Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo fornece uma visão geral de como configurar a infraestrutura e as instâncias gerenciadas pelo SQL para implementar a Autenticação do Windows para entidades na Instância Gerenciada SQL do Azure com a ID do Microsoft Entra (anteriormente Azure Ative Directory).
Há duas fases para configurar a Autenticação do Windows para a Instância Gerenciada SQL do Azure usando a ID do Microsoft Entra e o Kerberos.
-
Configuração de infraestrutura de uma única vez.
- Sincronize o Ative Directory (AD) e o Microsoft Entra ID, se isso ainda não tiver sido feito.
- Habilite o fluxo de autenticação interativa moderna, quando disponível. O fluxo interativo moderno é recomendado para organizações com Microsoft Entra ingressou ou híbrido ingressou clientes que executam o Windows 10 20H1 / Windows Server 2022 e superior.
- Configurar o fluxo de autenticação de entrada baseado em confiança. Isso é recomendado para clientes que não conseguem usar o fluxo interativo moderno, mas que têm equipamentos integrados ao AD e que executam o Windows 10 / Windows Server 2012 ou superior.
-
Configuração da Instância Gerenciada SQL do Azure.
- Crie um principal de serviço atribuído pelo sistema para cada instância gerida por SQL.
Observação
Microsoft Entra ID era anteriormente conhecido como Azure Ative Directory (Azure AD).
Configuração única da infraestrutura
A primeira etapa na configuração da infraestrutura é sincronizar o AD com o Microsoft Entra ID, se isso ainda não tiver sido concluído.
Depois disso, um administrador de sistema configura os fluxos de autenticação. Dois fluxos de autenticação estão disponíveis para implementar a Autenticação do Windows para entidades do Microsoft Entra na Instância Gerenciada SQL do Azure:
- O fluxo de entrada baseado em confiança oferece suporte a clientes ingressados no AD que executam o Windows Server 2012 ou superior.
- O fluxo interativo moderno suporta clientes ingressados do Microsoft Entra que executam o Windows 10 21H1 ou superior.
Sincronizar o AD com o Microsoft Entra ID
Os clientes devem primeiro implementar Microsoft Entra Connect para integrar diretórios locais com o Microsoft Entra ID.
Selecione quais fluxos de autenticação você implementará
O diagrama a seguir mostra a elegibilidade e a funcionalidade principal do fluxo interativo moderno e do fluxo de entrada baseado em confiança:
Uma árvore de decisão mostrando que o fluxo interativo moderno é adequado para clientes que executam o Windows 10 20H1 ou Windows Server 2022 ou superior, onde os clientes estão aderidos ao Microsoft Entra ou aderidos ao Microsoft Entra híbrido. O fluxo de entrada baseado em confiança é adequado para clientes que executam o Windows 10 ou Windows Server 2012 ou superior e que estão associados ao AD.
O fluxo interativo moderno funciona com clientes modernos que executam o Windows 10 21H1 e superior e que estão aderidos ao Microsoft Entra ou ao Microsoft Entra híbrido. No fluxo interativo moderno, os usuários podem acessar a Instância Gerenciada SQL do Azure sem exigir uma linha de visão para os Controladores de Domínio (DCs). Não há necessidade de criar um objeto de confiança no AD do cliente. Para habilitar o fluxo interativo moderno, um administrador definirá a política de grupo para tíquetes de autenticação Kerberos (TGT) a serem usados durante o login.
O fluxo de entrada baseado em confiança funciona para clientes que executam o Windows 10 ou Windows Server 2012 e superior. Esse fluxo requer que os clientes sejam associados ao AD e tenham uma linha de comunicação direta para o AD a partir do ambiente local. No fluxo de confiança recebido, um objeto de confiança é criado no AD do cliente e registado no Microsoft Entra ID. Para ativar o fluxo de entrada baseado em confiança, um administrador irá configurar uma relação de confiança de entrada com o Microsoft Entra ID e configurar o Proxy Kerberos através da Política de Grupo.
Fluxo de autenticação interativo moderno
Os seguintes pré-requisitos são necessários para implementar o fluxo de autenticação interativa moderna:
| Pré-requisito | Descrição |
|---|---|
| Os clientes devem executar o Windows 10 20H1, Windows Server 2022 ou uma versão superior do Windows. | |
| Os clientes devem estar ligados ao Microsoft Entra ou ligados ao Microsoft Entra em modo híbrido. | Você pode determinar se esse pré-requisito é atendido executando o comando dsregcmd: dsregcmd.exe /status |
| O aplicativo deve se conectar à instância gerenciada SQL por meio de uma sessão interativa. | Isso dá suporte a aplicativos como o SQL Server Management Studio (SSMS) e aplicativos Web, mas não funcionará para aplicativos executados como um serviço. |
| Inquilino do Microsoft Entra. | |
| Assinatura do Azure sob o mesmo locatário do Microsoft Entra que você planeja usar para autenticação. | |
| Microsoft Entra Connect instalado. | Ambientes híbridos onde existem identidades no Microsoft Entra ID e no AD. |
Consulte Como configurar a Autenticação do Windows para o Microsoft Entra ID com o moderno fluxo interativo para obter as etapas para habilitar esse fluxo de autenticação.
