Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a: SQL Server 2025 (17.x)
Este artigo descreve como desativar a autenticação SQL para o SQL Server habilitado pelo Azure Arc rodando o SQL Server 2025 (17.x) no Windows. Quando você desativa a autenticação SQL, a instância aceita apenas a autenticação Microsoft Entra e a autenticação do Windows. Você pode facilmente reverter essa configuração, e ela entra em vigor sem reiniciar a instância do SQL Server. Essa configuração é o equivalente no SQL Server à autenticação somente do Microsoft Entra para Banco de Dados SQL do Azure e Instância Gerenciada de SQL do Azure.
Como funciona a desativação da autenticação SQL
Quando você desativa a autenticação SQL no SQL Server:
- O motor bloqueia todas as novas tentativas de login de autenticação SQL e aceita apenas Microsoft Entra e autenticação do Windows.
- Logins SQL bloqueados recebem erro 18456 (login falhado).
- Seus logins e usuários atuais permanecem inalterados. Logins SQL e usuários de banco de dados contidos que usam autenticação SQL mantêm suas definições e permissões. Eles só não conseguem fazer login até você reativar a autenticação SQL.
- As sessões ativas de autenticação SQL existentes não são afetadas. A configuração bloqueia apenas novas conexões.
- A configuração se aplica no nível da instância (servidor), a todos os bancos de dados da instância.
- A configuração entra em vigor sem reiniciar, depois que a extensão do Azure para SQL Server termina de aplicar a mudança. Assim como as outras configurações na página do Microsoft Entra ID, a extensão leva vários minutos para aplicar a configuração. O portal do Azure mostra uma mensagem de processamento enquanto a extensão está em execução e confirma com
Saved successfullyquando a alteração é aplicada. Para entender como a extensão aplica propriedades do servidor à instância, veja Configure SQL Server ativado pelo Azure Arc.
Pré-requisitos
- Uma instância do SQL Server habilitada pelo Azure Arc executando o SQL Server 2025 (17.x) no Windows. Versões anteriores do SQL Server não suportam desativar a autenticação SQL.
- A extensão do Azure para o SQL Server versão
1.1.3394.392ou superior. Para obter mais informações, consulte as notas da versão. - Uma identidade gerenciada primária configurada para a instância do SQL Server. O SQL Server usa a identidade gerenciada para validar tokens Microsoft Entra. Para obter mais informações, veja Autenticação do Microsoft Entra para SQL Server.
Permissions
Para habilitar ou desativar a autenticação SQL, você precisa de permissões para gerenciar a extensão do Azure para o SQL Server no recurso SQL Server no portal do Azure. Funções Azure de alto privilégio, como Proprietário e Contribuidor, no recurso podem gerenciar a configuração. As mesmas permissões que permitem definir o administrador do Microsoft Entra para a instância permitem configurar essa configuração.
Prepare o seu ambiente
Desativar a autenticação SQL bloqueia todas as conexões de login SQL, incluindo o sa login.
Antes de desativar a autenticação SQL:
- Certifique-se de que pelo menos um login Microsoft Entra possa realizar as tarefas administrativas necessárias na instância.
- Atualize seus aplicativos para usar Microsoft Entra ou autenticação do Windows.
Siga o princípio do privilégio mínimo ao conceder permissões para o login administrativo do Microsoft Entra, concedendo apenas as permissões necessárias. Por exemplo, conceder permissões específicas ALTER ANY LOGIN e ALTER ANY USER , ou a filiação a um papel de servidor, em vez de direitos completos de sysadmin , a menos que seja exigida uma administração mais ampla.
Se você perder o acesso ao plano de dados, reative a autenticação SQL pelo portal do Azure. O controle de acesso baseado em função do Azure, e não uma conexão com SQL Server, controla essa configuração.
Migre logins antes de desativar a autenticação SQL
Desativar a autenticação SQL é um limite rígido para todo login SQL e para todo usuário baseado em senha, então migre a autenticação de login primeiro.
