Como configurar a Autenticação do Windows para o Azure SQL Managed Instance com o Microsoft Entra ID e o Kerberos

Este artigo fornece uma visão geral de como configurar a infraestrutura e as instâncias gerenciadas para implementar a Autenticação do Windows para entidades na Instância Gerenciada SQL do Azure com a ID do Microsoft Entra (anteriormente Azure Ative Directory).

Há duas fases para configurar a Autenticação do Windows para a Instância Gerenciada SQL do Azure usando a ID do Microsoft Entra e o Kerberos.

  • Configuração de infraestrutura única.
    • Sincronize o Active Directory (AD) e o Microsoft Entra ID, caso ainda não tenha sido feito.
    • Habilite o fluxo de autenticação interativa moderna, quando disponível. O fluxo interativo moderno é recomendado para organizações com clientes associados ou híbridos do Microsoft Entra que executam o Windows 10 20H1 / Windows Server 2022 e superior.
    • Configure o fluxo de autenticação baseado em confiança de entrada. Isso é recomendado para clientes que não podem usar o fluxo interativo moderno, mas que ingressaram em clientes do AD que executam o Windows 10 / Windows Server 2012 e superior.
  • Configuração da Instância Gerenciada SQL do Azure.
    • Crie uma entidade de serviço atribuída ao sistema para cada instância gerenciada.

Nota

Microsoft Entra ID é o novo nome para o Azure Ative Directory (Azure AD). Estamos atualizando a documentação neste momento.

Configuração de infraestrutura única

A primeira etapa na configuração da infraestrutura é sincronizar o AD com o Microsoft Entra ID, se isso ainda não tiver sido concluído.

Depois disso, um administrador de sistema configura os fluxos de autenticação. Dois fluxos de autenticação estão disponíveis para implementar a Autenticação do Windows para entidades do Microsoft Entra na Instância Gerenciada SQL do Azure: o fluxo de entrada baseado em confiança dá suporte a clientes ingressados no AD que executam o Windows Server 2012 ou superior, e o fluxo interativo moderno oferece suporte a clientes ingressados do Microsoft Entra que executam o Windows 10 21H1 ou superior.

Sincronizar o AD com o Microsoft Entra ID

Os clientes devem primeiro implementar o Microsoft Entra Connect para integrar diretórios locais com o Microsoft Entra ID.

Selecione o(s) fluxo(s) de autenticação que irá implementar

O diagrama a seguir mostra a elegibilidade e a funcionalidade principal do fluxo interativo moderno e do fluxo de entrada baseado em confiança:

A decision tree showing criteria to select authentication flows.

"Uma árvore de decisão mostrando que o fluxo interativo moderno é adequado para clientes que executam o Windows 10 20H1 ou Windows Server 2022 ou superior, onde os clientes são Microsoft Entra ingressado ou Microsoft Entra híbrido junto. O fluxo de entrada baseado em confiança é adequado para clientes que executam o Windows 10 ou Windows Server 2012 ou superior, onde os clientes ingressaram no AD."

O fluxo interativo moderno funciona com clientes esclarecidos que executam o Windows 10 21H1 e superior que são Microsoft Entra ingressado ou Microsoft Entra híbrido junto. No fluxo interativo moderno, os usuários podem acessar a Instância Gerenciada SQL do Azure sem exigir uma linha de visão para os Controladores de Domínio (DCs). Não há necessidade de criar um objeto de confiança no AD do cliente. Para habilitar o fluxo interativo moderno, um administrador definirá a política de grupo para tíquetes de autenticação Kerberos (TGT) a serem usados durante o login.

O fluxo de entrada baseado em confiança funciona para clientes que executam o Windows 10 ou Windows Server 2012 e superior. Esse fluxo requer que os clientes sejam associados ao AD e tenham uma linha de visão para o AD a partir do local. No fluxo baseado em confiança de entrada, um objeto de confiança é criado no AD do cliente e registrado na ID do Microsoft Entra. Para habilitar o fluxo baseado em confiança de entrada, um administrador configurará uma relação de confiança de entrada com a ID do Microsoft Entra e configurará o Proxy Kerberos por meio da política de grupo.

