Tutorial: Habilitar a autenticação somente Microsoft Entra-only com o Azure SQL

Aplica-se a:Banco de Dados SQL do Azure Instância Gerenciada SQLdo Azure

Este artigo orienta você na habilitação do recurso de autenticação somente Microsoft Entra, no Banco de Dados SQL do Azure e na Instância Gerenciada SQL do Azure. Se você estiver procurando provisionar um Banco de Dados SQL ou uma Instância Gerenciada SQL com a autenticação somente Microsoft Entra-habilitada, consulte Criar servidor com autenticação somente Microsoft Entra-somente habilitada no Azure SQL.

Nota

Microsoft Entra ID é o novo nome para o Azure Ative Directory (Azure AD). Estamos atualizando a documentação neste momento.

Neste tutorial, irá aprender a:

• Atribuir função para habilitar a autenticação somente Microsoft Entra;
• Habilitar a autenticação somente do Microsoft Entra, usando o portal do Azure, a CLI do Azure ou o PowerShell
• Verifique se a autenticação somente Microsoft Entra-está habilitada
• Testar a conexão com o Azure SQL
• Desabilitar a autenticação somente do Microsoft Entra, usando o portal do Azure, a CLI do Azure ou o PowerShell

Pré-requisitos

• Um locatário do Microsoft Entra. Para obter mais informações, veja Configurar e gerir a autenticação do Microsoft Entra com o SQL do Azure.
• Um Banco de Dados SQL ou Instância Gerenciada SQL com um banco de dados e logons ou usuários. Consulte Guia de início rápido: criar um banco de dados único do Banco de Dados SQL do Azure se você ainda não tiver criado um Banco de Dados SQL do Azure ou Guia de início rápido: criar uma instância gerenciada do SQL do Azure.

Atribuir função para habilitar a autenticação somente Microsoft Entra;

Para habilitar ou desabilitar a autenticação somente do Microsoft Entra, as funções internas selecionadas são necessárias para os usuários do Microsoft Entra que executam essas operações neste tutorial. Vamos atribuir a função SQL Security Manager ao usuário neste tutorial.

Para obter mais informações sobre como atribuir uma função a uma conta do Microsoft Entra, consulte Atribuir funções de administrador e não administrador a usuários com a ID do Microsoft Entra

Para obter mais informações sobre a permissão necessária para habilitar ou desabilitar a autenticação somente Microsoft Entra, consulte a seção Permissões do artigo Autenticação somente Microsoft Entra.

1. Em nosso exemplo, atribuiremos a função SQL Security Manager ao usuário UserSqlSecurityManager@contoso.onmicrosoft.com. Usando o usuário privilegiado que pode atribuir funções do Microsoft Entra, entre no portal do Azure.

2. Vá para o recurso do SQL Server e selecione Controle de acesso (IAM) no menu. Selecione o botão Adicionar e, em seguida, Adicionar atribuição de função no menu suspenso.

   

3. No painel Adicionar atribuição de função, selecione o Gerenciador de Segurança SQL de Função e selecione o usuário que você deseja ter a capacidade de habilitar ou desabilitar a autenticação somente do Microsoft Entra.

   

4. Clique em Guardar.

Habilitar a autenticação somente Microsoft Entra:

Portal

Habilitar no Banco de Dados SQL usando o portal do Azure

Para habilitar a autenticação somente Microsoft Entra-no portal do Azure, siga estas etapas:

1. Usando o usuário com a função SQL Security Manager, vá para o portal do Azure.

2. Vá para o recurso do SQL Server e selecione Microsoft Entra ID no menu Configurações .

   

3. Se você não adicionou um administrador do Microsoft Entra, precisará defini-lo antes de habilitar a autenticação somente do Microsoft Entra.

4. Marque a caixa para Suporte somente autenticação Microsoft Entra para este servidor.

5. O pop-up Ativar autenticação somente Microsoft Entra-only será exibido. Selecione Sim para ativar o recurso e Salvar a configuração.

Habilitar na Instância Gerenciada SQL usando o portal do Azure

Para habilitar a autenticação somente do Microsoft Entra, no portal do Azure, consulte as etapas abaixo.

1. Usando o usuário com a função SQL Security Manager, vá para o portal do Azure.

2. Vá para o recurso de instância gerenciada SQL e selecione Microsoft Entra admin no menu Configurações .

3. Se você não adicionou um administrador do Microsoft Entra, precisará defini-lo antes de habilitar a autenticação somente do Microsoft Entra.

4. Marque a caixa de seleção Suportar somente a autenticação do Microsoft Entra para esta instância gerenciada.

5. O pop-up Ativar autenticação somente Microsoft Entra-only será exibido. Selecione Sim para ativar o recurso e Salvar a configuração.

A CLI do Azure

Habilitar no Banco de Dados SQL usando a CLI do Azure

Para habilitar a autenticação somente Microsoft Entra-only no Banco de Dados SQL do Azure usando a CLI do Azure, consulte os comandos abaixo. Instale a versão mais recente da CLI do Azure. Você deve ter a CLI do Azure versão 2.14.2 ou superior. Para obter mais informações sobre esses comandos, consulte az sql server ad-only-auth.

Para obter mais informações sobre como gerenciar a autenticação somente do Microsoft Entra, consulte Gerenciando a autenticação somente do Microsoft Entra, usando APIs.

Nota

O administrador do Microsoft Entra deve ser definido para o servidor antes de habilitar a autenticação somente do Microsoft Entra. Caso contrário, o comando da CLI do Azure falhará.

Para obter as permissões e ações necessárias do usuário que executa esses comandos para habilitar a autenticação somente do Microsoft Entra, consulte o artigo Autenticação somente do Microsoft Entra.

1. Entre no Azure usando a conta com a função Gerenciador de Segurança SQL.

   az login
   

2. Execute o comando a seguir, substituindo <myserver> pelo nome do servidor SQL e <myresource> pelo Recurso do Azure que contém o servidor SQL.

   az sql server ad-only-auth enable --resource-group <myresource> --name <myserver>
   

Habilitar na instância gerenciada do SQL usando a CLI do Azure

Para habilitar a autenticação somente Microsoft Entra-only na Instância Gerenciada SQL do Azure usando a CLI do Azure, consulte os comandos abaixo. Instale a versão mais recente da CLI do Azure.

1. Entre no Azure usando a conta com a função Gerenciador de Segurança SQL.

   az login
   

2. Execute o comando a seguir, substituindo <myserver> pelo nome do servidor SQL e <myresource> pelo Recurso do Azure que contém o servidor SQL.

   az sql mi ad-only-auth enable --resource-group <myresource> --name <myserver>
   

PowerShell

Habilitar no Banco de dados SQL usando o PowerShell

Para habilitar a autenticação somente Microsoft Entra-only no Banco de Dados SQL do Azure usando o PowerShell, consulte os comandos abaixo. Az.Sql 2.10.0 módulo ou superior é necessário para executar esses comandos. Para obter mais informações sobre esses comandos, consulte Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication.

Para obter mais informações sobre como gerenciar a autenticação somente do Microsoft Entra, consulte Gerenciando a autenticação somente do Microsoft Entra, usando APIs

Nota

O administrador do Microsoft Entra deve ser definido para o servidor antes de habilitar a autenticação somente do Microsoft Entra. Caso contrário, o comando PowerShell falhará.

Para obter as permissões e ações necessárias do usuário que executa esses comandos para habilitar a autenticação somente do Microsoft Entra, consulte o artigo Autenticação somente do Microsoft Entra. Se o usuário tiver permissões insuficientes, você receberá o seguinte erro:

Enable-AzSqlServerActiveDirectoryOnlyAuthentication : The client
'UserSqlServerContributor@contoso.onmicrosoft.com' with object id
'<guid>' does not have authorization to perform
action 'Microsoft.Sql/servers/azureADOnlyAuthentications/write' over scope
'/subscriptions/<guid>...'

1. Entre no Azure usando a conta com a função Gerenciador de Segurança SQL.

   Connect-AzAccount
   

2. Execute o comando a seguir, substituindo <myserver> pelo nome do servidor SQL e <myresource> pelo Recurso do Azure que contém o servidor SQL.

   Enable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName <myserver>  -ResourceGroupName <myresource>
   

Habilitar na instância gerenciada do SQL usando o PowerShell

Para habilitar a autenticação somente Microsoft Entra-only na Instância Gerenciada SQL do Azure usando o PowerShell, consulte os comandos abaixo. Az.Sql 2.10.0 módulo ou superior é necessário para executar esses comandos.

Para obter mais informações sobre como gerenciar a autenticação somente do Microsoft Entra, consulte Gerenciando a autenticação somente do Microsoft Entra, usando APIs.

1. Entre no Azure usando a conta com a função Gerenciador de Segurança SQL.

   Connect-AzAccount
   

2. Execute o seguinte comando, substituindo <myinstance> pelo nome da Instância Gerenciada do SQL e <myresource> pelo Recurso do Azure que contém a instância gerenciada do SQL.

   Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
   

Verificar o estado de autenticação apenas do Microsoft Entra:

Verifique se a autenticação somente Microsoft Entra, está habilitada para seu servidor ou instância.

Portal

Verificar o estado na Base de Dados SQL

Vá para o recurso do SQL Server no portal do Azure. Selecione Microsoft Entra ID no menu Configurações .

Verificar o status na instância gerenciada do SQL

Vá para seu recurso de instância gerenciada SQL no portal do Azure. Selecione Microsoft Entra admin no menu Configurações .

A CLI do Azure

Esses comandos podem ser usados para verificar se a autenticação somente Microsoft Entra-Entra, está habilitada para seu servidor lógico para o Banco de Dados SQL do Azure ou a Instância Gerenciada SQL. Os membros das funções de Colaborador do SQL Server e Colaborador da Instância Gerenciada do SQL podem usar esses comandos para verificar o status da autenticação somente do Microsoft Entra, mas não podem habilitar ou desabilitar o recurso.

Verificar o estado na Base de Dados SQL

1. Entre no Azure usando a conta com a função Gerenciador de Segurança SQL. Para obter mais informações sobre como gerenciar a autenticação somente do Microsoft Entra, consulte Gerenciando a autenticação somente do Microsoft Entra, usando APIs

   az login
   

2. Execute o comando a seguir, substituindo <myserver> pelo nome do servidor SQL e <myresource> pelo Recurso do Azure que contém o servidor SQL.

   az sql server ad-only-auth get --resource-group <myresource> --name <myserver>
   

3. Deverá ver o seguinte resultado:

   {
    "azureAdOnlyAuthentication": true,
    "/subscriptions/<guid>/resourceGroups/mygroup/providers/Microsoft.Sql/servers/myserver/azureADOnlyAuthentications/Default",
    "name": "Default",
    "resourceGroup": "myresource",
    "type": "Microsoft.Sql/servers"
   }
   

Verificar o status na instância gerenciada do SQL

1. Entre no Azure usando a conta com a função Gerenciador de Segurança SQL.

   az login
   

2. Execute o comando a seguir, substituindo <myserver> pelo nome do servidor SQL e <myresource> pelo Recurso do Azure que contém o servidor SQL.

   az sql mi ad-only-auth get --resource-group <myresource> --name <myserver>
   

3. Deverá ver o seguinte resultado:

   {
    "azureAdOnlyAuthentication": true,
    "id": "/subscriptions/<guid>/resourceGroups/myresource/providers/Microsoft.Sql/managedInstances/myinstance/azureADOnlyAuthentications/Default",
    "name": "Default",
    "resourceGroup": "myresource",
    "type": "Microsoft.Sql/managedInstances"
   }
   

PowerShell

Esses comandos podem ser usados para verificar se a autenticação somente Microsoft Entra-Entra, está habilitada para seu servidor lógico para o Banco de Dados SQL do Azure ou a Instância Gerenciada SQL. Os membros das funções de Colaborador do SQL Server e Colaborador da Instância Gerenciada do SQL podem usar esses comandos para verificar o status da autenticação somente do Microsoft Entra, mas não podem habilitar ou desabilitar o recurso.

O status retornará True se o recurso estiver habilitado e False se desativado.

Verificar o estado na Base de Dados SQL

1. Entre no Azure usando a conta com a função Gerenciador de Segurança SQL. Para obter mais informações sobre como gerenciar a autenticação somente do Microsoft Entra, consulte Gerenciando a autenticação somente do Microsoft Entra, usando APIs

   Connect-AzAccount
   

2. Execute o comando a seguir, substituindo <myserver> pelo nome do servidor SQL e <myresource> pelo Recurso do Azure que contém o servidor SQL.

   Get-AzSqlServerActiveDirectoryOnlyAuthentication  -ServerName <myserver> -ResourceGroupName <myresource>
   

Verificar o status na instância gerenciada do SQL

1. Entre no Azure usando a conta com a função Gerenciador de Segurança SQL.

   Connect-AzAccount
   

2. Execute o seguinte comando, substituindo <myinstance> pelo nome da Instância Gerenciada do SQL e <myresource> pelo Recurso do Azure que contém a instância gerenciada do SQL.

   Get-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
   

Testar a autenticação SQL com falha de conexão

Depois de habilitar a autenticação somente do Microsoft Entra, teste com o SQL Server Management Studio (SSMS) para se conectar ao seu Banco de Dados SQL ou Instância Gerenciada SQL. Use a autenticação SQL para a conexão.

Você verá uma mensagem de falha de login semelhante à seguinte saída:

Cannot connect to <myserver>.database.windows.net.
Additional information:
  Login failed for user 'username'. Reason: Azure Active Directory only authentication is enabled.
  Please contact your system administrator. (Microsoft SQL Server, Error: 18456)

Desabilitar a autenticação somente do Microsoft Entra;

Ao desativar o recurso de autenticação somente Microsoft Entra, você permite a autenticação SQL e a autenticação Microsoft Entra para SQL do Azure.

Portal

Desabilitar no Banco de Dados SQL usando o portal do Azure

1. Usando o usuário com a função SQL Security Manager, vá para o portal do Azure.
2. Vá para o recurso do SQL Server e selecione Microsoft Entra ID no menu Configurações .
3. Para desativar o recurso de autenticação somente Microsoft Entra, desmarque a caixa de seleção Suporte somente à autenticação Microsoft Entra para este servidor e Salve a configuração.

Desabilitar na Instância Gerenciada SQL usando o portal do Azure

1. Usando o usuário com a função SQL Security Manager, vá para o portal do Azure.
2. Vá para o recurso de instância gerenciada SQL e selecione Administrador do Ative Directory no menu Configurações .
3. Para desativar o recurso de autenticação somente Microsoft Entra, desmarque a caixa de seleção Suporte somente à autenticação Microsoft Entra para esta instância gerenciada e Salve a configuração.

A CLI do Azure

Desabilitar no Banco de Dados SQL usando a CLI do Azure

Para desabilitar a autenticação somente Microsoft Entra-only no Banco de Dados SQL do Azure usando a CLI do Azure, consulte os comandos abaixo.

1. Entre no Azure usando a conta com a função Gerenciador de Segurança SQL.

   az login
   

2. Execute o comando a seguir, substituindo <myserver> pelo nome do servidor SQL e <myresource> pelo Recurso do Azure que contém o servidor SQL.

   az sql server ad-only-auth disable --resource-group <myresource> --name <myserver>
   

3. Depois de desativar a autenticação somente do Microsoft Entra, você verá a seguinte saída ao verificar o status:

   {
    "azureAdOnlyAuthentication": false,
    "/subscriptions/<guid>/resourceGroups/mygroup/providers/Microsoft.Sql/servers/myserver/azureADOnlyAuthentications/Default",
    "name": "Default",
    "resourceGroup": "myresource",
    "type": "Microsoft.Sql/servers"
   }
   

Desabilitar na Instância Gerenciada do SQL usando a CLI do Azure

Para desabilitar a autenticação somente Microsoft Entra-only na Instância Gerenciada SQL do Azure usando a CLI do Azure, consulte os comandos abaixo.

1. Entre no Azure usando a conta com a função Gerenciador de Segurança SQL.

   az login
   

2. Execute o comando a seguir, substituindo <myserver> pelo nome do servidor SQL e <myresource> pelo Recurso do Azure que contém o servidor SQL.

   az sql mi ad-only-auth disable --resource-group <myresource> --name <myserver>
   

3. Depois de desativar a autenticação somente do Microsoft Entra, você verá a seguinte saída ao verificar o status:

   {
    "azureAdOnlyAuthentication": false,
    "id": "/subscriptions/<guid>/resourceGroups/myresource/providers/Microsoft.Sql/managedInstances/myinstance/azureADOnlyAuthentications/Default",
    "name": "Default",
    "resourceGroup": "myresource",
    "type": "Microsoft.Sql/managedInstances"
   }
   

PowerShell

Desabilitar no Banco de dados SQL usando o PowerShell

Para desabilitar a autenticação somente do Microsoft Entra, no Banco de Dados SQL do Azure usando o PowerShell, consulte os comandos abaixo.

1. Entre no Azure usando a conta com a função Gerenciador de Segurança SQL.

   Connect-AzAccount
   

2. Execute o comando a seguir, substituindo <myserver> pelo nome do servidor SQL e <myresource> pelo Recurso do Azure que contém o servidor SQL.

   Disable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName <myserver>  -ResourceGroupName <myresource>
   

Desabilitar na instância gerenciada do SQL usando o PowerShell

Para desabilitar a autenticação somente Microsoft Entra, na Instância Gerenciada SQL do Azure usando o PowerShell, consulte os comandos abaixo.

1. Entre no Azure usando a conta com a função Gerenciador de Segurança SQL.

   Connect-AzAccount
   

2. Execute o comando a seguir, substituindo <myinstance> pelo nome da Instância Gerenciada do SQL e <myresource> pelo Recurso do Azure que contém a instância gerenciada.

   Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
   

Testar a conexão com o Azure SQL novamente

Depois de desativar a autenticação somente Microsoft Entra, teste a conexão usando um logon de autenticação SQL. Agora você deve ser capaz de se conectar ao seu servidor ou instância.

Próximos passos

• Autenticação apenas no Microsoft Entra com o SQL do Azure
• Criar servidor com a autenticação somente Microsoft Entra, habilitada no SQL do Azure
• Usando a Política do Azure para impor a autenticação somente Microsoft Entra-only com o Azure SQL