Tutorial: Habilitar autenticação apenas do Microsoft Entra com o Azure SQL

Aplica-se a:Banco de Dados SQL do AzureInstância Gerenciada SQL do Azure

Este artigo guia o leitor na ativação da autenticação exclusivamente Microsoft Entra com o recurso SQL do Azure no Banco de Dados SQL do Azure e na Instância Gerenciada SQL do Azure. Se pretende provisionar um Banco de Dados SQL ou uma Instância Gerenciada SQL com autenticação habilitada somente para Microsoft Entra, consulte Criar servidor com autenticação habilitada somente para Microsoft Entra no Azure SQL.

Observação

O Microsoft Entra ID era conhecido anteriormente como Azure Ative Directory (Azure AD).

Neste tutorial, aprenderás como:

• Atribuir função para habilitar a autenticação exclusivamente Microsoft Entra.
• Habilitar a autenticação somente do Microsoft Entra, usando o portal do Azure, a CLI do Azure ou o PowerShell
• Verifique se a autenticação só do Microsoft Entra está habilitada
• Testar a conexão com o Azure SQL
• Desabilitar a autenticação somente do Microsoft Entra, usando o portal do Azure, a CLI do Azure ou o PowerShell

Pré-requisitos

• Um tenant do Microsoft Entra. Para obter mais informações, consulte Configurar e gerir a autenticação de Microsoft Entra com Azure SQL.
• Um Banco de Dados SQL ou Instância Gerenciada SQL com um banco de dados e logons ou usuários. Consulte Guia de início rápido: criar um único banco de dados - Banco de Dados SQL do Azure se você ainda não tiver criado um Banco de Dados SQL do Azure ou Guia de início rápido: criar instância gerenciada SQL do Azure.

Atribuir função para habilitar a autenticação exclusivamente Microsoft Entra.

Para habilitar ou desabilitar a autenticação somente do Microsoft Entra, as funções internas selecionadas são necessárias para os usuários do Microsoft Entra que executam essas operações neste tutorial. Vamos atribuir a função SQL Security Manager ao usuário neste tutorial.

Para obter mais informações sobre como atribuir uma função a uma conta do Microsoft Entra, consulte Atribuir funções de administrador e não administrador a usuários com a ID do Microsoft Entra

Para obter mais informações sobre a permissão necessária para habilitar ou desabilitar a autenticação somente Microsoft Entra, consulte a seção Permissões do artigo Autenticação somente Microsoft Entra .

1. Em nosso exemplo, atribuiremos a função SQL Security Manager ao usuário UserSqlSecurityManager@contoso.onmicrosoft.com. Usando um utilizador privilegiado capaz de atribuir funções no Microsoft Entra, inicie sessão no portal do Azure.

2. Vá para o recurso do SQL Server e selecione Controle de acesso (IAM) no menu. Selecione o botão Adicionar e, em seguida, Adicionar atribuição de função na lista suspensa.

   

3. No painel Adicionar atribuição de função, selecione a Função Gestor de Segurança SQL e selecione o utilizador que pretende que possa habilitar ou desabilitar a autenticação apenas Microsoft Entra.

   

4. Selecione Guardar.

Habilitar a autenticação apenas do Microsoft Entra

Portais

Habilitar no Banco de Dados SQL usando o portal do Azure

Para habilitar a autenticação exclusiva do Microsoft Entra no portal do Azure, siga os seguintes passos:

1. Usando o usuário com a função SQL Security Manager , vá para o portal do Azure.

2. Vá para o recurso do SQL Server e selecione Microsoft Entra ID no menu Configurações .

   

3. Se você não adicionou um administrador do Microsoft Entra, precisará defini-lo antes de habilitar a autenticação somente do Microsoft Entra.

4. Marque a caixa para Suporte apenas a autenticação Microsoft Entra para este servidor.

5. O pop-up Enable Microsoft Entra-only authentication será exibido. Selecione Sim para ativar o recurso e Salvar a configuração.

Habilitar na Instância Gerenciada SQL usando o portal do Azure

Para habilitar a autenticação somente do Microsoft Entra, no portal do Azure, consulte as etapas abaixo.

1. Usando o usuário com a função SQL Security Manager , vá para o portal do Azure.

2. Vá para a sua instância gerida SQL e selecione Microsoft Entra admin no menu Configurações.

3. Se você não adicionou um administrador do Microsoft Entra, precisará defini-lo antes de habilitar a autenticação somente do Microsoft Entra.

4. Assinale a caixa de verificação Suportar apenas a autenticação Microsoft Entra para esta instância gerida.

5. O pop-up Enable Microsoft Entra-only authentication será exibido. Selecione Sim para ativar o recurso e Salvar a configuração.

