Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporciona información general sobre cómo configurar la infraestructura y las instancias administradas de SQL para implementar la autenticación de Windows para entidades de seguridad en Azure SQL Managed Instance con el identificador de Microsoft Entra (anteriormente Azure Active Directory).
Hay dos fases para configurar la autenticación de Windows para Azure SQL Managed Instance mediante el identificador de Microsoft Entra y Kerberos.
-
Configuración de infraestructura de una sola vez.
- Sincronice Active Directory (AD) e Id. de Microsoft Entra, si aún no se ha hecho.
- Habilite el flujo de autenticación interactiva moderno, cuando esté disponible. El flujo interactivo moderno se recomienda para las organizaciones con clientes unidos a Microsoft Entra o unidos híbridos que ejecutan Windows 10 20H1 / Windows Server 2022 y versiones posteriores.
- Configure el flujo de autenticación entrante basado en confianza. Esto se recomienda para los clientes que no pueden usar el flujo interactivo moderno, pero que tienen clientes unidos a AD que ejecutan Windows 10 / Windows Server 2012 y versiones posteriores.
-
Configuración de Instancia administrada de Azure SQL.
- Cree un principal de servicio asignado por el sistema para cada instancia administrada de SQL.
Nota:
Microsoft Entra ID era conocido anteriormente como Azure Active Directory (Azure AD).
Configuración de infraestructura por única vez
El primer paso de la configuración de la infraestructura es sincronizar AD con el identificador de Entra de Microsoft, si aún no se ha completado.
Después, un administrador del sistema configura los flujos de autenticación. Existen dos procesos de autenticación disponibles para implementar la autenticación de Windows para los principales de Microsoft Entra en Azure SQL Managed Instance.
- El flujo basado en confianza entrante admite clientes unidos a Active Directory que ejecutan Windows Server 2012 o posterior.
- El flujo interactivo moderno admite clientes unidos a Microsoft Entra que ejecutan Windows 10 21H1 o superior.
Sincronización de AD con el identificador de Entra de Microsoft
Los clientes deben implementar Primero Microsoft Entra Connect para integrar directorios locales con el identificador de Microsoft Entra.
Selección de los flujos de autenticación que implementará
En el diagrama siguiente se muestra la idoneidad y la funcionalidad básica del flujo interactivo moderno y el flujo basado en confianza entrante:
"Árbol de decisión que muestra que el flujo interactivo moderno es adecuado para los clientes que ejecutan Windows 10 20H1 o Windows Server 2022 o superior, donde los clientes están unidos a Microsoft Entra o unidos a Microsoft Entra híbrido. El flujo basado en confianza entrante es adecuado para los clientes que ejecutan Windows 10 o Windows Server 2012 o versiones posteriores en los que los clientes están unidos a AD".
El flujo interactivo moderno funciona con clientes con experiencia que ejecutan Windows 10 21H1 y versiones posteriores que están vinculados a Microsoft Entra o vinculados a Microsoft Entra híbrido. En el flujo interactivo moderno, los usuarios pueden acceder a una instancia administrada de Azure SQL sin necesidad de depender de controladores de dominio. No es necesario crear un objeto de confianza en el AD del cliente. Para habilitar el flujo interactivo moderno, un administrador establecerá la directiva de grupo para que los vales de autenticación Kerberos (TGT) se usen durante el inicio de sesión.
El flujo basado en confianza entrante funciona para los clientes que ejecutan Windows 10 o Windows Server 2012 y versiones posteriores. Este flujo requiere que los clientes se unan a Active Directory y tengan acceso directo a Active Directory desde las instalaciones locales. En el flujo basado en confianza entrante, se crea un objeto de confianza en el AD del cliente y se registra en el identificador de Entra de Microsoft. Para habilitar el flujo basado en confianza entrante, un administrador configurará una confianza entrante con Microsoft Entra ID y configurará el Proxy Kerberos a través de la Directiva de Grupo.
Flujo de autenticación interactiva moderna
Se requieren los siguientes requisitos previos para implementar el flujo de autenticación interactiva moderno:
| Prerrequisito | Description |
|---|---|
| Los clientes deben ejecutar Windows 10 20H1, Windows Server 2022 o una versión posterior de Windows. | |
| Los clientes deben estar unidos a Microsoft Entra o unidos a Microsoft Entra híbrido. | Para determinar si se cumple este requisito previo, ejecute el comando dsregcmd: dsregcmd.exe /status |
| La aplicación debe conectarse a la instancia administrada de SQL a través de una sesión interactiva. | Esto admite aplicaciones como SQL Server Management Studio (SSMS) y aplicaciones web, pero no funcionarán para las aplicaciones que se ejecutan como servicio. |
| Inquilino de Microsoft Entra. | |
| Suscripción de Azure en el mismo inquilino de Microsoft Entra que planea usar para la autenticación. | |
| Microsoft Entra Connect instalado. | Entornos híbridos en los que existen identidades en Microsoft Entra ID y AD. |
Consulte Configuración de la autenticación de Windows para microsoft Entra ID con el flujo interactivo moderno para conocer los pasos necesarios para habilitar este flujo de autenticación.
Flujo de autenticación basado en confianza entrante
Se requieren los siguientes requisitos previos para implementar el flujo de autenticación basado en confianza entrante:
| Prerrequisito | Description |
|---|---|
| Los clientes deben ejecutar Windows 10, Windows Server 2012 o una versión superior de Windows. | |
| Los clientes deben unirse a AD. El dominio debe tener un nivel funcional de Windows Server 2012 o versiones superiores. | Para determinar si el cliente se unió a AD, ejecute el comando dsregcmd: dsregcmd.exe /status |
| Módulo de administración de autenticación híbrida de Azure AD. | Este módulo de PowerShell proporciona características de administración para la configuración local. |
| Inquilino de Microsoft Entra. | |
| Suscripción de Azure en el mismo inquilino de Microsoft Entra que planea usar para la autenticación. | |
| Microsoft Entra Connect instalado. | Entornos híbridos en los que existen identidades en Microsoft Entra ID y AD. |
Consulte Configuración de la autenticación de Windows para el identificador de Entra de Microsoft con el flujo basado en confianza entrante para obtener instrucciones sobre cómo habilitar este flujo de autenticación.
Configuración de Azure SQL Managed Instance
Los pasos para configurar Instancia administrada de Azure SQL son los mismos para el flujo de autenticación entrante basado en confianza y el flujo de autenticación interactiva moderno.
Requisitos previos para configurar una instancia administrada de SQL
Los siguientes requisitos previos son necesarios para configurar una instancia administrada de SQL para la autenticación de Windows para entidades de seguridad de Microsoft Entra:
| Prerrequisito | Description |
|---|---|
| Módulo Az.Sql de PowerShell | Este módulo de PowerShell proporciona cmdlets de administración para recursos de Azure SQL. Para instalar este módulo, ejecute este comando de PowerShell: Install-Module -Name Az.Sql |
| Módulo de PowerShell en Microsoft Graph | Este módulo proporciona cmdlets de administración para tareas administrativas de Microsoft Entra ID, como la gestión de usuarios y principales de servicio. Para instalar este módulo, ejecute este comando de PowerShell: Install-Module –Name Microsoft.Graph |
| Una instancia administrada de SQL | Puede crear una nueva instancia administrada de SQL o usar una instancia administrada de SQL existente. |
Configuración de cada instancia administrada de SQL
Consulte Configuración de Azure SQL Managed Instance para la autenticación de Windows con Microsoft Entra ID para obtener los pasos para configurar cada instancia administrada de SQL.
Limitaciones
Las limitaciones siguientes se aplican a la autenticación de Windows para principales de Microsoft Entra en Azure SQL Managed Instance.
No disponible para los clientes de Linux
Actualmente, solo se admite la autenticación de Windows para los principales de Microsoft Entra en las máquinas cliente que ejecutan Windows.
Inicio de sesión almacenado en caché de Microsoft Entra ID
Windows limita la frecuencia con la que se conecta a Microsoft Entra ID, por lo que existe la posibilidad de que las cuentas de usuario no tengan un Ticket Granting Ticket (TGT) de Kerberos actualizado dentro de las 4 horas siguientes a una actualización o nueva implementación de un equipo cliente. Las cuentas de usuario que no tienen TGTs actualizados dan como resultado solicitudes de ticket con error de Microsoft Entra ID.
Como administrador, puede desencadenar un inicio de sesión en línea inmediatamente para controlar los escenarios de actualización mediante la ejecución del siguiente comando en el equipo cliente y, a continuación, bloquear y desbloquear la sesión de usuario para obtener un TGT actualizado:
dsregcmd.exe /RefreshPrt
Contenido relacionado
- ¿Qué es la autenticación de Windows para las entidades de seguridad de Microsoft Entra en Azure SQL Managed Instance?
- Implementación de la autenticación de Windows para Azure SQL Managed Instance con Microsoft Entra ID y Kerberos (versión preliminar)
- Cómo configurar la autenticación de Windows para Microsoft Entra ID con el flujo interactivo moderno
- Cómo configurar la autenticación de Windows para Microsoft Entra ID con el flujo basado en la confianza de entrada
- Configuración de Azure SQL Managed Instance para la autenticación de Windows para el identificador de Microsoft Entra