كيفية إعداد مصادقة Windows لمثيل Azure SQL المُدار باستخدام Microsoft Azure Active Directory وKerberos (إصدار أولي)

تقدم هذه المقالة نظرة عامة حول كيفية إعداد البنية الأساسية والمثيلات المُدارة لتنفيذ مصادقة Windows لكيانات Microsoft Azure Active Directory في مثيل Azure SQL المُدار.

هناك مرحلتان لإعداد مصادقة Windows لمثيل Azure SQL المُدار باستخدام Azure Active Directory (Microsoft Azure Active Directory) وKerberos.

  • إعداد البنية الأساسية لمرة واحدة.
    • قم بمزامنة Active Directory وMicrosoft Azure Active Directory، إذا لم يتم ذلك بالفعل.
    • قم بتمكين تدفق المصادقة التفاعلية الحديثة، عند توفرها. يوصى بالتدفق التفاعلي الحديث للمؤسسات التي انضمت إلى Azure AD أو انضم إلى Hybrid AD العملاء الذين يشغلون Windows 10 20H1 / Windows Server 2022 والإصدارات الأحدث حيث ينضم العملاء إلى Microsoft Azure Active Directory أو Hybrid AD.
    • قم بإعداد تدفق المصادقة المستندة إلى الثقة الواردة. يوصى بهذا للعملاء الذين لا يمكنهم استخدام التدفق التفاعلي الحديث، ولكن الذين انضموا إلى AD عملاء يستخدمون Windows 10 / Windows Server 2012 والإصدارات الأحدث.
  • تكوين مثيل Azure SQL المُدار.
    • قم بإنشاء أساس خدمة مخصص للنظام لكل مثيل مُدار.

إعداد البنية التحتية لمرة واحدة

تتمثل الخطوة الأولى في إعداد البنية التحتية في مزامنة AD مع Microsoft Azure Active Directory، إذا لم يكن هذا قد اكتمل بالفعل.

بعد ذلك، يقوم مسؤول النظام بتكوين تدفقات المصادقة. يتوفر تدفقا مصادقة لتنفيذ مصادقة Windows لكيانات Microsoft Azure Active Directory على مثيل Azure SQL المُدار: يدعم التدفق الوارد المستند إلى الثقة العملاء المنضمين إلى AD الذين يشغلون Windows Server 2012 أو أعلى، ويدعم التدفق التفاعلي الحديث عملاء Microsoft Azure Active Directory المنضمين الذين يشغلون Windows 10 21H1 أو أعلى.

مزامنة AD مع Microsoft Azure Active Directory

يجب على العملاء أولاً تنفيذ Azure AD Connect لدمج الدلائل المحلية مع Microsoft Azure Active Directory.

حدد تدفق (تدفقات) المصادقة الذي ستقوم بتنفيذه

يوضح الرسم التخطيطي التالي الأهلية والوظيفة الأساسية للتدفق التفاعلي الحديث والتدفق الوارد المستند إلى الثقة:

A decision tree showing criteria to select authentication flows.

"شجرة قرارات توضح أن التدفق التفاعلي الحديث مناسب للعملاء الذين يستخدمون نظام التشغيل Windows 10 20H1 أو Windows Server 2022 أو أعلى، حيث يكون العملاء منضمين إلى Microsoft Azure Active Directory أو انضمام Hybrid AD. التدفق الوارد المستند إلى الثقة مناسب للعملاء الذين يستخدمون Windows 10 أو Windows Server 2012 أو أعلى حيث ينضم العملاء إلى AD."

يعمل التدفق التفاعلي الحديث مع العملاء المستنيرين الذين يستخدمون نظام التشغيل Windows 10 21H1 والإصدارات الأحدث التي يتم ضمها إلى Azure AD أو Hybrid Microsoft Azure Active Directory. في التدفق التفاعلي الحديث، يمكن للمستخدمين الوصول إلى Azure SQL Managed Instance دون الحاجة إلى مجال رؤية لوحدات تحكم المجال (DC). ليست هناك حاجة لإنشاء عنصر ثقة في إعلان العميل. لتمكين التدفق التفاعلي الحديث، سيقوم المسؤول بتعيين نهج المجموعة لتذاكر مصادقة Kerberos (TGT) لاستخدامها أثناء تسجيل الدخول.

يعمل التدفق المستند إلى الثقة الوارد للعملاء الذين يستخدمون Windows 10 أو Windows Server 2012 والإصدارات الأحدث. يتطلب هذا التدفق أن يتم ضم العملاء إلى AD وأن يكون لديهم خط رؤية إلى AD من أماكن العمل. في التدفق الوارد المستند إلى الثقة، يتم إنشاء عنصر ثقة في إعلان العميل ويتم تسجيله في Microsoft Azure Active Directory. لتمكين التدفق الوارد المستند إلى الثقة، سيقوم المسؤول بإعداد ثقة واردة مع Microsoft Azure Active Directory وإعداد وكيل Kerberos عبر نهج المجموعة.

تدفق المصادقة التفاعلية الحديثة

المتطلبات الأساسية التالية مطلوبة لتنفيذ تدفق المصادقة التفاعلية الحديثة:

المتطلب الأساسي الوصف
يجب على العملاء تشغيل Windows 10 20H1 أو Windows Server 2022 أو إصدار أحدث من Windows.
يجب أن ينضم العملاء إلى Microsoft Azure Active Directory أو Hybrid Microsoft Azure Active Directory. يمكنك تحديد ما إذا كان هذا الشرط قد تم تحقيقه عن طريق تشغيل الأمر dsregcmd: dsregcmd.exe /status
يجب أن يتصل التطبيق بالمثيل المُدار عبر جلسة تفاعلية. يدعم هذا تطبيقات مثل SQL Server Management Studio (SSMS) وتطبيقات الويب، ولكنه لن يعمل مع التطبيقات التي تعمل كخدمة.
مستأجر Microsoft Azure Active Directory.
تم تثبيت Microsoft Azure Active Directory Connect. البيئات المختلطة حيث توجد الهويات في كل من Microsoft Azure Active Directory وAD.

راجع كيفية إعداد مصادقة Windows لـ Microsoft Azure Active Directory باستخدام التدفق التفاعلي الحديث (إصدار أولي) للحصول على خطوات لتمكين تدفق المصادقة هذا.

تدفق المصادقة المستندة إلى الثقة الواردة

المتطلبات الأساسية التالية مطلوبة لتنفيذ تدفق المصادقة المستندة إلى الثقة:

المتطلب الأساسي الوصف
يجب على العميل تشغيل Windows 10 أو Windows Server 2012 أو إصدار أعلى من Windows.
يجب أن ينضم العملاء إلى AD. يجب أن يحتوي المجال على مستوى وظيفي من Windows Server 2012 أو أعلى. يمكنك تحديد ما إذا كان العميل منضماً إلى AD عن طريق تشغيل الأمر dsregcmd: dsregcmd.exe /status
وحدة إدارة المصادقة المختلطة Microsoft Azure Active Directory. توفر وحدة PowerShell النمطية هذه ميزات إدارة للإعداد المحلي.
مستأجر Azure.
اشتراك Azure ضمن نفس مستأجر Microsoft Azure Active Directory الذي تخطط لاستخدامه للمصادقة.
تم تثبيت Microsoft Azure Active Directory Connect. البيئات المختلطة حيث توجد الهويات في كل من Microsoft Azure Active Directory وAD.

راجع كيفية إعداد مصادقة Windows لـ Microsoft Azure Active Directory من خلال التدفق الوارد المستند إلى الثقة (إصدار أولي) للحصول على إرشادات حول تمكين تدفق المصادقة هذا.

استكشاف Azure SQL Managed Instance

الخطوات لإعداد مثيل Azure SQL المُدار هي نفسها لكل من تدفق المصادقة الواردة المستندة إلى الثقة وتدفق المصادقة التفاعلية الحديثة.

المتطلبات الأساسية لتكوين مثيل مُدار

المتطلبات الأساسية التالية مطلوبة لتكوين مثيل مُدار لمصادقة Windows لأساسيات Microsoft Azure Active Directory:

المتطلب الأساسي الوصف
وحدة Az.Sql PowerShell النمطية توفر وحدة PowerShell النمطية هذه الأوامر للإدارة لموارد Azure SQL. قم بتثبيت هذه الوحدة النمطية عن طريق تشغيل أمر PowerShell التالي: Install-Module -Name Az.Sql
وحدة Microsoft Azure Active Directory PowerShell النمطية توفر هذه الوحدة النمطية الأوامر للإدارة للمهام الإدارية في Microsoft Azure Active Directory مثل إدارة المستخدم والخدمة الأساسية. قم بتثبيت هذه الوحدة النمطية عن طريق تشغيل أمر PowerShell التالي: Install-Module –Name AzureAD
مثيل مُدار يمكنك إنشاء مثيل مُدار جديد أو استخدام مثيل مُدار موجود.

تكوين كل مثيل مُدار

راجع تكوين مثيل Azure SQL المُدار لمصادقة Windows لـ Microsoft Azure Active Directory للتعرف على خطوات تكوين كل مثيل مُدار.

التقييدات

تنطبق القيود التالية على مصادقة Windows لكيانات Microsoft Azure Active Directory على مثيل Azure SQL المُدار:

غير متاح لعملاء Linux

مصادقة Windows لأساسيات Microsoft Azure Active Directory مدعومة حالياً فقط للأجهزة العميلة التي تعمل بنظام Windows.

تسجيل الدخول المخزن مؤقتاً في Microsoft Azure AD

يحد Windows من عدد مرات اتصاله بـ Microsoft Azure Active Directory، لذلك هناك احتمال ألا يكون لدى حسابات المستخدمين تذكرة منح بطاقة Kerberos محدثة (TGT) في غضون 4 ساعات من الترقية أو التوزيع الجديد لجهاز العميل. حسابات المستخدمين الذين ليس لديهم نتائج TGT محدثة في طلبات التذاكر الفاشلة من Microsoft Azure Active Directory.

بصفتك مسؤولاً، يمكنك تشغيل تسجيل الدخول عبر الإنترنت فوراً للتعامل مع سيناريوهات الترقية عن طريق تشغيل الأمر التالي على جهاز العميل، ثم قفل جلسة المستخدم وإلغاء قفلها للحصول على TGT محدث:

dsregcmd.exe /RefreshPrt

الخطوات التالية

تعرف على المزيد حول تنفيذ مصادقة Windows لكيانات Microsoft Azure Active Directory على مثيل Azure SQL المُدار: