Erstellen von Microsoft Entra-Gastbenutzern und Festlegen als Microsoft Entra-Administrator

Gilt für: Azure SQL-Datenbank Azure SQL Managed Instance

Gastbenutzer sind in Microsoft Entra B2B Collaboration Benutzer mit Konten in einer externen Microsoft Entra-Organisation oder bei einem externen Identitätsanbieter (z. B. , was nicht in Ihrem Microsoft Entra-Mandanten verwaltet wird). Gastbenutzerkonten werden erstellt, wenn diese Personen zur Zusammenarbeit innerhalb Ihres Mandanten eingeladen werden, gleichzeitig jedoch die Authentifizierung anhand ihres Identitätsanbieters durchgeführt wird.

Dieser Artikel zeigt, wie ein Microsoft Entra-Gastbenutzer erstellt und als Microsoft Entra-Administrator für Azure SQL Managed Instance oder den logischen Server in Azure, der von Azure SQL-Datenbank und Azure Synapse Analytics verwendet wird, festgelegt wird.

Hinweis

Microsoft Entra ID war zuvor als Azure Active Directory (Azure AD) bekannt.

Featurebeschreibung

Azure SQL-Datenbank, SQL Managed Instance und Azure Synapse Analytics unterstützen das Erstellen von Prinzipalen aus Gastbenutzerkonten, entweder direkt oder als Mitglieder von Microsoft Entra-Gruppen innerhalb Ihres Mandanten. Gastbenutzer können auch als Microsoft Entra-Administrator für den logischen Server oder die verwaltete Instanz festgelegt werden.

Voraussetzungen

  • Das Modul Az.Sql 2.9.0 oder höher ist erforderlich, wenn Sie PowerShell verwenden, um einen Gastbenutzer als Microsoft Entra-Administrator für den logischen Server oder die verwaltete Instanz einzurichten.

Datenbankbenutzer für Microsoft Entra-Gastbenutzer erstellen

Führen Sie die folgenden Schritte aus, um einen Datenbankbenutzer mit einem Microsoft Entra-Gastbenutzer zu erstellen. Ersetzen Sie <guest_user> in diesem Abschnitt z guest_user@example.com. B. durch eine gültige E-Mail-Adresse.

Erstellen von Gastbenutzern in SQL-Datenbank und Azure Synapse

  1. Stellen Sie sicher, dass der Gastbenutzer (z. B. ) bereits in Microsoft Entra ID hinzugefügt und ein Microsoft Entra-Administrator für den Datenbankserver festgelegt wurde. Für die Microsoft Entra-Authentifizierung ist ein Microsoft Entra-Administrator erforderlich.

  2. Stellen Sie als Microsoft Entra-Administrator oder Microsoft Entra-Benutzer mit ausreichenden SQL-Berechtigungen zum Erstellen von Benutzern eine Verbindung mit SQL-Datenbank her, und führen Sie den folgenden Befehl für die Datenbank aus, in der der Gastbenutzer hinzugefügt werden soll:

    CREATE USER [<guest_user>] FROM EXTERNAL PROVIDER;
    
  3. Es sollte jetzt ein Datenbankbenutzer für den Gastbenutzer erstellt worden sein.

  4. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob der Datenbankbenutzer erfolgreich erstellt wurde:

    SELECT * FROM sys.database_principals;
    
  5. Trennen Sie die Verbindung mit der Datenbank, und melden Sie sich bei der Datenbank als Gastbenutzer über SQL Server Management Studio (SSMS) mithilfe der Authentifizierungsmethode Azure Active Directory - universell mit MFA an. Weitere Informationen finden Sie unter Verwenden der Multi-Faktor-Authentifizierung von Microsoft Entra.

Erstellen von Gastbenutzern in SQL Managed Instance

Hinweis

SQL Managed Instance unterstützt Anmeldungen von Microsoft Entra-Benutzern sowie von eigenständigen Microsoft Entra ID-Datenbankbenutzern. In den folgenden Schritten wird gezeigt, wie Sie eine Anmeldung und einen Benutzer für einen Microsoft Entra-Gastbenutzer in SQL Managed Instance erstellen. Sie können auch einen Benutzer einer eigenständigen Datenbank in SQL Managed Instance erstellen, indem Sie die Methode im Abschnitt Erstellen von Gastbenutzern in SQL-Datenbank und Azure Synapse verwenden.

  1. Stellen Sie sicher, dass der Gastbenutzer (z. B. ) bereits zum Microsoft Entra-Mandanten hinzugefügt und ein Microsoft Entra-Administrator für den SQL Managed Instance-Server festgelegt wurde. Für die Microsoft Entra-Authentifizierung ist ein Microsoft Entra-Administrator erforderlich.

