Configurar identidade gerida e autenticação Microsoft Entra para SQL Server ativada pelo Azure Arc

Aplica-se a: SQL Server 2025 (17.x)

Este artigo fornece instruções passo a passo para configurar a identidade gerida do Microsoft Entra ID para o SQL Server ativado pelo Azure Arc.

Para uma visão geral da identidade gerida com SQL Server, veja Identidade gerida para SQL Server ativada pelo Azure Arc.

Pré-requisitos

Antes de poder usar uma identidade gerida com o SQL Server ativado pelo Azure Arc, certifique-se de que cumpre os seguintes pré-requisitos:

Suportado para SQL Server 2025 e posteriores, a executar no Windows.
Conecte seu SQL Server ao Azure Arc.
A versão mais recente da Extensão do Azure para SQL Server.

Habilitar a identidade gerenciada principal

Se você instalou a Extensão do Azure para SQL Server em seu servidor, poderá habilitar a identidade gerenciada primária para sua instância do SQL Server diretamente do portal do Azure. Também é possível habilitar a identidade gerenciada principal manualmente atualizando o registro, mas deve ser feito com extrema cautela.

portal do Azure
manualmente

Para habilitar a identidade gerenciada principal no portal do Azure, siga estas etapas:

Vá para o recurso SQL Server habilitado pelo Azure Arc no portal do Azure.
Em Configurações, selecione Microsoft Entra ID e Purview para abrir a página Microsoft Entra ID e Purview .

Observação

Se você não vir a opção Habilitar autenticação do Microsoft Entra ID , verifique se sua instância do SQL Server está conectada ao Azure Arc e se você tem a extensão SQL mais recente instalada.
Na página ID e Purview do Microsoft Entra, marque a caixa ao lado de Usar uma identidade gerida principal e use Guardar para aplicar a sua configuração:

É possível habilitar manualmente a identidade gerenciada primária para sua instância do SQL Server atualizando o registro, mas deve ser feito com extrema cautela.

Conceder permissão à pasta Tokens

Conceda permissões de leitura e execução do sistema operacional na pasta C:\ProgramData\AzureConnectedMachineAgent\Tokens\ para a conta de serviço de instância do SQL Server 2025. Por padrão, a conta de serviço é NT Service\MSSQLSERVER, ou, para instâncias nomeadas, NT Service\MSSQL$<instancename>.

Captura de ecrã do separador Propriedades de segurança da pasta Tokens.

Talvez seja necessário conceder permissões de administrador para a conta de serviço do SQL Server na pasta AzureConnectedMachineAgent antes da pasta Tokens.

Captura de ecrã do separador Propriedades de segurança da pasta AzureConnectedMachineAgent.

Adicionar conta de serviço do SQL Server ao grupo de aplicativos de extensão de agente híbrido

Adicione a conta de serviço do SQL Server (padrão: ou, NT Service\MSSQLSERVER para instâncias nomeadas, NT Service\MSSQL$instancename) ao grupo de aplicativos de extensão de agente híbrido .

Abra o Gerenciamento do Computador Windows.
Vá para Usuários e Grupos Locais e selecione Grupos.
Adicione a conta de serviço do SQL Server ao grupo de aplicativos de extensão de agente híbrido .

Captura de tela do Gerenciamento do Computador mostrando o grupo de aplicativos de extensão de agente híbrido.

Captura de ecrã das propriedades do grupo de aplicativos de extensão de agente híbrido.

Atualizar o registo

Advertência

A edição incorreta do registo pode danificar gravemente o seu sistema. Antes de fazer alterações no Registro, recomendamos que você faça backup de todos os dados valiosos no computador.

No Registro, atualize a subchave \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17.MSSQLSERVER\MSSQLServer\FederatedAuthentication .

Crie as seguintes entradas:

Entry	Valor
`ArcServerManagedIdentityClientId`	Vazio (sem valor)
`HIMDSApiVersion`	`2020-06-01`
`HIMDSEndpoint`	`http://localhost:40342/metadata/identity/oauth2/token`
`ArcServerSystemAssignedManagedIdentityTenantId`	`Arc-AAD-Tenant-ID`
`ArcServerSystemAssignedManagedIdentityClientId`	`Arc-Machine-Client-Id`
`PrimaryAADTenant`	`Arc-AAD-Tenant-ID`
`AADChannelMaxBufferedMessageSize`	`200000`
`AADGraphEndPoint`	`graph.windows.net`
`AADGroupLookupMaxRetryAttempts`	`10`
`AADGroupLookupMaxRetryDuration`	`30000`
`AADGroupLookupRetryInitialBackoff`	`100`
`AADServerAdminSid`	`00000000-0000-0000-0000-000000000000`
`AuthenticationEndpoint`	`login.microsoftonline.com`
`CacheMaxSize`	`300`
`ClientCertBlackList`	Vazio (sem valor)
`FederationMetadataEndpoint`	`login.windows.net`
`GraphAPIEndpoint`	`graph.windows.net`
`IssuerURL`	`https://sts.windows.net/`
`OnBehalfOfAuthority`	`https://login.windows.net/`
`STSURL`	`https://login.windows.net/`
`MsGraphEndPoint`	`graph.microsoft.com`
`SendX5c`	`false`
`ServicePrincipalName`	`https://database.windows.net/`
`ServicePrincipalNameForArcadia`	`https://sql.azuresynapse.net`
`ServicePrincipalNameForArcadiaDogfood`	`https://sql.azuresynapse-dogfood.net`
`ServicePrincipalNameNoSlash`	`https://database.windows.net`
`AADBecWSConnectionPoolMaxSize`	`500`

Fazer backup e editar o registro

As seções a seguir descrevem como fazer backup e editar o registro com o Editor do Registro.

Abra o Editor do Registro

Pressione a tecla Windows + R para abrir a caixa de diálogo Executar.
Digite regedit e pressione Enter.
Se solicitado pelo Controle de Conta de Usuário, selecione Sim.

Fazer backup da chave do Registro

Esta etapa faz backup do registro antes de fazer quaisquer alterações. Você pode importar esse arquivo de volta para o registro mais tarde se suas alterações causarem um problema.

Selecione Ficheiro no menu.
Selecione Exportar.
Na caixa de diálogo Exportar Arquivo do Registro, escolha um local para salvar o backup.
Insira um nome para o arquivo de backup no campo Nome do arquivo .
Verifique se Tudo está selecionado na gama de Exportação.
Selecione Guardar.

Adicionar entradas

Nesta etapa, você adiciona entradas ao Registro com o Editor do Registro.

Navegue por esta subchave: \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17.MSSQLSERVER\MSSQLServer\FederatedAuthentication.
Clique com o botão direito do mouse em FederatedAuthentication e selecione String Value.
Repita para cada entrada listada em Atualizar o registro

Esta imagem demonstra um registro configurado corretamente:

Restaurar a chave do Registro (se necessário)

Se você precisar restaurar as configurações anteriores do Registro, siga estas etapas.

Abra o Editor do Registro conforme descrito anteriormente.
Selecione Ficheiro no menu.
Selecione Importar.
Navegue até o local do arquivo de backup salvo.
Selecione o arquivo de backup e selecione Abrir.

Para obter detalhes, consulte Como adicionar, modificar ou excluir subchaves e valores do Registro usando um arquivo .reg.

Conceder permissões de acesso ao aplicativo à identidade

Importante

Somente um Administrador de Função Privilegiada ou uma função superior pode conceder essas permissões.

A identidade gerida atribuída pelo sistema, que usa o nome da máquina com suporte para Arc, deve ter as seguintes permissões de aplicativo do Microsoft Graph (funções do aplicativo):

User.Read.All: Permite o acesso às informações do usuário do Microsoft Entra.
GroupMember.Read.All: Permite o acesso às informações do grupo Microsoft Entra.
Application.Read.ALL: Permite o acesso às informações da entidade de serviço (aplicativo) do Microsoft Entra.

Você pode usar o PowerShell para conceder as permissões necessárias para a identidade gerenciada. Como alternativa, você pode criar um grupo atribuível por função. Depois de o grupo ser criado, atribua a função de Leitores de Diretório ou as permissões User.Read.All, GroupMember.Read.All e Application.Read.All ao grupo e adicione todas as identidades geridas pelo sistema atribuídas às suas máquinas com suporte a Azure Arc ao grupo. Não recomendamos o uso da função Leitores de Diretório em seu ambiente de produção.

O script PowerShell a seguir concede as permissões necessárias para a identidade gerenciada. Verifique se esse script é executado no PowerShell 7.5 ou em uma versão posterior e se o módulo 2.28 ou posterior está Microsoft.Graph instalado.

# Set your Azure tenant and managed identity name
$tenantID = '<Enter-Your-Azure-Tenant-Id>'
$managedIdentityName = '<Enter-Your-Arc-HostMachine-Name>'

# Connect to Microsoft Graph
try {
    Connect-MgGraph -TenantId $tenantID -ErrorAction Stop
    Write-Output "Connected to Microsoft Graph successfully."
}
catch {
    Write-Error "Failed to connect to Microsoft Graph: $_"
    return
}

# Get Microsoft Graph service principal
$graphAppId = '00000003-0000-0000-c000-000000000000'
$graphSP = Get-MgServicePrincipal -Filter "appId eq '$graphAppId'"
if (-not $graphSP) {
    Write-Error "Microsoft Graph service principal not found."
    return
}

# Get the managed identity service principal
$managedIdentity = Get-MgServicePrincipal -Filter "displayName eq '$managedIdentityName'"
if (-not $managedIdentity) {
    Write-Error "Managed identity '$managedIdentityName' not found."
    return
}

# Define roles to assign
$requiredRoles = @(
    "User.Read.All",
    "GroupMember.Read.All",
    "Application.Read.All"
)

# Assign roles using scoped syntax
foreach ($roleValue in $requiredRoles) {
    $appRole = $graphSP.AppRoles | Where-Object {
        $_.Value -eq $roleValue -and $_.AllowedMemberTypes -contains "Application"
    }

    if ($appRole) {
        try {
            New-MgServicePrincipalAppRoleAssignment   -ServicePrincipalId $managedIdentity.Id `
                -PrincipalId $managedIdentity.Id `
                -ResourceId $graphSP.Id `
                -AppRoleId $appRole.Id `
                -ErrorAction Stop

            Write-Output "Successfully assigned role '$roleValue' to '$managedIdentityName'."
        }
        catch {
            Write-Warning "Failed to assign role '$roleValue': $_"
        }
    }
    else {
        Write-Warning "Role '$roleValue' not found in Microsoft Graph AppRoles."
    }
}

Criar logins e usuários

Siga as etapas no tutorial do Microsoft Entra para criar logons e usuários para a identidade gerenciada.

Comentários

Esta página foi útil?

Last updated on 2025-11-18