Sdílet prostřednictvím

Postup nastavení Integrovaného ověřování Windows pro Microsoft Entra ID s využitím toku založeného na příchozím vztahu důvěryhodnosti

  • Článek

Tento článek popisuje, jak implementovat příchozí tok ověřování na základě důvěryhodnosti, který umožňuje klientům připojeným ke službě Active Directory (AD) s Windows 10, Windows Serverem 2012 nebo vyššími verzemi Windows ověřovat ve spravované instanci Azure SQL pomocí ověřování systému Windows.

Tento článek obsahuje také postup obměna klíče Kerberos pro váš účet služby v Microsoft Entra ID (dříve Azure Active Directory) a objektu důvěryhodné domény a postup odebrání důvěryhodného objektu domény a všech nastavení protokolu Kerberos, pokud je to žádoucí.

Povolení toku ověřování na základě důvěryhodnosti je jedním krokem při nastavování ověřování systému Windows pro spravovanou instanci Azure SQL pomocí Microsoft Entra ID a Kerberosu. Moderní interaktivní tok je k dispozici pro kompatibilní klienty s Windows 10 20H1, Windows Serverem 2022 nebo novější verzí Windows.

Poznámka:

ID Microsoft Entra se dříve označovalo jako Azure Active Directory (Azure AD).

Oprávnění

K dokončení kroků uvedených v tomto článku potřebujete:

  • Uživatelské jméno a heslo správce místní Active Directory.
  • Uživatelské jméno a heslo účtu globálního správce Microsoft Entra

Požadavky

Pokud chcete implementovat příchozí tok ověřování na základě důvěryhodnosti, nejprve se ujistěte, že byly splněny následující požadavky:

Požadavek Description
Na klientech musí být Windows 10, Windows Server 2012 nebo novější verze Windows.
Klienti musí být připojeni k AD. Doména musí mít funkční úroveň Windows Serveru 2012 nebo novějšího. Pokud chcete zjistit, jestli je klient připojený k AD, můžete spustit příkaz dsregcmd: dsregcmd.exe /status
Modul správy hybridního ověřování Azure AD Tento modul PowerShellu nabízí funkce pro správu místního nastavení.
Tenant Azure
Předplatné Azure ve stejném tenantovi Microsoft Entra, kterého plánujete používat k ověřování.
Nainstalována aplikace Microsoft Entra Connect . Hybridní prostředí, ve kterém identity existují v Microsoft Entra ID i v AD

Vytvoření a konfigurace objektu důvěryhodné domény protokolu Microsoft Entra Kerberos

Pokud chcete vytvořit a nakonfigurovat objekt důvěryhodné domény protokolu Microsoft Entra Kerberos, nainstalujte modul PowerShellu pro správu hybridního ověřování Azure AD.

Pak použijete modul PowerShellu pro správu hybridního ověřování Azure AD k nastavení důvěryhodného objektu domény v místní doméně AD a registraci informací o důvěryhodnosti v Microsoft Entra ID. Tím se vytvoří vztah důvěryhodnosti vázaný do místní služby AD, která umožňuje službě Microsoft Entra ID důvěřovat místní službě AD.

Nastavení objektu důvěryhodné domény

Pokud chcete nastavit objekt důvěryhodné domény, nejprve nainstalujte modul PowerShellu pro správu hybridního ověřování Azure AD.

Instalace modulu PowerShellu pro hybridní ověřování Azure AD

  1. Spusťte relaci Windows PowerShellu s možností Spustit jako správce .

  2. Pomocí následujícího skriptu nainstalujte modul PowerShellu pro správu hybridního ověřování Azure AD. Tento skript:

    • Povolí komunikaci pomocí protokolu TLS 1.2.
    • Nainstaluje zprostředkovatele balíčku NuGet.
    • Zaregistruje úložiště PSGallery.
    • Nainstaluje modul PowerShellGet.
    • Nainstaluje modul PowerShellu pro správu hybridního ověřování Azure AD.
      • Azure AD Hybrid Authentication Management PowerShell používá modul AzureADPreview, který poskytuje pokročilou funkci správy Microsoft Entra.
      • Pokud chcete chránit před zbytečnými konflikty instalace s modulem Azure AD PowerShell, tento příkaz obsahuje příznak možnosti –AllowClobber.
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

Install-PackageProvider -Name NuGet -Force

if (@(Get-PSRepository | ? {$_.Name -eq "PSGallery"}).Count -eq 0){
    Register-PSRepository -DefaultSet-PSRepository -Name "PSGallery" -InstallationPolicy Trusted
}

Install-Module -Name PowerShellGet -Force

Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber

Vytvoření objektu důvěryhodné domény

  1. Spusťte relaci Windows PowerShellu s možností Spustit jako správce .

  2. Nastavte společné parametry. Před spuštěním upravte následující skript.

    • $domain Nastavte parametr na název domény místní Active Directory.
    • Po zobrazení výzvy Get-Credentialzadejte uživatelské jméno a heslo správce místní Active Directory.
    • $cloudUserName Nastavte parametr na uživatelské jméno privilegovaného účtu globálního správce pro přístup ke cloudu Microsoft Entra.

