Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Aplica-se a: SQL Server 2025 (17.x)
Este artigo descreve como desativar a autenticação SQL para o SQL Server ativado pelo Azure Arc a correr o SQL Server 2025 (17.x) no Windows. Quando desativa a autenticação SQL, a instância aceita apenas autenticação Microsoft Entra e Windows authentication. Pode facilmente inverter esta definição, e ela tem efeito sem reiniciar a instância do SQL Server. Esta configuração é o equivalente no SQL Server à autenticação Microsoft Entra-only para Base de Dados SQL do Azure e Azure SQL Managed Instance.
Como funciona a desativação da autenticação SQL
Quando desativar a autenticação SQL no SQL Server:
- O motor bloqueia todas as novas tentativas de início de sessão com autenticação SQL e aceita apenas o Microsoft Entra e a autenticação do Windows.
- Logins SQL bloqueados recebem erro 18456 (login falhado).
- Os seus logins e utilizadores existentes mantêm-se no local. Os logins SQL e os utilizadores de bases de dados contidos que usam autenticação SQL mantêm as suas definições e permissões. Eles simplesmente não conseguem iniciar sessão até reativares a autenticação SQL.
- As sessões ativas de autenticação SQL existentes não são afetadas. A definição bloqueia apenas novas ligações.
- A definição aplica-se ao nível da instância (servidor), a todas as bases de dados da instância.
- A definição entra em vigor sem necessidade de reiniciar, depois de a extensão Azure para SQL Server terminar de aplicar a alteração. Tal como as outras definições na página do Microsoft Entra ID, a extensão demora vários minutos a aplicar a configuração. O portal do Azure mostra uma mensagem de processamento enquanto a extensão está a funcionar e confirma com
Saved successfullyquando a alteração for aplicada. Para saber como a extensão aplica as propriedades do servidor à instância, veja Configurar SQL Server ativado pelo Azure Arc.
Pré-requisitos
- Uma instância do SQL Server ativada pelo Azure Arc em execução no SQL Server 2025 (17.x) no Windows. Versões anteriores do SQL Server não suportam desativar a autenticação SQL.
- A extensão do Azure para o SQL Server versão
1.1.3394.392ou posterior. Para obter mais informações, consulte as notas de versão. - Uma identidade gerida primária configurada para a instância do SQL Server. O SQL Server utiliza a identidade gerida para validar tokens Microsoft Entra. Para obter mais informações, consulte Autenticação do Microsoft Entra para SQL Server.
Permissions
Para ativar ou desativar a autenticação SQL, precisas de permissões para gerir a extensão do Azure para o SQL Server no recurso do SQL Server no portal do Azure. Funções Azure de alto privilégio, como Proprietário e Contribuidor, no recurso podem gerir a definição. As mesmas permissões que permitem definir o administrador do Microsoft Entra para a instância permitem configurar esta definição.
Prepare seu ambiente
Desativar a autenticação SQL bloqueia todas as ligações de login SQL, incluindo o sa login.
Antes de desativar a autenticação SQL:
- Certifique-se de que pelo menos um login Microsoft Entra consegue realizar as tarefas administrativas necessárias na instância.
- Atualize as suas aplicações para usar Microsoft Entra ou Windows authentication.
Siga o princípio do menor privilégio ao conceder permissões ao login administrativo da Microsoft Entra, concedendo apenas as permissões necessárias. Por exemplo, conceder permissões específicas ALTER ANY LOGIN e ALTER ANY USER , ou a pertença a um papel de servidor, em vez de direitos completos de sysadmin , a menos que seja exigida uma administração mais ampla.
Se perder o acesso ao plano de dados, reative a autenticação SQL a partir do portal Azure. O controlo de acesso baseado em papéis do Azure, e não uma ligação ao SQL Server, controla esta configuração.
Migre os logins antes de desativar a autenticação SQL
Desativar a autenticação SQL é um limite rígido para todos os utilizadores de login SQL e para todos os utilizadores baseados em palavra-passe, por isso migra primeiro a autenticação de login.
