Desativar a autenticação SQL para SQL Server ativada pelo Azure Arc

Aplica-se a: SQL Server 2025 (17.x)

Este artigo descreve como desativar a autenticação SQL para o SQL Server ativado pelo Azure Arc a correr o SQL Server 2025 (17.x) no Windows. Quando desativa a autenticação SQL, a instância aceita apenas autenticação Microsoft Entra e Windows authentication. Pode facilmente inverter esta definição, e ela tem efeito sem reiniciar a instância do SQL Server. Esta configuração é o equivalente no SQL Server à autenticação Microsoft Entra-only para Base de Dados SQL do Azure e Azure SQL Managed Instance.

Como funciona a desativação da autenticação SQL

Quando desativar a autenticação SQL no SQL Server:

  • O motor bloqueia todas as novas tentativas de início de sessão com autenticação SQL e aceita apenas o Microsoft Entra e a autenticação do Windows.
  • Logins SQL bloqueados recebem erro 18456 (login falhado).
  • Os seus logins e utilizadores existentes mantêm-se no local. Os logins SQL e os utilizadores de bases de dados contidos que usam autenticação SQL mantêm as suas definições e permissões. Eles simplesmente não conseguem iniciar sessão até reativares a autenticação SQL.
  • As sessões ativas de autenticação SQL existentes não são afetadas. A definição bloqueia apenas novas ligações.
  • A definição aplica-se ao nível da instância (servidor), a todas as bases de dados da instância.
  • A definição entra em vigor sem necessidade de reiniciar, depois de a extensão Azure para SQL Server terminar de aplicar a alteração. Tal como as outras definições na página do Microsoft Entra ID, a extensão demora vários minutos a aplicar a configuração. O portal do Azure mostra uma mensagem de processamento enquanto a extensão está a funcionar e confirma com Saved successfully quando a alteração for aplicada. Para saber como a extensão aplica as propriedades do servidor à instância, veja Configurar SQL Server ativado pelo Azure Arc.

Pré-requisitos

  • Uma instância do SQL Server ativada pelo Azure Arc em execução no SQL Server 2025 (17.x) no Windows. Versões anteriores do SQL Server não suportam desativar a autenticação SQL.
  • A extensão do Azure para o SQL Server versão 1.1.3394.392 ou posterior. Para obter mais informações, consulte as notas de versão.
  • Uma identidade gerida primária configurada para a instância do SQL Server. O SQL Server utiliza a identidade gerida para validar tokens Microsoft Entra. Para obter mais informações, consulte Autenticação do Microsoft Entra para SQL Server.

Permissions

Para ativar ou desativar a autenticação SQL, precisas de permissões para gerir a extensão do Azure para o SQL Server no recurso do SQL Server no portal do Azure. Funções Azure de alto privilégio, como Proprietário e Contribuidor, no recurso podem gerir a definição. As mesmas permissões que permitem definir o administrador do Microsoft Entra para a instância permitem configurar esta definição.

Prepare seu ambiente

Desativar a autenticação SQL bloqueia todas as ligações de login SQL, incluindo o sa login.

Antes de desativar a autenticação SQL:

  • Certifique-se de que pelo menos um login Microsoft Entra consegue realizar as tarefas administrativas necessárias na instância.
  • Atualize as suas aplicações para usar Microsoft Entra ou Windows authentication.

Siga o princípio do menor privilégio ao conceder permissões ao login administrativo da Microsoft Entra, concedendo apenas as permissões necessárias. Por exemplo, conceder permissões específicas ALTER ANY LOGIN e ALTER ANY USER , ou a pertença a um papel de servidor, em vez de direitos completos de sysadmin , a menos que seja exigida uma administração mais ampla.

Se perder o acesso ao plano de dados, reative a autenticação SQL a partir do portal Azure. O controlo de acesso baseado em papéis do Azure, e não uma ligação ao SQL Server, controla esta configuração.

Migre os logins antes de desativar a autenticação SQL

Desativar a autenticação SQL é um limite rígido para todos os utilizadores de login SQL e para todos os utilizadores baseados em palavra-passe, por isso migra primeiro a autenticação de login.

Para migrar a autenticação de login, siga esta sequência de passos:

  1. Identifique quais os princípios que realmente se ligam. Os metadados dizem-lhe o que existe; A auditoria diz-te o que é usado. Ative o SQL Server Audit com o SUCCESSFUL_LOGIN_GROUP grupo de ações para ver quais os logins e os utilizadores contidos ainda autenticam com autenticação SQL. Para listar os logins SQL existentes na instância, execute a seguinte consulta:

    SELECT name, type_desc, is_disabled, create_date
    FROM sys.server_principals
    WHERE type_desc = 'SQL_LOGIN'
    ORDER BY name;
    

    Depois, execute a seguinte consulta em cada base de dados de utilizadores para encontrar utilizadores contidos com autenticação por palavra-passe, que também estejam bloqueados:

    SELECT name, type_desc
    FROM sys.database_principals
    WHERE type = 'S' AND authentication_type_desc = 'DATABASE'
    ORDER BY name;
    
  2. Crie equivalentes ao Microsoft Entra e conceda permissões de correspondência. Para cada login SQL ou utilizador contido que ainda seja necessário, crie um login ou utilizador Microsoft Entra correspondente e conceda as permissões equivalentes. Para obter mais informações, consulte Autenticação do Microsoft Entra para SQL Server.

  3. Atualiza tudo o que se liga à autenticação SQL. Reconfigure aplicações, trabalhos SQL Server Agent, servidores ligados, scripts de replicação e manutenção para usar autenticação Microsoft Entra ou Windows authentication, e atualize para uma versão do driver cliente que suporte autenticação Microsoft Entra. Estas funcionalidades suportam todas a autenticação Microsoft Entra, por isso move-as em vez de as deixar na autenticação SQL.

  4. Valide que não resta tráfego de autenticação SQL. Verifique novamente os seus dados de auditoria e confirme todas as ligações movidas para Microsoft Entra ou Windows authentication antes de desativar a autenticação SQL.

O guia seguinte descreve como configurar a autenticação sem palavra-passe para a Base de Dados SQL do Azure, mas os passos para inventário, recriação de permissões e validação aplicam-se igualmente ao SQL Server: Proteger a Base de Dados SQL do Azure com autenticação sem palavra-passe do Microsoft Entra: guia de migração

Desativar autenticação SQL

Desative a autenticação SQL para a sua instância do SQL Server 2025 (17.x) no Windows diretamente a partir do portal Azure, seguindo estes passos:

  1. Vá ao seu recurso de instância do SQL Server no portal do Azure.

  2. Em Definições, selecione Microsoft Entra ID para abrir o painel do Microsoft Entra ID.

    1. Selecione a caixa de verificação para Usar uma identidade gerida primária, caso ainda não esteja selecionada.
    2. Selecione a caixa de seleção Desativar Autenticação SQL para desativar a autenticação SQL.
    3. Selecione Guardar para guardar a sua nova definição:

    Captura de ecrã do painel do Microsoft Entra ID no portal do Azure com a opção Desativar Autenticação SQL selecionada e o botão Guardar destacado.

Depois de guardar, a extensão Azure para SQL Server aplica a definição à instância. Pode demorar vários minutos: o portal mostra uma mensagem de processamento enquanto a extensão processa e confirma com Saved successfully quando a alteração é aplicada. Não é necessário reiniciar. Se vir que a chamada estendida falhou, espere alguns minutos e selecione Guardar novamente.

Para reativar a autenticação SQL, despeje a opção Desativar Autenticação SQL e selecione Guardar.

Para confirmar que a alteração entrou em vigor, consulte Verificar estado de autenticação.

Verificar o estado da autenticação

Use a função IsExternalAuthenticationOnly para verificar se a autenticação SQL está desativada na instância. Um valor de 1 indica que a autenticação SQL está desativada (apenas Microsoft Entra e Windows authentication); 0 indica que a autenticação SQL está ativada.

SELECT SERVERPROPERTY('IsExternalAuthenticationOnly');

Remarks

Considere as seguintes observações:

  • A definição de Desabilitar Autenticação SQL requer uma identidade gerida principal na instância.
  • Não podes remover a identidade gerida principal enquanto a autenticação SQL está desativada. Reative a autenticação SQL primeiro.
  • Desabilitar a autenticação SQL está desmarcada por defeito, pelo que a autenticação SQL é permitida.

Limitações

Pode desativar a autenticação SQL apenas para instâncias do SQL Server 2025 (17.x) ativadas pelo Azure Arc no Windows.