Para migrar a autenticação de login, siga esta sequência de passos:
Identifique quais princípios realmente se conectam. Os metadados dizem o que existe; A auditoria mostra o que é usado. Ative o SQL Server Audit com o
SUCCESSFUL_LOGIN_GROUPgrupo de ações para ver quais logins e usuários contidos ainda autenticam com autenticação SQL. Para listar os logins SQL existentes na instância, execute a seguinte consulta:SELECT name, type_desc, is_disabled, create_date FROM sys.server_principals WHERE type_desc = 'SQL_LOGIN' ORDER BY name;Em seguida, execute a seguinte consulta em cada banco de dados de usuário para localizar usuários contidos com senha que também estão bloqueados:
SELECT name, type_desc FROM sys.database_principals WHERE type = 'S' AND authentication_type_desc = 'DATABASE' ORDER BY name;Crie equivalentes ao Microsoft Entra e conceda permissões de correspondência. Para cada login SQL ou usuário contido que ainda for necessário, crie um login ou usuário Microsoft Entra correspondente e conceda as permissões equivalentes. Para obter mais informações, veja Autenticação do Microsoft Entra para SQL Server.
Atualize tudo que se conecta com autenticação SQL. Reconfigure aplicações, trabalhos do SQL Server Agent, servidores vinculados, scripts de replicação e manutenção para usar autenticação Microsoft Entra ou autenticação do Windows, e atualize para uma versão do driver cliente que suporte autenticação Microsoft Entra. Todos esses recursos suportam autenticação Microsoft Entra, então mova-os em vez de deixá-los na autenticação SQL.
Valide que não resta tráfego de autenticação SQL. Verifique novamente seus dados de auditoria e confirme que todas as conexões foram movidas para Microsoft Entra ou autenticação do Windows antes de desativar a autenticação SQL.
O passo a passo a seguir configura a autenticação sem senha para o Banco de Dados SQL do Azure, mas as etapas de inventário, recriação de permissões e validação se aplicam igualmente ao SQL Server: Protegendo o Banco de Dados SQL do Azure com autenticação sem senha do Microsoft Entra: guia de migração
Desativar a autenticação SQL
Desative a autenticação SQL para sua instância do SQL Server 2025 (17.x) no Windows diretamente pelo portal do Azure, seguindo estes passos:
Vá ao seu recurso de instância do SQL Server no portal do Azure.
Em Configurações, selecione Microsoft Entra ID para abrir o painel do Microsoft Entra ID.
- Selecione a caixa para Usar uma identidade gerenciada primária, caso ainda não esteja selecionada.
- Selecione a caixa de seleção Desativar Autenticação SQL para desativar a autenticação SQL.
- Selecione Salvar para salvar sua nova configuração:
Depois que você salva, a extensão Azure para SQL Server aplica essa configuração à instância. Isso leva vários minutos: o portal mostra uma mensagem de processamento enquanto a extensão é executada e confirma com Saved successfully quando a alteração for aplicada. Não é necessário reiniciar. Se você vir que a chamada estendida falhou, espere alguns minutos e selecione Salvar novamente.
Para reativar a autenticação SQL, desmarque a caixa de seleção Desativar Autenticação SQL e selecione Salvar.
Para confirmar que a mudança entrou em vigor, veja Verificar status de autenticação.
Verificar o status da autenticação
Use a função IsExternalAuthenticationOnly para verificar se a autenticação SQL está desativada na instância. Um valor de 1 indica que a autenticação SQL está desativada (apenas Microsoft Entra e autenticação do Windows); 0 indica que a autenticação SQL está ativada.
SELECT SERVERPROPERTY('IsExternalAuthenticationOnly');
Remarks
Considere as seguintes observações:
- A configuração Desativar Autenticação SQL requer uma identidade gerenciada primária na instância.
- Você não pode remover a identidade gerenciada principal enquanto a autenticação SQL estiver desativada. Reative a autenticação SQL primeiro.
- Desabilitar a autenticação SQL está desmarcada por padrão, então a autenticação SQL é permitida.
Limitações
Você pode desativar a autenticação SQL apenas para instâncias do SQL Server 2025 (17.x) habilitadas pelo Azure Arc no Windows.