Tworzenie użytkowników-gości usługi Microsoft Entra i ustawianie ich jako administratora firmy Microsoft Entra

Dotyczy: Azure SQL DatabaseAzure SQL Managed Instance

Użytkownicy-goście z funkcją współpracy B2B firmy Microsoft to użytkownicy, którzy mają konta w zewnętrznej organizacji microsoft Entra lub zewnętrznego dostawcy tożsamości (na przykład Outlook, Poczta usługi Windows Live lub Gmail), który nie jest zarządzany w ramach dzierżawy firmy Microsoft Entra. Konta użytkowników-gości są tworzone, gdy osoby te są zapraszane do współpracy w ramach dzierżawy, podczas gdy nadal przeprowadzają uwierzytelnianie względem dostawcy tożsamości.

W tym artykule pokazano, jak utworzyć użytkownika-gościa usługi Microsoft Entra i ustawić go jako administratora usługi Microsoft Entra dla usługi Azure SQL Managed Instance lub serwera logicznego na platformie Azure używanego przez usługi Azure SQL Database i Azure Synapse Analytics.

Uwaga

Microsoft Entra ID był wcześniej znany jako Azure Active Directory (Azure AD).

Opis funkcji

Usługi Azure SQL Database, SQL Managed Instance i Azure Synapse Analytics obsługują tworzenie podmiotów zabezpieczeń na podstawie kont użytkowników-gości, bezpośrednio lub jako członkowie grup firmy Microsoft Entra w ramach dzierżawy. Użytkownicy-goście mogą również być ustawiani jako administrator firmy Microsoft dla serwera logicznego lub wystąpienia zarządzanego.

Wymagania wstępne

• Moduł Az.Sql 2.9.0 lub nowszy jest wymagany w przypadku używania programu PowerShell do ustawiania użytkownika-gościa jako administratora usługi Microsoft Entra dla serwera logicznego lub wystąpienia zarządzanego.

Tworzenie użytkownika bazy danych dla użytkownika-gościa usługi Microsoft Entra

Wykonaj następujące kroki, aby utworzyć użytkownika bazy danych przy użyciu użytkownika-gościa firmy Microsoft Entra. W tej sekcji zastąp ciąg <guest_user> prawidłowym adresem e-mail, na przykład guest_user@example.com.

Tworzenie użytkownika-gościa w usługach SQL Database i Azure Synapse

1. Upewnij się, że użytkownik-gość został już dodany do identyfikatora Entra firmy Microsoft, a administrator firmy Microsoft Entra został ustawiony dla serwera bazy danych. Aby uwierzytelnić się w usłudze Microsoft Entra, wymagane jest posiadanie administratora entra firmy Microsoft.

2. Połączenie do bazy danych SQL jako administrator firmy Microsoft Entra lub użytkownik firmy Microsoft Entra z wystarczającymi uprawnieniami SQL do tworzenia użytkowników i uruchom następujące polecenie w bazie danych, w której użytkownik-gość musi zostać dodany:

   CREATE USER [<guest_user>] FROM EXTERNAL PROVIDER;
   

3. Użytkownik bazy danych powinien teraz być utworzony dla użytkownika-gościa.

4. Uruchom następujące polecenie, aby sprawdzić, czy użytkownik bazy danych został pomyślnie utworzony:

   SELECT * FROM sys.database_principals;
   

5. Odłącz bazę danych i zaloguj się do bazy danych jako użytkownik-gość przy użyciu programu SQL Server Management Studio (SSMS) przy użyciu metody uwierzytelniania Azure Active Directory — universal with MFA. Aby uzyskać więcej informacji, zobacz Using Microsoft Entra multifactor authentication (Korzystanie z uwierzytelniania wieloskładnikowego firmy Microsoft).

Tworzenie użytkownika-gościa w usłudze SQL Managed Instance

Uwaga

Usługa SQL Managed Instance obsługuje identyfikatory logowania dla użytkowników firmy Microsoft Entra, a także użytkowników zawartej bazy danych microsoft Entra ID. W poniższych krokach pokazano, jak utworzyć identyfikator logowania i użytkownika dla użytkownika-gościa usługi Microsoft Entra w usłudze SQL Managed Instance. Możesz również utworzyć użytkownika zawartej bazy danych w usłudze SQL Managed Instance przy użyciu metody w sekcji Tworzenie użytkownika-gościa w usłudze SQL Database i usłudze Azure Synapse .

1. Upewnij się, że użytkownik-gość został już dodany do dzierżawy firmy Microsoft Entra, a administrator firmy Microsoft Entra został ustawiony dla usługi SQL Managed Instance. Aby uwierzytelnić się w usłudze Microsoft Entra, wymagane jest posiadanie administratora entra firmy Microsoft.

