Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Aplica-se a:
Banco de Dados SQL do AzureInstância Gerenciada SQL do Azure do Azure Synapse Analytics
Este artigo orienta você na criação de um grupo no Microsoft Entra ID (anteriormente Azure Ative Directory) e na atribuição a esse grupo da funçãoLeitores de Diretório. As permissões de Leitores de Diretório permitem que os proprietários do grupo adicionem membros adicionais ao grupo, como uma de identidade gerenciada de do Banco de Dados SQL do Azure, de Instância Gerenciada SQL do Azure e do Azure Synapse Analytics. Isso ignora a necessidade de um Administrador de Função Privilegiada atribuir a função Leitores de Diretório diretamente a cada identidade do servidor lógico no locatário.
Observação
Microsoft Entra ID era anteriormente conhecido como Azure Ative Directory (Azure AD).
Este tutorial usa o recurso introduzido em Usar grupos do Microsoft Entra para gerenciar atribuições de função.
Para obter mais informações sobre os benefícios de atribuir a função de Leitores de Diretório a um grupo do Microsoft Entra para Azure SQL, consulte função de Leitores de Diretório no Microsoft Entra ID para Azure SQL.
Observação
Com suporte do Microsoft Graph para SQL do Azure, a função Leitores de Diretório pode ser substituída pelo uso de permissões de nível inferior. Para obter mais informações, consulte Identidades gerenciadas no Microsoft Entra para Azure SQL.
Pré-requisitos
- Um inquilino da Microsoft Entra. Para obter mais informações, consulte Configurar e gerir a autenticação de Microsoft Entra com Azure SQL.
- Um Banco de Dados SQL, Instância Gerenciada SQL ou Sinapse do Azure.
Atribuição de função de Leitores de Diretório usando o portal do Azure
Criar um novo grupo e atribuir proprietários e funções
- Um usuário com permissões de Administrador de Função Privilegiada é necessário para essa configuração inicial.
- Faça com que o utilizador privilegiado inicie sessão no portal do Azure.
- Vá para o recurso Microsoft Entra ID. Em Gerir, aceda a Grupos. Selecione novo grupo para criar um novo grupo.
- Selecione Segurança como o tipo de grupo e preencha o restante dos campos. Certifique-se de que a configuração funções do Microsoft Entra podem ser atribuídas ao grupo esteja definida para Sim. Em seguida, atribua ao grupo a função de Leitor de Diretório do ID do Microsoft Entra .
- Atribua utilizadores do Microsoft Entra como proprietários ao grupo que foi criado. Um proprietário de grupo pode ser um usuário regular do AD sem qualquer função administrativa do Microsoft Entra atribuída. O proprietário deve ser um usuário que esteja gerenciando seu Banco de Dados SQL, Instância Gerenciada SQL ou Sinapse do Azure.
- Selecione Criar
Verifique o grupo que foi criado
Observação
Certifique-se de que o Tipo de Grupo é Segurança. Os grupos do Microsoft 365 não têm suporte para o Azure SQL.
Para verificar e gerir o grupo que foi criado, volte ao painel Grupos no portal do Azure e procure o nome do grupo. Proprietários e membros adicionais podem ser adicionados no menu Proprietários e Membros da configuração Gerir, depois de selecionar o seu grupo. Também pode rever as Funções atribuídas para o grupo.
Adicionar identidade gerenciada SQL do Azure ao grupo
Observação
Estamos usando a Instância Gerenciada do SQL para este exemplo, mas etapas semelhantes podem ser aplicadas ao Banco de Dados SQL ou ao Azure Synapse para obter os mesmos resultados.
Para as etapas subsequentes, o usuário Privileged Role Administrator não é mais necessário.
Entre no portal do Azure como o usuário que gerencia a Instância Gerenciada do SQL e é proprietário do grupo criado anteriormente.
Encontre o nome da sua instância gerenciada SQL recurso no portal do Azure.
Durante o provisionamento da Instância Gerenciada do SQL, uma identidade do Microsoft Entra é criada para sua instância, registrando-a como um aplicativo Microsoft Entra. A identidade possui o mesmo nome que o prefixo do nome da sua Instância Gerenciada SQL. Você pode encontrar a identidade (também conhecida como entidade de serviço) para sua Instância Gerenciada SQL seguindo estas etapas:
- Vá para o recurso Microsoft Entra ID. Na configuração Gerir, selecione aplicações empresariais. O ID de objeto é a identidade da instância.
Vá para o recurso Microsoft Entra ID. Em Gerir, aceda a Grupos. Selecione o grupo que criou. Na configuração Gerenciar do seu grupo, selecione Membros. Selecione Adicionar membros e adicione a sua entidade de serviço de Instância Gerenciada SQL como membro do grupo, procurando o nome mencionado acima.
Observação
Poderá demorar alguns minutos para propagar as permissões do principal de serviço através do sistema da Azure e permitir o acesso ao Microsoft Graph. Talvez seja necessário aguardar alguns minutos antes de provisionar um administrador do Entra da Microsoft para a Instância Gerida do SQL.
Observações
Para o Banco de Dados SQL e o Azure Synapse, a identidade do servidor pode ser criada durante a criação do servidor lógico ou após a criação do servidor. Para obter mais informações sobre como criar ou definir a identidade do servidor no Banco de Dados SQL ou na Sinapse do Azure, consulte Habilitar entidades de serviço para criar usuários do Microsoft Entra.
Para o SQL Managed Instance, a função Leitores de Diretório deve ser atribuída à identidade da instância gerida antes de configurar um administrador Microsoft Entra para a instância gerida.
Não é necessária a atribuição da função Leitores de Diretório à identidade do servidor para o SQL Database ou o Azure Synapse ao configurar um administrador do Microsoft Entra para o servidor lógico. No entanto, para habilitar a criação de objetos do Microsoft Entra no Banco de Dados SQL ou no Azure Synapse em nome de um aplicativo Microsoft Entra, a função Leitores de Diretório (ou permissões de nível inferior discutidas em Identidades gerenciadas no Microsoft Entra para Azure SQL) é necessária. Se a função não for atribuída à identidade do servidor lógico, a criação de utilizadores Microsoft Entra no Azure SQL falhará. Para obter mais informações, consulte Entidades de serviço do Microsoft Entra no Azure SQL.
Atribuição da função de Leitura de Diretório usando o PowerShell
Importante
Um Administrador de Função Privilegiada precisará executar estas etapas iniciais. Além do PowerShell, o Microsoft Entra ID oferece a API do Microsoft Graph para Criar um grupo atribuível a funções no Microsoft Entra ID.
Baixe o módulo do Microsoft Graph PowerShell usando os comandos a seguir. Talvez seja necessário executar o PowerShell como administrador.
Install-Module Microsoft.Graph.Authentication Import-Module Microsoft.Graph.Authentication # To verify that the module is ready to use, run the following command: Get-Module Microsoft.Graph.AuthenticationConecte-se ao seu locatário do Microsoft Entra.
Connect-MgGraphCrie um grupo de segurança para atribuir a função Leitores de Diretório.
-
DirectoryReaderGroup,Directory Reader GroupeDirReadpodem ser alterados de acordo com a sua preferência.
$group = New-MgGroup -DisplayName "DirectoryReaderGroup" -Description "Directory Reader Group" -SecurityEnabled:$true -IsAssignableToRole:$true -MailEnabled:$false -MailNickname "DirRead" $group-
Atribua a função Leitores de Diretório ao grupo.
# Displays the Directory Readers role information $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Directory Readers'" $roleDefinition# Assigns the Directory Readers role to the group $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id $roleAssignmentAtribua proprietários ao grupo.
- Substitua
<username>pelo usuário que você deseja possuir esse grupo. Vários proprietários podem ser adicionados repetindo essas etapas.
$newGroupOwner = Get-MgUser -UserId "<username>" $newGroupOwner$GrOwner = New-MgGroupOwnerByRef -GroupId $group.Id -OdataId "https://graph.microsoft.com/v1.0/users/$($newGroupOwner.Id)"Confira os proprietários do grupo:
Get-MgGroupOwner -GroupId $group.IdVocê também pode verificar os proprietários do grupo no portal do Azure. Siga as etapas em Verificando o grupo que foi criado.
- Substitua
Atribuir o principal de serviço como membro do grupo
Para as etapas subsequentes, o usuário Privileged Role Administrator não é mais necessário.
Usando um proprietário do grupo que também gerencia o recurso SQL do Azure, execute o seguinte comando para se conectar à sua ID do Microsoft Entra.
Connect-MgGraphAtribua a entidade de serviço como membro do grupo que foi criado.
- Substitua
<ServerName>pelo nome do servidor lógico ou da instância gerenciada. Para obter mais informações, consulte a seção Adicionar identidade de serviço SQL do Azure ao grupo
# Returns the service principal of your Azure SQL resource $managedIdentity = Get-MgServicePrincipal -Filter "displayName eq '<ServerName>'" $managedIdentity# Adds the service principal to the group New-MgGroupMember -GroupId $group.Id -DirectoryObjectId $managedIdentity.IdO comando a seguir retornará a ID do objeto da entidade de serviço indicando que ela foi adicionada ao grupo:
Get-MgGroupMember -GroupId $group.Id -Filter "Id eq '$($managedIdentity.Id)'"- Substitua