Atribuir função para habilitar a autenticação somente Microsoft Entra;
Para habilitar ou desabilitar a autenticação somente do Microsoft Entra, as funções internas selecionadas são necessárias para os usuários do Microsoft Entra que executam essas operações neste tutorial. Vamos atribuir a função SQL Security Manager ao usuário neste tutorial.
Para obter mais informações sobre a permissão necessária para habilitar ou desabilitar a autenticação somente Microsoft Entra, consulte a seção Permissões do artigo Autenticação somente Microsoft Entra.
Em nosso exemplo, atribuiremos a função SQL Security Manager ao usuário UserSqlSecurityManager@contoso.onmicrosoft.com. Usando o usuário privilegiado que pode atribuir funções do Microsoft Entra, entre no portal do Azure.
Vá para o recurso do SQL Server e selecione Controle de acesso (IAM) no menu. Selecione o botão Adicionar e, em seguida, Adicionar atribuição de função no menu suspenso.
No painel Adicionar atribuição de função, selecione o Gerenciador de Segurança SQL de Função e selecione o usuário que você deseja ter a capacidade de habilitar ou desabilitar a autenticação somente do Microsoft Entra.
Vá para o recurso de instância gerenciada SQL e selecione Microsoft Entra admin no menu Configurações .
Se você não adicionou um administrador do Microsoft Entra, precisará defini-lo antes de habilitar a autenticação somente do Microsoft Entra.
Marque a caixa de seleção Suportar somente a autenticação do Microsoft Entra para esta instância gerenciada.
O pop-up Ativar autenticação somente Microsoft Entra-only será exibido. Selecione Sim para ativar o recurso e Salvar a configuração.
Habilitar no Banco de Dados SQL usando a CLI do Azure
Para habilitar a autenticação somente Microsoft Entra-only no Banco de Dados SQL do Azure usando a CLI do Azure, consulte os comandos abaixo. Instale a versão mais recente da CLI do Azure. Você deve ter a CLI do Azure versão 2.14.2 ou superior. Para obter mais informações sobre esses comandos, consulte az sql server ad-only-auth.
Para obter mais informações sobre como gerenciar a autenticação somente do Microsoft Entra, consulte Gerenciando a autenticação somente do Microsoft Entra, usando APIs.
Nota
O administrador do Microsoft Entra deve ser definido para o servidor antes de habilitar a autenticação somente do Microsoft Entra. Caso contrário, o comando da CLI do Azure falhará.
Para obter as permissões e ações necessárias do usuário que executa esses comandos para habilitar a autenticação somente do Microsoft Entra, consulte o artigo Autenticação somente do Microsoft Entra.
Execute o comando a seguir, substituindo <myserver> pelo nome do servidor SQL e <myresource> pelo Recurso do Azure que contém o servidor SQL.
az sql server ad-only-auth enable --resource-group <myresource> --name <myserver>
Habilitar na instância gerenciada do SQL usando a CLI do Azure
Para habilitar a autenticação somente Microsoft Entra-only na Instância Gerenciada SQL do Azure usando a CLI do Azure, consulte os comandos abaixo. Instale a versão mais recente da CLI do Azure.
Execute o comando a seguir, substituindo <myserver> pelo nome do servidor SQL e <myresource> pelo Recurso do Azure que contém o servidor SQL.
az sql mi ad-only-auth enable --resource-group <myresource> --name <myserver>
Habilitar no Banco de dados SQL usando o PowerShell
Para habilitar a autenticação somente Microsoft Entra-only no Banco de Dados SQL do Azure usando o PowerShell, consulte os comandos abaixo. Az.Sql 2.10.0 módulo ou superior é necessário para executar esses comandos. Para obter mais informações sobre esses comandos, consulte Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication.
Para obter mais informações sobre como gerenciar a autenticação somente do Microsoft Entra, consulte Gerenciando a autenticação somente do Microsoft Entra, usando APIs
Nota
O administrador do Microsoft Entra deve ser definido para o servidor antes de habilitar a autenticação somente do Microsoft Entra. Caso contrário, o comando PowerShell falhará.
Para obter as permissões e ações necessárias do usuário que executa esses comandos para habilitar a autenticação somente do Microsoft Entra, consulte o artigo Autenticação somente do Microsoft Entra. Se o usuário tiver permissões insuficientes, você receberá o seguinte erro:
Enable-AzSqlServerActiveDirectoryOnlyAuthentication : The client
'UserSqlServerContributor@contoso.onmicrosoft.com' with object id
'<guid>' does not have authorization to perform
action 'Microsoft.Sql/servers/azureADOnlyAuthentications/write' over scope
'/subscriptions/<guid>...'
Habilitar na instância gerenciada do SQL usando o PowerShell
Para habilitar a autenticação somente Microsoft Entra-only na Instância Gerenciada SQL do Azure usando o PowerShell, consulte os comandos abaixo. Az.Sql 2.10.0 módulo ou superior é necessário para executar esses comandos.
Para obter mais informações sobre como gerenciar a autenticação somente do Microsoft Entra, consulte Gerenciando a autenticação somente do Microsoft Entra, usando APIs.
Execute o seguinte comando, substituindo <myinstance> pelo nome da Instância Gerenciada do SQL e <myresource> pelo Recurso do Azure que contém a instância gerenciada do SQL.
Vá para o recurso do SQL Server no portal do Azure. Selecione Microsoft Entra ID no menu Configurações .
Verificar o status na instância gerenciada do SQL
Vá para seu recurso de instância gerenciada SQL no portal do Azure. Selecione Microsoft Entra admin no menu Configurações .
Esses comandos podem ser usados para verificar se a autenticação somente Microsoft Entra-Entra, está habilitada para seu servidor lógico para o Banco de Dados SQL do Azure ou a Instância Gerenciada SQL. Os membros das funções de Colaborador do SQL Server e Colaborador da Instância Gerenciada do SQL podem usar esses comandos para verificar o status da autenticação somente do Microsoft Entra, mas não podem habilitar ou desabilitar o recurso.
Verificar o estado na Base de Dados SQL
Entre no Azure usando a conta com a função Gerenciador de Segurança SQL. Para obter mais informações sobre como gerenciar a autenticação somente do Microsoft Entra, consulte Gerenciando a autenticação somente do Microsoft Entra, usando APIs
az login
Execute o comando a seguir, substituindo <myserver> pelo nome do servidor SQL e <myresource> pelo Recurso do Azure que contém o servidor SQL.
az sql server ad-only-auth get --resource-group <myresource> --name <myserver>
Esses comandos podem ser usados para verificar se a autenticação somente Microsoft Entra-Entra, está habilitada para seu servidor lógico para o Banco de Dados SQL do Azure ou a Instância Gerenciada SQL. Os membros das funções de Colaborador do SQL Server e Colaborador da Instância Gerenciada do SQL podem usar esses comandos para verificar o status da autenticação somente do Microsoft Entra, mas não podem habilitar ou desabilitar o recurso.
O status retornará True se o recurso estiver habilitado e False se desativado.
Verificar o estado na Base de Dados SQL
Entre no Azure usando a conta com a função Gerenciador de Segurança SQL. Para obter mais informações sobre como gerenciar a autenticação somente do Microsoft Entra, consulte Gerenciando a autenticação somente do Microsoft Entra, usando APIs
Connect-AzAccount
Execute o comando a seguir, substituindo <myserver> pelo nome do servidor SQL e <myresource> pelo Recurso do Azure que contém o servidor SQL.
Execute o seguinte comando, substituindo <myinstance> pelo nome da Instância Gerenciada do SQL e <myresource> pelo Recurso do Azure que contém a instância gerenciada do SQL.
Você verá uma mensagem de falha de login semelhante à seguinte saída:
Cannot connect to <myserver>.database.windows.net.
Additional information:
Login failed for user 'username'. Reason: Azure Active Directory only authentication is enabled.
Please contact your system administrator. (Microsoft SQL Server, Error: 18456)
Desabilitar a autenticação somente do Microsoft Entra;
Ao desativar o recurso de autenticação somente Microsoft Entra, você permite a autenticação SQL e a autenticação Microsoft Entra para SQL do Azure.
Vá para o recurso do SQL Server e selecione Microsoft Entra ID no menu Configurações .
Para desativar o recurso de autenticação somente Microsoft Entra, desmarque a caixa de seleção Suporte somente à autenticação Microsoft Entra para este servidor e Salve a configuração.
Desabilitar na Instância Gerenciada SQL usando o portal do Azure
Vá para o recurso de instância gerenciada SQL e selecione Administrador do Ative Directory no menu Configurações .
Para desativar o recurso de autenticação somente Microsoft Entra, desmarque a caixa de seleção Suporte somente à autenticação Microsoft Entra para esta instância gerenciada e Salve a configuração.
Desabilitar no Banco de Dados SQL usando a CLI do Azure
Para desabilitar a autenticação somente Microsoft Entra-only no Banco de Dados SQL do Azure usando a CLI do Azure, consulte os comandos abaixo.
Execute o comando a seguir, substituindo <myinstance> pelo nome da Instância Gerenciada do SQL e <myresource> pelo Recurso do Azure que contém a instância gerenciada.
Depois de desativar a autenticação somente Microsoft Entra, teste a conexão usando um logon de autenticação SQL. Agora você deve ser capaz de se conectar ao seu servidor ou instância.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Banco de Dados SQL do Azure Instância Gerenciada SQL
