Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo fornece uma visão geral de como configurar a infraestrutura e instâncias SQL gerenciadas para implementar a Autenticação do Windows para principais na Instância Gerenciada de SQL do Azure com o Microsoft Entra ID (anteriormente Azure Active Directory).
Há duas fases para configurar a Autenticação do Windows para a Instância Gerenciada de SQL do Azure usando a ID do Microsoft Entra e o Kerberos.
-
Configuração de infraestrutura feita uma única vez.
- Sincronize o AD (Active Directory) e a ID do Microsoft Entra, se isso ainda não tiver sido feito.
- Habilite o fluxo de autenticação interativa moderno, quando disponível. O fluxo interativo moderno é recomendado para organizações com clientes associados ao Microsoft Entra ou híbridos associados executando Windows 10 20H1 / Windows Server 2022 e superior.
- Configure o fluxo de autenticação baseado em confiança de entrada. Isso é recomendado para clientes que não podem usar o fluxo interativo moderno, mas que têm clientes ingressados no AD executando o Windows 10/Windows Server 2012 e superior.
-
Configuração da Instância Gerenciada de SQL do Azure.
- Crie um princípio de serviço atribuído pelo sistema para cada instância gerenciada do SQL.
Observação
O Microsoft Entra ID era anteriormente conhecido como Azure Active Directory (Azure AD).
Configuração única de infraestrutura
A primeira etapa na configuração da infraestrutura é sincronizar o AD com a ID do Microsoft Entra, se isso ainda não tiver sido concluído.
Depois disso, um administrador do sistema configura fluxos de autenticação. Dois fluxos de autenticação estão disponíveis para implementar Windows Authentication para identidades do Microsoft Entra na Azure SQL Managed Instance.
- O fluxo baseado em confiança de entrada dá suporte a clientes ingressados no AD que executam o Windows Server 2012 ou superior.
- O fluxo interativo moderno oferece suporte a dispositivos vinculados ao Microsoft Entra que executam o Windows 10 21H1 ou versões superiores.
Sincronizar o AD com a ID do Microsoft Entra
Os clientes devem primeiro implementar o Microsoft Entra Connect para integrar diretórios locais à ID do Microsoft Entra.
Selecione quais fluxos de autenticação você implementará
O diagrama a seguir mostra a qualificação e a funcionalidade principal do fluxo interativo moderno e o fluxo baseado em confiança de entrada:
Uma árvore de decisão mostrando que o fluxo interativo moderno é adequado para clientes que executam o Windows 10 20H1 ou superior ou Windows Server 2022 ou superior, onde os clientes estão unidos ao Microsoft Entra ou associados ao Microsoft Entra híbrido. O fluxo de confiança de entrada é adequado para clientes que executam o Windows 10 ou o Windows Server 2012 ou superior, em que os clientes estão vinculados ao AD.
O fluxo interativo moderno funciona com clientes habilitados executando o Windows 10 21H1 e superior que são ingressados no Microsoft Entra ou ingressados no Microsoft Entra híbrido. No fluxo interativo moderno, os usuários podem acessar a Instância Gerenciada de SQL do Azure sem exigir uma linha de visão para controladores de domínio (DCs). Não é necessário criar um objeto de confiança no AD do cliente. Para habilitar o fluxo interativo moderno, um administrador definirá a política de grupo para tíquetes de autenticação Kerberos (TGT) a serem usados durante o logon.
O fluxo baseado em confiança de entrada funciona para clientes que executam o Windows 10 ou o Windows Server 2012 e superior. Esse fluxo requer que os clientes sejam associados ao AD e tenham alcance ao AD das instalações locais. No fluxo baseado em confiança de entrada, um objeto de confiança é criado no AD do cliente e está registrado na ID do Microsoft Entra. Para habilitar o fluxo baseado em confiança de entrada, um administrador configurará uma relação de confiança de entrada com o Microsoft Entra ID e configurará o Proxy Kerberos por meio da política de grupo.
Fluxo de autenticação interativa moderno
Os seguintes pré-requisitos são necessários para implementar o fluxo de autenticação interativa moderno:
| Pré-requisito | Description |
|---|---|
| Os clientes devem executar o Windows 10 20H1, o Windows Server 2022 ou uma versão superior do Windows. | |
| Os clientes devem ser ingressados no Microsoft Entra ou ingressados no Microsoft Entra híbrido. | Você pode determinar se esse pré-requisito é atendido executando o comando dsregcmd: dsregcmd.exe /status |
| O aplicativo deve se conectar à instância gerenciada de SQL por meio de uma sessão interativa. | Isso dá suporte a aplicativos como o SSMS (SQL Server Management Studio) e aplicativos Web, mas não funcionará para aplicativos executados como um serviço. |
| Locatário do Microsoft Entra. | |
| Assinatura do Azure no mesmo locatário do Microsoft Entra que você planeja usar para autenticação. | |
| Microsoft Entra Connect instalado. | Ambientes híbridos em que as identidades existem tanto na ID do Microsoft Entra quanto no AD. |
Veja como configurar Autenticação do Windows para Entra ID da Microsoft com o fluxo interativo moderno para conferir os procedimentos para habilitar esse fluxo de autenticação.
Fluxo de autenticação baseado em confiança de entrada
Os seguintes pré-requisitos são necessários para implementar o fluxo de autenticação baseado em confiança de entrada:
| Pré-requisito | Description |
|---|---|
| O cliente deve executar o Windows 10, Windows Server 2012 ou uma versão superior do Windows. | |
| Os clientes devem ser ingressados no AD. O domínio deve ter um nível funcional de Windows Server 2012 ou superior. | É possível determinar se o cliente está ingressado no AD executando o comando dsregcmd: dsregcmd.exe /status |
| Módulo de Gerenciamento de Autenticação Híbrida do Azure AD. | Este módulo do PowerShell fornece recursos de gerenciamento para instalação local. |
| Locatário do Microsoft Entra. | |
| Assinatura do Azure no mesmo locatário do Microsoft Entra que você planeja usar para autenticação. | |
| Microsoft Entra Connect instalado. | Ambientes híbridos em que as identidades existem tanto na ID do Microsoft Entra quanto no AD. |
Veja como configurar a autenticação do Windows para a ID do Microsoft Entra usando o procedimento baseado em confiança de entrada para obter instruções sobre como habilitar esse procedimento de autenticação.
Configurar a Instância Gerenciada de SQL do Azure
As etapas para configurar a Instância Gerenciada de SQL do Azure são as mesmas para o fluxo de autenticação baseado em confiança de entrada e o fluxo de autenticação interativa moderno.
Pré-requisitos para configurar uma instância gerenciada de SQL
Os seguintes pré-requisitos são necessários para configurar uma instância gerenciada de SQL para entidades de segurança do Windows Authentication for Microsoft Entra:
| Pré-requisito | Description |
|---|---|
| Módulo Az.Sql do PowerShell | Este módulo do PowerShell fornece cmdlets de gerenciamento para recursos de SQL do Azure. Instale este módulo executando o seguinte comando do PowerShell: Install-Module -Name Az.Sql |
| Módulo PowerShell do Microsoft Graph | Este módulo fornece cmdlets de gerenciamento para tarefas administrativas do Microsoft Entra ID, como gerenciamento de usuário e entidade de serviço. Instale este módulo executando o seguinte comando do PowerShell: Install-Module –Name Microsoft.Graph |
| Uma instância gerenciada de SQL | Você pode criar uma nova instância gerenciada de SQL ou usar uma instância gerenciada de SQL existente. |
Configurar cada instância gerenciada de SQL
Consulte Configurar a Instância Gerenciada de SQL do Azure para Autenticação do Windows para Microsoft Entra ID para obter etapas para configurar cada instância gerenciada de SQL.
Limitações
As seguintes limitações se aplicam à autenticação do Windows para principais do Microsoft Entra na Instância Gerenciada de SQL do Azure:
Não disponível para clientes Linux
A Autenticação do Windows para entidades de segurança do Microsoft Entra atualmente tem suporte apenas para computadores cliente que executam o Windows.
Logon armazenado em cache da ID do Microsoft Entra
O Windows limita a frequência de conexão à ID do Microsoft Entra ID, portanto, existe um potencial de que as contas de usuário não obtenham um tíquete de concessão atualizado de ingresso Kerberos (TGT) dentro de 4 horas após uma atualização ou uma nova implantação de um computador cliente. Contas de usuário que não têm um TGT atualizado fazem com que as solicitações de ticket falhem no Microsoft Entra ID.
Como administrador, você pode disparar um logon online imediatamente para lidar com cenários de atualização executando o seguinte comando no computador cliente e, em seguida, bloqueando e desbloqueando a sessão do usuário para obter um TGT atualizado:
dsregcmd.exe /RefreshPrt
Conteúdo relacionado
- O que é Autenticação do Windows para as entidades de segurança do Microsoft Entra na Instância Gerenciada de SQL do Azure?
- Como a Autenticação do Windows para a Instância Gerenciada de SQL do Azure é implementada com o Microsoft Entra ID e Kerberos (versão preliminar)
- Como configurar a Autenticação do Windows para o Microsoft Entra ID com o fluxo interativo moderno
- Como configurar a Autenticação do Windows para o Microsoft Entra ID com o fluxo baseado em relação de confiança de entrada
- Configurar a Instância Gerenciada de SQL do Azure para Autenticação do Windows para a ID do Microsoft Entra