Como configurar a Autenticação do Windows para a Instância Gerenciada de SQL do Azure usando o do Microsoft Entra ID e o Kerberos

Este artigo fornece uma visão geral de como configurar a infraestrutura e as instâncias gerenciadas para implementar a Autenticação do Windows para entidades de segurança na Instância Gerenciada de SQL do Azure com o Microsoft Entra ID (antigo Azure Active Directory).

Como configurar a Autenticação do Windows para a Instância Gerenciada de SQL do Azure usando o Microsoft Entra ID e o Kerberos.

  • Configuração de infraestrutura única.
    • Sincronize o AD (Active Directory) e o Microsoft Entra ID, se isso ainda não tiver sido feito.
    • Habilite o fluxo de autenticação interativa moderno, quando disponível. O fluxo interativo moderno é recomendado para organizações com clientes ingressados no Microsoft Entra ou ingressados de forma híbrida que executam o Windows 10 20H1/Windows Server 2022 e superiores.
    • Configure o fluxo de autenticação de entrada baseado em relação de confiança. Isso é recomendado para clientes que não podem usar o fluxo interativo moderno, mas que têm clientes ingressados no AD que executam o Windows 10/Windows Server 2012 e superior.
  • Configuração da Instância Gerenciada de SQL do Azure.
    • Crie uma entidade de serviço atribuída ao sistema para cada instância gerenciada.

Observação

O Microsoft Entra ID era anteriormente conhecido como Azure Active Directory (Azure AD).

Configuração de infraestrutura única

A primeira etapa na configuração da infraestrutura é sincronizar o AD com o Microsoft Entra ID, caso isso ainda não tenha sido concluído.

Depois disso, um administrador do sistema configura os fluxos de autenticação. Dois fluxos de autenticação estão disponíveis para implementar a Autenticação do Windows para entidades de segurança do Microsoft Entra na Instância Gerenciada de SQL do Azure: o fluxo de entrada baseado em relação a confiança dá suporte a clientes ingressados no AD que executam o Windows Server 2012 ou superior, e o fluxo interativo moderno dá suporte a clientes ingressados no Microsoft Entra que executam o Windows 10 21H1 ou superior.

Sincronizar o AD com o Microsoft Entra ID

Os clientes devem implantar primeiro o Microsoft Entra Connect para integrar diretórios locais com o Microsoft Entra ID.

Selecione quais fluxos de autenticação você irá implementar

O diagrama a seguir mostra a qualificação e a funcionalidade básica do fluxo interativo moderno e o fluxo de entrada baseado em relação de confiança:

A decision tree showing criteria to select authentication flows.

"uma árvore de decisão que mostra que o fluxo interativo moderno é adequado para clientes que executam o Windows 10 20H1 ou o Windows Server 2022 ou superior, em que os clientes são ingressados no Microsoft Entra ou ingressados no Microsoft Entra híbrido. O fluxo de entrada baseado em relação a confiança é adequado para clientes que executam Windows 10 ou Windows Server 2012 ou superior, onde os clientes estão ingressados no AD. "

O fluxo interativo moderno funciona com clientes habilitados que executam o Windows 10 21H1 e superior que são ingressados no Microsoft Entra ou ingressados no Microsoft Entra híbrido. No fluxo interativo moderno, os usuários podem acessar a Instância Gerenciada de SQL do Azure sem a necessidade de uma linha de visão para controladores de domínio (DCs). Não há necessidade de que um objeto de confiança seja criado no AD do cliente. Para habilitar o fluxo interativo moderno, um administrador definirá a diretiva de grupo para os TGT (tíquetes de autenticação) Kerberos a serem usados durante o logon.

O fluxo de entrada baseado em relação a confiança funciona para clientes que executam o Windows 10 ou Windows Server 2012 e superior. Esse fluxo requer que os clientes sejam ingressados no AD e tenham uma linha de visão para o AD do local. No fluxo de entrada baseado em relação a confiança, um objeto de confiança é criado no AD do cliente e é registrado no Microsoft Entra ID. Para habilitar o fluxo de entrada baseado em relação a confiança, um administrador configurará uma relação de confiança de entrada com o Microsoft Entra ID e configurará o proxy Kerberos por meio da diretiva de grupo.

