Vytvoření uživatelů typu host Microsoft Entra a jejich nastavení jako správce Microsoft Entra

Platí pro: Azure SQL Database Azure SQL Managed Instance

Uživatelé typu host s spolupráci Microsoft Entra B2B jsou uživatelé, kteří mají účty v externí organizaci Microsoft Entra nebo externím zprostředkovateli identity (například Outlook, Windows Live Mail nebo Gmail), který není spravován v rámci vašeho tenanta Microsoft Entra. Uživatelské účty typu host se vytvoří, když jsou tito jednotlivci pozváni ke spolupráci v rámci vašeho tenanta, zatímco stále provádějí ověřování u svého zprostředkovatele identity.

Tento článek ukazuje, jak vytvořit uživatele typu host Microsoft Entra a nastavit ho jako správce Microsoft Entra pro azure SQL Managed Instance nebo logický server v Azure , který používá Azure SQL Database a Azure Synapse Analytics.

Poznámka:

ID Microsoft Entra se dříve označovalo jako Azure Active Directory (Azure AD).

Popis funkce

Azure SQL Database, SQL Managed Instance a Azure Synapse Analytics podporují vytváření objektů zabezpečení z uživatelských účtů typu host, a to buď přímo, nebo jako členové skupin Microsoft Entra v rámci vašeho tenanta. Uživatele typu host je také možné nastavit jako správce Microsoft Entra pro logický server nebo spravovanou instanci.

Požadavky

  • Modul Az.Sql 2.9.0 nebo vyšší je potřeba při použití PowerShellu k nastavení uživatele typu host jako správce Microsoft Entra pro logický server nebo spravovanou instanci.

Vytvoření uživatele databáze pro uživatele typu host Microsoft Entra

Následujícím postupem vytvoříte uživatele databáze pomocí uživatele typu host Microsoft Entra. V této části nahraďte <guest_user> platnou e-mailovou adresou, například guest_user@example.com.

Vytvoření uživatele typu host ve službě SQL Database a Azure Synapse

  1. Ujistěte se, že je uživatel typu host již přidaný do vašeho ID Microsoft Entra a že správce Microsoft Entra byl nastaven pro databázový server. Pro ověřování Microsoft Entra se vyžaduje správce Microsoft Entra.

  2. Připojte se k databázi SQL jako správce Microsoft Entra nebo uživatel Microsoft Entra s dostatečnými oprávněními SQL k vytváření uživatelů a spusťte v databázi, do které je potřeba přidat uživatele typu host:

    CREATE USER [<guest_user>] FROM EXTERNAL PROVIDER;
    
  3. Teď by měl být uživatel databáze vytvořený pro uživatele typu host.

  4. Spuštěním následujícího příkazu ověřte, že se uživatel databáze úspěšně vytvořil:

    SELECT * FROM sys.database_principals;
    
  5. Odpojte databázi a přihlaste se jako uživatel typu host pomocí aplikace SQL Server Management Studio (SSMS) pomocí metody ověřování Azure Active Directory – Univerzální s MFA. Další informace naleznete v tématu Použití vícefaktorového ověřování Microsoft Entra.

Vytvoření uživatele typu host ve službě SQL Managed Instance

Poznámka:

SQL Managed Instance podporuje přihlášení pro uživatele Microsoft Entra a také uživatele databáze obsažené v Microsoft Entra ID. Následující kroky ukazují, jak vytvořit přihlášení a uživatele pro uživatele typu host Microsoft Entra ve službě SQL Managed Instance. Můžete také vytvořit uživatele databáze s omezením ve službě SQL Managed Instance pomocí metody v části Vytvoření uživatele typu host ve službě SQL Database a Azure Synapse .

  1. Ujistěte se, že je uživatel typu host již přidaný do vašeho tenanta Microsoft Entra a že je pro spravovanou instanci SQL nastaven správce Microsoft Entra. Pro ověřování Microsoft Entra se vyžaduje správce Microsoft Entra.

