Principais nativos do Windows

Aplica-se a:Instância Gerenciada SQL do Azure

O modo de metadados de autenticação do Windows permite que os usuários usem a autenticação do Windows ou a autenticação do Microsoft Entra (usando metadados principais do Windows) com a Instância Gerenciada SQL do Azure. Este modo está disponível apenas para a Instância Gerenciada SQL. O modo de metadados de autenticação do Windows não está disponível para o Banco de Dados SQL do Azure.

Quando seu ambiente é sincronizado entre o Ative Directory (AD) e o Microsoft Entra ID, as contas de usuário do Windows no AD são sincronizadas com as contas de usuário do Microsoft Entra no Microsoft Entra ID.

A autenticação para a Instância Gerenciada do SQL e o SQL Server é baseada em metadados vinculados a logons. Para logons de autenticação do Windows, os metadados são criados quando o logon é criado a partir do CREATE LOGIN FROM WINDOWS comando. Para logins do Microsoft Entra, os metadados são criados quando o logon é criado a partir do CREATE LOGIN FROM EXTERNAL PROVIDER comando. Para logons de autenticação SQL, os metadados são criados quando o CREATE LOGIN WITH PASSWORD comando é executado. O processo de autenticação é fortemente acoplado aos metadados armazenados na Instância Gerenciada do SQL ou no SQL Server.

Para um vídeo que explica os princípios nativos do Windows, pode também consultar este episódio do Data Exposed.

Modos de metadados de autenticação

Os seguintes modos de metadados de autenticação estão disponíveis para a Instância Gerenciada do SQL e os diferentes modos determinam quais metadados de autenticação são usados para autenticação, juntamente com a forma como o logon é criado:

• Microsoft Entra (Padrão): Este modo permite autenticar usuários do Microsoft Entra usando metadados de usuário do Microsoft Entra. Para usar a autenticação do Windows nesse modo, consulte O que é a Autenticação do Windows para entidades do Microsoft Entra na Instância Gerenciada SQL do Azure?
• Emparelhado (padrão do SQL Server): o modo padrão para autenticação do SQL Server.
• Windows (Novo Modo): Este modo permite autenticar usuários do Microsoft Entra usando os metadados de usuário do Windows na Instância Gerenciada do SQL.

A sintaxe CREATE LOGIN FROM WINDOWS e CREATE USER FROM WINDOWS pode ser usada para criar, respetivamente, um logon ou um utilizador na Instância Gerida SQL, para um principal do Windows no modo de metadados de autenticação do Windows. O principal do Windows pode ser um utilizador do Windows ou um grupo do Windows.

Para usar o modo de metadados de autenticação do Windows , o ambiente do usuário deve sincronizar o Ative Directory (AD) com o Microsoft Entra ID.

Configurar modos de metadados de autenticação

1. Vá para o portal do Azure e navegue até seu recurso de Instância Gerenciada SQL.
2. Vá para Configurações > Microsoft Entra ID.
3. Escolha seu modo de metadados de autenticação preferido na lista suspensa.
4. Selecione Salvar configuração de metadados de autenticação.

Enfrentando desafios de migração usando o modo de metadados de autenticação do Windows

O modo de metadados de autenticação do Windows ajuda a modernizar a autenticação para aplicativos e desbloqueia os desafios de migração para a Instância Gerenciada SQL. Aqui estão alguns cenários comuns em que o modo de metadados de autenticação do Windows pode ser usado para enfrentar os desafios do cliente:

• A sobrecarga da migração de logons do Windows para o Microsoft Entra ID para Autenticação do Windows para Instância Gerenciada SQL do Azure usando o Microsoft Entra ID e Kerberos.
• Failovers de réplica só de leitura na Visão geral da instância gerenciada link.
• Sincronização da autenticação Microsoft Entra para SQL Server.

Autenticação do Windows para entidades do Microsoft Entra

Desde que o ambiente esteja sincronizado entre o AD e o Microsoft Entra ID, o modo de metadados de autenticação do Windows pode ser usado para autenticar utilizadores na Instância Gerida do SQL, utilizando um logon do Windows ou do Microsoft Entra, se esse logon for criado a partir de uma entidade do Windows (CREATE LOGIN FROM WINDOWS).

Esse recurso é especialmente útil para clientes que têm aplicativos que usam a autenticação do Windows e estão migrando para a Instância Gerenciada SQL. O modo de metadados de autenticação do Windows permite que os clientes continuem usando a autenticação do Windows para seus aplicativos sem precisar fazer alterações no código do aplicativo. Por exemplo, aplicativos como o servidor BizTalk, que executa CREATE LOGIN FROM WINDOWS e CREATE USER FROM WINDOWS comanda, podem continuar a funcionar sem alterações ao migrar para a Instância Gerenciada SQL. Outros usuários podem usar um logon do Microsoft Entra sincronizado com o AD para autenticar na Instância Gerenciada do SQL.

Link de Instância Gerenciada

Embora o link de Instância Gerenciada permita a replicação de dados quase em tempo real entre o SQL Server e a Instância Gerenciada do SQL, a réplica somente leitura na nuvem impede a criação de entidades do Microsoft Entra. O modo de metadados de autenticação do Windows permite que os clientes usem um logon existente do Windows para autenticar na réplica se ocorrer um failover.

Autenticação do Microsoft Entra para SQL Server 2022 e posterior

O SQL Server 2022 apresenta suporte para autenticação do Microsoft Entra. Muitos usuários gostariam de limitar os modos de autenticação para utilizar apenas a autenticação moderna e migrar todas as entidades do Windows para o Microsoft Entra ID. No entanto, há cenários em que a autenticação do Windows ainda é necessária, como o código do aplicativo vinculado às entidades do Windows. O modo de metadados de autenticação do Windows permite que os clientes continuem usando entidades do Windows para autorização no SQL Server, enquanto usam entidades do Microsoft Entra sincronizadas para autenticação.

O SQL Server não entende a sincronização entre o Ative Directory e o Microsoft Entra ID. Embora os usuários e grupos estejam sincronizados entre o AD e o Microsoft Entra ID, você ainda tinha que criar um logon usando a sintaxe CREATE LOGIN FROM EXTERNAL PROVIDER e adicionar permissões ao logon. O modo de metadados de autenticação do Windows alivia a necessidade de migrar manualmente logins para o Microsoft Entra ID.

Comparação do modo de metadados de autenticação

Aqui está o fluxograma que explica como o modo de metadados de autenticação funciona com a Instância Gerenciada SQL:

Anteriormente, os clientes que sincronizavam usuários entre o AD e o ID do Microsoft Entra não podiam se autenticar com um logon criado a partir de uma entidade do Windows, quer usassem a autenticação do Windows ou a autenticação do Microsoft Entra sincronizada do AD. Com o modo de metadados de autenticação do Windows , os clientes agora podem se autenticar com um logon criado a partir de uma entidade do Windows usando a autenticação do Windows ou a entidade sincronizada do Microsoft Entra.

Para usuários sincronizados, a autenticação é bem-sucedida ou falha com base nas seguintes configurações e tipo de login:

Conteúdo relacionado

Saiba mais sobre como implementar a Autenticação do Windows para entidades do Microsoft Entra na Instância Gerenciada SQL:

• O que é a autenticação do Windows para principais do Microsoft Entra na Azure SQL Managed Instance?
• Como a Autenticação do Windows para Instância Gerenciada SQL do Azure é implementada com a ID do Microsoft Entra e o Kerberos
• Como configurar a Autenticação do Windows para Microsoft Entra ID com o fluxo interativo moderno
• Como configurar a Autenticação do Windows para Microsoft Entra ID com o fluxo baseado em confiança de entrada
• Configurar a Instância Gerenciada do Azure SQL para autenticação do Windows usando a Microsoft Entra ID