Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält eine Übersicht über das Einrichten von Infrastruktur- und SQL-verwalteten Instanzen zum Implementieren der Windows-Authentifizierung für Prinzipale in azure SQL Managed Instance mit Microsoft Entra ID (vormals Azure Active Directory).
Es gibt zwei Phasen zum Einrichten der Windows-Authentifizierung für azure SQL Managed Instance mit Microsoft Entra ID und Kerberos.
-
Einmaliges Einrichten der Infrastruktur.
- Synchronisieren Sie Active Directory (AD) und Microsoft Entra ID, wenn dies noch nicht erfolgt ist.
- Aktivieren Sie den modernen interaktiven Authentifizierungsfluss, wenn verfügbar. Der moderne interaktive Ablauf wird für Organisationen empfohlen, deren Clients Microsoft Entra beigetreten oder hybrid beigetreten und mit Windows 10 20H1 / Windows Server 2022 oder höher arbeiten.
- Richten Sie den eingehenden vertrauensbasierten Authentifizierungsfluss ein. Dies wird für Kunden empfohlen, die den modernen interaktiven Fluss nicht verwenden können, aber über AD-verbundene Clients mit Windows 10/ Windows Server 2012 und höher verfügen.
-
Konfiguration der von Azure SQL verwalteten Instanz.
- Erstellen Sie einen systemzugewiesenen Dienstprinzipal für jede SQL-verwaltete Instanz.
Hinweis
Microsoft Entra ID war zuvor als Azure Active Directory (Azure AD) bekannt.
Einmaliges Einrichten der Infrastruktur
Der erste Schritt bei der Infrastruktureinrichtung besteht darin, AD mit Microsoft Entra-ID zu synchronisieren, sofern dies noch nicht abgeschlossen wurde.
Danach konfiguriert ein Systemadministrator Authentifizierungsflüsse. Zwei Authentifizierungsflüsse stehen zur Implementierung der Windows-Authentifizierung für Microsoft Entra-Prinzipale in azure SQL Managed Instance zur Verfügung:
- Der eingehende vertrauensbasierte Datenfluss unterstützt in AD eingebundene Clients mit Windows Server 2012 oder höher.
- Der moderne interaktive Ablauf unterstützt Clients, die mit Microsoft Entra verbunden sind und unter Windows 10 21H1 oder höher laufen.
Synchronisieren von AD mit Microsoft Entra-ID
Kunden sollten zuerst Microsoft Entra Connect implementieren, um lokale Verzeichnisse mit Microsoft Entra ID zu integrieren.
Wählen Sie aus, welche Authentifizierungsflüsse Sie implementieren möchten.
Das folgende Diagramm zeigt die Berechtigung und die Kernfunktionen des modernen interaktiven Flusses und des eingehenden vertrauensbasierten Flusses:
Ein Entscheidungsbaum, der zeigt, dass der moderne interaktive Fluss für Clients mit Windows 10 20H1 oder Windows Server 2022 oder höher geeignet ist, wobei die Clients entweder mit Microsoft Entra verbunden oder hybrid verbunden sind. Der eingehende vertrauensbasierte Datenfluss eignet sich für Clients mit Windows 10 oder Windows Server 2012 oder höher, wo die Clients mit AD verbunden sind.
Der moderne interaktive Fluss funktioniert mit optimierten Clients unter Windows 10 21H1 und höher, die Microsoft Entra oder Microsoft Entra hybrid beigetreten sind. Im modernen interaktiven Ablauf können Benutzer auf Azure SQL Managed Instance zugreifen, ohne dass eine Sichtverbindung zu den Domänencontrollern erforderlich ist. Es ist nicht erforderlich, dass ein Vertrauensobjekt in der AD des Kunden erstellt werden muss. Um den modernen interaktiven Fluss zu aktivieren, legt ein Administrator gruppenrichtlinie für Kerberos-Authentifizierungstickets (TGT) fest, die während der Anmeldung verwendet werden sollen.
Der eingehende vertrauensbasierte Datenfluss funktioniert für Clients mit Windows 10 oder Windows Server 2012 und höher. Dieser Prozess erfordert, dass Clients mit AD verbunden werden und von der lokalen Umgebung aus eine Verbindung zu AD haben. Im eingehenden vertrauensbasierten Fluss wird ein Vertrauensobjekt in der Active Directory des Kunden erstellt und in der Microsoft Entra ID registriert. Um den eingehenden vertrauenswürdigen Fluss zu aktivieren, richtet ein Administrator eine eingehende Vertrauensstellung mit der Microsoft Entra ID ein und richtet Kerberos-Proxy über Gruppenrichtlinien ein.
Moderner interaktiver Authentifizierungsfluss
Die folgenden Voraussetzungen sind erforderlich, um den modernen interaktiven Authentifizierungsfluss zu implementieren:
| Voraussetzung | Description |
|---|---|
| Clients müssen Windows 10 20H1, Windows Server 2022 oder eine höhere Version von Windows ausführen. | |
| Clients müssen mit Microsoft Entra verbunden sein oder microsoft Entra hybrid eingebunden sein. | Sie können ermitteln, ob diese Voraussetzung erfüllt ist, indem Sie den Befehl "dsregcmd" ausführen: dsregcmd.exe /status |
| Die Anwendung muss über eine interaktive Sitzung eine Verbindung mit der von SQL verwalteten Instanz herstellen. | Dies unterstützt Anwendungen wie SQL Server Management Studio (SSMS) und Webanwendungen, funktioniert jedoch nicht für Anwendungen, die als Dienst ausgeführt werden. |
| Microsoft Entra-Mandant. | |
| Azure-Abonnement unter demselben Microsoft Entra-Mandanten, den Sie für die Authentifizierung verwenden möchten. | |
| Microsoft Entra Connect installiert. | Hybridumgebungen, in denen Identitäten sowohl in Microsoft Entra ID als auch in AD vorhanden sind. |
Hier erfahren Sie , wie Sie die Windows-Authentifizierung für Microsoft Entra-ID mit dem modernen interaktiven Fluss einrichten , um diesen Authentifizierungsfluss zu aktivieren.
