Tutorial: usando automação para configurar o administrador do Microsoft Entra para SQL Server

Aplica-se a: SQL Server 2022 (16.x)

Observação

Esse recurso está disponível no SQL Server 2022 (16.x) ou em versões posteriores e só tem suporte no SQL Server local para hosts Windows e Linux e SQL Server 2022 em VMs do Windows Azure.

Neste artigo, veremos como configurar o administrador do Microsoft Entra para permitir autenticação com o Microsoft Entra ID (anteriormente Azure Active Directory) para SQL Server usando o portal do Azure e APIs como:

  • PowerShell
  • A CLI do Azure
  • Modelo do ARM

Também analisaremos a funcionalidade atualizada para configurar um administrador do Microsoft Entra para SQL Server no portal do Azure que permitiria a criação automatizada de certificados e o registro de aplicativo. Antes, configurar a autenticação do Microsoft Entra para o SQL Server exigia a configuração manual do administrador do Microsoft Entra com um certificado do Azure e um registro de aplicativo.

Observação

Embora o Microsoft Entra ID seja o novo nome do Azure Active Directory (Azure AD), para evitar a interrupção de ambientes existentes, o Azure AD ainda permanecerá em alguns elementos codificados, como campos de interface do usuário, provedores de conexão, códigos de erro e cmdlets. Neste artigo, os dois nomes são intercambiáveis.

Pré-requisitos

  • SQL Server 2022 (16.x) ou posterior instalado.
  • O SQL Server conectado à nuvem do Azure. Para obter mais informações, confira Conectar o SQL Server ao Azure Arc.
  • O Microsoft Entra ID é configurado para autenticação no mesmo locatário que a instância do Azure Arc.
  • O Azure Key Vault é obrigatório.

Preparação antes de definir o administrador do Microsoft Entra

As permissões a seguir são necessárias para configurar o administrador do Microsoft Entra nos recursos SQL Server – Azure Arc e cofre de chaves.

Configurar permissões para o Azure Arc

Siga o guia para verificar se o SQL Server está conectado ao Azure Arc. O usuário que configura o administrador do Microsoft Entra para o recurso SQL Server – Azure Arc deve ter a função Colaborador para o servidor.

  1. Vá para o Portal do Azure
  2. Selecione SQL Server – Azure Arc e escolha a instância do host do SQL Server.
  3. Selecione IAM (Controle de acesso) .
  4. Selecione Adicionar>Adicionar atribuição de função para adicionar a função Colaborador ao usuário que configura o administrador do Microsoft Entra.

Configurar permissões para o Azure Key Vault

Crie um Azure Key Vault, se ainda não tiver um. O usuário que está configurando o administrador do Microsoft Entra deve ter a função Colaborador no Azure Key Vault. Para adicionar uma função a um usuário no Azure Key Vault:

  1. Vá para o Portal do Azure
  2. Acesse o recurso do cofre de chaves.
  3. Escolha Controle de acesso (IAM).
  4. Selecione Adicionar>Adicionar atribuição de função para adicionar a função Colaborador ao usuário que configura o administrador do Microsoft Entra.

Configurar políticas de acesso para o host do SQL Server

  1. No portal do Azure, navegue até a instância do Azure Key Vault e selecione Políticas de acesso.

  2. Selecione Adicionar Política de Acesso.

  3. Para Permissões de chave, use Assinar.

  4. Selecione Permissões de segredo e escolha Obter e Listar.

  5. Em Permissões de certificado, escolha Obter e Listar.

  6. Selecione Avançar.

  7. Na página Entidade de segurança, pesquise o nome do seu computador - instância do Azure Arc, que é o nome do host do SQL Server.

    Captura de tela do recurso do servidor do Azure Arc no portal.

  8. Ignore a páginaAplicativo (opcional) selecionando duas vezes Avançar ou selecionando Analisar + criar.

    Captura de tela do portal do Azure para revisão e criação da política de acesso.

    Verifique se a "ID de objeto" da Entidade de segurança corresponde à ID de entidade de segurança da identidade gerenciada atribuída à instância.

    Captura de tela do controle do portal da exibição em JSON da definição do computador.

    Para confirmar, vá para a página de recursos e selecione Exibição JSON no canto superior direito da caixa Essenciais na página de Visão geral. Em identidade, você encontrará o principalId.

  9. Selecione Criar.

Você deve selecionar Criar para garantir que as permissões sejam aplicadas. Para garantir que as permissões tenham sido armazenadas, atualize a janela do navegador e verifique se a linha da instância do Azure Arc ainda está presente.

Definir políticas de acesso para usuários do Microsoft Entra

  1. No portal do Azure, navegue até a instância do Azure Key Vault e selecione Políticas de acesso.
  2. Selecione Adicionar Política de Acesso.
  3. Em Permissões de chave, escolha Obter, Listar e Criar.
  4. Selecione Permissões de segredo e escolha Obter, Listar e Definir.
  5. Em Permissões de certificado, escolha Obter, Listar e Criar.
  6. Em Selecionar entidade de segurança, adicione o usuário do Microsoft Entra que você quer usar para se conectar ao SQL Server.
  7. Selecione Adicionar e, em seguida, Salvar.

