Partilhar via

Identidade gerida para SQL Server ativada pelo Azure Arc

Aplica-se a: SQL Server 2025 (17.x)

O SQL Server 2025 (17.x) inclui suporte a identidade gerida para SQL Server no Windows. Use uma identidade gerenciada para interagir com recursos no Azure usando a autenticação do Microsoft Entra.

Visão geral

O SQL Server 2025 (17.x) introduz suporte para identidades geridas pelo Microsoft Entra. Use identidades gerenciadas para autenticar nos serviços do Azure sem precisar gerenciar credenciais. As identidades gerenciadas são gerenciadas automaticamente pelo Azure e podem ser usadas para autenticar em qualquer serviço que ofereça suporte à autenticação do Microsoft Entra. Com o SQL Server 2025 (17.x), pode usar identidades geridas tanto para autenticar ligações de entrada como para autenticar ligações de saída para serviços Azure.

Quando você conecta sua instância do SQL Server ao Azure Arc, uma identidade gerenciada atribuída ao sistema é criada automaticamente para o nome de host do SQL Server. Após a identidade gerida ser criada, deve-se associá-la à instância do SQL Server e ao ID do locatário do Microsoft Entra atualizando o registo.

Para instruções de configuração passo a passo, consulte Configurar identidade gerida para SQL Server ativada pelo Azure Arc.

Ao usar a identidade gerenciada com o SQL Server habilitado pelo Azure Arc, considere o seguinte:

  • A identidade gerenciada é atribuída no nível do servidor Azure Arc.
  • Somente identidades gerenciadas atribuídas pelo sistema são suportadas.
  • O SQL Server usa essa identidade gerenciada no nível do servidor Azure Arc como a principal identidade gerenciada.
  • O SQL Server pode usar esta identidade gerida primária em inbound e/ou outbound conexões.
    • Inbound connections são logons e usuários que se conectam ao SQL Server. As conexões de entrada também podem ser obtidas usando o registro de aplicativo, a partir do SQL Server 2022 (16.x).
    • Outbound connections são conexões do SQL Server com recursos do Azure, como backup para URL ou conexão com o Cofre de Chaves do Azure.
  • O Registro de Aplicativo não pode permitir que um SQL Server faça conexões de saída. As conexões de saída precisam de uma identidade gerenciada primária atribuída ao SQL Server.
  • Para o SQL Server 2025 e versões posteriores, recomendamos que você use a instalação do Microsoft Entra baseada em identidade gerenciada, conforme detalhado neste artigo. Como alternativa, você pode configurar um registro de aplicativo para o SQL Server 2025.

Pré-requisitos

Antes de usar uma identidade gerenciada com o SQL Server habilitado pelo Azure Arc, verifique se você atende aos seguintes pré-requisitos:

Para instruções de configuração detalhadas, consulte Configurar identidade gerida para SQL Server habilitada pelo Azure Arc.

Limitações

Considere as seguintes limitações ao usar uma identidade gerenciada com o SQL Server 2025:

  • A configuração de identidade gerenciada para autenticação do Microsoft Entra só é suportada com o SQL Server 2025 habilitado para Azure Arc, em execução no Windows Server.
  • O SQL Server precisa de acesso à nuvem pública do Azure para usar a autenticação do Microsoft Entra.
  • Não é suportado o uso da autenticação do Microsoft Entra com instâncias de cluster de failover.
  • Depois que a autenticação do Microsoft Entra estiver habilitada, a desativação não será aconselhável. Desativar a autenticação do Microsoft Entra forçadamente apagando entradas do registro pode provocar um comportamento imprevisível com o SQL Server 2025.
  • Atualmente, não há suporte para autenticação no SQL Server em máquinas Arc por meio da autenticação do Microsoft Entra usando o método FIDO2 .
  • As operações OPENROWSET BULK também podem ler a pasta C:\ProgramData\AzureConnectedMachineAgent\Tokens\tokens . A opção BULK requer permissões ADMINISTER BULK OPERATIONS ou ADMINISTER DATABASE BULK OPERATIONS. Essas permissões devem ser tratadas como equivalentes a sysadmin.

Conteúdo relacionado

  • Last updated on