A Interface de Linha de Comandos do Azure

Habilitar no Banco de Dados SQL usando a CLI do Azure

Para habilitar a autenticação única do Microsoft Entra no Azure SQL Database usando a CLI do Azure, consulte os comandos a seguir. Instale a versão mais recente da CLI do Azure. Você deve ter a CLI do Azure versão 2.14.2 ou superior. Para obter mais informações sobre esses comandos, consulte az sql server ad-only-auth.

Para obter mais informações sobre como gerenciar a autenticação somente do Microsoft Entra, consulte Gerenciando a autenticação somente do Microsoft Entra, usando APIs.

Observação

O administrador do Microsoft Entra deve ser definido para o servidor antes de habilitar a autenticação somente do Microsoft Entra. Caso contrário, o comando da CLI do Azure falhará.

Para obter as permissões e ações necessárias do usuário que executa esses comandos para habilitar a autenticação somente do Microsoft Entra, consulte o artigo Autenticação somente do Microsoft Entra .

1. Entre no Azure usando a conta com a função Gerenciador de Segurança SQL .

   az login
   

2. Execute o comando a seguir, substituindo <myserver> pelo nome do servidor SQL e <myresource> pelo Recurso do Azure que contém o servidor SQL.

   az sql server ad-only-auth enable --resource-group <myresource> --name <myserver>
   

Habilitar na instância gerenciada do SQL usando a CLI do Azure

Para habilitar a autenticação apenas do Microsoft Entra na Instância Gerenciada SQL do Azure usando a CLI do Azure, consulte os comandos abaixo. Instale a versão mais recente da CLI do Azure.

1. Entre no Azure usando a conta com a função Gerenciador de Segurança SQL .

   az login
   

2. Execute o comando a seguir, substituindo <myserver> pelo nome do servidor SQL e <myresource> pelo Recurso do Azure que contém o servidor SQL.

   az sql mi ad-only-auth enable --resource-group <myresource> --name <myserver>
   

PowerShell

Habilitar no Banco de dados SQL usando o PowerShell

Para habilitar a autenticação somente Microsoft Entra-only no Banco de Dados SQL do Azure usando o PowerShell, consulte os comandos abaixo. Az.Sql 2.10.0 módulo ou superior é necessário para executar esses comandos. Para obter mais informações sobre esses comandos, consulte Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication.

Para obter mais informações sobre como gerenciar a autenticação somente do Microsoft Entra, consulte Gerenciando a autenticação somente do Microsoft Entra, usando APIs

Observação

O administrador do Microsoft Entra deve ser definido para o servidor antes de habilitar a autenticação somente do Microsoft Entra. Caso contrário, o comando PowerShell falhará.

Para obter as permissões e ações necessárias do usuário que executa esses comandos para habilitar a autenticação somente do Microsoft Entra, consulte o artigo Autenticação somente do Microsoft Entra . Se o usuário tiver permissões insuficientes, você receberá o seguinte erro:

Enable-AzSqlServerActiveDirectoryOnlyAuthentication : The client
'UserSqlServerContributor@contoso.onmicrosoft.com' with object id
'<guid>' does not have authorization to perform
action 'Microsoft.Sql/servers/azureADOnlyAuthentications/write' over scope
'/subscriptions/<guid>...'

1. Entre no Azure usando a conta com a função Gerenciador de Segurança SQL .

   Connect-AzAccount
   

2. Execute o comando a seguir, substituindo <myserver> pelo nome do servidor SQL e <myresource> pelo Recurso do Azure que contém o servidor SQL.

   Enable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName <myserver>  -ResourceGroupName <myresource>
   

Habilitar na instância gerenciada do SQL usando o PowerShell

Para habilitar a autenticação somente Microsoft Entra-only na Instância Gerenciada SQL do Azure usando o PowerShell, consulte os comandos abaixo. Az.Sql 2.10.0 módulo ou superior é necessário para executar esses comandos.

Para obter mais informações sobre como gerenciar a autenticação somente do Microsoft Entra, consulte Gerenciando a autenticação somente do Microsoft Entra, usando APIs.

1. Entre no Azure usando a conta com a função Gerenciador de Segurança SQL .

   Connect-AzAccount
   

2. Execute o seguinte comando, substituindo <myinstance> pelo nome da Instância Gerenciada do SQL e <myresource> pelo Recurso do Azure que contém a instância gerenciada do SQL.

   Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
   

Verificar o estado de autenticação apenas do Microsoft Entra:

Verifique se a autenticação apenas do Microsoft Entra está ativada para seu servidor ou instância.

Portais

Verificar o estado na Base de Dados SQL

Vá para o recurso do SQL Server no portal do Azure. Selecione Microsoft Entra ID no menu Configurações .

