Configurar identidade gerida e autenticação Microsoft Entra para SQL Server ativada pelo Azure Arc

Aplica-se a: SQL Server 2025 (17.x)

SQL Server 2022
SQL Server 2025
Base de Dados SQL do Azure & Azure SQL Managed Instance
SQL Server em VMs Azure

Este artigo fornece instruções passo a passo para definir e configurar a identidade gerida do Microsoft Entra ID para o SQL Server com suporte do Azure Arc.

Para uma visão geral da identidade gerida com SQL Server, veja Identidade gerida para SQL Server ativada por Azure Arc.

Pré-requisitos

Antes de poder usar uma identidade gerida com o SQL Server ativado pelo Azure Arc, certifique-se de que cumpre os seguintes pré-requisitos:

Suportado para SQL Server 2025 e posteriores, em execução no Windows.
Liga o teu SQL Server ao Azure Arc.
A versão mais recente da extensão Azure para SQL Server.

Habilitar a identidade gerenciada principal

Se instalou a Extensão Azure para SQL Server no seu servidor, pode ativar a identidade gerida principal da sua instância do SQL Server diretamente a partir do portal do Azure. Também é possível habilitar a identidade gerenciada principal manualmente atualizando o registro, mas deve ser feito com extrema cautela.

Portal do Azure
manualmente

Para ativar a identidade gerida principal no portal Azure, siga estes passos:

Vai ao teu recurso SQL Server ativado pelo Azure Arc no portal Azure.
Em Settings, selecione Microsoft Entra ID e Purview para abrir as páginas Microsoft Entra ID e Purview.

Observação

Se não vires a opção Ativar autenticação Microsoft Entra ID, certifica-te de que a tua instância SQL Server está ligada à Azure Arc e que tens a mais recente extensão SQL instalada.
Na página Microsoft Entra ID e Purview, assinala a caixa ao lado de Usa uma identidade gerida primária e depois usa Save para aplicar a tua configuração:

É possível ativar manualmente a identidade gerida principal da sua instância do SQL Server atualizando o registo, mas deve ser feito com extremo cuidado.

Conceder permissão à pasta Tokens

Conceder permissões de Ler e Executar na pasta C:\ProgramData\AzureConnectedMachineAgent\Tokens\ à conta de serviço da instância do SQL Server 2025. Por padrão, a conta de serviço é NT Service\MSSQLSERVER, ou, para instâncias nomeadas, NT Service\MSSQL$<instancename>.

Captura de ecrã do separador Propriedades de segurança da pasta Tokens.

Pode ser necessário conceder permissões de administrador à conta de serviço SQL Server na pasta AzureConnectedMachineAgent antes da pasta Tokens:

Captura de ecrã do separador Propriedades de segurança da pasta AzureConnectedMachineAgent.

Adicionar a conta do serviço SQL Server ao grupo de aplicações de extensão de agentes híbridos

Adicione a conta de serviço do SQL Server (padrão: NT Service\MSSQLSERVER ou, para instâncias nomeadas, NT Service\MSSQL$instancename) ao grupo de aplicações de extensão do agente híbrido.

Abrir Windows Gestão de Computadores.
Vá para Usuários e Grupos Locais e selecione Grupos.
Adicione a conta de serviço SQL Server ao grupo de aplicações de extensão Hybrid agent extension applications.

Captura de tela do Gerenciamento do Computador mostrando o grupo de aplicativos de extensão de agente híbrido.

Captura de ecrã das propriedades do grupo de aplicativos de extensão de agente híbrido.

Atualizar o registo

Advertência

A edição incorreta do registo pode danificar gravemente o seu sistema. Antes de fazer alterações no Registro, recomendamos que você faça backup de todos os dados valiosos no computador.

No registo, atualize o \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17. MSSQLSERVER\MSSQLServer\FederatedAuthentication subchave.

Crie as seguintes entradas:

Entry	Valor
`ArcServerManagedIdentityClientId`	Vazio (sem valor)
`HIMDSApiVersion`	`2020-06-01`
`HIMDSEndpoint`	`http://localhost:40342/metadata/identity/oauth2/token`
`ArcServerSystemAssignedManagedIdentityTenantId`	`Arc-AAD-Tenant-ID`
`ArcServerSystemAssignedManagedIdentityClientId`	`Arc-Machine-Client-Id`
`PrimaryAADTenant`	`Arc-AAD-Tenant-ID`
`AADChannelMaxBufferedMessageSize`	`200000`
`AADGraphEndPoint`	`graph.windows.net`
`AADGroupLookupMaxRetryAttempts`	`10`
`AADGroupLookupMaxRetryDuration`	`30000`
`AADGroupLookupRetryInitialBackoff`	`100`
`AADServerAdminSid`	`00000000-0000-0000-0000-000000000000`
`AuthenticationEndpoint`	`login.microsoftonline.com`
`CacheMaxSize`	`300`
`ClientCertBlackList`	Vazio (sem valor)
`FederationMetadataEndpoint`	`login.windows.net`
`GraphAPIEndpoint`	`graph.windows.net`
`IssuerURL`	`https://sts.windows.net/`
`OnBehalfOfAuthority`	`https://login.windows.net/`
`STSURL`	`https://login.windows.net/`
`MsGraphEndPoint`	`graph.microsoft.com`
`SendX5c`	`false`
`ServicePrincipalName`	`https://database.windows.net/`
`ServicePrincipalNameForArcadia`	`https://sql.azuresynapse.net`
`ServicePrincipalNameForArcadiaDogfood`	`https://sql.azuresynapse-dogfood.net`
`ServicePrincipalNameNoSlash`	`https://database.windows.net`
`AADBecWSConnectionPoolMaxSize`	`500`

Fazer backup e editar o registro

As seções a seguir descrevem como fazer backup e editar o registro com o Editor do Registro.

Abra o Editor do Registro

Pressiona a tecla Windows + R para abrir a caixa de diálogo Executar.
Digite regedit e pressione Enter.
Se solicitado pelo Controle de Conta de Usuário, selecione Sim.

Fazer backup da chave do Registro

Esta etapa faz backup do registro antes de fazer quaisquer alterações. Você pode importar esse arquivo de volta para o registro mais tarde se suas alterações causarem um problema.

Selecione Ficheiro no menu.
Selecione Exportar.
Na caixa de diálogo Exportar Arquivo do Registro, escolha um local para salvar o backup.
Insira um nome para o arquivo de backup no campo Nome do arquivo .
Verifique se Tudo está selecionado na gama de Exportação.
Selecione Guardar.

Adicionar entradas

Nesta etapa, você adiciona entradas ao Registro com o Editor do Registro.

Navegue por esta subchave: \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17. MSSQLSERVER\MSSQLServer\FederatedAuthentication.
Clique com o botão direito do mouse em FederatedAuthentication e selecione String Value.
Repita para cada entrada listada em Atualizar o registro

Esta imagem demonstra um registro configurado corretamente:

Restaurar a chave do Registro (se necessário)

Se você precisar restaurar as configurações anteriores do Registro, siga estas etapas.

Abra o Editor do Registro conforme descrito anteriormente.
Selecione Ficheiro no menu.
Selecione Importar.
Navegue até o local do arquivo de backup salvo.
Selecione o arquivo de backup e selecione Abrir.

Para obter detalhes, consulte Como adicionar, modificar ou excluir subchaves e valores do Registro usando um arquivo .reg.

Conceder permissões de acesso ao aplicativo à identidade

Importante

Somente um Administrador de Função Privilegiada ou uma função superior pode conceder essas permissões.

Para permitir a autenticação do Microsoft Entra para instâncias do SQL Server, cada identidade gerida pelo sistema requer as permissões User.Read.All, GroupMember.Read.All e Application.Read.All para consultar o Microsoft Graph. Para mais informações sobre estas permissões, veja:

User.Read.All: Permite o acesso à informação do utilizador do Microsoft Entra.
GroupMember.Read.All: Permite o acesso às informações do grupo Microsoft Entra.
Application.Read.All: Permite o acesso à informação do principal de serviço Microsoft Entra (aplicação).

Estas permissões são permissões ao nível da aplicação (papéis de aplicação) e devem ser atribuídas diretamente a cada identidade gerida. Não podem ser atribuídas manualmente a um grupo de segurança da Microsoft Entra e concedidas aos membros através da adesão ao grupo. Para ambientes com muitas máquinas, uma alternativa é atribuir o papel Leitores de Diretório a um grupo de segurança Microsoft Entra atribuível a um papel e adicionar as identidades geridas como membros. Ao contrário das permissões de função de aplicação, esta função da Microsoft Entra pode ser concedida ao nível de grupo, simplificando a gestão em larga escala. No entanto, Leitores de Diretório concede acesso amplo de leitura em todos os objetos do diretório, superando significativamente as três permissões específicas da Graph API. O papel de Leitores do Diretório não é recomendado para ambientes de produção onde é necessário acesso com privilégios mínimos.

O script PowerShell a seguir concede as permissões necessárias para a identidade gerenciada. Certifique-se de que este script está a correr no PowerShell 7.5 ou numa versão posterior, e que tem instalado o módulo Microsoft.Graph 2.28 ou posterior.

# Set your Azure tenant and managed identity name
$tenantID = '<Enter-Your-Azure-Tenant-Id>'
$managedIdentityName = '<Enter-Your-Arc-HostMachine-Name>'

# Connect to Microsoft Graph
try {
    Connect-MgGraph -TenantId $tenantID -ErrorAction Stop
    Write-Output "Connected to Microsoft Graph successfully."
}
catch {
    Write-Error "Failed to connect to Microsoft Graph: $_"
    return
}

# Get Microsoft Graph service principal
$graphAppId = '00000003-0000-0000-c000-000000000000'
$graphSP = Get-MgServicePrincipal -Filter "appId eq '$graphAppId'"
if (-not $graphSP) {
    Write-Error "Microsoft Graph service principal not found."
    return
}

# Get the managed identity service principal
$managedIdentity = Get-MgServicePrincipal -Filter "displayName eq '$managedIdentityName'"
if (-not $managedIdentity) {
    Write-Error "Managed identity '$managedIdentityName' not found."
    return
}

# Define roles to assign
$requiredRoles = @(
    "User.Read.All",
    "GroupMember.Read.All",
    "Application.Read.All"
)

# Assign roles using scoped syntax
foreach ($roleValue in $requiredRoles) {
    $appRole = $graphSP.AppRoles | Where-Object {
        $_.Value -eq $roleValue -and $_.AllowedMemberTypes -contains "Application"
    }

    if ($appRole) {
        try {
            New-MgServicePrincipalAppRoleAssignment   -ServicePrincipalId $managedIdentity.Id `
                -PrincipalId $managedIdentity.Id `
                -ResourceId $graphSP.Id `
                -AppRoleId $appRole.Id `
                -ErrorAction Stop

            Write-Output "Successfully assigned role '$roleValue' to '$managedIdentityName'."
        }
        catch {
            Write-Warning "Failed to assign role '$roleValue': $_"
        }
    }
    else {
        Write-Warning "Role '$roleValue' not found in Microsoft Graph AppRoles."
    }
}

Criar logins e usuários

Siga os passos do tutorial Microsoft Entra para criar logins e utilizadores para a identidade gerida.

Comentários

Esta página foi útil?

Last updated on 2026-04-17