Criar servidor com a autenticação apenas do Microsoft Entra habilitada no SQL do Azure
Aplica-se a: Banco de Dados SQL do Azure Instância Gerenciada de SQL do Azure
Este guia de instruções descreve as etapas usadas para criar um servidor lógico para o Banco de Dados SQL do Azure ou uma Instância Gerenciada de SQL do Azure com a autenticação somente do Microsoft Entra habilitada durante o provisionamento. O recurso de autenticação somente Microsoft Entra impede que os usuários se conectem ao servidor ou à instância gerenciada usando a autenticação SQL e só permite conexões autenticadas com o Microsoft Entra ID (anteriormente Azure Active Directory).
Observação
O Microsoft Entra ID era anteriormente conhecido como Azure Active Directory (Azure AD).
Pré-requisitos
- A versão 2.26.1 ou posterior é necessária quando a CLI do Azure é usada. Para obter mais informações sobre a instalação e a última versão, confira Instalar a CLI do Azure.
- O módulo Az 6.1.0 ou superior é necessário quando o PowerShell é usado.
- Se você provisionou uma instância gerenciada usando a CLI do Azure, o PowerShell ou a API REST, será necessário criar uma rede virtual e uma sub-rede antes de começar. Para obter mais informações, confira Criar uma rede virtual para a Instância Gerenciada de SQL do Azure.
Permissões
Para provisionar um servidor lógico ou uma instância gerenciada, você precisará ter as permissões apropriadas para criar esses recursos. Os usuários do Azure com permissões mais elevadas, como Proprietários da assinatura, Colaboradores, Administradores de serviços e Coadministradores têm o privilégio necessário para criar um servidor SQL ou uma instância gerenciada. Para criar esses recursos com a função RBAC do Azure com menos privilégios, use a função Colaborador do SQL Server no Banco de Dados SQL e a função Colaborador da Instância Gerenciada de SQL na Instância Gerenciada de SQL.
A função RBAC do Azure Gerente de Segurança do SQL não tem permissões suficientes para criar um servidor ou uma instância com a autenticação somente do Microsoft Entra habilitada. A função Gerente de Segurança do SQL será necessária para gerenciar o recurso de autenticação somente do Microsoft Entra após a criação do servidor ou da instância.
Provisionamento com a autenticação somente do Microsoft Entra habilitada
A seção a seguir fornece exemplos e scripts sobre como criar um servidor lógico ou uma instância gerenciada com um administrador do Microsoft Entra definido para o servidor ou a instância e como habilitar a autenticação somente do Microsoft Entra durante a criação do servidor. Para obter mais informações sobre o recurso, confira Autenticação somente do Microsoft Entra com o SQL do Azure.
Em nossos exemplos, habilitamos a autenticação somente do Microsoft Entra durante a criação do servidor ou da instância gerenciada, com um administrador de servidor e uma senha atribuídos ao sistema. Isso impedirá o acesso do administrador do servidor quando a autenticação somente do Microsoft Entra estiver habilitada e permitirá que o administrador do Microsoft Entra acesse o recurso. É opcional adicionar parâmetros às APIs para incluir seu administrador do servidor e a senha durante a criação do servidor. No entanto, a senha não poderá ser redefinida até que você desabilite a autenticação somente do Microsoft Entra. Um exemplo de como usar esses parâmetros opcionais para especificar o nome de logon do administrador do servidor é apresentado na guia do PowerShell nesta página.
Observação
Para alterar as propriedades existentes após a criação do servidor ou da instância gerenciada, outras APIs existentes devem ser usadas. Para obter mais informações, confira Como gerenciar a autenticação somente do Microsoft Entra usando APIs e Como configurar e gerenciar a autenticação do Microsoft Entra com o SQL do Azure.
Se a autenticação somente do Microsoft Entra estiver definida como falso, que é o padrão, um administrador do servidor e uma senha precisarão ser incluídos em todas as APIs durante a criação de uma instância gerenciada ou de um servidor.
Banco de Dados SQL do Azure
Navegue até a página com a opção Selecionar implantação do SQL no portal do Azure.
Se você ainda não entrou no portal do Azure, entre quando solicitado.
Em Bancos de dados SQL, deixe Tipo de recurso definido como Banco de dados individual e selecione Criar.
Na guia Noções básicas do formulário Criar Banco de Dados SQL, em Detalhes do projeto, selecione a Assinatura do Azure desejada.
Para Grupo de recursos, selecione Criar, insira um nome para o grupo de recursos e selecione OK.
Para Nome do banco de dados, insira um nome para o seu banco de dados.