  2. Připojte se ke spravované instanci SQL jako správce Microsoft Entra nebo uživateli Microsoft Entra s dostatečnými oprávněními SQL k vytvoření uživatelů a spuštěním následujícího příkazu v master databázi vytvořte přihlášení pro uživatele typu host:

    CREATE LOGIN [<guest_user>] FROM EXTERNAL PROVIDER;
    
  3. Teď by se mělo vytvořit přihlášení pro uživatele typu host v master databázi.

  4. Spuštěním následujícího příkazu ověřte úspěšné vytvoření přihlášení:

    SELECT * FROM sys.server_principals;
    
  5. V databázi, do které je potřeba přidat uživatele typu host, spusťte následující příkaz:

    CREATE USER [<guest_user>] FROM LOGIN [<guest_user>];
    
  6. Teď by měl být uživatel databáze vytvořený pro uživatele typu host.

  7. Odpojte databázi a přihlaste se jako uživatel typu host pomocí aplikace SQL Server Management Studio (SSMS) pomocí metody ověřování Azure Active Directory – Univerzální s MFA. Další informace naleznete v tématu Použití vícefaktorového ověřování Microsoft Entra.

Nastavení uživatele typu host jako správce Microsoft Entra

Nastavte správce Microsoft Entra pomocí webu Azure Portal, Azure PowerShellu nebo Azure CLI. V této části nahraďte <guest_user> platnou e-mailovou adresou, například guest_user@example.com.

Poznámka:

Pokud chcete, aby uživatelé typu host mohli vytvářet další přihlášení nebo uživatele Microsoft Entra, musí mít oprávnění ke čtení jiných identit v adresáři Microsoft Entra. Toto oprávnění se konfiguruje na úrovni adresáře. Další informace naleznete v tématu Přístupová oprávnění hosta v Microsoft Entra ID.

portál Azure

Pokud chcete nastavit správce Microsoft Entra pro logický server nebo spravovanou instanci pomocí webu Azure Portal, postupujte takto:

  1. Otevřete Azure Portal.
  2. Přejděte na stránku Microsoft Entra na váš SQL server nebo prostředek spravované instance v části Nastavení.
  3. Výběrem možnosti Nastavit správce otevřete podokno Microsoft Entra ID .
  4. V podokně Microsoft Entra ID zadejte název uživatelského účtu hosta.
  5. Vyberte tohoto nového uživatele a pak operaci uložte.

Další informace naleznete v tématu Nastavení správce Microsoft Entra.

Azure PowerShell (SQL Database a Azure Synapse)

Pokud chcete nastavit uživatele typu host Microsoft Entra pro logický server, postupujte takto:

  1. Ujistěte se, že je uživatel typu host již přidaný do vašeho tenanta Microsoft Entra.

  2. Spuštěním následujícího příkazu PowerShellu přidejte uživatele typu host jako správce Microsoft Entra pro váš logický server:

    • Nahraďte <ResourceGroupName> názvem vaší skupiny prostředků Azure, která obsahuje logický server.
    • Nahraďte <ServerName> názvem logického serveru. Pokud je myserver.database.windows.netnázev vašeho serveru , nahraďte <Server Name> názvem myserver.
    • Nahraďte <DisplayNameOfGuestUser> svým uživatelským jménem typu host.
    Set-AzSqlServerActiveDirectoryAdministrator -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DisplayName <DisplayNameOfGuestUser>
    

Můžete také použít příkaz Azure CLI az sql server ad-admin k nastavení uživatele typu host jako správce Microsoft Entra pro váš logický server.

Azure PowerShell (SQL Managed Instance)

Pokud chcete nastavit uživatele typu host Microsoft Entra pro spravovanou instanci, postupujte takto:

  1. Ujistěte se, že je uživatel typu host již přidaný do vašeho tenanta Microsoft Entra.

  2. Přejděte na web Azure Portal a přejděte k prostředku Microsoft Entra ID . V části Spravovat přejděte do podokna Uživatelé . Vyberte svého uživatele typu host a nahrajte soubor Object ID.

  3. Spuštěním následujícího příkazu PowerShellu přidejte uživatele typu host jako správce Microsoft Entra pro vaši spravovanou instanci SQL:

    • Nahraďte <ResourceGroupName> názvem vaší skupiny prostředků Azure, která obsahuje spravovanou instanci SQL.
    • Nahraďte <ManagedInstanceName> názvem spravované instance SQL.
    • Nahraďte <DisplayNameOfGuestUser> svým uživatelským jménem typu host.
    • Nahraďte <AADObjectIDOfGuestUser> shromážděným Object ID dříve.
    Set-AzSqlInstanceActiveDirectoryAdministrator -ResourceGroupName <ResourceGroupName> -InstanceName "<ManagedInstanceName>" -DisplayName <DisplayNameOfGuestUser> -ObjectId <AADObjectIDOfGuestUser>
    

Pomocí příkazu Azure CLI az sql mi ad-admin můžete nastavit uživatele typu host jako správce Microsoft Entra pro vaši spravovanou instanci.