Fluxo de autenticação interativa moderna

Os seguintes pré-requisitos são necessários para implementar o fluxo de autenticação interativa moderno:

Pré-requisito Descrição
Os clientes devem executar o 20H1 Windows 10, Windows Server 2022 ou uma versão superior do Windows.
Os clientes devem ingressados Microsoft Entra ou no Microsoft Entra híbrido. É possível determinar se esse pré-requisito é atendido executando o comando dsregcmd: dsregcmd.exe /status
O aplicativo deve se conectar à instância gerenciada por meio de uma sessão interativa. Isso dá suporte a aplicativos como o SSMS (SQL Server Management Studio) e aplicativos Web, mas não funcionará para aplicativos executados como um serviço.
Locatário do Microsoft Entra.
Assinatura do Azure no mesmo locatário do Microsoft Entra que você planeja usar para autenticação.
Microsoft Entra Connect instalado. Ambientes híbridos em que as identidades existem tanto no Microsoft Entra ID como no AD.

Confira Como configurar a Autenticação do Windows para o Microsoft Entra ID com o fluxo interativo moderno para ver as etapas e habilitar esse fluxo de autenticação.

Fluxo de autenticação de entrada baseado em relação de confiança

Os seguintes pré-requisitos são necessários para implementar o fluxo de autenticação de entrada baseado em relação de confiança:

Pré-requisito Descrição
O cliente deve executar o Windows 10, Windows Server 2012 ou uma versão superior do Windows.
Os clientes devem ser ingressados no AD. O domínio deve ter um nível funcional de Windows Server 2012 ou superior. É possível determinar se o cliente está ingressado no AD executando o comando dsregcmd: dsregcmd.exe /status
Módulo de Gerenciamento de Autenticação Híbrida do Azure AD. Este módulo do PowerShell fornece recursos de gerenciamento para a instalação local.
Locatário do Microsoft Entra.
Assinatura do Azure no mesmo locatário do Microsoft Entra que você planeja usar para autenticação.
Microsoft Entra Connect instalado. Ambientes híbridos em que as identidades existem tanto no Microsoft Entra ID como no AD.

Confira Como configurar a Autenticação do Windows para o Microsoft Entra ID com o fluxo de entrada baseado na relação de confiança para obter instruções sobre como habilitar esse fluxo de autenticação.

Configurar a Instância Gerenciada de SQL do Azure

As etapas para configurar a Instância Gerenciada de SQL do Azure são as mesmas para o fluxo de autenticação de entrada baseado em relação de confiança e o fluxo de autenticação interativa moderno.

Pré-requisitos para configurar uma instância gerenciada

Os seguintes pré-requisitos são necessários para configurar uma instância gerenciada para Autenticação do Windows para entidades de segurança do Microsoft Entra:

Pré-requisito Descrição
Módulo Az.Sql do PowerShell Este módulo do PowerShell fornece cmdlets de gerenciamento para recursos de SQL do Azure. Instale este módulo executando o seguinte comando do PowerShell: Install-Module -Name Az.Sql
Módulo PowerShell do Microsoft Graph Este módulo fornece cmdlets de gerenciamento para tarefas administrativas do Microsoft Entra ID, como gerenciamento de entidade de serviço e usuário. Instale este módulo executando o seguinte comando do PowerShell: Install-Module –Name Microsoft.Graph
Uma instância gerenciada É possível criar uma nova instância gerenciada ou usar uma instância gerenciada existente.

Configurar cada instância gerenciada

Consulte Configurar a Instância Gerenciada de SQL do Azure para Autenticação de Windows para o Microsoft Entra ID para obter as etapas para configurar cada instância gerenciada.

Limitações

As seguintes limitações se aplicam à Autenticação do Windows para entidades de segurança do Microsoft Entra na Instância Gerenciada de SQL do Azure:

Não disponível para clientes do Linux

Atualmente, a Autenticação do Windows para entidades do Microsoft Entra é suportada apenas para computadores cliente que executam o Windows.

Logon em cache do Microsoft Entra ID

O Windows limita a frequência com que ele se conecta ao Microsoft Entra ID, portanto, há um potencial para que as contas de usuário não tenham um TGT (tíquete de concessão de tíquete) Kerberos atualizado dentro de 4 horas após uma atualização ou uma implantação nova de um computador cliente. As contas de usuário que não têm um TGT atualizado resultam em solicitações de tíquete com falha do Microsoft Entra ID.

Como administrador, é possível disparar um logon online imediatamente para lidar com cenários de atualização executando o seguinte comando no computador cliente, bloqueando e desbloqueando a sessão do usuário para obter um TGT atualizado:

dsregcmd.exe /RefreshPrt

Próximas etapas

Saiba mais sobre como implementar a Autenticação do Windows para entidades de segurança do Microsoft Entra na Instância Gerenciada de SQL do Azure: