Создание гостевых пользователей Microsoft Entra и настройка их в качестве администратора Microsoft Entra

Применимо к:База данных SQL Azure Управляемый экземпляр SQL Azure

Гостевые пользователи с совместной работой Microsoft Entra B2B — это пользователи, имеющие учетные записи во внешней организации Microsoft Entra или внешний поставщик удостоверений (например, Outlook, Почта Windows Live или Gmail), которые не управляются в клиенте Microsoft Entra. Учетные записи гостевых пользователей создаются, когда эти лица приглашены для совместной работы в клиенте, а также выполняют проверку подлинности с помощью поставщика удостоверений.

В этой статье показано, как создать гостевого пользователя Microsoft Entra и задать его в качестве администратора Microsoft Entra для Управляемый экземпляр SQL Azure или логического сервера в Azure, используемого База данных SQL Azure и Azure Synapse Analytics.

Примечание.

Идентификатор Microsoft Entra ранее был известен как Azure Active Directory (Azure AD).

Описание функции

База данных SQL Azure, Управляемый экземпляр SQL и Azure Synapse Analytics поддерживают создание субъектов из гостевых учетных записей пользователей напрямую или как членов групп Microsoft Entra в клиенте. Гостевые пользователи также могут быть заданы как администратор Microsoft Entra для логического сервера или управляемого экземпляра.

Необходимые компоненты

• Модуль Az.Sql 2.9.0 или более поздней версии необходим при использовании PowerShell для установки гостевого пользователя в качестве администратора Microsoft Entra для логического сервера или управляемого экземпляра.

Создание пользователя базы данных для гостевого пользователя Microsoft Entra

Выполните следующие действия, чтобы создать пользователя базы данных с помощью гостевого пользователя Microsoft Entra. В этом разделе замените <guest_user> допустимый адрес электронной почты, например guest_user@example.com.

Создание гостевого пользователя в Базе данных SQL и Azure Synapse

1. Убедитесь, что гостевой пользователь уже добавлен в идентификатор Microsoft Entra, а администратор Microsoft Entra установлен для сервера базы данных. Наличие администратора Microsoft Entra требуется для проверки подлинности Microsoft Entra.

2. Подключение в базу данных SQL в качестве администратора Microsoft Entra или пользователя Microsoft Entra с достаточными разрешениями SQL для создания пользователей и выполните следующую команду в базе данных, в которой необходимо добавить гостевого пользователя:

   CREATE USER [<guest_user>] FROM EXTERNAL PROVIDER;
   

3. Теперь для гостевого пользователя должен быть создан пользователь базы данных.

4. Выполните следующую команду, чтобы убедиться, что пользователь базы данных успешно создан:

   SELECT * FROM sys.database_principals;
   

5. Отключите и войдите в базу данных в качестве гостевого пользователя с помощью SQL Server Management Studio (SSMS) с помощью метода проверки подлинности Azure Active Directory — universal with MFA. Дополнительные сведения см. в разделе "Использование многофакторной проверки подлинности Microsoft Entra".

Создание гостевого пользователя в Управляемом экземпляре SQL

Примечание.

Управляемый экземпляр SQL поддерживает имена входа для пользователей Microsoft Entra, а также идентификатор microsoft Entra, содержащий пользователей базы данных. Ниже показано, как создать имя входа и пользователя для гостевого пользователя Microsoft Entra в Управляемый экземпляр SQL. Вы также можете создать пользователя автономной базы данных в Управляемом экземпляре SQL с помощью метода в разделе Создание гостевого пользователя в Базе данных SQL и Azure Synapse.

1. Убедитесь, что гостевой пользователь уже добавлен в клиент Microsoft Entra, а администратор Microsoft Entra установлен для Управляемый экземпляр SQL. Наличие администратора Microsoft Entra требуется для проверки подлинности Microsoft Entra.

2. Подключение в Управляемый экземпляр SQL в качестве администратора Microsoft Entra или пользователя Microsoft Entra с достаточными разрешениями SQL для создания пользователей и выполните следующую команду master в базе данных, чтобы создать имя входа для гостевого пользователя:

   CREATE LOGIN [<guest_user>] FROM EXTERNAL PROVIDER;
   

3. Теперь в базе данных должно быть создано имя входа для гостевого master пользователя.

4. Выполните следующую команду, чтобы убедиться, что имя входа успешно создано:

   SELECT * FROM sys.server_principals;
   

5. Выполните следующую команду в базе данных, где необходимо добавить гостевого пользователя:

   CREATE USER [<guest_user>] FROM LOGIN [<guest_user>];
   

6. Теперь для гостевого пользователя должен быть создан пользователь базы данных.

