Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a:
SQL Server 2025 (17.x)
O SQL Server 2025 (17.x) inclui suporte de identidade gerenciada para SQL Server no Windows. Use uma identidade gerenciada para interagir com recursos no Azure usando a autenticação do Microsoft Entra.
Visão geral
O SQL Server 2025 (17.x) apresenta suporte para identidades gerenciadas do Microsoft Entra. Use identidades gerenciadas para autenticar nos serviços do Azure sem a necessidade de gerenciar credenciais. As identidades gerenciadas são gerenciadas automaticamente pelo Azure e podem ser usadas para autenticar em qualquer serviço que dê suporte à autenticação do Microsoft Entra. Com o SQL Server 2025 (17.x), você pode usar identidades gerenciadas para autenticar conexões de entrada e também para autenticar conexões de saída para os serviços do Azure.
Quando você conecta sua instância do SQL Server ao Azure Arc, uma identidade gerenciada atribuída pelo sistema é criada automaticamente para o nome do host do SQL Server. Depois que a identidade gerenciada for criada, você deverá associar a identidade à instância do SQL Server e à ID do locatário do Microsoft Entra atualizando o registro.
Para obter instruções de instalação passo a passo, consulte Configurar a identidade gerenciada para o SQL Server habilitado pelo Azure Arc.
Ao usar a identidade gerenciada com o SQL Server habilitado pelo Azure Arc, considere o seguinte:
- A identidade gerenciada é atribuída no nível do servidor do Azure Arc.
- Há suporte apenas para identidades gerenciadas atribuídas pelo sistema.
- O SQL Server usa essa identidade gerenciada no nível do servidor do Azure Arc como a identidade gerenciada primária.
- O SQL Server pode usar essa identidade gerenciada primária em conexões
inbounde/ououtbound.-
Inbound connectionssão logons e usuários que se conectam ao SQL Server. As conexões de entrada também podem ser obtidas usando o registro de aplicativo, começando no SQL Server 2022 (16.x). -
Outbound connectionssão conexões do SQL Server com recursos do Azure, como backup para URL ou conexão com o Azure Key Vault.
-
- O Registro de Aplicativo não pode habilitar um SQL Server para fazer conexões de saída. As conexões de saída precisam de uma identidade gerenciada primária atribuída ao SQL Server.
- Para o SQL Server 2025 e posterior, recomendamos que você use a configuração do Microsoft Entra baseada em identidade gerenciada, conforme detalhado neste artigo. Como alternativa, você pode configurar um registro de aplicativo para o SQL Server 2025.
Pré-requisitos
Antes de poder usar uma identidade gerenciada com o SQL Server habilitado pelo Azure Arc, verifique se você atende aos seguintes pré-requisitos:
- Conecte o SQL Server ao Azure Arc.
- A versão mais recente da Extensão do Azure para SQL Server.
Para obter instruções detalhadas de instalação, consulte Configurar a identidade gerenciada para o SQL Server habilitado pelo Azure Arc.
Limitações
Considere as seguintes limitações ao usar uma identidade gerenciada com o SQL Server 2025:
- A configuração de identidade gerenciada para autenticação do Microsoft Entra só tem suporte com o SQL Server 2025 habilitado para Azure Arc, em execução no Windows Server.
- O SQL Server precisa de acesso à nuvem pública do Azure para usar a autenticação do Microsoft Entra.
- Não há suporte para o uso da autenticação do Microsoft Entra com instâncias de cluster de failover.
- Depois que a autenticação do Microsoft Entra estiver habilitada, a desabilitação não será aconselhável. Desativar a autenticação do Microsoft Entra à força, excluindo entradas do registro, pode resultar em um comportamento imprevisível com o SQL Server 2025.
- Atualmente, não há suporte para autenticação no SQL Server em computadores Arc por meio da autenticação do Microsoft Entra usando o método FIDO2 .
- As operações OPENROWSET BULK também podem ler a pasta
C:\ProgramData\AzureConnectedMachineAgent\Tokens\de tokens. A opçãoBULKrequer permissõesADMINISTER BULK OPERATIONSouADMINISTER DATABASE BULK OPERATIONS. Essas permissões devem ser tratadas como equivalentes a sysadmin.