Fluxo de autenticação interativo moderno

São necessários os seguintes pré-requisitos para implementar o fluxo de autenticação interativo moderno:

Pré-requisito Descrição
Os clientes têm de ter o Windows 10 20H1, o Windows Server 2022 ou uma versão superior do Windows.
Os clientes devem ser associados ao Microsoft Entra ou híbridos do Microsoft Entra. Pode determinar se este pré-requisito é cumprido ao executar o comando dsregcmd: dsregcmd.exe /status
A aplicação tem de se ligar à instância gerida através de uma sessão interativa. São suportadas aplicações como o SQL Server Management Studio (SSMS) e aplicações Web, mas não funcionará para aplicações executadas como um serviço.
Inquilino do Microsoft Entra.
A subscrição do Azure tem de estar no mesmo inquilino do Microsoft Entra que quer utilizar na autenticação.
Microsoft Entra Connect instalado. Ambientes híbridos onde existem identidades no Microsoft Entra ID e no AD.

Veja Como configurar a Autenticação do Windows para o Microsoft Entra ID com o fluxo interativo moderno para obter os passos para ativar este fluxo de autenticação.

Fluxo de autenticação de entrada baseado em confiança

São necessários os seguintes pré-requisitos para implementar o fluxo de autenticação baseado na confiança de entrada:

Pré-requisito Descrição
O cliente tem de ter o Windows 10, o Windows Server 2012 ou uma versão superior do Windows.
Os clientes têm de estar associados ao AD. O domínio tem de ter um nível funcional do Windows Server 2012 ou superior. Pode determinar se o cliente está associado ao AD ao executar o comando dsregcmd: dsregcmd.exe /status
Módulo de Gestão da Autenticação Híbrida do Azure Active Directory. Este módulo do PowerShell disponibiliza funcionalidades de gestão para a configuração no local.
Inquilino do Microsoft Entra.
A subscrição do Azure tem de estar no mesmo inquilino do Microsoft Entra que quer utilizar na autenticação.
Microsoft Entra Connect instalado. Ambientes híbridos onde existem identidades no Microsoft Entra ID e no AD.

Veja Como configurar a Autenticação do Windows no Microsoft Entra ID com o fluxo baseado na confiança de entrada para obter instruções sobre como ativar este fluxo de autenticação.

Configurar a instância gerida do Azure SQL Managed Instance

Os passos para configurar o Azure SQL Managed Instance são os mesmos para o fluxo de autenticação baseado na confiança de entrada e para o fluxo de autenticação interativa moderno.

Pré-requisitos para configurar uma instância gerenciada

São necessários os seguintes pré-requisitos para configurar uma instância gerida para a Autenticação do Windows para principais do Microsoft Entra:

Pré-requisito Descrição
Módulo do PowerShell Az.Sql Este módulo do PowerShell proporciona os cmdlets de gestão para os recursos SQL do Azure. Instale este módulo ao executar o seguinte comando do PowerShell: Install-Module -Name Az.Sql
Módulo PowerShell do Microsoft Graph Este módulo fornece cmdlets de gerenciamento para tarefas administrativas do Microsoft Entra ID, como gerenciamento de usuário e entidade de serviço. Instale este módulo ao executar o seguinte comando do PowerShell: Install-Module –Name Microsoft.Graph
Uma instância gerida Pode criar uma nova instância gerida ou utilizar uma existente.

Configurar cada instância gerenciada

Veja Configurar o Azure SQL Managed Instance para a Autenticação do Windows no Microsoft Entra ID para obter os passos para configurar cada instância gerida.

Limitações

As limitações a seguir se aplicam à Autenticação do Windows para entidades do Microsoft Entra na Instância Gerenciada SQL do Azure:

Não disponível para clientes Linux

Atualmente, a Autenticação do Windows para entidades do Microsoft Entra é suportada apenas para máquinas cliente que executam o Windows.

Logon em cache do Microsoft Entra ID

O Windows limita a frequência com que se conecta ao Microsoft Entra ID, portanto, há um potencial para que as contas de usuário não tenham um Ticket de Concessão de Tíquete (TGT) Kerberos atualizado dentro de 4 horas após uma atualização ou nova implantação de uma máquina cliente. As contas de usuário que não têm um TGT atualizado resultam em solicitações de tíquete com falha do ID do Microsoft Entra.

Como administrador, você pode acionar um logon online imediatamente para lidar com cenários de atualização executando o seguinte comando na máquina cliente e, em seguida, bloqueando e desbloqueando a sessão do usuário para obter um TGT atualizado:

dsregcmd.exe /RefreshPrt

Próximos passos

Saiba mais sobre como implementar a Autenticação do Windows para entidades do Microsoft Entra na Instância Gerenciada SQL do Azure: