Partilhar via

Política do Azure para autenticação somente Microsoft Entra-only com o Azure SQL

  • Artigo

Aplica-se a:Banco de Dados SQL do Azure Instância Gerenciada SQLdo Azure

A Política do Azure pode impor a criação de um Banco de Dados SQL do Azure ou de uma Instância Gerenciada SQL do Azure com a autenticação somente Microsoft Entra, habilitada durante o provisionamento. Com essa política em vigor, todas as tentativas de criar um servidor lógico no Azure ou uma instância gerenciada falharão se ele não for criado com a autenticação somente Microsoft Entra.

Nota

Embora o Azure Ative Directory (Azure AD) tenha sido renomeado para Microsoft Entra ID, os nomes de política atualmente contêm o nome original do Azure AD, portanto, a autenticação somente Microsoft Entra-only e Azure AD-only é usada indistintamente neste artigo.

A Política do Azure pode ser aplicada a toda a assinatura do Azure ou apenas dentro de um grupo de recursos.

Duas novas políticas internas foram introduzidas na Política do Azure:

  • O Banco de Dados SQL do Azure deve ter a Autenticação Apenas do Ative Directory do Azure habilitada
  • A Instância Gerenciada SQL do Azure deve ter a Autenticação Apenas do Ative Directory do Azure habilitada

Para obter mais informações sobre a Política do Azure, consulte O que é a Política do Azure? e a estrutura de definição da Política do Azure.

Permissões

Para obter uma visão geral das permissões necessárias para gerenciar a Política do Azure, consulte Permissões do RBAC do Azure na Política do Azure.

Ações

Se você estiver usando uma função personalizada para gerenciar a Política do Azure, as seguintes Ações serão necessárias.

  • */read
  • Microsoft.Authorization/policyassignments/*
  • Microsoft.Authorization/policydefinitions/*
  • Microsoft.Autorização/isenções de políticas/*
  • Microsoft.Authorization/policysetdefinitions/*
  • Microsoft.PolicyInsights/*

Para obter mais informações sobre funções personalizadas, consulte Funções personalizadas do Azure.

Gerenciar a Política do Azure para autenticação somente do Azure AD

As políticas de autenticação somente do Azure AD podem ser gerenciadas acessando o portal do Azure e procurando o serviço de Política. Em Definições, procure autenticação somente do Azure Ative Directory.

Screenshot of Azure Policy for Azure AD-only authentication

Para obter um guia, consulte Usando a Política do Azure para impor a autenticação somente do Azure AD com o Azure SQL.

Estas políticas têm três efeitos:

  • Auditoria - A configuração padrão e capturará apenas um relatório de auditoria nos logs de atividade da Política do Azure
  • Negar - Impede a criação de servidor lógico ou instância gerenciada sem a autenticação somente Microsoft Entra-habilitada
  • Desabilitado - Desabilitará a política e não impedirá que os usuários criem um servidor lógico ou uma instância gerenciada sem a autenticação somente do Microsoft Entra.

Se a Política do Azure para autenticação somente do Azure AD estiver definida como Negar, a criação de um servidor lógico ou instância gerenciada falhará. Os detalhes dessa falha são registrados no log de atividades do grupo de recursos.

Conformidade com a política

Você pode exibir a configuração Conformidade no serviço Política para ver o estado de conformidade. O estado de Conformidade informará se o servidor ou a instância gerenciada está atualmente em conformidade com a habilitação da autenticação somente Microsoft Entra.

A Política do Azure pode impedir que um novo servidor lógico ou instância gerenciada seja criado sem ter a autenticação somente Microsoft Entra-habilitada, mas o recurso pode ser alterado após a criação do servidor ou da instância gerenciada. Se um usuário tiver desabilitado a autenticação somente do Microsoft Entra, depois que o servidor ou a instância gerenciada tiver sido criado, o estado de conformidade será Non-compliant se a Política do Azure estiver definida como Negar.

Screenshot of Azure Policy Compliance menu for Azure AD-only authentication.

Limitações

  • A Política do Azure impõe a autenticação somente do Azure AD durante a criação do servidor lógico ou da instância gerenciada. Depois que o servidor é criado, os usuários autorizados do Microsoft Entra com funções especiais (por exemplo, SQL Security Manager) podem desabilitar o recurso de autenticação somente do Azure AD. A Política do Azure permite, mas, nesse caso, o servidor ou a instância gerenciada será listado no relatório de conformidade como Non-compliant e o relatório indicará o nome do servidor ou da instância gerenciada.
  • Para obter mais observações, problemas conhecidos e permissões necessárias, consulte Autenticação somente Microsoft Entra.

Próximos passos

Usando a Política do Azure para impor a autenticação somente do Azure AD com o Azure SQL