Configurar a identidade gerenciada e a autenticação do Microsoft Entra para SQL Server habilitado pelo Azure Arc

Aplica-se a: SQL Server 2025 (17.x)

Este artigo fornece instruções passo a passo para configurar a identidade gerenciada do Microsoft Entra ID para SQL Server, ativada pelo Azure Arc.

Para obter uma visão geral da identidade gerenciada com o SQL Server, consulte a identidade gerenciada do SQL Server habilitada pelo Azure Arc.

Pré-requisitos

Antes de poder usar uma identidade gerenciada com o SQL Server habilitado pelo Azure Arc, verifique se você atende aos seguintes pré-requisitos:

Com suporte para o SQL Server 2025 e posterior, em execução no Windows.
Conecte o SQL Server ao Azure Arc.
A versão mais recente da Extensão do Azure para SQL Server.

Habilitar a identidade gerenciada primária

Se você instalou a Extensão do Azure para SQL Server em seu servidor, poderá habilitar a identidade gerenciada primária para sua instância do SQL Server diretamente do portal do Azure. Também é possível habilitar a identidade gerenciada primária manualmente atualizando o registro, mas deve ser feito com extrema cautela.

Portal do Azure
Manualmente

Para habilitar a identidade gerenciada primária no portal do Azure, siga estas etapas:

Acesse o SQL Server habilitado pelo recurso do Azure Arc no portal do Azure.
Em Configurações, selecione Microsoft Entra ID e Purview para abrir a Microsoft Entra ID e Purview.

Observação

Se você não vir a opção Habilitar autenticação do Microsoft Entra ID , verifique se sua instância do SQL Server está conectada ao Azure Arc e se você tem a extensão SQL mais recente instalada.
Na página Microsoft Entra ID e Purview, marque a caixa ao lado da opção usar uma identidade gerenciada primária e, em seguida, use Salvar para aplicar sua configuração.

É possível habilitar manualmente a identidade gerenciada primária para sua instância do SQL Server atualizando o registro, mas deve ser feito com extrema cautela.

Conceder permissão à pasta Tokens

Conceda permissões de leitura e execução do sistema operacional na pasta C:\ProgramData\AzureConnectedMachineAgent\Tokens\ para a conta de serviço da instância do SQL Server 2025. Por padrão, a conta de serviço é NT Service\MSSQLSERVER, ou para instâncias nomeadas, NT Service\MSSQL$<instancename>.

Captura de tela da guia Propriedades de segurança da pasta Tokens.

Talvez seja necessário conceder permissões de administrador para a conta de serviço do SQL Server na AzureConnectedMachineAgent pasta antes da Tokens pasta:

Captura de tela da guia Propriedades de segurança da pasta AzureConnectedMachineAgent.

Adicionar a conta de serviço do SQL Server ao grupo de aplicativos de extensão do agente híbrido

Adicione a conta de serviço do SQL Server (padrão: NT Service\MSSQLSERVER ou para instâncias nomeadas NT Service\MSSQL$instancename) ao grupo de aplicativos de extensão do agente híbrido .

Abra o Windows Gerenciamento de Computadores.
Vá para Usuários e Grupos Locais e selecione Grupos.
Adicione a conta de serviço do SQL Server ao grupo de aplicativos de extensão do agente híbrido .

Captura de tela do Gerenciamento de Computador mostrando o grupo de aplicativos de extensão do agente híbrido.

Captura de tela das propriedades do grupo de aplicativos de extensão do agente híbrido.

Atualizar o Registro

Aviso

A edição incorreta do registro pode danificar severamente seu sistema. Antes de fazer alterações no Registro, é recomendável fazer backup de todos os dados importantes do computador.

No Registro, atualize a subchave \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17.MSSQLSERVER\MSSQLServer\FederatedAuthentication .

Crie as seguintes entradas:

Entry	Value
`ArcServerManagedIdentityClientId`	Vazio (sem valor)
`HIMDSApiVersion`	`2020-06-01`
`HIMDSEndpoint`	`http://localhost:40342/metadata/identity/oauth2/token`
`ArcServerSystemAssignedManagedIdentityTenantId`	`Arc-AAD-Tenant-ID`
`ArcServerSystemAssignedManagedIdentityClientId`	`Arc-Machine-Client-Id`
`PrimaryAADTenant`	`Arc-AAD-Tenant-ID`
`AADChannelMaxBufferedMessageSize`	`200000`
`AADGraphEndPoint`	`graph.windows.net`
`AADGroupLookupMaxRetryAttempts`	`10`
`AADGroupLookupMaxRetryDuration`	`30000`
`AADGroupLookupRetryInitialBackoff`	`100`
`AADServerAdminSid`	`00000000-0000-0000-0000-000000000000`
`AuthenticationEndpoint`	`login.microsoftonline.com`
`CacheMaxSize`	`300`
`ClientCertBlackList`	Vazio (sem valor)
`FederationMetadataEndpoint`	`login.windows.net`
`GraphAPIEndpoint`	`graph.windows.net`
`IssuerURL`	`https://sts.windows.net/`
`OnBehalfOfAuthority`	`https://login.windows.net/`
`STSURL`	`https://login.windows.net/`
`MsGraphEndPoint`	`graph.microsoft.com`
`SendX5c`	`false`
`ServicePrincipalName`	`https://database.windows.net/`
`ServicePrincipalNameForArcadia`	`https://sql.azuresynapse.net`
`ServicePrincipalNameForArcadiaDogfood`	`https://sql.azuresynapse-dogfood.net`
`ServicePrincipalNameNoSlash`	`https://database.windows.net`
`AADBecWSConnectionPoolMaxSize`	`500`

Fazer backup e editar o registro

As seções a seguir descrevem como fazer backup e editar o registro com o Editor do Registro.

Abra o Editor do Registro

Pressione a tecla Windows + R para abrir a caixa de diálogo Executar.
Digite regedit e pressione Enter.
Se solicitado pelo Controle de Conta de Usuário, selecione Sim.

Fazer backup da chave do Registro

Essa etapa faz backup do registro antes de fazer alterações. Você poderá importar esse arquivo de volta para o registro mais tarde se as alterações causarem um problema.

Selecione Arquivo no menu Arquivo.
Selecione Exportar.
Na caixa de diálogo Exportar Arquivo do Registro, escolha um local para salvar o backup.
Insira um nome para o arquivo de backup no campo Nome do arquivo.
Certifique-se de que Tudo esteja selecionado no intervalo de exportação.
Clique em Salvar.

Adicionar entradas

Nesta etapa, você adicionará entradas ao registro com o Editor do Registro.

Navegue por esta subchave: \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17.MSSQLSERVER\MSSQLServer\FederatedAuthentication.
Clique com o botão direito em FederatedAuthentication e selecione Valor da Cadeia de Caracteres.
Repita para cada entrada listada em Atualizar o registro

Esta imagem demonstra um registro configurado corretamente:

Restaurar a chave do Registro (se necessário)

Se você precisar restaurar para as configurações anteriores do Registro, siga estas etapas.

Abra o Editor do Registro, conforme descrito anteriormente.
Selecione Arquivo no menu Arquivo.
Selecione Importar.
Navegue até o local do arquivo de backup salvo.
Selecione o arquivo de backup e selecione Abrir.

Para obter detalhes, examine Como adicionar, modificar ou excluir subchaves e valores do Registro usando um arquivo .reg.

Conceder permissões de aplicação à identidade

Importante

Somente um Administrador de Funções Com Privilégios ou uma função superior pode conceder essas permissões.

A identidade gerenciada atribuída pelo sistema, que usa o nome do computador habilitado para Arc, deve ter as seguintes permissões de aplicativo do Microsoft Graph (funções de aplicativo):

User.Read.All: permite acesso às informações de usuário do Microsoft Entra.
GroupMember.Read.All: permite acesso às informações de grupo do Microsoft Entra.
Application.Read.ALL: permite o acesso às informações da entidade de serviço do Microsoft Entra (aplicativos).

Você pode usar o PowerShell para conceder permissões necessárias à identidade gerenciada. Como alternativa, você pode criar um grupo atribuível a função. Depois que o grupo for criado, atribua a função Leitores de Diretório ou a User.Read.All, GroupMember.Read.Alle Application.Read.All permissões ao grupo, e adicione todas as identidades gerenciadas atribuídas pelo sistema para seus computadores habilitados para Azure Arc ao grupo. Não recomendamos usar a função Leitores de Diretório em seu ambiente de produção.

O script do PowerShell a seguir concede as permissões necessárias à identidade gerenciada. Verifique se esse script é executado no PowerShell 7.5 ou em uma versão posterior e se o Microsoft.Graph módulo 2.28 ou posterior está instalado.

# Set your Azure tenant and managed identity name
$tenantID = '<Enter-Your-Azure-Tenant-Id>'
$managedIdentityName = '<Enter-Your-Arc-HostMachine-Name>'

# Connect to Microsoft Graph
try {
    Connect-MgGraph -TenantId $tenantID -ErrorAction Stop
    Write-Output "Connected to Microsoft Graph successfully."
}
catch {
    Write-Error "Failed to connect to Microsoft Graph: $_"
    return
}

# Get Microsoft Graph service principal
$graphAppId = '00000003-0000-0000-c000-000000000000'
$graphSP = Get-MgServicePrincipal -Filter "appId eq '$graphAppId'"
if (-not $graphSP) {
    Write-Error "Microsoft Graph service principal not found."
    return
}

# Get the managed identity service principal
$managedIdentity = Get-MgServicePrincipal -Filter "displayName eq '$managedIdentityName'"
if (-not $managedIdentity) {
    Write-Error "Managed identity '$managedIdentityName' not found."
    return
}

# Define roles to assign
$requiredRoles = @(
    "User.Read.All",
    "GroupMember.Read.All",
    "Application.Read.All"
)

# Assign roles using scoped syntax
foreach ($roleValue in $requiredRoles) {
    $appRole = $graphSP.AppRoles | Where-Object {
        $_.Value -eq $roleValue -and $_.AllowedMemberTypes -contains "Application"
    }

    if ($appRole) {
        try {
            New-MgServicePrincipalAppRoleAssignment   -ServicePrincipalId $managedIdentity.Id `
                -PrincipalId $managedIdentity.Id `
                -ResourceId $graphSP.Id `
                -AppRoleId $appRole.Id `
                -ErrorAction Stop

            Write-Output "Successfully assigned role '$roleValue' to '$managedIdentityName'."
        }
        catch {
            Write-Warning "Failed to assign role '$roleValue': $_"
        }
    }
    else {
        Write-Warning "Role '$roleValue' not found in Microsoft Graph AppRoles."
    }
}

Criar logons e usuários

Siga as etapas no tutorial do Microsoft Entra para criar logons e usuários para a identidade gerenciada.

Comentários

Esta página foi útil?

Last updated on 2025-11-18