Microsoft Entra agora permite logins de servidor no Azure SQL Database: o que isso muda para sua estratégia de identidade?

A Microsoft liberou a disponibilidade geral (GA) da criação de server principals (logins) do Microsoft Entra ID no banco virtual master do Azure SQL Database. Isso significa que agora você pode executar CREATE LOGIN ... FROM EXTERNAL PROVIDER diretamente no master database, trazendo paridade com os logins SQL tradicionais para identidades gerenciadas pelo Entra. Para empresas brasileiras que buscam simplificar o gerenciamento de identidades e reduzir a dependência de senhas, essa mudança representa um passo importante na convergência entre segurança e operações.

Por que isso é importante para empresas brasileiras?

No Brasil, a conformidade com a LGPD e a necessidade de controle granular sobre acessos a bancos de dados são desafios constantes. Antes dessa feature, era possível autenticar usuários do Entra no Azure SQL Database apenas como contained database users — o que funcionava bem, mas não permitia gerenciar permissões no nível do servidor lógico. Com os server principals do Entra, você pode:

• Centralizar a administração de logins usando grupos e funções do Entra.
• Eliminar a criação manual de logins SQL e senhas armazenadas no banco.
• Utilizar políticas de acesso condicional e MFA do Entra antes da conexão SQL.
• Simplificar a auditoria, já que toda a autenticação fica registrada nos logs do Entra.

Para times de engenharia que gerenciam múltiplos ambientes (produção, staging, desenvolvimento) ou arquiteturas multi-tenant, a unificação de identidades reduz o atrito operacional e os riscos de vazamento de credenciais.

Como isso funciona na prática?

A implementação é direta: no banco virtual master do seu Azure SQL Database, use o comando:

CopiarCREATE LOGIN [nome_do_grupo_ou_usuario] FROM EXTERNAL PROVIDER;

Depois de criar o login, mapeie-o para um database user em cada banco de dados específico:

CopiarCREATE USER [nome_do_grupo_ou_usuario] FROM LOGIN [nome_do_grupo_ou_usuario];

O comportamento é idêntico ao de logins SQL, mas a validação da identidade é feita pelo Microsoft Entra. Você pode conceder permissões no nível do servidor (como ALTER ANY LOGIN ou VIEW SERVER STATE) diretamente ao principal do Entra.

Um ponto importante: essa feature está disponível em todas as regiões do Azure, incluindo as brasileiras (Brazil South e Brazil Southeast). Não há custo adicional — apenas os custos normais do Azure SQL Database e do Microsoft Entra ID (P1/P2 para recursos premium).

Quais os cenários de uso mais relevantes?

Três situações se destacam para times brasileiros:

1. Ambientes multi-tenant: se você gerencia bancos de dados para diferentes clientes, usar grupos dinâmicos do Entra como logins de servidor permite provisionar e revogar acesso sem tocar em SQL scripts.

2. Automação com pipelines CI/CD: ferramentas como GitHub Actions ou Azure DevOps podem usar managed identities autenticadas como server principals, eliminando a necessidade de armazenar senhas em secrets.

3. Migração de aplicações legadas: sistemas que usam autenticação baseada em logins SQL podem ser gradualmente migrados para o Entra sem quebrar compatibilidade, mantendo os mesmos privilégios.

Quais os pontos de atenção e limitações?

Apesar das vantagens, algumas práticas precisam ser observadas:

• Permissões administrativas: o login criado com FROM EXTERNAL PROVIDER não é automaticamente sysadmin. Você precisa conceder funções de servidor (como ##MS_ServerStateReader##) explicitamente ou associar o usuário a uma função via ALTER SERVER ROLE.
• Dependência de rede: a autenticação depende da comunicação com o Microsoft Entra. Em cenários com latência elevada, pode ocorrer um pequeno atraso na conexão (tipicamente < 100ms).
• MFA: o login do Entra não aplica MFA na conexão SQL; o MFA é solicitado durante a autenticação inicial no Entra, antes de estabelecer a sessão. Ou seja, você não consegue exigir MFA por login SQL — use políticas de acesso condicional no Entra.
• Compatibilidade com ferramentas: clientes mais antigos (SQL Server Management Studio anterior a 2019, ODBC drivers antigos) podem não suportar autenticação do Entra. Verifique a versão dos drivers nos seus workloads.

Perguntas Frequentes

• Qual a diferença prática entre um server principal do Entra e um login SQL tradicional?
  O server principal do Entra permite que identidades gerenciadas pelo Microsoft Entra ID (usuários, grupos ou aplicações) sejam autenticadas diretamente no servidor SQL, sem necessidade de senhas armazenadas localmente. Isso centraliza o ciclo de vida da identidade e facilita auditoria, pois todas as ações ficam registradas no Entra.

• Isso substitui a necessidade de usuários de banco de dados (database users) no Azure SQL?
  Não completamente. Server principals são logins no nível do servidor lógico. Eles permitem acesso ao servidor, mas ainda é necessário criar usuários de banco de dados (contained users) associados a esses logins para conceder acesso a bancos específicos. A novidade é que agora você pode usar o mesmo Entra identity como login e depois mapeá-lo para usuários nos databases.

• Quais as principais vantagens para empresas brasileiras que lidam com LGPD?
  A LGPD exige controle rigoroso sobre quem acessa dados pessoais. Com server principals do Entra, você pode usar grupos de segurança do Entra para gerenciar permissões de forma centralizada, reduzir senhas compartilhadas e gerar logs de acesso integrados ao Azure Monitor. Isso simplifica a demonstração de conformidade em auditorias.

• Existem limitações de performance ou disponibilidade no GA?
  A feature está disponível em todas as regiões do Azure SQL Database. Porém, lembre-se de que logins de servidor do Entra não suportam autenticação multifator (MFA) diretamente no login inicial do SQL; o MFA é aplicado na autenticação do Entra antes da conexão. Para cenários de alta latência, a dependência de rede do Entra pode adicionar alguns milissegundos, mas geralmente é irrelevante.

• Como isso afeta a migração de ambientes on-premises que usam SQL Server com Active Directory?
  Para quem migra do SQL Server on-premises com Windows Authentication para Azure SQL, o Entra server principal oferece um caminho mais nativo do que usar logins SQL. É possível mapear grupos do AD on-premises via sincronização com o Entra Connect. Durante a migração, é recomendável criar os logins no master database antes de mover os bancos, para evitar quebra de permissões.

---

Artigo originalmente publicado em Azure Updates - Latest from Azure Charts.