2. Połączenie do usługi SQL Managed Instance jako administrator firmy Microsoft Entra lub użytkownik firmy Microsoft Entra z wystarczającymi uprawnieniami SQL do tworzenia użytkowników i uruchom następujące polecenie w master bazie danych, aby utworzyć identyfikator logowania dla użytkownika-gościa:

   CREATE LOGIN [<guest_user>] FROM EXTERNAL PROVIDER;
   

3. Teraz należy utworzyć identyfikator logowania dla użytkownika-gościa master w bazie danych.

4. Uruchom następujące polecenie, aby sprawdzić, czy logowanie zostało pomyślnie utworzone:

   SELECT * FROM sys.server_principals;
   

5. Uruchom następujące polecenie w bazie danych, w której użytkownik-gość musi zostać dodany:

   CREATE USER [<guest_user>] FROM LOGIN [<guest_user>];
   

6. Użytkownik bazy danych powinien teraz być utworzony dla użytkownika-gościa.

7. Odłącz bazę danych i zaloguj się do bazy danych jako użytkownik-gość przy użyciu programu SQL Server Management Studio (SSMS) przy użyciu metody uwierzytelniania Azure Active Directory — universal with MFA. Aby uzyskać więcej informacji, zobacz Using Microsoft Entra multifactor authentication (Korzystanie z uwierzytelniania wieloskładnikowego firmy Microsoft).

Ustawianie użytkownika-gościa jako administratora firmy Microsoft Entra

Ustaw administratora firmy Microsoft Entra przy użyciu witryny Azure Portal, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure. W tej sekcji zastąp ciąg <guest_user> prawidłowym adresem e-mail, na przykład guest_user@example.com.

Uwaga

Jeśli chcesz, aby użytkownicy-goście mogli tworzyć inne identyfikatory logowania firmy Microsoft Entra lub użytkowników, muszą mieć uprawnienia do odczytywania innych tożsamości w katalogu Microsoft Entra. To uprawnienie jest konfigurowane na poziomie katalogu. Aby uzyskać więcej informacji, zobacz uprawnienia dostępu gościa w usłudze Microsoft Entra ID.

Azure Portal

Aby skonfigurować administratora firmy Microsoft Entra dla serwera logicznego lub wystąpienia zarządzanego przy użyciu witryny Azure Portal, wykonaj następujące kroki:

1. Otwórz portal Azure Portal.
2. Przejdź do strony serwera SQL lub zasobu wystąpienia zarządzanego Firmy Microsoft w obszarze Ustawienia.
3. Wybierz pozycję Ustaw administratora, aby otworzyć okienko Identyfikator entra firmy Microsoft.
4. W okienku Microsoft Entra ID wpisz nazwę konta użytkownika-gościa.
5. Wybierz tego nowego użytkownika, a następnie zapisz operację.

Aby uzyskać więcej informacji, zobacz Ustawianie administratora firmy Microsoft Entra.

Azure PowerShell (SQL Database i Azure Synapse)

Aby skonfigurować użytkownika-gościa usługi Microsoft Entra dla serwera logicznego, wykonaj następujące kroki:

1. Upewnij się, że użytkownik-gość został już dodany do dzierżawy firmy Microsoft Entra.

2. Uruchom następujące polecenie programu PowerShell, aby dodać użytkownika-gościa jako administratora usługi Microsoft Entra dla serwera logicznego:

   • Zastąp <ResourceGroupName> ciąg nazwą grupy zasobów platformy Azure, która zawiera serwer logiczny.
   • Zastąp <ServerName> ciąg nazwą serwera logicznego. Jeśli nazwa serwera to myserver.database.windows.net, zastąp ciąg <Server Name> ciąg .myserver
   • Zastąp <DisplayNameOfGuestUser> ciąg nazwą użytkownika-gościa.

   Set-AzSqlServerActiveDirectoryAdministrator -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DisplayName <DisplayNameOfGuestUser>
   

Możesz również użyć polecenia interfejsu wiersza polecenia platformy Azure az sql server ad-admin , aby ustawić użytkownika-gościa jako administratora firmy Microsoft Entra dla serwera logicznego.

Azure PowerShell (SQL Managed Instance)

Aby skonfigurować użytkownika-gościa usługi Microsoft Entra dla wystąpienia zarządzanego, wykonaj następujące kroki:

1. Upewnij się, że użytkownik-gość został już dodany do dzierżawy firmy Microsoft Entra.

2. Przejdź do witryny Azure Portal i przejdź do zasobu Identyfikator entra firmy Microsoft. W obszarze Zarządzanie przejdź do okienka Użytkownicy . Wybierz użytkownika-gościa i zarejestruj element Object ID.

3. Uruchom następujące polecenie programu PowerShell, aby dodać użytkownika-gościa jako administratora usługi Microsoft Entra dla wystąpienia zarządzanego SQL:

   • Zastąp <ResourceGroupName> ciąg nazwą grupy zasobów platformy Azure, która zawiera wystąpienie zarządzane SQL.
   • Zastąp <ManagedInstanceName> ciąg nazwą wystąpienia zarządzanego SQL.
   • Zastąp <DisplayNameOfGuestUser> ciąg nazwą użytkownika-gościa.
   • Zastąp Object ID element <AADObjectIDOfGuestUser> zebranym wcześniej.

   Set-AzSqlInstanceActiveDirectoryAdministrator -ResourceGroupName <ResourceGroupName> -InstanceName "<ManagedInstanceName>" -DisplayName <DisplayNameOfGuestUser> -ObjectId <AADObjectIDOfGuestUser>
   

Możesz również użyć polecenia interfejsu wiersza polecenia platformy Azure az sql mi ad-admin , aby ustawić użytkownika-gościa jako administratora usługi Microsoft Entra dla wystąpienia zarządzanego.

Powiązana zawartość

• Konfigurowanie i zarządzanie uwierzytelnianiem usługi Microsoft Entra za pomocą usługi Azure SQL
• Korzystanie z uwierzytelniania wieloskładnikowego firmy Microsoft
• CREATE USER (Transact-SQL)