  2. Stellen Sie als Microsoft Entra-Administrator oder Microsoft Entra-Benutzer mit ausreichenden SQL-Berechtigungen zum Erstellen von Benutzern eine Verbindung mit SQL Managed Instance her, und führen Sie den folgenden Befehl für die Datenbank master aus, um eine Anmeldung für den Gastbenutzer zu erstellen:

    CREATE LOGIN [<guest_user>] FROM EXTERNAL PROVIDER;
    
  3. Es sollte jetzt eine Anmeldung für den Gastbenutzer in der master Datenbank erstellt worden sein.

  4. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob die Anmeldung erfolgreich erstellt wurde:

    SELECT * FROM sys.server_principals;
    
  5. Führen Sie den folgenden Befehl für die Datenbank aus, in der der Gastbenutzer hinzugefügt werden soll:

    CREATE USER [<guest_user>] FROM LOGIN [<guest_user>];
    
  6. Es sollte jetzt ein Datenbankbenutzer für den Gastbenutzer erstellt worden sein.

  7. Trennen Sie die Verbindung mit der Datenbank, und melden Sie sich bei der Datenbank als Gastbenutzer über SQL Server Management Studio (SSMS) mithilfe der Authentifizierungsmethode Azure Active Directory - universell mit MFA an. Weitere Informationen finden Sie unter Verwenden der Multi-Faktor-Authentifizierung von Microsoft Entra.

Festlegen eines Gastbenutzers als Microsoft Entra-Administrator

Legen Sie den Microsoft Entra-Administrator mithilfe des Azure-Portals, mit Azure PowerShell oder mit der Azure CLI fest. Ersetzen Sie <guest_user> in diesem Abschnitt z guest_user@example.com. B. durch eine gültige E-Mail-Adresse.

Hinweis

Wenn Sie möchten, dass Gastbenutzer andere Microsoft-Entra-Logins oder Benutzer erstellen können, müssen sie die Berechtigung haben, andere Identitäten im Microsoft-Entra-Verzeichnis zu lesen. Diese Berechtigung ist auf Verzeichnisebene konfiguriert. Weitere Informationen finden Sie unter Gastzugangsberechtigungen in Microsoft Entra ID.

Azure-Portal

Führen Sie die folgenden Schritte aus, um einen Microsoft Entra-Administrator für einen logischen Server oder eine verwaltete Instanz über das Azure-Portal einzurichten:

  1. Öffnen Sie das Azure-Portal.
  2. Navigieren Sie auf der Microsoft Entra-Seite unter Einstellungen zu Ihrer SQL Server- oder verwalteten Instanzressource.
  3. Wählen Sie Administrator festlegen aus, um den Bereich Microsoft Entra ID zu öffnen.
  4. Geben Sie im Fenster Microsoft Entra ID den Kontonamen des Gastbenutzer sein, z. B. .
  5. Wählen Sie diesen neuen Benutzer aus, und speichern Sie den Vorgang dann.

Weitere Informationen finden Sie unter Festlegen eines Microsoft Entra-Administrators.

Azure PowerShell (SQL-Datenbank und Azure Synapse)

Führen Sie zum Einrichten eines Microsoft Entra-Gastbenutzers für einen logischen Server die folgenden Schritte aus:

  1. Vergewissern Sie sich, dass der Gastbenutzer (z. B. ) bereits im Microsoft Entra-Mandanten hinzugefügt wurde.

  2. Führen Sie den folgenden PowerShell-Befehl aus, um den Gastbenutzer als Microsoft Entra-Administrator für Ihren logischen Server hinzuzufügen:

    • Ersetzen Sie <ResourceGroupName> durch den Namen Ihrer Azure-Ressourcengruppe, die den logischen Server enthält.
    • Ersetzen Sie <ServerName> durch den Namen Ihres logischen Servers. Wenn der Servername myserver.database.windows.net ist, ersetzen Sie <Server Name> durch myserver.
    • Ersetzen Sie <DisplayNameOfGuestUser> durch den Gastbenutzernamen.
    Set-AzSqlServerActiveDirectoryAdministrator -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DisplayName <DisplayNameOfGuestUser>
    

Sie können auch den Azure CLI-Befehl az sql server ad-admin verwenden, um den Gastbenutzer als Microsoft Entra-Administrator für Ihren logischen Server festzulegen.

Azure PowerShell (SQL Managed Instance)

Führen Sie zum Einrichten eines Microsoft Entra-Gastbenutzers für eine verwaltete Instanz die folgenden Schritte aus:

  1. Vergewissern Sie sich, dass der Gastbenutzer (z. B. ) bereits im Microsoft Entra-Mandanten hinzugefügt wurde.

  2. Melden Sie sich beim Azure-Portal an, und wechseln Sie zur Microsoft Entra ID-Ressource. Navigieren Sie unter Verwalten zum Bereich Benutzer. Wählen Sie den Gastbenutzer aus, und notieren Sie die Object ID.

  3. Führen Sie den folgenden PowerShell-Befehl aus, um den Gastbenutzer als Microsoft Entra-Administrator für SQL Managed Instance hinzuzufügen:

    • Ersetzen Sie <ResourceGroupName> durch den Namen Ihrer Azure-Ressourcengruppe, die SQL Managed Instance enthält.
    • Ersetzen Sie <ManagedInstanceName> durch den Namen Ihrer Instanz von SQL Managed Instance.
    • Ersetzen Sie <DisplayNameOfGuestUser> durch den Gastbenutzernamen.
    • Ersetzen Sie <AADObjectIDOfGuestUser> durch die zuvor notierte Object ID.
    Set-AzSqlInstanceActiveDirectoryAdministrator -ResourceGroupName <ResourceGroupName> -InstanceName "<ManagedInstanceName>" -DisplayName <DisplayNameOfGuestUser> -ObjectId <AADObjectIDOfGuestUser>
    

Sie können auch den Azure CLI-Befehl az sql mi ad-admin verwenden, um den Gastbenutzer als Microsoft Entra-Administrator für SQL Managed Instance festzulegen.