Nota
O acceso a esta páxina require autorización. Pode tentar iniciar sesión ou modificar os directorios.
O acceso a esta páxina require autorización. Pode tentar modificar os directorios.
Se aplica a:
SQL Server 2025 (17.x)
SQL Server 2025 (17.x) incluye compatibilidad con identidades administradas para SQL Server en Windows. Use una identidad administrada para interactuar con los recursos de Azure mediante la autenticación de Microsoft Entra.
Información general
SQL Server 2025 (17.x) presenta compatibilidad con identidades administradas de Microsoft Entra. Use identidades administradas para autenticarse en servicios de Azure sin necesidad de administrar las credenciales. Azure administra automáticamente las identidades administradas y se puede usar para autenticarse en cualquier servicio que admita la autenticación de Microsoft Entra. Con SQL Server 2025 (17.x), puede usar identidades administradas para autenticar conexiones entrantes y también para autenticar las conexiones salientes a los servicios de Azure.
Al conectar la instancia de SQL Server a Azure Arc, se crea automáticamente una identidad administrada asignada por el sistema para el nombre de host de SQL Server. Una vez creada la identidad administrada, debe asociar la identidad a la instancia de SQL Server y al identificador de inquilino de Microsoft Entra actualizando el registro.
Para obtener instrucciones paso a paso sobre la configuración, consulte Configuración de la identidad administrada para SQL Server habilitada por Azure Arc.
Al usar la identidad administrada con SQL Server habilitado por Azure Arc, tenga en cuenta lo siguiente:
- La identidad administrada se asigna en el nivel de servidor de Azure Arc.
- Solo se admiten identidades administradas asignadas por el sistema.
- SQL Server usa esta identidad administrada de nivel de servidor de Azure Arc como identidad administrada principal.
- SQL Server puede usar esta identidad administrada principal en las conexiones
inboundy/ooutbound.-
Inbound connectionsson inicios de sesión y usuarios que se conectan a SQL Server. Las conexiones entrantes también se pueden lograr mediante el registro de aplicaciones, a partir de SQL Server 2022 (16.x). -
Outbound connectionsson conexiones de SQL Server a recursos de Azure, como copias de seguridad a URL o conexión a Azure Key Vault.
-
- El registro de aplicaciones no puede habilitar una instancia de SQL Server para realizar conexiones salientes. Las conexiones salientes necesitan una identidad administrada principal asignada a SQL Server.
- Para SQL Server 2025 y versiones posteriores, se recomienda usar la configuración de Microsoft Entra basada en identidad administrada, como se detalla en este artículo. Como alternativa, puede configurar un registro de aplicaciones para SQL Server 2025.
Prerrequisitos
Para poder usar una identidad administrada con SQL Server habilitado por Azure Arc, asegúrese de cumplir los siguientes requisitos previos:
- Conecte SQL Server a Azure Arc.
- La versión más reciente de la extensión de Azure para SQL Server.
Para obtener instrucciones detalladas de configuración, consulte Configuración de la identidad administrada para SQL Server habilitado por Azure Arc.
Limitaciones
Tenga en cuenta las siguientes limitaciones al usar una identidad administrada con SQL Server 2025:
- La configuración de identidad administrada para la autenticación de Microsoft Entra solo se admite con SQL Server 2025 habilitado para Azure Arc, que se ejecuta en Windows Server.
- SQL Server necesita acceso a la nube pública de Azure para usar la autenticación de Microsoft Entra.
- No se admite el uso de la autenticación Microsoft Entra con instancias de clúster de conmutación por error.
- Una vez habilitada la autenticación de Microsoft Entra, no es aconsejable deshabilitarla. Deshabilitar la autenticación de Microsoft Entra de forma forzada mediante la eliminación de entradas del Registro puede dar lugar a un comportamiento impredecible con SQL Server 2025.
- Actualmente no se admite la autenticación en SQL Server en máquinas de Arc a través de la autenticación de Microsoft Entra mediante el método FIDO2 .
-
Las operaciones OPENROWSET BULK pueden leer también la carpeta tokens
C:\ProgramData\AzureConnectedMachineAgent\Tokens\. La opciónBULKrequiere permisos deADMINISTER BULK OPERATIONSo deADMINISTER DATABASE BULK OPERATIONS. Estos permisos deben tratarse como equivalentes a sysadmin.
Contenido relacionado
- Configuración de la identidad administrada para SQL Server habilitada por Azure Arc
- Autenticación de Microsoft Entra para SQL Server
- ¿Qué son las identidades administradas de los recursos de Azure?
- Habilitación de la autenticación de Microsoft Entra para SQL Server en las máquinas virtuales de Azure