Para Servidor, selecione Criar e preencha o formulário de novo servidor com os seguintes valores:
- Nome do servidor: insira um nome exclusivo para o servidor. Os nomes dos servidores devem ser globalmente exclusivos para todos os servidores no Azure, não apenas para uma assinatura. Insira um valor e o portal do Azure informará se ele está disponível ou não.
- Localização: Selecione uma localização na lista suspensa
- Método de autenticação: selecione Usar autenticação do Microsoft Entra somente.
- Selecione Definir administrador para abrir o painel Microsoft Entra ID e selecione uma entidade de segurança do Microsoft Entra como administrador do Microsoft Entra do servidor lógico. Quando terminar, use o botão Selecionar para definir o administrador.
Selecione Avançar: Rede na parte inferior da página.
Na guia Rede, para Método de conectividade, selecione Ponto de extremidade público.
Para Regras de firewall, defina Adicionar endereço IP do cliente atual como Sim. Deixe Permitir que serviços e recursos do Azure acessem este servidor definido como Não.
Deixe as configurações Política de conexão e Versão mínima do TLS com seus valores padrões.
Selecione Próximo: Segurança na parte inferior da página. Defina qualquer uma das configurações no Microsoft Defender para SQL, Razão, Identidadee Criptografia de dados transparente no ambiente. Você também pode pular essas configurações.
Observação
Há suporte para o uso de uma identidade gerenciada atribuída pelo usuário como a identidade do servidor com a autenticação somente do Microsoft Entra. Para se conectar à instância como identidade, atribua-a a uma Máquina Virtual do Azure e execute o SSMS nessa VM. Para ambientes de produção, o uso de uma identidade gerenciada para o administrador do Microsoft Entra é recomendado devido às medidas de segurança aprimoradas e simplificadas com autenticação sem senha para recursos do Azure.
Selecione Revisar + criar na parte inferior da página.
Na página Examinar + criar, após examinar, selecione Criar.
Instância Gerenciada do Azure SQL
Navegue até a página com a opção Selecionar implantação do SQL no portal do Azure.
Se você ainda não entrou no portal do Azure, entre quando solicitado.
Em Instâncias gerenciadas de SQL, deixe Tipo de recurso definido como Instância individual e selecione Criar.
Preencha as informações obrigatórias necessárias na guia Noções básicas para obter Detalhes de projeto e Detalhes de Instância Gerenciada. Este é um conjunto mínimo de informações exigido para provisionar uma Instância Gerenciada de SQL.
Para obter mais informações sobre as opções de configuração, confira Início Rápido: criar Instância Gerenciada de SQL do Azure.
Em Autenticação, selecione Usar somente a autenticação do Microsoft Entra para o Método de autenticação.
Selecione Definir administrador para abrir o painel Microsoft Entra ID e selecione uma entidade de segurança do Microsoft Entra como seu administrador do Microsoft Entra de instância gerenciada. Quando terminar, use o botão Selecionar para definir o administrador.
Você pode deixar o restante das configurações padrão. Para obter mais informações sobre as guias Sistema de Rede, Segurança ou outras guias e configurações, siga o guia disponível no artigo Início Rápido: criar Instância Gerenciada de SQL do Azure.
Quando terminar de definir suas configurações, selecione Revisar + criar para continuar. Selecione Criar para iniciar o provisionamento da instância gerenciada.
Conceder permissões de Leitores de diretório
Depois que a implantação for concluída para sua instância gerenciada, você observará que a Instância Gerenciada de SQL precisa ter permissões de Leitura para acessar o Microsoft Entra ID. As permissões de leitura podem ser atribuídas ao selecionar a mensagem exibida no portal do Azure por uma pessoa com privilégios suficientes. Para obter mais informações, confira Função Leitores de diretório no Microsoft Entra ID para o SQL do Azure.
Limitações
- Para redefinir a senha do administrador do servidor, a autenticação somente do Microsoft Entra precisa ser desabilitada.
- Se a autenticação apenas do Microsoft Entra estiver desabilitada, você precisará criar um servidor com um administrador do servidor e uma senha ao usar todas as APIs.
Conteúdo relacionado
- Se você já tiver um servidor lógico ou uma instância gerenciada de SQL e quiser apenas habilitar a autenticação apenas do Microsoft Entra, confira Tutorial: Habilitar a autenticação apenas do Microsoft Entra com o SQL do Azure.
- Para obter mais informações sobre o recurso de autenticação somente do Microsoft Entra, confira Autenticação somente do Microsoft Entra com o SQL do Azure.
- Se você estiver procurando impor a criação do servidor com a autenticação somente do Microsoft Entra habilitada, confira Azure Policy para autenticação somente do Microsoft Entra com o SQL do Azure