Atribuir função para habilitar a autenticação somente do Microsoft Entra
Para habilitar ou desabilitar a autenticação somente do Microsoft Entra, as funções internas selecionadas são necessárias para os usuários do Microsoft Entra que executam essas operações neste tutorial. Vamos atribuir a função Gerenciador de Segurança de SQL ao usuário neste tutorial.
Em nosso exemplo, atribuiremos a função Gerenciador de Segurança de SQL ao usuário UserSqlSecurityManager@contoso.onmicrosoft.com. Usando o usuário privilegiado que pode atribuir funções do Microsoft Entra, entre no portal do Azure.
Vá para o recurso de servidor do SQL e selecione Controle de acesso (IAM) no menu. Selecione o botão Adicionar e Adicionar atribuição de função no menu suspenso.
No painel Adicionar atribuição de função, selecione a função Gerenciador de Segurança de SQL e selecione o usuário que você deseja que tenha a capacidade de habilitar ou desabilitar a autenticação do Microsoft Entra somente.
Acesse o recurso instância gerenciada SQL e selecione Administrador do Microsoft Entra no menu Configurações.
Se você não tiver adicionado um administrador do Microsoft Entra, precisará definir isso antes de habilitar a autenticação somente do Microsoft Entra.
Marque a caixa de seleção Suporte apenas à autenticação do Microsoft Entra para esta instância gerenciada.
O pop-up Habilitar somente a autenticação do Microsoft Entra será exibido. Selecione Sim para habilitar o recurso e salve a configuração.
Habilitar no Banco de Dados SQL usando a CLI do Azure
Para habilitar a autenticação somente do Microsoft Entra no Banco de Dados SQL do Azure usando a CLI do Azure, confira os comandos abaixo. Instale a versão mais recente da CLI do Azure. Você precisa ter a CLI do Azure versão 2.14.2 ou superior. Para obter mais informações sobre esses comandos, confira az sql server ad-only-auth.
O administrador do Microsoft Entra deve ser definido para o servidor antes da habilitação da autenticação somente do Microsoft Entra. Caso contrário, o comando da CLI do Azure falhará.
Para permissões e ações necessárias para o usuário executar esses comandos a fim de habilitar a autenticação somente do Microsoft Entra, confira o artigo Autenticação somente do Microsoft Entra.
Execute o comando a seguir, substituindo <myserver> pelo nome do SQL server e <myresource> pelo Recurso do Azure que contém o SQL Server.
az sql server ad-only-auth enable --resource-group <myresource> --name <myserver>
Habilitar na Instância Gerenciada de SQL usando a CLI do Azure
Para habilitar a autenticação somente do Microsoft Entra na Instância Gerenciada de SQL do Azure usando a CLI do Azure, confira os comandos abaixo. Instale a versão mais recente da CLI do Azure.
Execute o comando a seguir, substituindo <myserver> pelo nome do SQL server e <myresource> pelo Recurso do Azure que contém o SQL Server.
az sql mi ad-only-auth enable --resource-group <myresource> --name <myserver>
Habilitar um Banco de Dados SQL usando o PowerShell
Para habilitar a autenticação somente do Microsoft Entra no Banco de Dados SQL do Azure usando o PowerShell, confira os comandos abaixo. O módulo Az.Sql 2.10.0 ou superior é necessário para executar esses comandos. Para obter mais informações sobre esses comandos, confira Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication.
O administrador do Microsoft Entra deve ser definido para o servidor antes da habilitação da autenticação somente do Microsoft Entra. Caso contrário, o comando PowerShell falhará.
Para permissões e ações necessárias para o usuário executar esses comandos a fim de habilitar a autenticação somente do Microsoft Entra, confira o artigo Autenticação somente do Microsoft Entra. Se o usuário tiver permissões insuficientes, você receberá o seguinte erro:
Enable-AzSqlServerActiveDirectoryOnlyAuthentication : The client
'UserSqlServerContributor@contoso.onmicrosoft.com' with object id
'<guid>' does not have authorization to perform
action 'Microsoft.Sql/servers/azureADOnlyAuthentications/write' over scope
'/subscriptions/<guid>...'