    Poznámka:

    Pokud chcete pro přístup k místní Active Directory použít svůj aktuální přihlašovací účet Windows, můžete přeskočit krok, ve kterém jsou k parametru $domainCred přiřazeny přihlašovací údaje. Pokud tento přístup provedete, nezahrnujte -DomainCredential parametr do příkazů PowerShellu, které následují v tomto kroku.

    $domain = "your on-premesis domain name, for example contoso.com"

$domainCred = Get-Credential

$cloudUserName = "Azure AD user principal name, for example admin@contoso.onmicrosoft.com"

  3. Zkontrolujte aktuální nastavení domény Kerberos.

    Spuštěním následujícího příkazu zkontrolujte aktuální nastavení protokolu Kerberos vaší domény:

    Get-AzureAdKerberosServer -Domain $domain `
    -DomainCredential $domainCred `
    -UserPrincipalName $cloudUserName

    Pokud se jedná o první volání jakéhokoli příkazu Microsoft Entra Kerberos, zobrazí se výzva k přístupu ke cloudu Microsoft Entra.

    • Zadejte heslo pro účet globálního správce Microsoft Entra.
    • Pokud vaše organizace používá jiné moderní metody ověřování, jako je vícefaktorové ověřování Microsoft Entra nebo čipová karta, postupujte podle pokynů požadovaných pro přihlášení.

    Pokud konfigurujete nastavení protokolu Microsoft Entra Kerberos poprvé, zobrazí rutina Get-AzureAdKerberosServer prázdné informace, jako v následujícím ukázkovém výstupu:

    ID                  :
UserAccount         :
ComputerAccount     :
DisplayName         :
DomainDnsName       :
KeyVersion          :
KeyUpdatedOn        :
KeyUpdatedFrom      :
CloudDisplayName    :
CloudDomainDnsName  :
CloudId             :
CloudKeyVersion     :
CloudKeyUpdatedOn   :
CloudTrustDisplay   :

    Pokud vaše doména už podporuje ověřování FIDO, zobrazí rutina Get-AzureAdKerberosServer informace o účtu služby Microsoft Entra, jako v následujícím ukázkovém výstupu. Pole CloudTrustDisplay vrátí prázdnou hodnotu.

    ID                  : 25614
UserAccount         : CN=krbtgt-AzureAD, CN=Users, DC=aadsqlmi, DC=net
ComputerAccount     : CN=AzureADKerberos, OU=Domain Controllers, DC=aadsqlmi, DC=net
DisplayName         : krbtgt_25614
DomainDnsName       : aadsqlmi.net
KeyVersion          : 53325
KeyUpdatedOn        : 2/24/2022 9:03:15 AM
KeyUpdatedFrom      : ds-aad-auth-dem.aadsqlmi.net
CloudDisplayName    : krbtgt_25614
CloudDomainDnsName  : aadsqlmi.net
CloudId             : 25614
CloudKeyVersion     : 53325
CloudKeyUpdatedOn   : 2/24/2022 9:03:15 AM
CloudTrustDisplay   :

  4. Přidejte objekt důvěryhodné domény.

    Spuštěním rutiny Set-AzureAdKerberosServer PowerShell přidejte objekt důvěryhodné domény. Nezapomeňte zahrnout -SetupCloudTrust parametr. Pokud neexistuje žádný účet služby Microsoft Entra, tento příkaz vytvoří nový účet služby Microsoft Entra. Tento příkaz vytvoří požadovaný objekt důvěryhodné domény pouze v případě, že existuje účet služby Microsoft Entra.

    Set-AzureADKerberosServer -Domain $domain -UserPrincipalName $cloudUserName -DomainCredential $domainCred -SetupCloudTrust

    Poznámka:

    Pokud chcete zabránit chybě LsaCreateTrustedDomainEx 0x549 při spuštění příkazu v podřízené doméně, v doménové struktuře s více doménami:

    1. Spusťte příkaz v kořenové doméně (parametr include -SetupCloudTrust ).
    2. Spusťte stejný příkaz v podřízené doméně bez parametru -SetupCloudTrust .

    Po vytvoření důvěryhodného objektu domény můžete pomocí rutiny PowerShellu Get-AzureAdKerberosServer zkontrolovat aktualizované nastavení protokolu Kerberos, jak je znázorněno v předchozím kroku. Pokud se Set-AzureAdKerberosServer rutina úspěšně spustila s parametrem -SetupCloudTrust , CloudTrustDisplay mělo by se pole vrátit Microsoft.AzureAD.Kdc.Service.TrustDisplay, jako v následujícím ukázkovém výstupu:

