entra, defina a azureADOnlyAuthentication propriedade como false.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "instance": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String"
        },
        "aad_admin_objectid": {
            "type": "String"
        },
        "aad_admin_tenantid": {
            "type": "String"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/managedInstances/administrators",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('instance'), '/ActiveDirectory')]",
            "properties": {
                "administratorType": "ActiveDirectory",
                "login": "[parameters('aad_admin_name')]",
                "sid": "[parameters('aad_admin_objectid')]",
                "tenantId": "[parameters('aad_admin_tenantId')]"
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances/azureADOnlyAuthentications",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('instance'), '/Default')]",
            "dependsOn": [
                "[resourceId('Microsoft.Sql/managedInstances/administrators', parameters('instance'), 'ActiveDirectory')]"
            ],
            "properties": {
                "azureADOnlyAuthentication": true
            }
        }
    ]
}

Para obter mais informações, consulte Microsoft.Sql managedInstances/azureADOnlyAuthentications.

Verificando a autenticação somente do Microsoft Entra, usando o T-SQL

A propriedade SERVERPROPERTYIsExternalAuthenticationOnly foi adicionada para verificar se a autenticação somente Microsoft Entra, está habilitada para seu servidor ou instância gerenciada. 1 indica que o recurso está habilitado e 0 representa que o recurso está desabilitado.

SELECT SERVERPROPERTY('IsExternalAuthenticationOnly') 

Observações

• Um Colaborador do SQL Server pode definir ou remover um administrador do Microsoft Entra, mas não pode definir apenas a configuração de autenticação do Microsoft Entra. O Gerenciador de Segurança SQL não pode definir ou remover um administrador do Microsoft Entra, mas pode definir apenas a configuração de autenticação doMicrosoft Entra. Somente contas com funções RBAC do Azure mais altas ou funções personalizadas que contenham ambas as permissões podem definir ou remover um administrador do Microsoft Entra e definir a configuração somente autenticação do Microsoft Entra. Uma dessas funções é a função de Colaborador .
• Depois de habilitar ou desabilitar a autenticação do Microsoft Entra somente no portal do Azure, uma entrada do log de atividades pode ser vista no menu do SQL Server.
• A configuração somente autenticação do Microsoft Entra só pode ser habilitada ou desabilitada por usuários com as permissões corretas se o administrador do Microsoft Entra for especificado. Se o administrador do Microsoft Entra não estiver definido, a configuração Somente autenticação do Microsoft Entra permanecerá inativa e não poderá ser habilitada ou desabilitada. O uso de APIs para habilitar a autenticação somente do Microsoft Entra também falhará se o administrador do Microsoft Entra não tiver sido definido.
• A alteração de um administrador do Microsoft Entra quando a autenticação somente do Microsoft Entra está habilitada é suportada por usuários com as permissões apropriadas.
• Alterar um administrador do Microsoft Entra e habilitar ou desabilitar a autenticação somente do Microsoft Entra é permitido no portal do Azure para usuários com as permissões apropriadas. Ambas as operações podem ser concluídas com um Save no portal do Azure. O administrador do Microsoft Entra deve ser definido para habilitar a autenticação somente do Microsoft Entra.
• Não há suporte para a remoção de um administrador do Microsoft Entra quando o recurso de autenticação somente do Microsoft Entra está habilitado. O uso de uma API para remover um administrador do Microsoft Entra falhará se a autenticação somente do Microsoft Entra estiver habilitada.
  • Se a configuração Somente autenticação do Microsoft Entra estiver habilitada, o botão Remover administrador estará inativo no portal do Azure.
• Remover um administrador do Microsoft Entra e desativar a configuração somente de autenticação do Microsoft Entra é permitido, mas requer a permissão de usuário certa para concluir as operações. Ambas as operações podem ser concluídas com um Save no portal do Azure.
• Os usuários do Microsoft Entra com permissões adequadas podem representar usuários SQL existentes.
  • A representação continua funcionando entre usuários de autenticação SQL mesmo quando o recurso de autenticação somente Microsoft Entra, está habilitado.

Limitações para autenticação somente Microsoft Entra-somente no Banco de dados SQL

Quando a autenticação somente Microsoft Entra-Entra, habilitada para o Banco de Dados SQL, os seguintes recursos não são suportados:

• As funções de servidor do Banco de Dados SQL do Azure têm suporte para entidades de servidor do Microsoft Entra, mas não se o logon do Microsoft Entra for um grupo.
• Tarefas elásticas
• Sincronização de dados SQL
• Captura de dados de alteração (CDC) - Se você criar um banco de dados no Banco de Dados SQL do Azure como um usuário do Microsoft Entra e habilitar a captura de dados de alteração nele, um usuário SQL não poderá desabilitar ou fazer alterações em artefatos CDC. No entanto, outro usuário do Microsoft Entra poderá habilitar ou desabilitar o CDC no mesmo banco de dados. Da mesma forma, se você criar um Banco de Dados SQL do Azure como um usuário SQL, habilitar ou desabilitar o CDC como um usuário do Microsoft Entra não funcionará
• Replicação transacional - Como a autenticação SQL é necessária para conectividade entre participantes da replicação, quando a autenticação somente Microsoft Entra-somente está habilitada, a replicação transacional não é suportada para o Banco de Dados SQL para cenários em que a replicação transacional é usada para enviar por push alterações feitas em uma Instância Gerenciada SQL do Azure, no SQL Server local ou em uma instância do SQL Server da VM do Azure para um banco de dados no Banco de Dados SQL do Azure
• SQL Insights (visualização)
• Declaração EXEC AS para contas de membro do grupo Microsoft Entra

Limitações para autenticação somente Microsoft Entra-somente na instância gerenciada

Quando a autenticação somente Microsoft Entra-é habilitada para Instância Gerenciada, os seguintes recursos não são suportados:

• Replicação transacional
• Os trabalhos do SQL Agent na instância gerenciada oferecem suporte à autenticação somente Microsoft Entra. No entanto, o usuário do Microsoft Entra que é membro de um grupo do Microsoft Entra que tem acesso à instância gerenciada não pode possuir trabalhos do SQL Agent
• SQL Insights (visualização)
• Declaração EXEC AS para contas de membro do grupo Microsoft Entra

Para obter mais limitações, consulte Diferenças de T-SQL entre SQL Server e Instância Gerenciada SQL do Azure.

Próximos passos

Tutorial: Habilitar a autenticação somente Microsoft Entra-only com o Azure SQL

Criar servidor com a autenticação somente Microsoft Entra, habilitada no SQL do Azure