Habilitar na Instância Gerenciada de SQL usando o PowerShell
Para habilitar a autenticação somente do Microsoft Entra na Instância Gerenciada de SQL do Azure usando o PowerShell, confira os comandos abaixo. O módulo Az.Sql 2.10.0 ou superior é necessário para executar esses comandos.
Execute o comando a seguir, substituindo <myinstance> pelo nome da Instância Gerenciada SQL e <myresource> pelo Recurso do Azure que contém a Instância Gerenciada de SQL.
Navegue até o recurso SQL Server no portal do Azure. Selecione Microsoft Entra ID no menu Configurações.
Verificar o status na Instância Gerenciada de SQL
Localize o nome do recurso de instância gerenciada de SQL no portal do Azure. Selecione Administrador do Microsoft Entra no menu Configurações.
Esses comandos podem ser usados para verificar se a autenticação somente do Microsoft Entra está habilitada no servidor lógico do Banco de Dados SQL do Azure ou da Instância Gerenciada de SQL. Os membros das funções Colaborador do SQL Server e Colaborador da Instância Gerenciada de SQL podem usar esses comandos para verificar o status da autenticação somente do Microsoft Entra, mas não podem habilitar nem desabilitar o recurso.
Esses comandos podem ser usados para verificar se a autenticação somente do Microsoft Entra está habilitada no servidor lógico do Banco de Dados SQL do Azure ou da Instância Gerenciada de SQL. Os membros das funções Colaborador do SQL Server e Colaborador da Instância Gerenciada de SQL podem usar esses comandos para verificar o status da autenticação somente do Microsoft Entra, mas não podem habilitar nem desabilitar o recurso.
O status retornará True se o recurso estiver habilitado e False se estiver desabilitado.
Execute o comando a seguir, substituindo <myinstance> pelo nome da Instância Gerenciada SQL e <myresource> pelo Recurso do Azure que contém a Instância Gerenciada de SQL.
Você deverá ver uma mensagem de falha no login semelhante à seguinte saída:
Cannot connect to <myserver>.database.windows.net.
Additional information:
Login failed for user 'username'. Reason: Azure Active Directory only authentication is enabled.
Please contact your system administrator. (Microsoft SQL Server, Error: 18456)
Desabilitar a Autenticação somente do Microsoft Entra
Ao desabilitar o recurso de autenticação somente do Microsoft Entra, você permite a autenticação SQL e a autenticação do Microsoft Entra para o SQL do Azure.
Vá para o recurso do SQL Server e selecione Microsoft Entra ID no menu Configurações.
Para desabilitar o recurso de autenticação somente do Microsoft Entra, desmarque a caixa de seleção Suporte apenas à autenticação do Microsoft Entra para este servidor e Salve a configuração.
Desabilitar na Instância Gerenciada de SQL usando o portal do Azure
Acesse o recurso instância gerenciada SQL e selecione Administrador do Active Directory no menu Configurações.
Para desabilitar o recurso de autenticação somente do Microsoft Entra, desmarque a caixa de seleção Suporte apenas à autenticação do Microsoft Entra para esta instância gerenciada e Salve a configuração.
Desabilitar no Banco de Dados SQL usando a CLI do Azure
Para desabilitar a autenticação somente do Microsoft Entra no Banco de Dados SQL do Azure usando a CLI do Azure, confira os comandos abaixo.
Execute o comando a seguir, substituindo <myinstance> pelo nome da Instância Gerenciada SQL e <myresource> pelo Recurso do Azure que contém a instância gerenciada.
Depois de desabilitar a autenticação somente do Microsoft Entra, teste a conexão usando um login de autenticação SQL. Agora você deve ser capaz de se conectar ao seu servidor ou instância.
Banco de Dados SQL do Azure 