7. Отключите и войдите в базу данных в качестве гостевого пользователя с помощью SQL Server Management Studio (SSMS) с помощью метода проверки подлинности Azure Active Directory — universal with MFA. Дополнительные сведения см. в разделе "Использование многофакторной проверки подлинности Microsoft Entra".

Установка гостевого пользователя в качестве администратора Microsoft Entra

Задайте администратора Microsoft Entra с помощью портал Azure, Azure PowerShell или Azure CLI. В этом разделе замените <guest_user> допустимый адрес электронной почты, например guest_user@example.com.

Примечание.

Если вы хотите, чтобы гостевые пользователи могли создавать другие имена входа Или пользователи Microsoft Entra, у них должны быть разрешения на чтение других удостоверений в каталоге Microsoft Entra. Это разрешение настраивается на уровне каталога. Дополнительные сведения см. в разделе "Разрешения гостевого доступа" в идентификаторе Microsoft Entra.

Портал Azure

Чтобы настроить администратора Microsoft Entra для логического сервера или управляемого экземпляра с помощью портал Azure, выполните следующие действия.

1. Откройте портал Azure.
2. Перейдите на страницу microsoft Entra сервера SQL Server или ресурса управляемого экземпляра в Параметры.
3. Выберите "Задать администратора", чтобы открыть область идентификатора Microsoft Entra.
4. В области идентификатора Microsoft Entra введите имя учетной записи гостевого пользователя.
5. Выберите этого нового пользователя и сохраните результаты.

Дополнительные сведения см. в разделе "Настройка администратора Microsoft Entra".

Azure PowerShell (База данных SQL и Azure Synapse)

Чтобы настроить гостевого пользователя Microsoft Entra для логического сервера, выполните следующие действия.

1. Убедитесь, что гостевой пользователь уже добавлен в клиент Microsoft Entra.

2. Выполните следующую команду PowerShell, чтобы добавить гостевого пользователя в качестве администратора Microsoft Entra для логического сервера:

   • Замените <ResourceGroupName> именем группы ресурсов Azure, содержащей логический сервер.
   • Замените <ServerName> именем логического сервера. Если имя сервера myserver.database.windows.net, замените <Server Name> на myserver.
   • Замените <DisplayNameOfGuestUser> именем гостевого пользователя.

   Set-AzSqlServerActiveDirectoryAdministrator -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DisplayName <DisplayNameOfGuestUser>
   

Вы также можете использовать команду Azure CLI az sql server ad-admin , чтобы задать гостевого пользователя в качестве администратора Microsoft Entra для логического сервера.

Azure PowerShell (Управляемый экземпляр SQL)

Чтобы настроить гостевого пользователя Microsoft Entra для управляемого экземпляра, выполните следующие действия.

1. Убедитесь, что гостевой пользователь уже добавлен в клиент Microsoft Entra.

2. Перейдите к портал Azure и перейдите к ресурсу идентификатора Microsoft Entra. В разделе Управление перейдите к панели Пользователи. Выберите гостевого пользователя и запишите Object ID.

3. Выполните следующую команду PowerShell, чтобы добавить гостевого пользователя в качестве администратора Microsoft Entra для Управляемый экземпляр SQL:

   • Замените <ResourceGroupName> именем группы ресурсов Azure, содержащей Управляемый экземпляр SQL.
   • Замените <ManagedInstanceName> именем Управляемого экземпляра SQL.
   • Замените <DisplayNameOfGuestUser> именем гостевого пользователя.
   • Замените <AADObjectIDOfGuestUser> полученным ранее Object ID.

   Set-AzSqlInstanceActiveDirectoryAdministrator -ResourceGroupName <ResourceGroupName> -InstanceName "<ManagedInstanceName>" -DisplayName <DisplayNameOfGuestUser> -ObjectId <AADObjectIDOfGuestUser>
   

Вы также можете использовать команду Azure CLI az sql mi ad-admin , чтобы задать гостевого пользователя в качестве администратора Microsoft Entra для управляемого экземпляра.

Связанный контент

• Настройка и администрирование проверки подлинности Microsoft Entra с помощью Azure SQL
• Использование многофакторной проверки подлинности Microsoft Entra
• СОЗДАНИЕ ПОЛЬЗОВАТЕЛЯ (Transact-SQL)