Função Leitores de Diretório na ID do Microsoft Entra para SQL do Azure

Aplica-se a:Banco de Dados SQL do Azure Azure SQLManaged InstanceAzure Synapse Analytics

O Microsoft Entra ID (anteriormente Azure Ative Directory) introduziu o uso de grupos para gerenciar atribuições de função. Isso permite que as funções do Microsoft Entra sejam atribuídas a grupos.

Nota

Com o suporte do Microsoft Graph para SQL do Azure, a função Leitores de Diretório pode ser substituída pelo uso de permissões de nível inferior. Para obter mais informações, consulte Identidade gerenciada atribuída pelo usuário no Microsoft Entra para Azure SQL.

Ao habilitar uma identidade gerenciada para o Banco de Dados SQL do Azure, a Instância Gerenciada SQL do Azure ou o Azure Synapse Analytics, a função Leitores de Diretório do Microsoft Entra ID pode ser atribuída à identidade para permitir acesso de leitura à API do Microsoft Graph. A identidade gerenciada do Banco de Dados SQL e do Azure Synapse é chamada de identidade do servidor. A identidade gerenciada da Instância Gerenciada do SQL é chamada de identidade da instância gerenciada e é atribuída automaticamente quando a instância é criada. Para obter mais informações sobre como atribuir uma identidade de servidor ao Banco de Dados SQL ou à Sinapse do Azure, consulte Habilitar entidades de serviço para criar usuários do Microsoft Entra.

A função Leitores de Diretório pode ser usada como a identidade do servidor ou da instância para ajudar:

  • Criar logons do Microsoft Entra para instância gerenciada SQL
  • Representar usuários do Microsoft Entra no Azure SQL
  • Migrar usuários do SQL Server que usam a autenticação do Windows para a Instância Gerenciada do SQL com a autenticação do Microsoft Entra (usando o comando ALTER USER (Transact-SQL))
  • Alterar o administrador do Microsoft Entra para Instância Gerenciada SQL
  • Permitir que entidades de serviço (Aplicativos) criem usuários do Microsoft Entra no Azure SQL

Nota

Microsoft Entra ID é o novo nome para o Azure Ative Directory (Azure AD). Estamos atualizando a documentação neste momento.

Atribuindo a função Leitores de Diretório

Para atribuir a função Leitores de Diretório a uma identidade, é necessário um usuário com permissões de Administrador Global ou Administrador de Função Privilegiada. Os usuários que geralmente gerenciam ou implantam o Banco de Dados SQL, a Instância Gerenciada do SQL ou o Azure Synapse podem não ter acesso a essas funções altamente privilegiadas. Isso geralmente pode causar complicações para os usuários que criam recursos SQL do Azure não planejados ou precisam da ajuda de membros de função altamente privilegiados que geralmente são inacessíveis em grandes organizações.

Para Instância Gerenciada SQL, a função Leitores de Diretório deve ser atribuída à identidade da instância gerenciada antes que você possa configurar um administrador do Microsoft Entra para a instância gerenciada.

A atribuição da função Leitores de Diretório à identidade do servidor não é necessária para o Banco de Dados SQL ou a Sinapse do Azure ao configurar um administrador do Microsoft Entra para o servidor lógico. No entanto, para habilitar a criação de objetos do Microsoft Entra no Banco de Dados SQL ou no Azure Synapse em nome de um aplicativo Microsoft Entra, a função Leitores de Diretório é necessária. Se a função não for atribuída à identidade do servidor lógico, a criação de usuários do Microsoft Entra no SQL do Azure falhará. Para obter mais informações, consulte Entidade de serviço do Microsoft Entra com Azure SQL.

Concedendo a função Leitores de Diretório a um grupo do Microsoft Entra

Agora você pode fazer com que um Administrador Global ou Administrador de Função Privilegiada crie um grupo do Microsoft Entra e atribua a permissão Leitores de Diretório ao grupo. Isso permitirá o acesso à API do Microsoft Graph para membros desse grupo. Além disso, os usuários do Microsoft Entra que são proprietários desse grupo têm permissão para atribuir novos membros para esse grupo, incluindo identidades dos servidores lógicos.

Essa solução ainda requer um usuário de alto privilégio (Administrador Global ou Administrador de Função Privilegiada) para criar um grupo e atribuir usuários como uma atividade única, mas os proprietários do grupo Microsoft Entra poderão atribuir membros adicionais no futuro. Isso elimina a necessidade de envolver um usuário de alto privilégio no futuro para configurar todos os bancos de dados SQL, instâncias gerenciadas SQL ou servidores Azure Synapse em seu locatário do Microsoft Entra.

Próximos passos