Sdílet prostřednictvím

Jak nastavit ověřování systému Windows pro spravovanou instanci Azure SQL pomocí Microsoft Entra ID a Kerberosu

Tento článek obsahuje přehled o tom, jak nastavit infrastrukturu a spravované instance SQL pro implementaci Windows ověřování pro uživatelské účty ve službě Azure SQL Managed Instance pomocí Microsoft Entra ID (dříve Azure Active Directory).

Existují dvě fáze nastavení ověřování systému Windows pro spravovanou instanci Azure SQL pomocí Microsoft Entra ID a Kerberosu.

  • Jednorázové nastavení infrastruktury
    • Pokud jste to ještě neudělali, synchronizujte Active Directory (AD) a Microsoft Entra ID.
    • Pokud je to k dispozici, povolte moderní interaktivní tok ověřování. Moderní interaktivní tok se doporučuje pro organizace s klienty připojenými k Microsoft Entra nebo hybridními připojenými klienty se systémem Windows 10 20H1 / Windows Server 2022 a novějším.
    • Nastavte příchozí tok ověřování na základě důvěryhodnosti. To se doporučuje pro zákazníky, kteří nemůžou používat moderní interaktivní tok, ale kteří mají klienty připojené ke službě AD s Windows 10 nebo Windows Serverem 2012 a novějším.
  • Konfigurace služby Azure SQL Managed Instance
    • Vytvořte systémem přiřazený principál služby pro každou SQL spravovanou instanci.

Poznámka:

Microsoft Entra ID se dříve označovala jako Azure Active Directory (Azure AD).

Jednorázové nastavení infrastruktury

Prvním krokem v nastavení infrastruktury je synchronizace AD s ID Microsoft Entra, pokud ještě nebyla dokončena.

Poté správce systému konfiguruje toky ověřování. K dispozici jsou dva toky ověřování pro ověřování systému Windows pro objekty zabezpečení Microsoft Entra ve službě Azure SQL Managed Instance:

  • Příchozí tok založený na důvěryhodnosti podporuje klienty připojené ke službě AD s Windows Serverem 2012 nebo novějším.
  • Moderní interaktivní tok podporuje klienty připojené k Microsoft Entra s Windows 10 21H1 nebo novější.

Synchronizace AD s Microsoft Entra ID

Zákazníci by měli nejprve implementovat Microsoft Entra Connect , aby integrovali místní adresáře s ID Microsoft Entra.

Vyberte toky ověřování, které budete implementovat.

Následující diagram znázorňuje způsobilost a základní funkce moderního interaktivního toku a příchozího toku založeného na důvěryhodnosti:

Rozhodovací strom zobrazující kritéria pro výběr toků ověřování

Moderní interaktivní tok funguje s osvícenými klienty, kteří používají Windows 10 21H1 a novější verze a jsou připojeni k Microsoft Entra nebo hybridně připojeni k Microsoft Entra. V moderním interaktivním toku mají uživatelé přístup ke službě Azure SQL Managed Instance, aniž by museli mít přehled o řadičích domény. V AD zákazníka není potřeba vytvořit objekt důvěryhodnosti. Aby bylo možné povolit moderní interaktivní průběh, správce nastaví skupinové zásady pro lístky ověřování Kerberos (TGT), které se použijí během přihlášení.

Příchozí tok založený na důvěryhodnosti funguje pro klienty s Windows 10 nebo Windows Serverem 2012 a novějším. Tento tok vyžaduje, aby se klienti připojili ke službě AD a měli přehled o službě AD z místního prostředí. V příchozím toku založeném na důvěryhodnosti se v AD zákazníka vytvoří objekt důvěryhodnosti a je zaregistrovaný v Microsoft Entra ID. Pokud chcete povolit příchozí tok založený na důvěryhodnosti, správce nastaví příchozí vztah důvěryhodnosti s Microsoft Entra ID a nastaví Kerberos Proxy prostřednictvím zásad skupiny.

