Configuración de la identidad administrada y la autenticación de Microsoft Entra para SQL Server habilitadas por Azure Arc

Se aplica a: SQL Server 2025 (17.x)

En este artículo se proporcionan instrucciones detalladas para la configuración y ajuste de la identidad administrada de Microsoft Entra ID para SQL Server habilitado por Azure Arc.

Para obtener información general sobre la identidad administrada con SQL Server, consulte Identidad administrada para SQL Server habilitada por Azure Arc.

Prerrequisitos

Antes de poder usar una identidad administrada con SQL Server habilitada mediante Azure Arc, asegúrese de cumplir los siguientes requisitos previos:

Compatible con SQL Server 2025 y versiones posteriores, ejecutándose en Windows.
Conecte el SQL Server a Azure Arc.
La versión más reciente de la extensión Azure para SQL Server.

Habilitación de la identidad administrada principal

Si ha instalado la extensión de Azure para SQL Server en el servidor, puede habilitar la identidad administrada principal para la instancia de SQL Server directamente desde el portal de Azure. También es posible habilitar manualmente la identidad administrada principal mediante la actualización del registro, pero debe realizarse con extrema precaución.

Azure portal
Manualmente

Para habilitar la identidad administrada principal en el portal de Azure, siga estos pasos:

Vaya al recurso SQL Server habilitado por Azure Arc en el portal de Azure.
En Settings, seleccione Microsoft Entra ID y Purview para abrir la página Microsoft Entra ID y Purview.

Nota:

Si no ve la opción Enable Microsoft Entra ID autenticación, asegúrese de que la instancia de SQL Server está conectada a Azure Arc y de que tiene instalada la extensión SQL más reciente.
En la página Microsoft Entra ID y Purview, active la casilla situada junto a Use una identidad administrada principal y, después, use Save para aplicar la configuración:

Es posible habilitar manualmente la identidad administrada principal para la instancia de SQL Server mediante la actualización del registro, pero debe hacerse con extrema precaución.

Concesión de permiso a la carpeta Tokens

Conceder Read & execute permisos del sistema operativo en la carpeta a la cuenta de servicio de instancia de SQL Server 2025. De forma predeterminada, la cuenta de servicio es NT Service\MSSQLSERVERo para instancias con nombre, NT Service\MSSQL$<instancename>.

Captura de pantalla de la pestaña Propiedades de seguridad de la carpeta Tokens.

Es posible que tenga que conceder permisos de administrador para la cuenta de servicio de SQL Server en la carpeta AzureConnectedMachineAgent antes de la carpeta Tokens:

Captura de pantalla de la pestaña Propiedades de seguridad de la carpeta AzureConnectedMachineAgent.

Agregar la cuenta de servicio de SQL Server al grupo de aplicaciones de extensión del agente híbrido

Agregue la cuenta de servicio de SQL Server (valor predeterminado: NT Service\MSSQLSERVER o para instancias con nombre, NT Service\MSSQL$instancename) al grupo Hybrid agent extension applications.

Abra Windows Administración de equipos.
Vaya a Usuarios y grupos locales y seleccione Grupos.
Agregue la cuenta de servicio de SQL Server al grupo de aplicaciones de extensión del agente Hybrid.

Captura de pantalla de Administración de equipos mostrando el grupo de aplicaciones de extensión del agente híbrido.

Captura de pantalla de las propiedades del grupo de aplicaciones de extensión del agente híbrido.

Actualizar el registro

Advertencia

La edición incorrecta del registro puede dañar gravemente el sistema. Antes de efectuar cambios en el Registro, es recomendable que realice una copia de seguridad de los datos importantes del equipo.

En el Registro, actualice el \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17.MSSQLSERVER\MSSQLServer\FederatedAuthentication subclave.

Cree las siguientes entradas:

Entrada	Importancia
`ArcServerManagedIdentityClientId`	Vacío (sin valor)
`HIMDSApiVersion`	`2020-06-01`
`HIMDSEndpoint`	`http://localhost:40342/metadata/identity/oauth2/token`
`ArcServerSystemAssignedManagedIdentityTenantId`	`Arc-AAD-Tenant-ID`
`ArcServerSystemAssignedManagedIdentityClientId`	`Arc-Machine-Client-Id`
`PrimaryAADTenant`	`Arc-AAD-Tenant-ID`
`AADChannelMaxBufferedMessageSize`	`200000`
`AADGraphEndPoint`	`graph.windows.net`
`AADGroupLookupMaxRetryAttempts`	`10`
`AADGroupLookupMaxRetryDuration`	`30000`
`AADGroupLookupRetryInitialBackoff`	`100`
`AADServerAdminSid`	`00000000-0000-0000-0000-000000000000`
`AuthenticationEndpoint`	`login.microsoftonline.com`
`CacheMaxSize`	`300`
`ClientCertBlackList`	Vacío (sin valor)
`FederationMetadataEndpoint`	`login.windows.net`
`GraphAPIEndpoint`	`graph.windows.net`
`IssuerURL`	`https://sts.windows.net/`
`OnBehalfOfAuthority`	`https://login.windows.net/`
`STSURL`	`https://login.windows.net/`
`MsGraphEndPoint`	`graph.microsoft.com`
`SendX5c`	`false`
`ServicePrincipalName`	`https://database.windows.net/`
`ServicePrincipalNameForArcadia`	`https://sql.azuresynapse.net`
`ServicePrincipalNameForArcadiaDogfood`	`https://sql.azuresynapse-dogfood.net`
`ServicePrincipalNameNoSlash`	`https://database.windows.net`
`AADBecWSConnectionPoolMaxSize`	`500`

Copia de seguridad y edición del registro

En las secciones siguientes se describe cómo realizar copias de seguridad y editar el registro con el Editor del Registro.

Abra el Editor del registro

Presione tecla Windows + R para abrir el cuadro de diálogo de Ejecutar.
Escriba regedit y presione Entrar.
Si se le solicita control de cuentas de usuario, seleccione Sí.

Realiza una copia de seguridad de la clave del Registro

Este paso realiza una copia de seguridad del registro antes de realizar cambios. Puede volver a importar este archivo en el Registro más adelante si los cambios provocan un problema.

Seleccione Archivo en el menú.
Selecciona Exportar.
En el cuadro de diálogo Exportar archivo del Registro, elija una ubicación para guardar la copia de seguridad.
Escriba un nombre para el archivo de copia de seguridad en el campo Nombre de archivo .
Asegúrese de que Todo está seleccionado en el rango de exportación.
Haga clic en Guardar.

Agregar entradas

En este paso, agregará entradas al Registro con el Editor del Registro.

Navegue por esta subclave: \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17. MSSQLSERVER\MSSQLServer\FederatedAuthentication.
Haga clic con el botón derecho en FederatedAuthentication y seleccione Valor de cadena.
Repetir para cada entrada que aparece en Actualizar el registro

Esta imagen muestra un registro configurado correctamente:

Restaurar la clave del Registro (si es necesario)

Si necesita restaurar a la configuración anterior del Registro, siga estos pasos.

Abra el Editor del Registro como se ha descrito anteriormente.
Seleccione Archivo en el menú.
Seleccione Importar.
Vaya a la ubicación del archivo de copia de seguridad guardado.
Seleccione el archivo de copia de seguridad y seleccione Abrir.

Para obtener más información, consulte Adición, modificación o eliminación de subclaves y valores del Registro mediante un archivo .reg.

Conceda permisos de aplicación a la identidad

Importante

Solo un administrador de roles con privilegios o un rol superior pueden conceder estos permisos.

Para habilitar la autenticación Microsoft Entra para instancias de SQL Server, cada identidad administrada asignada por el sistema requiere User.Read.All, GroupMember.Read.All y permisos Application.Read.All para consultar Microsoft Graph. Para obtener más información sobre estos permisos, consulte:

User.Read.All: permite el acceso a Microsoft Entra información de usuario.
GroupMember.Read.All: Permite el acceso a información de grupo de Microsoft Entra.
Application.Read.All: Permite el acceso a la información del principal de servicio de Microsoft Entra (aplicación).

Estos permisos son permisos de nivel de aplicación (roles de aplicación) y se deben asignar directamente a cada identidad administrada. No se pueden asignar manualmente a un grupo de seguridad de Microsoft Entra ni concederse a los miembros a través de la pertenencia a grupos. En el caso de los entornos con muchas máquinas, una alternativa es asignar el rol Directory Readers a un grupo de seguridad role-assignable Microsoft Entra grupo de seguridad y agregar las identidades administradas como miembros. A diferencia de los permisos de rol de aplicación, este rol de Microsoft Entra se puede conceder en el nivel de grupo, lo que simplifica la administración a escala. Sin embargo, Directory Readers concede acceso de lectura amplio en todos los objetos de directorio, superando significativamente los tres permisos de Graph API de destino. El rol Lectores de directorios no se recomienda para entornos de producción en los que se requiera acceso con privilegios mínimos.

El siguiente script de PowerShell concede los permisos necesarios a la identidad administrada. Asegúrese de que este script se ejecuta en PowerShell 7.5 o una versión posterior y tiene instalado el módulo Microsoft.Graph 2.28 o posterior.

# Set your Azure tenant and managed identity name
$tenantID = '<Enter-Your-Azure-Tenant-Id>'
$managedIdentityName = '<Enter-Your-Arc-HostMachine-Name>'

# Connect to Microsoft Graph
try {
    Connect-MgGraph -TenantId $tenantID -ErrorAction Stop
    Write-Output "Connected to Microsoft Graph successfully."
}
catch {
    Write-Error "Failed to connect to Microsoft Graph: $_"
    return
}

# Get Microsoft Graph service principal
$graphAppId = '00000003-0000-0000-c000-000000000000'
$graphSP = Get-MgServicePrincipal -Filter "appId eq '$graphAppId'"
if (-not $graphSP) {
    Write-Error "Microsoft Graph service principal not found."
    return
}

# Get the managed identity service principal
$managedIdentity = Get-MgServicePrincipal -Filter "displayName eq '$managedIdentityName'"
if (-not $managedIdentity) {
    Write-Error "Managed identity '$managedIdentityName' not found."
    return
}

# Define roles to assign
$requiredRoles = @(
    "User.Read.All",
    "GroupMember.Read.All",
    "Application.Read.All"
)

# Assign roles using scoped syntax
foreach ($roleValue in $requiredRoles) {
    $appRole = $graphSP.AppRoles | Where-Object {
        $_.Value -eq $roleValue -and $_.AllowedMemberTypes -contains "Application"
    }

    if ($appRole) {
        try {
            New-MgServicePrincipalAppRoleAssignment   -ServicePrincipalId $managedIdentity.Id `
                -PrincipalId $managedIdentity.Id `
                -ResourceId $graphSP.Id `
                -AppRoleId $appRole.Id `
                -ErrorAction Stop

            Write-Output "Successfully assigned role '$roleValue' to '$managedIdentityName'."
        }
        catch {
            Write-Warning "Failed to assign role '$roleValue': $_"
        }
    }
    else {
        Write-Warning "Role '$roleValue' not found in Microsoft Graph AppRoles."
    }
}

Crear inicios de sesión y usuarios

Siga los pasos del tutorial Microsoft Entra para crear inicios de sesión y usuarios para la identidad administrada.

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-04-17