Entidades de seguridad nativas de Windows
Se aplica a: 
Azure SQL Managed Instance
El nuevo modo de metadatos de autenticación de Windows permite a los usuarios utilizar la autenticación de Windows o de Microsoft Entra (mediante metadatos de una entidad de seguridad de Windows) con Azure SQL Managed Instance. Este modo solo está disponible para SQL Managed Instance. El modo de metadatos de autenticación de Windows no está disponible para Azure SQL Database.
Cuando el entorno se sincroniza entre Active Directory (AD) y Microsoft Entra ID, las cuentas de usuario de Windows de AD se sincronizan con las cuentas de usuario de Microsoft Entra en de Microsoft Entra ID.
La autenticación de SQL Managed Instance y SQL Server se basa en metadatos vinculados a inicios de sesión. En el caso de los inicios de sesión con la autenticación de Windows, los metadatos se crean cuando se crea el inicio de sesión desde el comando CREATE LOGIN FROM WINDOWS. En el caso de los inicios de sesión con Microsoft Entra, los metadatos se crean cuando se crea el inicio de sesión desde el comando CREATE LOGIN FROM EXTERNAL PROVIDER. En el caso de los inicios de sesión con la autenticación de SQL, los metadatos se crean cuando se ejecuta el comando CREATE LOGIN WITH PASSWORD. El proceso de autenticación está estrechamente unido a los metadatos almacenados en SQL Managed Instance o SQL Server.
Para ver un vídeo en el que se explican las entidades de seguridad nativas de Windows, también puede consultar este episodio de datos expuestos.
Nota:
El uso de entidades de seguridad nativas de Windows con el modo de metadatos de autenticación de Windows en SQL Managed Instance está actualmente en versión preliminar.
Modos de metadatos de autenticación
Los siguientes modos de metadatos de autenticación están disponibles para SQL Managed Instance, y los distintos modos determinan qué metadatos de autenticación se usan en el proceso de autenticación y cómo se crea el inicio de sesión:
- Microsoft Entra (valor predeterminado): este modo permite autenticar a los usuarios de Microsoft Entra mediante metadatos de usuario de Microsoft Entra. Para utilizar la autenticación de Windows en este modo, consulte Autenticación de Windows para entidades de seguridad de Microsoft Entra en Azure SQL Managed Instance.
- Emparejado (valor predeterminado de SQL Server): modo predeterminado de la autenticación de SQL Server.
- Windows (nuevo modo): este modo permite autenticar a los usuarios de Microsoft Entra mediante los metadatos de usuario de Windows en SQL Managed Instance.
Las sintaxis CREATE LOGIN FROM WINDOWS y CREATE USER FROM WINDOWS se pueden usar para crear un inicio de sesión o un usuario en SQL Managed Instance, respectivamente, para una entidad de seguridad de Windows en el modo de metadatos de autenticación de Windows. La entidad de seguridad de Windows puede ser un usuario de Windows o un grupo de Windows.
Para utilizar el modo de metadatos de autenticación de Windows, el entorno de usuario debe sincronizar Active Directory (AD) con Microsoft Entra ID.
Configuración de los modos de metadatos de autenticación
- Vaya al recurso de SQL Managed Instance desde Azure Portal.
- Vaya a Configuración > Microsoft Entra ID.
- Elija el modo de metadatos de autenticación preferido en la lista desplegable.
- Seleccione Guardar configuración de metadatos de autenticación.
Gestión de los desafíos de migración mediante el modo de metadatos de autenticación de Windows
El modo de metadatos de autenticación de Windows es útil para modernizar la autenticación de la aplicación y desbloquea los desafíos de migración a SQL Managed Instance. Estos son algunos escenarios comunes en los que se puede usar el modo de metadatos de autenticación de Windows para abordar los desafíos de los clientes:
- La complejidad de configurar la autenticación de Windows para Azure SQL Managed Instance mediante Microsoft Entra ID y Kerberos.
- Conmutaciones por error de réplica de solo lectura en el vínculo de Managed Instance.
- Sincronización de la autenticación de Microsoft Entra para SQL Server.
Autenticación de Windows para entidades de seguridad de Microsoft Entra
Siempre que el entorno se sincronice entre AD y Microsoft Entra ID, el modo de metadatos de autenticación de Windows se puede utilizar para autenticar a los usuarios en SQL Managed Instance mediante un inicio de sesión de Windows o de Microsoft Entra, si ese inicio de sesión se crea a partir de una entidad de seguridad de Windows (CREATE LOGIN FROM WINDOWS).
Esta característica es especialmente útil para los clientes que tienen aplicaciones que usan la autenticación de Windows y están migrando a SQL Managed Instance. El modo de metadatos de autenticación de Windows permite a los clientes seguir usando la autenticación de Windows en sus aplicaciones sin tener que realizar ningún cambio en el código de la aplicación. Por ejemplo, las aplicaciones como BizTalk Server, que ejecuta los comandos CREATE LOGIN FROM WINDOWS y CREATE USER FROM WINDOWS, pueden seguir funcionando sin cambios al migrar a SQL Managed Instance. Otros usuarios pueden utilizar un inicio de sesión de Microsoft Entra que se sincronice con AD para autenticarse en SQL Managed Instance.
Característica de vínculo para Azure SQL Managed Instance (versión preliminar)
Aunque el vínculo Managed Instance habilita la replicación de datos casi en tiempo real entre SQL Server y SQL Managed Instance, la réplica de solo lectura en la nube impide la creación de entidades de seguridad de Microsoft Entra. El modo de metadatos de autenticación de Windows permite a los clientes usar un inicio de sesión de Windows existente para autenticarse en la réplica si se produce una conmutación por error.
Autenticación de Microsoft Entra para SQL Server 2022 y versiones posteriores
SQL Server 2022 es compatible con la autenticación de Microsoft Entra. A muchos usuarios les gustaría limitar los modos de autenticación para usar solo una autenticación moderna y migrar todas las entidades de seguridad de Windows a Microsoft Entra ID. Sin embargo, hay escenarios en los que todavía se requiere la autenticación de Windows, como el código de aplicación asociado a entidades de seguridad de Windows. El modo de metadatos de autenticación de Windows permite a los clientes seguir usando entidades de seguridad de Windows para realizar la autorización en SQL Server, a la vez que se usan entidades de seguridad de Microsoft Entra sincronizadas para la autenticación.
SQL Server no comprende la sincronización entre Active Directory y Microsoft Entra ID. Aunque los usuarios y grupos se sincronizan entre AD y Microsoft Entra ID, todavía tiene que crear un inicio de sesión con la sintaxis CREATE LOGIN FROM EXTERNAL PROVIDER y agregar permisos al inicio de sesión. El modo de metadatos de autenticación de Windows reduce la necesidad de migrar manualmente los inicios de sesión a Microsoft Entra ID.
Comparación del modo de metadatos de autenticación
Este es el gráfico de flujo que explica cómo funciona el modo de metadatos de autenticación con SQL Managed Instance:
Anteriormente, los clientes que sincronizaban usuarios entre AD y Microsoft Entra ID no podían autenticarse con un inicio de sesión creado a partir de una entidad de seguridad de Windows, tanto si usaban la autenticación de Windows como la de Microsoft Entra que se sincronizó desde AD. Gracias al modo de metadatos de autenticación de Windows, ahora los clientes pueden autenticarse con un inicio de sesión creado a partir de una entidad de seguridad de Windows mediante la autenticación de Windows o la entidad de seguridad de Microsoft Entra sincronizada.
En el caso de los usuarios sincronizados, la autenticación se realiza correctamente o se produce un error en función de las siguientes configuraciones y el tipo de inicio de sesión:
| Modo de metadatos de autenticación | DESDE WINDOWS | FROM EXTERNAL PROVIDER |
|---|---|---|
| Modo windows | ||
| Autenticación de Microsoft Entra | Se realiza correctamente | Errores |
| Autenticación de Windows | Se realiza correctamente | Errores |
| Modo Microsoft Entra ID | ||
| Autenticación de Microsoft Entra | Errores | Se realiza correctamente |
| Autenticación de Windows | Errores | Se realiza correctamente |
| Modo emparejado | ||
| Autenticación de Microsoft Entra | Errores | Se realiza correctamente |
| Autenticación de Windows | Se realiza correctamente | Errores |
Contenido relacionado
Obtenga más información sobre la implementación de la autenticación de Windows para entidades de seguridad de Microsoft Entra en Azure SQL Managed Instance:
- ¿Qué es la autenticación de Windows para las entidades de seguridad de Microsoft Entra en Azure SQL Managed Instance?
- Implementación de la autenticación de Windows para Azure SQL Managed Instance con Microsoft Entra ID y Kerberos (versión preliminar).
- Cómo configurar la autenticación de Windows para Microsoft Entra ID con el flujo interactivo moderno.
- Cómo configurar la autenticación de Windows para Microsoft Entra ID con el flujo basado en la confianza de entrada.
- Configuración de Azure SQL Managed Instance para la autenticación de Windows para Microsoft Entra ID.