Configurar a identidade gerenciada para servidores vinculados

Aplica-se a: Aplica-se a: SQL Server 2025 (17.x)

O SQL Server 2025 apresenta suporte de identidade gerenciada para servidores vinculados, habilitando a autenticação segura e sem credenciais entre instâncias do SQL Server. Essa funcionalidade está disponível para o SQL Server em Máquinas Virtuais do Azure e o SQL Server habilitado pelo Azure Arc. Com a autenticação de identidade gerenciada, você pode estabelecer conexões de servidor vinculadas sem gerenciar senhas ou armazenar credenciais, aprimorando sua postura de segurança e simplificando o gerenciamento de credenciais.

Este artigo mostra como configurar conexões de servidor vinculadas usando a autenticação de identidade gerenciada. Você configurará o servidor de origem para iniciar conexões e o servidor de destino para aceitar a autenticação baseada em identidade gerenciada.

Pré-requisitos

Antes de começar, verifique se você tem o seguinte:

• SQL Server 2025 em execução em:
  • Máquina Virtual do Azure com extensão do Agente IaaS do SQL Server instalada ou
  • Máquina virtual ou local com o Azure Arc habilitado
• Autenticação do Microsoft Entra configurada em servidores de origem e de destino
• Conectividade de rede entre servidores de origem e de destino com regras de firewall apropriadas
• Permissões apropriadas para criar logons e configurar servidores vinculados em ambas as instâncias
• Para máquinas virtuais do Azure: extensões SqlIaasExtension e AADLogin habilitadas
• Para instâncias habilitadas para Azure Arc: agente do Azure Arc instalado e configurado

Requisitos da Máquina Virtual do Azure

Ao usar o SQL Server em Máquinas Virtuais do Azure:

• Verifique se as extensões SqlIaasExtension e AADLogin estão instaladas. Essas extensões são incluídas por padrão ao implantar a partir do modelo do SQL Server do Azure Marketplace.
• Configure a autenticação do Microsoft Entra seguindo as diretrizes em Habilitar a autenticação do Microsoft Entra para SQL Server em VMs do Azure.
• Verifique se as máquinas virtuais permitem o tráfego de rede de entrada e de saída para a comunicação do SQL Server.
• Configure regras de firewall em cada máquina virtual para permitir o tráfego do SQL Server.

Requisitos de ativação do Azure Arc

Ao usar o SQL Server habilitado pelo Azure Arc:

1. Instale e configure o Azure Arc em suas instâncias do SQL Server 2025 seguindo os pré-requisitos do SQL Server habilitado pelo Azure Arc.
2. Configure a autenticação do Microsoft Entra usando as diretrizes em Configurar a autenticação do Microsoft Entra com o registro do aplicativo.
3. Verifique a conectividade de rede entre os servidores de origem e de destino.

Criar logon no servidor de destino

O servidor de destino deve ter um logon que corresponda ao nome do servidor de origem. Quando o servidor de origem se conecta usando a identidade gerenciada, ele se autentica usando a identidade gerenciada do computador. O servidor de destino valida essa identidade correspondendo-a a um logon criado de um provedor externo.

1. Conecte-se à instância do SQL Server de destino.

2. Crie um logon usando o nome do servidor de origem:

   USE [master];
   GO
   
   CREATE LOGIN [AzureSQLVMSource]
   FROM EXTERNAL PROVIDER
   WITH DEFAULT_DATABASE = [master],
        DEFAULT_LANGUAGE = [us_english];
   GO
   

3. Conceda ao logon as permissões apropriadas no nível do servidor. Por exemplo, para conceder sysadmin a função:

   ALTER SERVER ROLE [sysadmin] ADD MEMBER [AzureSQLVMSource];
   GO
   

   Dica

   Aplique o princípio de privilégio mínimo concedendo apenas as permissões necessárias para seu caso de uso específico em vez de usar sysadmin.

Configurar o servidor vinculado no servidor de origem

Depois de criar o logon no servidor de destino, configure a conexão do servidor vinculado no servidor de origem. Essa configuração usa o MSOLEDBSQL provedor com autenticação de identidade gerenciada.

1. Conecte-se à instância do SQL Server de origem.

2. Crie o servidor vinculado usando sp_addlinkedserver:

   USE [master];
   GO
   
   EXEC master.dbo.sp_addlinkedserver
       @server = N'AzureSQLVMDestination',
       @srvproduct = N'',
       @provider = N'MSOLEDBSQL',
       @datasrc = N'AzureSQLVMDestination',
       @provstr = N'Authentication=ActiveDirectoryMSI;';
   GO
   

   O @provstr parâmetro especifica ActiveDirectoryMSI a autenticação, que instrui o servidor vinculado a usar a identidade gerenciada.

3. Configure o mapeamento de logon do servidor vinculado:

   EXEC master.dbo.sp_addlinkedsrvlogin
       @rmtsrvname = N'AzureSQLVMDestination',
       @useself = N'False',
       @locallogin = NULL,
       @rmtuser = NULL,
       @rmtpassword = NULL;
   GO
   

   Essa configuração configura o servidor vinculado para usar a identidade gerenciada sem exigir credenciais explícitas do usuário.

Testar a conexão do servidor vinculado

Após a configuração, verifique se a conexão do servidor vinculado funciona corretamente.

1. Teste a conexão usando sp_testlinkedserver:

   EXECUTE master.dbo.sp_testlinkedserver AzureSQLVMDestination;
   GO
   

2. Se o teste for bem-sucedido, você poderá consultar o servidor remoto. Por exemplo:

   SELECT * FROM [AzureSQLVMDestination].[master].[sys].[databases];
   GO
   

Se o teste falhar, verifique:

• A autenticação do Microsoft Entra está configurada corretamente em ambos os servidores
• O logon no servidor de destino corresponde exatamente ao nome do servidor de origem
• A conectividade de rede existe entre os servidores
• As regras de firewall permitem o tráfego do SQL Server
• As extensões necessárias (SqlIaasExtension e AADLogin) estão habilitadas para VMs do Azure

Conteúdo relacionado

• Servidores vinculados (Mecanismo de Banco de Dados)
• Criar servidores vinculados (Mecanismo de Banco de Dados do SQL Server)
• sp_addlinkedserver (Transact-SQL)
• Habilitar a autenticação do Microsoft Entra para SQL Server nas VMs do Azure
• Tutorial: Configurar a autenticação do Microsoft Entra para SQL Server habilitada pelo Azure Arc
• Pré-requisitos – SQL Server habilitado pelo Azure Arc