Moderní interaktivní tok ověřování

K implementaci moderního interaktivního ověřovacího toku se vyžadují následující požadavky:

Předpoklad Description
Klienti musí používat Windows 10 20H1, Windows Server 2022 nebo novější verzi Windows.
Klienti musí být připojení k microsoftu Entra nebo hybridní připojení Microsoft Entra. Spuštěním příkazu dsregcmd můžete zjistit, jestli je splněna tato požadovaná součást: dsregcmd.exe /status
Aplikace se musí připojit ke spravované instanci SQL prostřednictvím interaktivní relace. To podporuje aplikace, jako je SQL Server Management Studio (SSMS) a webové aplikace, ale nebudou fungovat pro aplikace, které běží jako služba.
Tenant Microsoft Entra.
Předplatné Azure ve stejném tenantovi Microsoft Entra, které plánujete použít k ověřování.
Nainstalována aplikace Microsoft Entra Connect. Hybridní prostředí, ve kterých existují identity jak v Microsoft Entra ID, tak v AD.

Postup povolení tohoto toku ověřování najdete v tématu Jak nastavit ověřování systému Windows pro MICROSOFT Entra ID pomocí moderního interaktivního toku .

Příchozí tok ověřování založený na důvěře

K implementaci příchozího toku ověřování založeného na důvěryhodnosti se vyžadují následující požadavky:

Předpoklad Description
Na klientech musí být Windows 10, Windows Server 2012 nebo novější verze Windows.
Klienti musí být připojení ke službě AD. Doména musí mít funkční úroveň Windows Serveru 2012 nebo novějšího. Pokud chcete zjistit, jestli je klient připojený k AD, můžete spustit příkaz dsregcmd: dsregcmd.exe /status
Modul správy hybridního ověřování Azure AD Tento modul PowerShellu poskytuje funkce správy pro místní nastavení.
Tenant Microsoft Entra.
Předplatné Azure ve stejném tenantovi Microsoft Entra, které plánujete použít k ověřování.
Nainstalována aplikace Microsoft Entra Connect. Hybridní prostředí, ve kterých existují identity jak v Microsoft Entra ID, tak v AD.

Pokyny k povolení tohoto toku ověřování najdete v tématu "Jak nastavit ověřování systému Windows pro Microsoft Entra ID pomocí příchozího toku založeného na důvěryhodnosti".

Konfigurace Azure SQL Managed Instance

Postup nastavení služby Azure SQL Managed Instance je stejný pro příchozí tok ověřování na základě důvěryhodnosti i moderní interaktivní tok ověřování.

Požadavky na konfiguraci spravované instance SQL

Pro konfiguraci spravované instance SQL pro ověřování systému Windows pro objekty zabezpečení Microsoft Entra se vyžadují následující požadavky:

Předpoklad Description
Modul Az.Sql PowerShellu Tento modul PowerShellu nabízí rutiny pro správu prostředků Azure SQL. Nainstalujte tento modul spuštěním následujícího příkazu PowerShellu: Install-Module -Name Az.Sql
Modul Microsoft Graph PowerShellu Tento modul poskytuje cmdlety pro správu administrativních úloh Microsoft Entra ID, jako je správa uživatelů a správa objektů hlavní služby. Nainstalujte tento modul spuštěním následujícího příkazu PowerShellu: Install-Module –Name Microsoft.Graph
Spravovaná instance SQL Můžete vytvořit novou spravovanou instanci SQL nebo použít existující spravovanou instanci SQL.

Konfigurace každé spravované instance SQL

Postup konfigurace jednotlivých spravovaných instancí SQL najdete v tématu Konfigurace služby Azure SQL Managed Instance pro ověřování systému Windows pro ID Microsoft Entra .

Omezení

Následující omezení platí pro ověřování systému Windows pro objekty zabezpečení Microsoft Entra ve službě Azure SQL Managed Instance:

Není k dispozici pro klienty s Linuxem

Ověřování systému Windows pro objekty zabezpečení Microsoft Entra je aktuálně podporováno pouze pro klientské počítače s Windows.

Přihlášení k Microsoft Entra ID mezipaměťové

Systém Windows omezuje, jak často se připojuje k MICROSOFT Entra ID, takže existuje potenciál, že uživatelské účty nebudou mít aktualizovaný lístek TGT (Kerberos Ticket Grant Ticket) během 4 hodin od upgradu nebo nového nasazení klientského počítače. Uživatelské účty, které nemají aktualizované TGT, mají za následek neúspěšné žádosti o lístek z ID Microsoft Entra.

Jako správce můžete aktivovat online přihlášení okamžitě, abyste mohli zpracovat scénáře upgradu spuštěním následujícího příkazu na klientském počítači a následným uzamčením a odemknutím uživatelské relace, abyste získali aktualizovaný TGT:

dsregcmd.exe /RefreshPrt

Související obsah

  • Last updated on