Eingehender vertrauensbasierter Authentifizierungsfluss
Die folgenden Voraussetzungen sind erforderlich, um den eingehenden vertrauenswürdigen Authentifizierungsfluss zu implementieren:
| Voraussetzung | Description |
|---|---|
| Auf dem Client muss Windows 10, Windows Server 2012 oder eine höhere Version von Windows ausgeführt werden. | |
| Clients müssen mit AD verbunden sein. Die Domäne muss die Funktionsebene „Windows Server 2012“ oder höher aufweisen. | Sie können ermitteln, ob der Client in AD eingebunden ist, indem Sie den dsregcmd-Befehl ausführen: dsregcmd.exe /status |
| Azure AD-Hybridauthentifizierungsverwaltungsmodul. | Dieses PowerShell-Modul bietet Verwaltungsfeatures für das lokale Setup. |
| Microsoft Entra-Mandant. | |
| Azure-Abonnement unter demselben Microsoft Entra-Mandanten, den Sie für die Authentifizierung verwenden möchten. | |
| Microsoft Entra Connect installiert. | Hybridumgebungen, in denen Identitäten sowohl in Microsoft Entra ID als auch in AD vorhanden sind. |
Anleitungen zum Einrichten der Windows-Authentifizierung für Microsoft Entra-ID mit dem eingehenden, vertrauensbasierten Ablauf finden Sie unter wie Windows-Authentifizierung für Microsoft Entra-ID mit dem eingehenden, vertrauensbasierten Ablauf eingerichtet wird.
Konfigurieren der verwalteten Azure SQL-Instanz
Die Schritte zum Einrichten der azure SQL Managed Instance sind für den eingehenden vertrauenswürdigen Authentifizierungsfluss und den modernen interaktiven Authentifizierungsfluss identisch.
Voraussetzungen zum Konfigurieren einer verwalteten SQL-Instanz
Die folgenden Voraussetzungen sind erforderlich, um eine SQL-verwaltete Instanz für die Windows-Authentifizierung für Microsoft Entra-Prinzipale zu konfigurieren:
| Voraussetzung | Description |
|---|---|
| PowerShell-Modul „Az.Sql“ | Dieses PowerShell-Modul stellt Cmdlets für die Verwaltung von Azure SQL-Ressourcen zur Verfügung. Installieren Sie dieses Modul, indem Sie den folgenden PowerShell-Befehl ausführen: Install-Module -Name Az.Sql |
| Microsoft Graph-PowerShell-Modul | Dieses Modul stellt Verwaltungs-Cmdlets für Administrative Aufgaben wie Benutzer- und Dienstprinzipalverwaltung für Microsoft Entra ID bereit. Installieren Sie dieses Modul, indem Sie den folgenden PowerShell-Befehl ausführen: Install-Module –Name Microsoft.Graph |
| Eine verwaltete SQL-Instanz | Sie können eine neue verwaltete SQL-Instanz erstellen oder eine vorhandene verwaltete SQL-Instanz verwenden. |
Konfigurieren jeder verwalteten SQL-Instanz
Siehe Azure SQL Managed Instance für Windows-Authentifizierung mit Microsoft Entra ID konfigurieren für die Schritte zur Konfiguration jeder verwalteten SQL-Instanz.
Einschränkungen
Die folgenden Einschränkungen gelten für die Windows-Authentifizierung für Microsoft Entra-Prinzipale in azure SQL Managed Instance:
Für Linux-Clients nicht verfügbar
Die Windows-Authentifizierung für Microsoft Entra-Prinzipale wird derzeit nur für Clientcomputer mit Windows unterstützt.
Microsoft Entra ID zwischengespeicherte Anmeldung
Windows schränkt die Häufigkeit der Verbindung mit microsoft Entra-ID ein, sodass Benutzerkonten innerhalb von 4 Stunden nach einem Upgrade oder einer neuen Bereitstellung eines Clientcomputers kein aktualisiertes Kerberos-Ticketgewährungsticket (TGT) aufweisen können. Benutzerkonten, die nicht über eine aktualisierte TGT verfügen, führen zu fehlgeschlagenen Ticketanforderungen von Microsoft Entra ID.
Als Administrator können Sie eine Onlineanmeldung sofort auslösen, um Upgradeszenarien zu verarbeiten, indem Sie den folgenden Befehl auf dem Clientcomputer ausführen und dann die Benutzersitzung sperren und entsperren, um ein aktualisiertes TGT zu erhalten:
dsregcmd.exe /RefreshPrt
Verwandte Inhalte
- Was ist die Windows-Authentifizierung für Microsoft Entra-Prinzipale auf Azure SQL Managed Instance?
- Wie die Windows-Authentifizierung für Azure SQL Managed Instance mit Microsoft Entra ID und Kerberos implementiert wird
- Einrichtung der Windows-Authentifizierung für Microsoft Entra ID mit dem modernen interaktiven Ablauf
- Einrichtung der Windows-Authentifizierung für Microsoft Entra ID mit dem eingehenden vertrauensbasierten Fluss
- Konfigurieren der verwalteten Azure SQL-Instanz für die Windows-Authentifizierung für Microsoft Entra-ID