Autenticação somente do Microsoft Entra com o SQL do Azure

Aplica-se a:Banco de Dados SQL do AzureInstância Gerenciada de SQL do AzureAzure Synapse Analytics (somente pools de SQL dedicados)

A autenticação somente do Microsoft Entra é um recurso do SQL do Azure que permite que o serviço só dê suporte à autenticação do Microsoft Entra e seja compatível com o Banco de Dados SQL do Azure e a Instância Gerenciada de SQL do Azure.

Observação

O Microsoft Entra ID era anteriormente conhecido como Azure Active Directory (Azure AD).

A autenticação somente do Microsoft Entra também está disponível para pools de SQL dedicados (anteriormente SQL DW) em servidores autônomos. A autenticação somente do Microsoft Entra pode ser habilitada para o espaço de trabalho do Azure Synapse. Para obter mais informações, consulte Autenticação somente do Microsoft Entra com espaços de trabalho do Azure Synapse.

A autenticação do SQL é desabilitada ao habilitar a autenticação somente do Microsoft Entra no ambiente SQL do Azure, inclusive conexões de usuários, logons e administradores do SQL Server. Somente os usuários que usam a autenticação do Microsoft Entra são autorizados a se conectarem ao servidor ou ao banco de dados.

A autenticação somente do Microsoft Entra pode ser habilitada ou desabilitada por meio do portal do Azure, da CLI do Azure, do PowerShell ou da API REST. A autenticação somente do Microsoft Entra também pode ser configurada durante a criação do servidor com um modelo do ARM.

Para obter mais informações sobre a autenticação do SQL do Azure, confira Autenticação e autorização.

Descrição do recurso

Quando a autenticação somente do Microsoft Entra é habilitada, a autenticação do SQL é desabilitada no nível do servidor ou da instância gerenciada e impede autenticações baseadas em credenciais da autenticação do SQL. Os usuários da autenticação do SQL não poderão se conectar ao servidor lógico do Banco de Dados SQL do Microsoft Azure ou da instância gerenciada, incluindo todos os bancos de dados. Embora a autenticação do SQL esteja desabilitada, ainda podem ser criados logons e usuários da autenticação do SQL pelas contas do Microsoft Entra com as permissões apropriadas. As contas recém-criadas da autenticação do SQL não terão permissão para se conectar ao servidor. A habilitação da autenticação somente do Microsoft Entra não remove as contas de usuário e de logon existentes da autenticação do SQL. O recurso só impede que essas contas se conectem ao servidor e a qualquer banco de dados criado para esse servidor.

Você também pode forçar a criação de servidores com a autenticação somente do Microsoft Entra habilitada usando o Azure Policy. Para obter mais informações, confira Azure Policy para autenticação somente do Microsoft Entra.

Permissões

A autenticação somente do Microsoft Entra pode ser habilitada ou desabilitada por usuários do Microsoft Entra que são membros de funções internas do Microsoft Entra com privilégios altos, como Proprietários, Colaboradores e Administradores Globais da assinatura do Azure. Além disso, a função Gerenciador de Segurança do SQL também pode habilitar ou desabilitar o recurso de autenticação somente do Microsoft Entra.

As funções Colaborador do SQL Server e Colaborador da Instância Gerenciada de SQL não terão permissões para habilitar nem desabilitar o recurso de autenticação somente do Microsoft Entra. Isso é consistente com a abordagem de diferenciação de direitos, na qual os usuários que podem criar um servidor do SQL do Azure ou criar um administrador do Microsoft Entra não podem habilitar nem desabilitar os recursos de segurança.

Ações necessárias

As ações a seguir são adicionadas à função Gerenciador de Segurança do SQL para permitir o gerenciamento do recurso de autenticação somente do Microsoft Entra.

• Microsoft.Sql/servers/azureADOnlyAuthentications/*
• Microsoft.Sql/servers/administrators/read: necessário somente para os usuários que acessam o menu Microsoft Entra no portal do Azure
• Microsoft.Sql/managedInstances/azureADOnlyAuthentications/*
• Microsoft.Sql/managedInstances/read

As ações acima também podem ser adicionadas a uma função personalizada para gerenciar a autenticação somente do Microsoft Entra. Para obter mais informações, consulte Criar e atribuir uma função personalizada no Microsoft Entra ID.

Gerenciar a autenticação somente do Microsoft Entra usando APIs

Importante

O administrador do Microsoft Entra deve ser definido antes da habilitação da autenticação somente do Microsoft Entra.

