Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Aplica-se a:
Banco de Dados SQL do AzureInstância Gerenciada SQL do Azure do Azure Synapse Analytics
O Microsoft Entra ID (anteriormente Azure Ative Directory) introduziu o uso de grupos para gerenciar atribuições de função. Isso permite que as funções do Microsoft Entra sejam atribuídas a grupos.
Observação
Com suporte do Microsoft Graph para SQL do Azure, a função Leitores de Diretório pode ser substituída pelo uso de permissões de nível inferior. Para obter mais informações, consulte Identidades gerenciadas no Microsoft Entra para Azure SQL.
Ao habilitar uma identidade gerenciada para o Banco de Dados SQL do Azure, a Instância Gerenciada SQL do Azure ou o Azure Synapse Analytics, a função Leitores de Diretório do Microsoft Entra ID pode ser atribuída à identidade para permitir acesso de leitura à API do Microsoft Graph. A identidade gerenciada do Banco de Dados SQL e do Azure Synapse é chamada de identidade do servidor. A identidade gerenciada da Instância Gerenciada do SQL é chamada de identidade da instância gerenciada e é atribuída automaticamente quando a instância é criada. Para obter mais informações sobre como atribuir uma identidade de servidor ao Banco de Dados SQL ou à Sinapse do Azure, consulte Habilitar entidades de serviço para criar usuários do Microsoft Entra.
A função Leitores de Diretório pode ser usada como a identidade do servidor ou da instância para ajudar:
- Criar logons do Microsoft Entra para instância gerenciada SQL
- Personificar utilizadores do Microsoft Entra no Azure SQL
- Migrar usuários do SQL Server que usam a autenticação do Windows para a Instância Gerenciada do SQL com a autenticação do Microsoft Entra (usando o comando ALTER USER (Transact-SQL))
- Alterar o Administrador do Microsoft Entra para a Instância Gerenciada do SQL
- Permitir que entidades de serviço (Aplicativos) criem usuários do Microsoft Entra no Azure SQL
Observação
O Microsoft Entra ID era conhecido anteriormente como Azure Ative Directory (Azure AD).
Atribuir a função Leitores de Diretório
Para atribuir a função Leitores de Diretório a uma identidade, é necessário um usuário com Administrador de Função Privilegiada ou permissões superiores. Os usuários que geralmente gerenciam ou implantam o Banco de Dados SQL, a Instância Gerenciada do SQL ou o Azure Synapse podem não ter acesso a essas funções altamente privilegiadas. Isso geralmente pode causar complicações para os usuários que criam recursos SQL do Azure não planejados ou precisam da ajuda de membros de função altamente privilegiados que geralmente são inacessíveis em grandes organizações.
Para a Instância Gerenciada do SQL, a função Leitores de Diretório ou as permissões de nível inferior discutidas em Identidades gerenciadas no Microsoft Entra para SQL do Azure devem ser atribuídas à identidade da instância gerenciada antes que você possa configurar um administrador do Microsoft Entra para a instância gerenciada.
Não é necessária a atribuição da função Leitores de Diretório à identidade do servidor para o SQL Database ou o Azure Synapse ao configurar um administrador do Microsoft Entra para o servidor lógico. No entanto, para habilitar a criação de objetos do Microsoft Entra no Banco de Dados SQL ou no Azure Synapse em nome de um aplicativo Microsoft Entra, a função Leitores de Diretório ou as permissões de nível inferior discutidas em Identidades gerenciadas no Microsoft Entra para SQL do Azure são necessárias. Se a função ou as permissões não forem atribuídas à identidade do servidor lógico, a criação de usuários do Microsoft Entra no SQL do Azure falhará. Para obter mais informações, consulte Entidades de serviço do Microsoft Entra no Azure SQL.
Atribuir a função Leitores de Diretório a um grupo do Microsoft Entra
Você pode fazer com que um Administrador de Função Privilegiada crie um grupo do Microsoft Entra e atribua a permissão Leitores de Diretório ao grupo. Isso permitirá o acesso à API do Microsoft Graph para membros desse grupo. Além disso, os usuários do Microsoft Entra que são proprietários desse grupo têm permissão para atribuir novos membros para esse grupo, incluindo identidades dos servidores lógicos.
Esta solução ainda requer um usuário de alto privilégio (Privileged Role Administrator ou permissões superiores) para criar um grupo e atribuir usuários como uma atividade única, mas os proprietários do grupo Microsoft Entra poderão atribuir membros adicionais no futuro. Isso elimina a necessidade de envolver, no futuro, um utilizador com altos privilégios para configurar todos os bancos de dados SQL, instâncias geridas de SQL ou servidores Azure Synapse no locatário do Microsoft Entra.