Configurando o administrador do Microsoft Entra para SQL Server

Com as novas APIs e a funcionalidade do portal, os usuários podem configurar um administrador do Microsoft Entra para SQL Server sem criar um certificado do Azure e um aplicativo do Microsoft Entra separadamente. Selecione uma guia para saber como configurar um administrador do Microsoft Entra para seu SQL Server conectado ao Azure Arc com criação automática de certificados e aplicativos.

Observação

O modelo do ARM ainda requer a criação de um certificado do Azure Key Vault e um aplicativo do Microsoft Entra antes de configurar um administrador do Microsoft Entra. Veja mais informações sobre o processo no Tutorial: Configurar a autenticação do Microsoft Entra para o SQL Server.

Use o portal do Azure para configurar um administrador do Microsoft Entra, crie um certificado do Azure Key Vault e um aplicativo do Microsoft Entra no mesmo processo. Isso é necessário para usar a autenticação do Microsoft Entra com o SQL Server.

Observação

Anteriormente, antes de configurar um administrador do Microsoft Entra, era necessário um certificado do Azure Key Vault e um registro de aplicativo do Microsoft Entra. Isso não é mais necessário, mas os usuários ainda podem optar por fornecer seu próprio certificado e aplicativo para configurar o administrador do Microsoft Entra.

Configurando o administrador do Microsoft Entra usando o portal do Azure

  1. Acesse o portal do Azure, escolha SQL Server – Azure Arc. Escolha a instância do host do SQL Server.

  2. Verifique o status do seu recurso SQL Server – Azure Arc e veja se ele está conectado, acessando o menu Propriedades. Para obter mais informações, confira Validar os recursos do SQL Server habilitados para Arc.

  3. Selecione Microsoft Entra ID e Purview no menu Configurações do menu de recursos.

  4. Selecione Definir Administrador para abrir o painel do Microsoft Entra ID e escolha uma conta que será adicionada como logon de administrador ao SQL Server.

  5. Selecione Certificado de gerenciamento de Serviços.

  6. Selecione Alterar cofre de chaves e selecione seu recurso do Azure Key Vault existente.

  7. Escolha Registro de aplicativo gerenciado pelo serviço.

  8. Selecione Salvar. Isso envia uma solicitação ao agente do servidor do Arc que configura a autenticação do Microsoft Entra para a instância do SQL Server. A operação pode levar vários minutos para ser concluída; aguarde até que o processo de salvamento seja confirmado com Saved successfully antes de tentar fazer logon no Microsoft Entra.

    O registro de aplicativo gerenciado pelo serviço faz o seguinte para você:

    • Cria um certificado no cofre de chaves com um nome na forma <hostname>-<instanceName><uniqueNumber>.
    • Cria um aplicativo do Microsoft Entra com um nome como <hostname>-<instanceName><uniqueNumber> e atribui as permissões necessárias ao aplicativo. Veja mais informações em Conceder permissões de aplicativo
    • Atribui o novo certificado do Azure Key Vault ao aplicativo.
    • Salve as configurações no Azure Arc.

    Captura de tela da configuração da autenticação do Microsoft Entra com geração automática de certificado e de aplicativo no portal do Azure.

Observação

Os certificados criados para o Microsoft Entra não são alternados automaticamente. Os clientes podem fornecer o próprio certificado e aplicativo para configuração do administrador do Microsoft Entra. Veja mais informações no Tutorial: configurar a autenticação do Microsoft Entra para o SQL Server.

Quando o administrador do Microsoft Entra estiver configurado, você poderá se conectar ao SQL Server usando as credenciais de administrador do Microsoft Entra. Porém, outras atividades de banco de dados que envolvam a criação de novos logons e usuários do Microsoft Entra falharão até que o consentimento do administrador seja concedido ao aplicativo do Microsoft Entra.

Observação

Para dar o Consentimento do administrador ao aplicativo, a conta que dá consentimento requer uma função de administrador global do Microsoft Entra ou administrador de funções com privilégios. Essas funções são necessárias para conceder consentimento do administrador ao aplicativo, mas não para configurar o administrador do Microsoft Entra.

  1. No portal do Azure, selecione Microsoft Entra ID>Registros de aplicativo e selecione o aplicativo recém-criado. O aplicativo deve ter um nome como <hostname>-<instanceName><uniqueNumber>.

  2. Escolha o menu Permissões da API.

  3. Selecione Conceder consentimento do administrador.

    Captura de tela das permissões de aplicativos no portal do Azure.

Sem conceder consentimento do administrador ao aplicativo, criar um logon ou usuário do Microsoft Entra no SQL Server resultará no seguinte erro:

Msg 37455, Level 16, State 1, Line 2
Server identity does not have permissions to access MS Graph.

Usando a autenticação do Microsoft Entra para conectar-se ao SQL Server

A autenticação do Microsoft Entra agora está configurada para o SQL Server conectado ao Azure Arc. Siga as seções após configurar o administrador do Microsoft Entra no artigo Tutorial: configurar a autenticação do Microsoft Entra para o SQL Server e se conecte ao SQL Server usando a autenticação do Microsoft Entra.

Confira também