CLI do Azure

Você precisa ter a CLI do Azure versão 2.14.2 ou superior.

name corresponde ao prefixo do nome do servidor ou da instância (por exemplo, myserver), e resource-group corresponde ao recurso ao qual o servidor pertence (por exemplo, myresource).

Banco de Dados SQL do Azure

Para obter mais informações, confira az sql server ad-only-auth.

Habilitação ou desabilitação no Banco de Dados SQL

Habilitar

az sql server ad-only-auth enable --resource-group myresource --name myserver

Desabilitar

az sql server ad-only-auth disable --resource-group myresource --name myserver

Verificar o status no Banco de Dados SQL

az sql server ad-only-auth get --resource-group myresource --name myserver

Instância Gerenciada do Azure SQL

Para obter mais informações, confira az sql mi ad-only-auth.

Habilitar

az sql mi ad-only-auth enable --resource-group myresource --name myserver

Desabilitar

az sql mi ad-only-auth disable --resource-group myresource --name myserver

Verificar o status na Instância Gerenciada de SQL

az sql mi ad-only-auth get --resource-group myresource --name myserver

PowerShell

O módulo Az.Sql 2.10.0 ou superior é necessário.

ServerName ou InstanceName corresponde ao prefixo do nome do servidor (por exemplo, myserver ou myinstance), e ResourceGroupName corresponde ao recurso ao qual o servidor pertence (por exemplo, myresource).

Banco de Dados SQL do Azure

Habilitação ou desabilitação no Banco de Dados SQL

Habilitar

Para obter mais informações, confira Enable-AzSqlServerActiveDirectoryOnlyAuthentication. Execute também get-help Enable-AzSqlServerActiveDirectoryOnlyAuthentication -full.

Enable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName myserver -ResourceGroupName myresource

Use também o seguinte comando:

Get-AzSqlServer -ServerName myserver | Enable-AzSqlServerActiveDirectoryOnlyAuthentication

Desabilitar

Para obter mais informações, confira Disable-AzSqlServerActiveDirectoryOnlyAuthentication.

Disable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName myserver -ResourceGroupName myresource

Verificar o status no Banco de Dados SQL

Get-AzSqlServerActiveDirectoryOnlyAuthentication  -ServerName myserver -ResourceGroupName myresource

Use também o seguinte comando:

Get-AzSqlServer -ServerName myserver | Get-AzSqlServerActiveDirectoryOnlyAuthentication

Instância Gerenciada do Azure SQL

Habilitação ou desabilitação na Instância Gerenciada de SQL

Habilitar

Para obter mais informações, confira Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication.

Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName myinstance -ResourceGroupName myresource

Use também o seguinte comando:

Get-AzSqlInstance -InstanceName myinstance | Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication

Para obter mais informações sobre esses comandos do PowerShell, execute get-help Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -full.

Desabilitar

Para obter mais informações, confira Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication.

Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName myinstance -ResourceGroupName myresource

Verificar o status na Instância Gerenciada de SQL

Get-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName myinstance -ResourceGroupName myresource

Use também o seguinte comando:

Get-AzSqlInstance -InstanceName myinstance | Get-AzSqlInstanceActiveDirectoryOnlyAuthentication

REST API

Os seguintes parâmetros precisam ser definidos:

• Encontre <subscriptionId> navegando até Assinaturas no portal do Azure.
• <myserver> corresponde ao prefixo do nome do servidor ou da instância (por exemplo, myserver).
• <myresource> corresponde ao recurso ao qual o servidor pertence (por exemplo, myresource)

Para usar a MSAL mais recente, baixe-a em https://www.powershellgallery.com/packages/MSAL.PS.

$subscriptionId = '<subscriptionId>'
$serverName = "<myserver>"
$resourceGroupName = "<myresource>"

Banco de Dados SQL do Azure

Para obter mais informações, confira a documentação da API REST Autenticações somente do Azure AD no servidor.

Habilitação ou desabilitação no Banco de Dados SQL

Habilitar

$body = @{ properties = @{ azureADOnlyAuthentication = 1 } } | ConvertTo-Json
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Desabilitar

$body = @{ properties = @{ azureADOnlyAuthentication = 0 } } | ConvertTo-Json
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Verificar o status no Banco de Dados SQL

Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method GET -Headers $authHeader  | Format-List

Instância Gerenciada do Azure SQL

Para obter mais informações, confira a documentação da API REST Autenticações somente do Azure AD na Instância Gerenciada.

Habilitação ou desabilitação na Instância Gerenciada de SQL

Habilitar

$body = @{   properties = @{  azureADOnlyAuthentication = 1 }  } | ConvertTo-Json 
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Desabilitar

$body = @{   properties = @{  azureADOnlyAuthentication = 0 }  } | ConvertTo-Json 
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Verificar o status na Instância Gerenciada de SQL

Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method GET -Headers $authHeader  | Format-List

Modelo do ARM

• Insira o administrador do Microsoft Entra para a implantação. Você encontrará a ID do objeto do usuário acessando o portal do Azure e navegando até o recurso Microsoft Entra ID. Em Gerenciar, selecione Usuários. Procure o usuário que deseja definir como o administrador do Microsoft Entra para o servidor SQL do Azure. Selecione o usuário e, na página de Perfil dele, você verá a ID do Objeto.
• A ID do locatário pode ser encontrada na página Visão geral do recurso Microsoft Entra ID.

Banco de Dados SQL do Azure

Habilitar

O modelo do ARM abaixo habilita a autenticação somente do Microsoft Entra no Banco de Dados SQL do Azure. Para desabilitar a autenticação somente do Microsoft Entra, defina a propriedade azureADOnlyAuthentication como false.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "sqlServer_name": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String"
        },
        "aad_admin_objectid": {
            "type": "String"
        },
        "aad_admin_tenantid": {
            "type": "String"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers/administrators",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('sqlServer_name'), '/ActiveDirectory')]",
            "properties": {
                "administratorType": "ActiveDirectory",
                "login": "[parameters('aad_admin_name')]",
                "sid": "[parameters('aad_admin_objectid')]",
                "tenantId": "[parameters('aad_admin_tenantId')]"
            }
        },        
        {
            "type": "Microsoft.Sql/servers/azureADOnlyAuthentications",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('sqlServer_name'), '/Default')]",
            "dependsOn": [
                "[resourceId('Microsoft.Sql/servers/administrators', parameters('sqlServer_name'), 'ActiveDirectory')]"
            ],
            "properties": {
                "azureADOnlyAuthentication": true
            }
        }
    ]
}

Para obter mais informações, confira Microsoft.Sql servers/azureADOnlyAuthentications.

Instância Gerenciada do Azure SQL

Habilitar

O modelo do ARM abaixo habilita a autenticação somente do Microsoft Entra na Instância Gerenciada de SQL do Azure. Para desabilitar a autenticação somente do Microsoft Entra, defina a propriedade azureADOnlyAuthentication como false.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "instance": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String"
        },
        "aad_admin_objectid": {
            "type": "String"
        },
        "aad_admin_tenantid": {
            "type": "String"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/managedInstances/administrators",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('instance'), '/ActiveDirectory')]",
            "properties": {
                "administratorType": "ActiveDirectory",
                "login": "[parameters('aad_admin_name')]",
                "sid": "[parameters('aad_admin_objectid')]",
                "tenantId": "[parameters('aad_admin_tenantId')]"
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances/azureADOnlyAuthentications",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('instance'), '/Default')]",
            "dependsOn": [
                "[resourceId('Microsoft.Sql/managedInstances/administrators', parameters('instance'), 'ActiveDirectory')]"
            ],
            "properties": {
                "azureADOnlyAuthentication": true
            }
        }
    ]
}

Para obter mais informações, confira Microsoft.Sql managedInstances/azureADOnlyAuthentications.

Como verificar a autenticação somente do Microsoft Entra usando o T-SQL

O SERVERPROPERTYIsExternalAuthenticationOnly foi adicionado para verificar se a autenticação somente do Microsoft Entra está habilitada para o servidor ou a instância gerenciada. 1 indica que o recurso está habilitado e 0 indica que o recurso está desabilitado.

SELECT SERVERPROPERTY('IsExternalAuthenticationOnly') 

Comentários

• Um Colaborador do SQL Server pode definir ou remover um administrador do Microsoft Entra, mas não pode definir a configuração de autenticação do Microsoft Entra somente. O Gerenciador de Segurança do SQL não pode definir ou remover um administrador do Microsoft Entra, mas pode definir a configuração somente autenticação do Microsoft Entra. Somente as contas com funções RBAC do Azure mais elevadas ou com funções personalizadas que contenham ambas as permissões podem definir ou remover um administrador do Microsoft Entra e definir a configuração Autenticação somente do Microsoft Entra. Uma dessas funções é a função Colaborador.
• Depois que você habilitar ou desabilitar a autenticação somente do Microsoft Entra no portal do Azure, uma entrada do Log de atividades poderá ser vista no menu do SQL Server.
• A configuração Autenticação somente do Microsoft Entra só poderá ser habilitada ou desabilitada por usuários com as permissões corretas se o administrador do Microsoft Entra for especificado. Se o administrador do Microsoft Entra não estiver definido, a configuração Somente autenticação do Microsoft Entra permanecerá inativa e não poderá ser habilitada nem desabilitada. O uso de APIs para habilitar a autenticação somente do Microsoft Entra também falhará se o administrador do Microsoft Entra não tiver sido definido.
• Há suporte para a alteração de um administrador do Microsoft Entra quando a autenticação somente do Microsoft Entra está habilitada para os usuários com as permissões apropriadas.
• A alteração de um administrador do Microsoft Entra e a habilitação ou a desabilitação da autenticação somente do Microsoft Entra são permitidas no portal do Azure para os usuários com as permissões apropriadas. Ambas as operações podem ser concluídas com um clique na opção Salvar no portal do Azure. O administrador do Microsoft Entra deve ser definido para habilitar a autenticação somente do Microsoft Entra.
• Não há suporte para a remoção de um administrador do Microsoft Entra quando o recurso de autenticação somente do Microsoft Entra está habilitado. O uso de uma API para remover um administrador do Microsoft Entra falhará se a autenticação somente do Microsoft Entra estiver habilitada.
  • Se a configuração Autenticação somente do Microsoft Entra estiver habilitada, o botão Remover administrador ficará inativo no portal do Azure.
• A remoção de um administrador do Microsoft Entra e a desabilitação da configuração Autenticação somente do Microsoft Entra são permitidas, mas exigem a permissão de usuário correta para concluir as operações. Ambas as operações podem ser concluídas com um clique na opção Salvar no portal do Azure.
• Os usuários do Microsoft Entra com as permissões apropriadas podem representar os usuários existentes do SQL.
  • A representação continua funcionando entre os usuários da autenticação do SQL mesmo quando o recurso de autenticação somente do Microsoft Entra está habilitado.

Limitações para a autenticação somente do Microsoft Entra no Banco de Dados SQL

Quando a autenticação somente do Microsoft Entra está habilitada no Banco de Dados SQL, os seguintes recursos não têm suporte:

• Há suporte para as funções de servidor do Banco de Dados SQL do Azure nas entidades de servidor do Microsoft Entra, mas não se o logon do Microsoft Entra for um grupo.
• Trabalhos elásticos
• Sincronização de Dados SQL
• Captura de dados de alterações (CDC) - se você criar um banco de dados no Banco de Dados SQL do Azure como um usuário do Microsoft Entra e habilitar o captura de dados de alterações nele, um usuário de SQL não poderá desabilitar ou fazer alterações nos artefatos da CDC. No entanto, outro usuário do Microsoft Entra poderá habilitar ou desabilitar o CDC no mesmo banco de dados. Da mesma forma, se você criar um Banco de Dados SQL do Azure como usuário SQL, habilitar ou desabilitar o CDC como usuário do Microsoft Entra não funcionará
• Replicação transacional — como a autenticação do SQL é necessária para a conectividade entre os participantes da replicação, quando a autenticação somente do Microsoft Entra está habilitada, a replicação transacional não tem suporte para o Banco de Dados SQL em cenários em que a replicação transacional é usada para enviar alterações feitas em um Instância Gerenciada de SQL do Azure, SQL Server local ou uma instância do SQL Server de VM do Azure para um banco de dados no Banco de Dados SQL do Azure
• Insights do SQL (versão prévia)
• Instrução EXEC AS para contas de membro do grupo do Microsoft Entra

Limitações da autenticação somente do Microsoft Entra na Instância Gerenciada

Quando a autenticação somente do Microsoft Entra está habilitada na Instância Gerenciada, os seguintes recursos não têm suporte:

• Replicação transacional
• Trabalhos do SQL Agent na Instância Gerenciada dá suporte à autenticação somente do Microsoft Entra. No entanto, o usuário do Microsoft Entra que é membro de um grupo do Microsoft Entra com acesso à instância gerenciada não pode ter Trabalhos do SQL Agent
• Insights do SQL (versão prévia)
• Instrução EXEC AS para contas de membro do grupo do Microsoft Entra

Para obter mais limitações, confira as diferenças de T-SQL entre o SQL Server e a Instância Gerenciada de SQL do Azure.

Próximas etapas

Tutorial: habilitar somente a autenticação do Microsoft Entra com o SQL do Azure

Criar servidor com a autenticação somente do Microsoft Entra habilitada no SQL do Azure