Verificar o status na instância gerenciada do SQL

Vá para o recurso de instância gerida SQL no portal Azure. Selecione Microsoft Entra admin no menu Configurações .

A Interface de Linha de Comandos do Azure

Esses comandos podem ser usados para verificar se a autenticação exclusivamente Microsoft Entra está ativada para o seu servidor lógico para o Banco de Dados SQL do Azure ou a Instância Gerenciada SQL. Os membros das funções de Colaborador do SQL Server e Colaborador da Instância Gerenciada do SQL podem usar esses comandos para verificar o status da autenticação somente do Microsoft Entra, mas não podem habilitar ou desabilitar o recurso.

Verificar o estado na Base de Dados SQL

1. Entre no Azure usando a conta com a função Gerenciador de Segurança SQL . Para obter mais informações sobre como gerenciar a autenticação somente do Microsoft Entra, consulte Gerenciando a autenticação somente do Microsoft Entra, usando APIs

   az login
   

2. Execute o comando a seguir, substituindo <myserver> pelo nome do servidor SQL e <myresource> pelo Recurso do Azure que contém o servidor SQL.

   az sql server ad-only-auth get --resource-group <myresource> --name <myserver>
   

3. Deverá ver o seguinte resultado:

   {
    "azureAdOnlyAuthentication": true,
    "/subscriptions/<guid>/resourceGroups/mygroup/providers/Microsoft.Sql/servers/myserver/azureADOnlyAuthentications/Default",
    "name": "Default",
    "resourceGroup": "myresource",
    "type": "Microsoft.Sql/servers"
   }
   

Verificar o status na instância gerenciada do SQL

1. Entre no Azure usando a conta com a função Gerenciador de Segurança SQL .

   az login
   

2. Execute o comando a seguir, substituindo <myserver> pelo nome do servidor SQL e <myresource> pelo Recurso do Azure que contém o servidor SQL.

   az sql mi ad-only-auth get --resource-group <myresource> --name <myserver>
   

3. Deverá ver o seguinte resultado:

   {
    "azureAdOnlyAuthentication": true,
    "id": "/subscriptions/<guid>/resourceGroups/myresource/providers/Microsoft.Sql/managedInstances/myinstance/azureADOnlyAuthentications/Default",
    "name": "Default",
    "resourceGroup": "myresource",
    "type": "Microsoft.Sql/managedInstances"
   }
   

PowerShell

Esses comandos podem ser usados para verificar se a autenticação exclusivamente Microsoft Entra está ativada para o seu servidor lógico para o Banco de Dados SQL do Azure ou a Instância Gerenciada SQL. Os membros das funções de Colaborador do SQL Server e Colaborador da Instância Gerenciada do SQL podem usar esses comandos para verificar o status da autenticação somente do Microsoft Entra, mas não podem habilitar ou desabilitar o recurso.

O status retornará True se o recurso estiver habilitado e False se desativado.

Verificar o estado na Base de Dados SQL

1. Entre no Azure usando a conta com a função Gerenciador de Segurança SQL . Para obter mais informações sobre como gerenciar a autenticação somente do Microsoft Entra, consulte Gerenciando a autenticação somente do Microsoft Entra, usando APIs

   Connect-AzAccount
   

2. Execute o comando a seguir, substituindo <myserver> pelo nome do servidor SQL e <myresource> pelo Recurso do Azure que contém o servidor SQL.

   Get-AzSqlServerActiveDirectoryOnlyAuthentication  -ServerName <myserver> -ResourceGroupName <myresource>
   

Verificar o status na instância gerenciada do SQL

1. Entre no Azure usando a conta com a função Gerenciador de Segurança SQL .

   Connect-AzAccount
   

2. Execute o seguinte comando, substituindo <myinstance> pelo nome da Instância Gerenciada do SQL e <myresource> pelo Recurso do Azure que contém a instância gerenciada do SQL.

   Get-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
   

Testar a autenticação SQL com falha de conexão

Depois de habilitar a autenticação somente do Microsoft Entra, teste com o SQL Server Management Studio (SSMS) para se conectar ao seu Banco de Dados SQL ou Instância Gerenciada SQL. Use a autenticação SQL para a conexão.

Você verá uma mensagem de falha de login semelhante à seguinte saída:

Cannot connect to <myserver>.database.windows.net.
Additional information:
  Login failed for user 'username'. Reason: Azure Active Directory only authentication is enabled.
  Please contact your system administrator. (Microsoft SQL Server, Error: 18456)

Desabilitar a autenticação somente do Microsoft Entra;

Ao desativar o recurso de autenticação somente Microsoft Entra, você permite a autenticação SQL e a autenticação Microsoft Entra para SQL do Azure.

Portais

Desabilitar no Banco de Dados SQL usando o portal do Azure

1. Usando o usuário com a função SQL Security Manager , vá para o portal do Azure.
2. Vá para o recurso do SQL Server e selecione Microsoft Entra ID no menu Configurações .
3. Para desativar o recurso de autenticação somente Microsoft Entra, desmarque a caixa de seleção Suporte somente à autenticação Microsoft Entra para este servidor e Salve a configuração.

Desabilitar na Instância Gerenciada SQL usando o portal do Azure

1. Usando o usuário com a função SQL Security Manager , vá para o portal do Azure.
2. Vá para o recurso de instância gerenciada SQL e selecione Administrador do Ative Directory no menu Configurações .
3. Para desativar o recurso de autenticação somente Microsoft Entra, desmarque a caixa de seleção Suporte somente à autenticação Microsoft Entra para esta instância gerenciada e Salve a configuração.

A Interface de Linha de Comandos do Azure

Desabilitar no Banco de Dados SQL usando a CLI do Azure

Para desativar a autenticação Microsoft Entra no Banco de Dados SQL do Azure usando a CLI do Azure, veja os comandos seguintes.

1. Entre no Azure usando a conta com a função Gerenciador de Segurança SQL .

   az login
   

2. Execute o comando a seguir, substituindo <myserver> pelo nome do servidor SQL e <myresource> pelo Recurso do Azure que contém o servidor SQL.

   az sql server ad-only-auth disable --resource-group <myresource> --name <myserver>
   

3. Depois de desativar a autenticação somente do Microsoft Entra, você verá a seguinte saída ao verificar o status:

   {
    "azureAdOnlyAuthentication": false,
    "/subscriptions/<guid>/resourceGroups/mygroup/providers/Microsoft.Sql/servers/myserver/azureADOnlyAuthentications/Default",
    "name": "Default",
    "resourceGroup": "myresource",
    "type": "Microsoft.Sql/servers"
   }
   

Desabilitar na Instância Gerenciada do SQL usando a CLI do Azure

Para desativar a autenticação exclusiva do Microsoft Entra na Instância Gerida SQL do Azure usando a CLI do Azure, consulte os comandos abaixo.

1. Entre no Azure usando a conta com a função Gerenciador de Segurança SQL .

   az login
   

2. Execute o comando a seguir, substituindo <myserver> pelo nome do servidor SQL e <myresource> pelo Recurso do Azure que contém o servidor SQL.

   az sql mi ad-only-auth disable --resource-group <myresource> --name <myserver>
   

3. Depois de desativar a autenticação somente do Microsoft Entra, você verá a seguinte saída ao verificar o status:

   {
    "azureAdOnlyAuthentication": false,
    "id": "/subscriptions/<guid>/resourceGroups/myresource/providers/Microsoft.Sql/managedInstances/myinstance/azureADOnlyAuthentications/Default",
    "name": "Default",
    "resourceGroup": "myresource",
    "type": "Microsoft.Sql/managedInstances"
   }
   

PowerShell

Desabilitar no Banco de dados SQL usando o PowerShell

Para desabilitar a autenticação somente do Microsoft Entra, no Banco de Dados SQL do Azure usando o PowerShell, consulte os comandos abaixo.

1. Entre no Azure usando a conta com a função Gerenciador de Segurança SQL .

   Connect-AzAccount
   

2. Execute o comando a seguir, substituindo <myserver> pelo nome do servidor SQL e <myresource> pelo Recurso do Azure que contém o servidor SQL.

   Disable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName <myserver>  -ResourceGroupName <myresource>
   

Desabilitar na instância gerenciada do SQL usando o PowerShell

Para desabilitar a autenticação somente Microsoft Entra, na Instância Gerenciada SQL do Azure usando o PowerShell, consulte os comandos abaixo.

1. Entre no Azure usando a conta com a função Gerenciador de Segurança SQL .

   Connect-AzAccount
   

2. Execute o comando a seguir, substituindo <myinstance> pelo nome da Instância Gerenciada do SQL e <myresource> pelo Recurso do Azure que contém a instância gerenciada.

   Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
   

Testar a conexão com o Azure SQL novamente

Depois de desativar a autenticação somente Microsoft Entra, teste a conexão usando um logon de autenticação SQL. Agora você deve ser capaz de se conectar ao seu servidor ou instância.

Conteúdo relacionado

• Autenticação apenas Microsoft Entra com o Azure SQL
• Criar servidor com a autenticação somente Microsoft Entra, habilitada no SQL do Azure
• Usando a Azure Policy para impor autenticação somente Microsoft Entra com o Azure SQL