Fluxo de autenticação de entrada baseado em confiança
Os seguintes pré-requisitos são necessários para implementar o fluxo de autenticação baseado em confiança de entrada:
| Pré-requisito | Descrição |
|---|---|
| O cliente deve executar o Windows 10, Windows Server 2012 ou uma versão superior do Windows. | |
| Os clientes devem ser associados ao AD. O domínio deve ter um nível funcional do Windows Server 2012 ou superior. | Você pode determinar se o cliente está associado ao AD executando o comando dsregcmd: dsregcmd.exe /status |
| Módulo de Gerenciamento de Autenticação Híbrida do Azure AD. | Este módulo do PowerShell fornece recursos de gerenciamento para configuração local. |
| Inquilino do Microsoft Entra. | |
| Assinatura do Azure sob o mesmo locatário do Microsoft Entra que você planeja usar para autenticação. | |
| Microsoft Entra Connect instalado. | Ambientes híbridos onde existem identidades no Microsoft Entra ID e no AD. |
Consulte Como configurar a Autenticação do Windows para Microsoft Entra ID com o fluxo de confiança de entrada para instruções sobre como habilitar este fluxo de autenticação.
Configurar a Instância Gerenciada SQL do Azure
As etapas para configurar a Instância Gerenciada SQL do Azure são as mesmas para o fluxo de autenticação baseado em confiança de entrada e o fluxo de autenticação interativa moderna.
Pré-requisitos para configurar uma instância gerenciada SQL
Os seguintes pré-requisitos são necessários para configurar uma instância gerenciada SQL para Autenticação do Windows para entidades do Microsoft Entra:
| Pré-requisito | Descrição |
|---|---|
| Módulo Az.Sql PowerShell | Este módulo do PowerShell fornece cmdlets de gerenciamento para recursos SQL do Azure. Instale este módulo executando o seguinte comando do PowerShell: Install-Module -Name Az.Sql |
| Módulo PowerShell do Microsoft Graph | Este módulo fornece cmdlets de gerenciamento para tarefas administrativas do Microsoft Entra ID, como gerenciamento de usuário e entidade de serviço. Instale este módulo executando o seguinte comando do PowerShell: Install-Module –Name Microsoft.Graph |
| Uma instância gerenciada pelo SQL | Você pode criar uma nova instância gerenciada SQL ou usar uma instância gerenciada SQL existente. |
Configurar cada instância gerenciada do SQL
Consulte Configurar a Instância Gerenciada SQL do Azure para Autenticação do Windows para ID do Microsoft Entra para conhecer as etapas de configuração de cada instância gerenciada do SQL.
Limitações
As limitações a seguir se aplicam à Autenticação do Windows para entidades do Microsoft Entra na Instância Gerenciada SQL do Azure:
Não disponível para clientes Linux
Atualmente, a Autenticação do Windows para entidades do Microsoft Entra é suportada apenas para máquinas cliente que executam o Windows.
Logon em cache do Microsoft Entra ID
O Windows limita a frequência com que se conecta ao Microsoft Entra ID; portanto, é possível que as contas de usuário não tenham um Tíquete de Concessão de Tíquete Kerberos (TGT) renovado dentro de 4 horas após uma atualização ou nova implementação de uma máquina cliente. Contas de usuário que não possuem um TGT atualizado resultam em solicitações de recursos de Microsoft Entra ID com falha.
Como administrador, você pode acionar um logon online imediatamente para lidar com cenários de atualização executando o seguinte comando na máquina cliente e, em seguida, bloqueando e desbloqueando a sessão do usuário para obter um TGT atualizado:
dsregcmd.exe /RefreshPrt
Conteúdo relacionado
- O que é a autenticação do Windows para principais do Microsoft Entra em Azure SQL Managed Instance?
- Como a Autenticação do Windows para Instância Gerenciada SQL do Azure é implementada com a ID do Microsoft Entra e o Kerberos
- Como configurar a Autenticação do Windows para Microsoft Entra ID com o fluxo interativo moderno
- Como configurar a Autenticação do Windows para Microsoft Entra ID com o fluxo baseado em confiança de entrada
- Configurar a Instância Gerenciada SQL do Azure para Autenticação do Windows para o Microsoft Entra ID