    ID                  : 25614
UserAccount         : CN=krbtgt-AzureAD, CN=Users, DC=aadsqlmi, DC=net
ComputerAccount     : CN=AzureADKerberos, OU=Domain Controllers, DC=aadsqlmi, DC=net
DisplayName         : krbtgt_25614
DomainDnsName       : aadsqlmi.net
KeyVersion          : 53325
KeyUpdatedOn        : 2/24/2022 9:03:15 AM
KeyUpdatedFrom      : ds-aad-auth-dem.aadsqlmi.net
CloudDisplayName    : krbtgt_25614
CloudDomainDnsName  : aadsqlmi.net
CloudId             : 25614
CloudKeyVersion     : 53325
CloudKeyUpdatedOn   : 2/24/2022 9:03:15 AM
CloudTrustDisplay   : Microsoft.AzureAD.Kdc.Service.TrustDisplay

    Poznámka:

    Suverénní cloudy Azure vyžadují nastavení TopLevelNames vlastnosti, která je ve výchozím nastavení nastavená windows.net . Nasazení suverénního cloudu Azure spravované instance SQL používají jiný název domény nejvyšší úrovně, například usgovcloudapi.net pro Azure US Government. Nastavte důvěryhodný objekt domény na název domény nejvyšší úrovně pomocí následujícího příkazu PowerShellu: Set-AzureADKerberosServer -Domain $domain -DomainCredential $domainCred -CloudCredential $cloudCred -SetupCloudTrust -TopLevelNames "usgovcloudapi.net,windows.net" Nastavení můžete ověřit pomocí následujícího příkazu PowerShellu: Get-AzureAdKerberosServer -Domain $domain -DomainCredential $domainCred -UserPrincipalName $cloudUserName | Select-Object -ExpandProperty CloudTrustDisplay.

Konfigurace objektu zásad skupiny (GPO)

  1. Identifikujte ID tenanta Microsoft Entra.

  2. Pomocí příchozího toku založeného na důvěryhodnosti nasaďte následující nastavení zásad skupiny do klientských počítačů:

    1. Upravte šablony pro správu\System\Kerberos\Zadat proxy servery KDC pro nastavení zásad klientů Kerberos.

    2. Vyberte Povoleno.

    3. V části Možnosti vyberte Zobrazit.... Otevře se dialogové okno Zobrazit obsah.

      Snímek obrazovky s dialogovým oknem pro povolení zadání proxy serverů KDC pro klienty Kerberos Dialogové okno Zobrazit obsah umožňuje vstup názvu hodnoty a související hodnoty.

    4. Nastavení proxy serverů KDC definujte pomocí mapování následujícím způsobem. Zástupný symbol nahraďte ID your_Azure_AD_tenant_id tenanta Microsoft Entra. Všimněte si následující https mezery a před uzavřením / v mapování hodnot.

      Název hodnoty Hodnota
      KERBEROS.MICROSOFTONLINE.COM <https login.microsoftonline.com:443:your_Azure_AD_tenant_id/kerberos />

      Snímek obrazovky s dialogovým oknem Definovat nastavení proxy serveru KDC Tabulka umožňuje vstup více řádků. Každý řádek se skládá z názvu hodnoty a hodnoty.

    5. Kliknutím na tlačítko OK zavřete dialogové okno Zobrazit obsah.

    6. V dialogovém okně Zadat proxy servery KDC pro klienty Kerberos vyberte Použít .

Otočení klíče Kerberos

Pro účely správy můžete pravidelně obměňovat klíč Kerberos pro vytvořený účet služby Microsoft Entra a důvěryhodný objekt domény.

Set-AzureAdKerberosServer -Domain $domain `
   -DomainCredential $domainCred `
   -UserPrincipalName $cloudUserName -SetupCloudTrust `
   -RotateServerKey

Po obměně klíče trvá několik hodin, než se změněný klíč rozšíří mezi servery KDC protokolu Kerberos. Vzhledem k tomuto načasování distribuce klíčů můžete klíč otočit jednou za 24 hodin. Pokud potřebujete klíč znovu otočit do 24 hodin z jakéhokoli důvodu, například hned po vytvoření důvěryhodného objektu -Force domény, můžete přidat parametr:

Set-AzureAdKerberosServer -Domain $domain `
   -DomainCredential $domainCred `
   -UserPrincipalName $cloudUserName -SetupCloudTrust `
   -RotateServerKey -Force

Odebrání objektu důvěryhodné domény

Přidaný objekt důvěryhodné domény můžete odebrat pomocí následujícího příkazu:

Remove-AzureADKerberosServerTrustedDomainObject -Domain $domain `
   -DomainCredential $domainCred `
   -UserPrincipalName $cloudUserName

Tento příkaz odebere pouze objekt důvěryhodné domény. Pokud vaše doména podporuje ověřování FIDO, můžete odebrat důvěryhodný objekt domény při zachování účtu služby Microsoft Entra vyžadovaný pro ověřovací službu FIDO.

Odebrat všechna nastavení protokolu Kerberos

Účet služby Microsoft Entra i objekt důvěryhodné domény můžete odebrat pomocí následujícího příkazu:

Remove-AzureAdKerberosServer -Domain $domain `
   -DomainCredential $domainCred `
   -UserPrincipalName $cloudUserName

Další kroky

Další informace o implementaci ověřování systému Windows pro objekty zabezpečení Microsoft Entra ve službě Azure SQL Managed Instance: