Невозможно добавить группу Azure AD как пользователя в базу данных SQL Azure.

Question

Я хочу выполнить следующую задачу:

1. Назначить X AD Group как пользователя в базе данных
2. Назначить разрешение на полное управление базой данных, относящейся к этой группе AD

Я использую следующие запросы:

SELECT * FROM SYS.DATABASE_PRINCIPALS --> Check/confirm If group exists in the SQL Database

CREATE USER [SQLGroup] FROM EXTERNAL PROVIDER --> Create the group inside the SQL Database

EXEC sp_addrolemember 'db_datareader', 'SQLGroup' --> Provide Reader access to the group

Вышеприведенные запросы работают для группы AD Azure, для которой элемент MembershipType имеет значение «Синхронизировано», но не работает для группы с Членством в качестве «Назначено». Я выполняю аутентификацию с помощью единого входа Azure AD. Я почти уверен, что у меня нет проблем с разрешениями, поскольку я являюсь владельцем подписки и базы данных SQL Azure.

Ошибка:

Failed to execute query. Error: Cannot add the principal 'Test-AnalyticsWro1', because it does not exist or you do not have permission.

Answer 1

Я говорил с MSFT и понял, что это поведение ByDesign.Оператор зависит от «GroupType», а не «MembershipType».Если GroupType = 'Office', SQL-запрос не выполняется.То есть он не добавит эту группу AD в качестве пользователя SQL в базу данных SQL Azure.