Entidades de segurança nativas do Windows
Aplica-se a: 
Instância Gerenciada de SQL do Azure
O modo de metadados de autenticação do Windows é um novo modo que permite que os usuários usem a autenticação do Windows ou a autenticação do Microsoft Entra (usando metadados de entidade de segurança do Windows) com a Instância Gerenciada de SQL do Azure. Esse modo está disponível apenas para a Instância Gerenciada de SQL. O modo de metadados de autenticação do Windows não está disponível para o Banco de Dados SQL do Azure.
Quando seu ambiente é sincronizado entre o Active Directory (AD) e o Microsoft Entra ID, as contas de usuários do Windows no AD são sincronizadas com as contas de usuários do Microsoft Entra no Microsoft Entra ID.
A autenticação da Instância Gerenciada de SQL e do SQL Server é baseada em metadados vinculados a logons. Para logons de autenticação do Windows, os metadados são criados quando o logon é criado no comando CREATE LOGIN FROM WINDOWS. Para logons do Microsoft Entra, os metadados são criados quando o logon é criado no comando CREATE LOGIN FROM EXTERNAL PROVIDER. Para logons de autenticação de SQL, os metadados são criados quando o comando CREATE LOGIN WITH PASSWORD é executado. O processo de autenticação é fortemente acoplado aos metadados armazenados na Instância Gerenciada de SQL ou no SQL Server.
Observação
O uso de entidades de segurança nativas do Windows com o modo de metadados de autenticação do Windows na Instância Gerenciada de SQL está atualmente em preview.
Modos de metadados de autenticação
Os seguintes modos de metadados de autenticação estão disponíveis para a Instância Gerenciada de SQL, e os diferentes modos determinam quais metadados de autenticação são usados para autenticação, junto com a forma como o logon é criado:
- Microsoft Entra (padrão): esse modo permite autenticar usuários do Microsoft Entra usando metadados de usuário do Microsoft Entra. Para usar a autenticação do Windows nesse modo, confira Autenticação do Windows para as entidades de segurança do Microsoft Entra na Instância Gerenciada de SQL do Azure.
- Emparelhado (padrão do SQL Server): o modo padrão de autenticação do SQL Server.
- Windows (novo modo): esse modo permite autenticar usuários do Microsoft Entra usando os metadados de usuários do Windows na Instância Gerenciada de SQL.
A sintaxe CREATE LOGIN FROM WINDOWS e a CREATE USER FROM WINDOWS podem ser usadas para criar um logon ou usuário na Instância Gerenciada de SQL, respectivamente para uma entidade de segurança do Windows no modo de metadados de autenticação do Windows. A entidade de segurança do Windows pode ser um usuário ou um grupo do Windows.
Para usar o modo de metadados de autenticação do Windows, o ambiente do usuário deve Sincronizar o Active Directory (AD) com o Microsoft Entra ID.
Configurar modos de metadados de autenticação
- Acesse o Portal do Azure e navegue até o recurso de Instância Gerenciada de SQL.
- Vá para Configurações > Microsoft Entra ID.
- Escolha seu modo de Metadados de autenticação preferencial na lista suspensa.
- Selecione Salvar configuração de metadados de autenticação.
Enfrentar desafios de migração usando o modo de metadados de autenticação do Windows
O modo de metadados de autenticação do Windows ajuda a modernizar a autenticação do aplicativo e elimina os desafios de migração para a Instância Gerenciada de SQL. Aqui estão alguns cenários comuns em que o modo de metadados de autenticação do Windows pode ser usado para lidar com os desafios do cliente:
- As complexidades de configurar a Autenticação do Windows para a Instância Gerenciada de SQL do Azure usando o Microsoft Entra ID e o Kerberos.
- Failovers de réplica somente leitura no link da Instância Gerenciada.
- Sincronização da autenticação do Microsoft Entra para SQL Server.
Autenticação do Windows para entidades de segurança do Microsoft Entra
Desde que o ambiente esteja sincronizado entre o AD e o Microsoft Entra ID, o modo de metadados de autenticação do Windows poderá ser usado para autenticar usuários na Instância Gerenciada de SQL usando um logon do Windows ou do Microsoft Entra, se o logon for criado em uma entidade de segurança do Windows (CREATE LOGIN FROM WINDOWS).
Esse recurso é especialmente útil para clientes que têm aplicativos que usam a autenticação do Windows e estão migrando para a Instância Gerenciada de SQL. O modo de metadados de autenticação do Windows permite que os clientes continuem usando a autenticação do Windows para seus aplicativos sem precisar fazer alterações no código do aplicativo. Por exemplo, aplicativos como o BizTalk Server, que executa os comandos CREATE LOGIN FROM WINDOWS e CREATE USER FROM WINDOWS, podem continuar a funcionar sem nenhuma alteração ao migrar para a Instância Gerenciada de SQL. Outros usuários podem usar um logon do Microsoft Entra sincronizado com o AD para autenticar na Instância Gerenciada de SQL.
Link da Instância Gerenciada
Embora o link da Instância Gerenciada permita a replicação de dados quase em tempo real entre o SQL Server e a Instância Gerenciada de SQL, a réplica somente leitura na nuvem impede a criação de entidades de segurança do Microsoft Entra. O modo de metadados de autenticação do Windows permite que os clientes usem um logon existente do Windows para se autenticar na réplica caso ocorra um failover.
Autenticação do Microsoft Entra para SQL Server 2022 e posterior
O SSQL Server 2022 apresenta compatibilidade com a autenticação do Microsoft Entra. Muitos usuários gostariam de limitar os modos de autenticação para utilizar apenas a autenticação moderna e migrar todas as entidades de segurança do Windows para o Microsoft Entra ID. No entanto, há cenários em que a autenticação do Windows ainda é necessária, como o código do aplicativo vinculado a entidades de segurança do Windows. O modo de metadados de autenticação do Windows permite que os clientes continuem a usar entidades de segurança do Windows para autorização no SQL Server, enquanto usam entidades de segurança do Microsoft Entra que estão sincronizadas para autenticação.
O SQL Server não entende a sincronização entre o Active Directory e o Microsoft Entra ID. Embora os usuários e grupos sejam sincronizados entre o AD e o Microsoft Entra ID, você ainda precisa criar um logon usando a sintaxe CREATE LOGIN FROM EXTERNAL PROVIDER e adicionar permissões ao logon. O modo de metadados de autenticação do Windows alivia a necessidade de migrar manualmente os logons para o Microsoft Entra ID.
Comparação do modo de metadados de autenticação
Aqui está o fluxograma que explica como o modo de metadados de autenticação funciona com a Instância Gerenciada de SQL:
Anteriormente, os clientes que sincronizavam usuários entre o AD e o Microsoft Entra ID não podiam se autenticar com um logon criado em uma entidade de segurança do Windows, independentemente se usassem a autenticação do Windows ou a autenticação do Microsoft Entra sincronizada do AD. Com o modo de metadados de autenticação do Windows, os clientes agora podem se autenticar com um logon criado em uma entidade de segurança do Windows usando a autenticação do Windows ou a entidade de segurança sincronizada do Microsoft Entra.
Para usuários sincronizados, a autenticação é bem-sucedida ou falha com base nas seguintes configurações e tipo de logoin:
| Modo de metadados de autenticação | DO WINDOWS | FROM EXTERNAL PROVIDER |
|---|---|---|
| Modo Windows | ||
| autenticação do Microsoft Entra | Tem êxito | Falhas |
| Autenticação do Windows | Tem êxito | Falhas |
| Modo Microsoft Entra ID | ||
| autenticação do Microsoft Entra | Falhas | Tem êxito |
| Autenticação do Windows | Falhas | Tem êxito |
| Modo emparelhado | ||
| autenticação do Microsoft Entra | Falhas | Tem êxito |
| Autenticação do Windows | Tem êxito | Falhas |
Conteúdo relacionado
Saiba mais sobre como implementar a Autenticação do Windows para entidades de segurança do Microsoft Entra na Instância Gerenciada de SQL:
- O que é Autenticação do Windows para as entidades de segurança do Microsoft Entra na Instância Gerenciada de SQL do Azure?
- Como a Autenticação do Windows para a Instância Gerenciada de SQL do Azure é implementada com o Microsoft Entra ID e Kerberos.
- Como configurar a Autenticação do Windows para o Microsoft Entra ID com o fluxo interativo moderno.
- Como configurar a Autenticação do Windows para o Microsoft Entra ID com o fluxo baseado na relação de confiança de entrada.
- Configurar a Instância Gerenciada de SQL do Azure para Autenticação do Windows para o Microsoft Entra ID.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de