Para migrar a autenticação de login, siga esta sequência de passos:
Identifique quais os princípios que realmente se ligam. Os metadados dizem-lhe o que existe; A auditoria diz-te o que é usado. Ative o SQL Server Audit com o
SUCCESSFUL_LOGIN_GROUPgrupo de ações para ver quais os logins e os utilizadores contidos ainda autenticam com autenticação SQL. Para listar os logins SQL existentes na instância, execute a seguinte consulta:SELECT name, type_desc, is_disabled, create_date FROM sys.server_principals WHERE type_desc = 'SQL_LOGIN' ORDER BY name;Depois, execute a seguinte consulta em cada base de dados de utilizadores para encontrar utilizadores contidos com autenticação por palavra-passe, que também estejam bloqueados:
SELECT name, type_desc FROM sys.database_principals WHERE type = 'S' AND authentication_type_desc = 'DATABASE' ORDER BY name;Crie equivalentes ao Microsoft Entra e conceda permissões de correspondência. Para cada login SQL ou utilizador contido que ainda seja necessário, crie um login ou utilizador Microsoft Entra correspondente e conceda as permissões equivalentes. Para obter mais informações, consulte Autenticação do Microsoft Entra para SQL Server.
Atualiza tudo o que se liga à autenticação SQL. Reconfigure aplicações, trabalhos SQL Server Agent, servidores ligados, scripts de replicação e manutenção para usar autenticação Microsoft Entra ou Windows authentication, e atualize para uma versão do driver cliente que suporte autenticação Microsoft Entra. Estas funcionalidades suportam todas a autenticação Microsoft Entra, por isso move-as em vez de as deixar na autenticação SQL.
Valide que não resta tráfego de autenticação SQL. Verifique novamente os seus dados de auditoria e confirme todas as ligações movidas para Microsoft Entra ou Windows authentication antes de desativar a autenticação SQL.
O guia seguinte descreve como configurar a autenticação sem palavra-passe para a Base de Dados SQL do Azure, mas os passos para inventário, recriação de permissões e validação aplicam-se igualmente ao SQL Server: Proteger a Base de Dados SQL do Azure com autenticação sem palavra-passe do Microsoft Entra: guia de migração
Desativar autenticação SQL
Desative a autenticação SQL para a sua instância do SQL Server 2025 (17.x) no Windows diretamente a partir do portal Azure, seguindo estes passos:
Vá ao seu recurso de instância do SQL Server no portal do Azure.
Em Definições, selecione Microsoft Entra ID para abrir o painel do Microsoft Entra ID.
- Selecione a caixa de verificação para Usar uma identidade gerida primária, caso ainda não esteja selecionada.
- Selecione a caixa de seleção Desativar Autenticação SQL para desativar a autenticação SQL.
- Selecione Guardar para guardar a sua nova definição:
Depois de guardar, a extensão Azure para SQL Server aplica a definição à instância. Pode demorar vários minutos: o portal mostra uma mensagem de processamento enquanto a extensão processa e confirma com Saved successfully quando a alteração é aplicada. Não é necessário reiniciar. Se vir que a chamada estendida falhou, espere alguns minutos e selecione Guardar novamente.
Para reativar a autenticação SQL, despeje a opção Desativar Autenticação SQL e selecione Guardar.
Para confirmar que a alteração entrou em vigor, consulte Verificar estado de autenticação.
Verificar o estado da autenticação
Use a função IsExternalAuthenticationOnly para verificar se a autenticação SQL está desativada na instância. Um valor de 1 indica que a autenticação SQL está desativada (apenas Microsoft Entra e Windows authentication); 0 indica que a autenticação SQL está ativada.
SELECT SERVERPROPERTY('IsExternalAuthenticationOnly');
Remarks
Considere as seguintes observações:
- A definição de Desabilitar Autenticação SQL requer uma identidade gerida principal na instância.
- Não podes remover a identidade gerida principal enquanto a autenticação SQL está desativada. Reative a autenticação SQL primeiro.
- Desabilitar a autenticação SQL está desmarcada por defeito, pelo que a autenticação SQL é permitida.
Limitações
Pode desativar a autenticação SQL apenas para instâncias do SQL Server 2025 (17.x) ativadas pelo Azure Arc no Windows.