O que é a Autenticação do Windows para principais do Microsoft Entra no Azure SQL Managed Instance?

Aplica-se a:Instância Gerenciada SQL do Azure

A Instância Gerenciada SQL do Azure é o serviço de banco de dados em nuvem inteligente e escalável que combina a mais ampla compatibilidade do mecanismo de banco de dados do SQL Server com os benefícios de uma plataforma como serviço totalmente gerenciada e perene. A autenticação Kerberos para Microsoft Entra ID (anteriormente Azure Ative Directory) permite o acesso da Autenticação do Windows à Instância Gerenciada SQL do Azure. A Autenticação do Windows para instâncias gerenciadas permite que os clientes movam os serviços existentes para a nuvem, mantendo uma experiência de usuário perfeita e fornece a base para a modernização da infraestrutura.

Nota

Microsoft Entra ID é o novo nome para o Azure Ative Directory (Azure AD). Estamos atualizando a documentação neste momento.

Principais capacidades e cenários

À medida que os clientes modernizam sua infraestrutura, aplicativos e camadas de dados, eles também modernizam seus recursos de gerenciamento de identidades mudando para o Microsoft Entra ID. O Azure SQL oferece várias opções de autenticação do Microsoft Entra:

  • A senha oferece autenticação com credenciais do Microsoft Entra
  • Universal com MFA adiciona autenticação multifator
  • Integrado usa provedores de federação como os Serviços de Federação do Ative Directory (ADFS) para habilitar experiências de logon único (SSO)
  • A Entidade de Serviço habilita a autenticação de aplicativos do Azure
  • A Identidade Gerenciada permite a autenticação de aplicativos atribuídos a identidades do Microsoft Entra

No entanto, alguns aplicativos herdados não podem alterar sua autenticação para o Microsoft Entra ID: o código do aplicativo herdado pode estar disponível por mais tempo, pode haver uma dependência de drivers herdados, os clientes podem não ser capazes de ser alterados e assim por diante. A Autenticação do Windows para entidades do Microsoft Entra remove esse bloqueador de migração e fornece suporte para uma gama mais ampla de aplicativos do cliente.

A Autenticação do Windows para entidades do Microsoft Entra em instâncias gerenciadas está disponível para dispositivos ou máquinas virtuais (VMs) que ingressaram no Ative Directory, no Microsoft Entra ID ou no Microsoft Entra ID híbrido - uma identidade de usuário híbrida do Microsoft Entra existe no Microsoft Entra ID e no Ative Directory e pode acessar uma instância gerenciada no Azure usando o Microsoft Entra Kerberos.

Habilitar a Autenticação do Windows para uma instância gerenciada não exige que os clientes implantem uma nova infraestrutura local ou gerenciem a sobrecarga da configuração dos Serviços de Domínio.

A Autenticação do Windows para entidades do Microsoft Entra na Instância Gerenciada SQL do Azure permite dois cenários principais: migrar SQL Servers locais para o Azure com alterações mínimas e modernizar a infraestrutura de segurança.

Levante e mude os SQL Servers locais para o Azure com alterações mínimas

Ao habilitar a Autenticação do Windows para entidades do Microsoft Entra, os clientes podem migrar para a Instância Gerenciada SQL do Azure sem implementar alterações nas pilhas de autenticação de aplicativos ou implantar os Serviços de Domínio Microsoft Entra. Os clientes também podem usar a Autenticação do Windows para acessar uma instância gerenciada a partir de seus dispositivos associados ao Ative Directory ou Microsoft Entra.

A Autenticação do Windows para entidades do Microsoft Entra também habilita os seguintes padrões em instâncias gerenciadas. Esses padrões são freqüentemente usados em SQL Servers locais tradicionais:

  • Autenticação de "salto duplo": os aplicativos Web usam a representação de identidade do IIS para executar consultas em uma instância no contexto de segurança do usuário final.
  • Os rastreamentos usando eventos estendidos e o SQL Server Profiler podem ser iniciados usando a autenticação do Windows, proporcionando facilidade de uso para administradores de banco de dados e desenvolvedores acostumados a esse fluxo de trabalho. Saiba como executar um rastreamento na Instância Gerenciada SQL do Azure usando a Autenticação do Windows para entidades do Microsoft Entra.

Modernizar a infraestrutura de segurança

Habilitar a Autenticação do Windows para entidades do Microsoft Entra na Instância Gerenciada SQL do Azure equipa os clientes para modernizar suas práticas de segurança.

Por exemplo, um cliente pode permitir que um analista móvel, usando ferramentas comprovadas que dependem da Autenticação do Windows, se autentique em uma instância gerenciada usando credenciais biométricas. Isso pode ser feito mesmo se o analista móvel trabalhar a partir de um laptop que está associado ao Microsoft Entra ID.

Próximos passos

Saiba mais sobre como implementar a Autenticação do Windows para entidades do Microsoft Entra na Instância Gerenciada SQL do Azure: