Partage via


Comment configurer l’authentification Windows pour Azure SQL Managed Instance en utilisant Microsoft Entra et Kerberos

Cet article fournit une vue d’ensemble de la configuration de l’infrastructure et des instances gérées pour implémenter l’authentification Windows pour les principaux Azure SQL Managed Instance par le biais de Microsoft Entra ID (anciennement Azure Active Directory).

La configuration de l’authentification Windows pour Azure SQL Managed Instance par le biais de Microsoft Entra ID et Kerberos se fait en deux phases.

  • Configuration d’une infrastructure unique.
    • Synchronisez Active Directory (AD) et Microsoft Entra ID, si ce n’est pas déjà fait.
    • Le cas échéant, activez le flux interactif moderne d’authentification. Le flux interactif moderne est recommandé pour les organisations ayant des clients joints à Microsoft Entra ou joints de manière hybride fonctionnant sous Windows 10 20H1 / Windows Server 2022 et plus.
    • Configurez le flux entrant d’authentification basée sur la confiance. Ceci est recommandé pour les clients qui ne peuvent pas utiliser le flux interactif moderne, mais qui ont des clients avec jointure AD s’exécutant sur Windows 10/Windows Server 2012 et versions ultérieures.
  • Configuration d’Azure SQL Managed Instance.
    • Créez un principal de service attribué par le système pour chaque instance gérée.

Remarque

Microsoft Entra ID était précédemment connu sous le nom d’Azure Active Directory (Azure AD).

Configuration d’infrastructure unique

La première étape de l’installation de l’infrastructure consiste à synchroniser AD avec Microsoft Entra ID, si cela n'a pas déjà été fait.

Après cela, un administrateur système configure des flux d’authentification. Deux flux d’authentification sont disponibles pour mettre en œuvre l’authentification Windows pour les principaux Microsoft Entra sur Azure SQL Managed Instance : le flux entrant basé sur la confiance prend en charge les clients joints à AD exécutant Windows server 2012 ou une version ultérieure, et le flux interactif moderne prend en charge les clients joints à Microsoft Entra exécutant Windows 10 21H1 ou une version ultérieure.

Synchroniser AD avec Microsoft Entra ID

Les clients doivent d'abord implémenter Microsoft Entra Connect pour intégrer les annuaires locaux à Microsoft Entra ID.

Sélectionnez le ou les flux d’authentification que vous allez implémenter

Le diagramme suivant montre l’éligibilité et les fonctionnalités principales du flux interactif moderne et du flux entrant basé sur la confiance :

A decision tree showing criteria to select authentication flows.

« Un arbre de décision indiquant que le flux interactif moderne est adapté aux clients qui utilisent Windows 10 20H1, Windows Server 2022 ou une version plus récente, lorsque les clients sont joints ou joints de manière hybride à Microsoft Entra. Le flux entrant basé sur la confiance convient aux clients qui utilisent Windows 10 ou Windows Server 2012 ou une version ultérieure où les clients sont joints à AD. »

Le flux interactif moderne fonctionne avec des clients éclairés fonctionnant sous Windows 10 21H1 et des versions plus récentes, qui sont joints ou joints de manière hybride à Microsoft Entra. Dans le flux interactif moderne, les utilisateurs peuvent accéder à Azure SQL Managed Instance sans avoir besoin d’une ligne de vue sur les contrôleurs de domaine (DC). Il n’est pas nécessaire de créer un objet de confiance dans l’AD du client. Pour activer le flux interactif moderne, un administrateur doit définir la stratégie de groupe pour les tickets d’authentification Kerberos (TGT) à utiliser lors de la connexion.

Le flux entrant basé sur la confiance fonctionne pour les clients qui utilisent Windows 10 ou Windows Server 2012 et versions ultérieures. Ce processus nécessite que les clients soient joints à AD et qu’ils disposent d’une ligne de vue pour AD depuis leur site local. Dans le flux entrant basé sur la confiance, un objet de confiance est créé dans l’AD du client et est enregistré dans Microsoft Entra ID. Pour activer le flux entrant basé sur la confiance, un administrateur doit configurer une confiance entrante avec Microsoft Entra ID et configurer le Proxy Kerberos via la stratégie de groupe.

Flux interactif moderne d’authentification

Les conditions préalables suivantes sont requises pour implémenter le flux interactif moderne d’authentification :

Configuration requise Description
Les clients doivent utiliser Windows 10 20H1, Windows Server 2022 ou une version ultérieure de Windows.
Les clients doivent être joints à Microsoft Entra ou joints de manière hybride à Microsoft Entra. Vous pouvez déterminer si cette condition préalable est remplie en exécutant la commande dsregcmd : dsregcmd.exe /status
L’application doit se connecter à l’instance gérée par le biais d’une session interactive. Cela prend en charge les applications telles que les applications SQL Server Management Studio (SSMS) et Web, mais ne fonctionne pas pour les applications qui s’exécutent en tant que service.
Locataire Microsoft Entra.
Abonnement Azure sous le même locataire Microsoft Entra que celui que vous prévoyez d’utiliser pour l’authentification.
Microsoft Entra Connect installé. Environnements hybrides où les identités existent à la fois dans Microsoft Entra ID et AD.

Pour plus d’informations sur la procédure d’activation de ce flux d’authentification, veuillez consulter Comment configurer l’authentification Windows pour Microsoft Entra ID avec le flux interactif moderne.

Flux entrant d’authentification basée sur la confiance

Les conditions préalables suivantes sont requises pour implémenter le flux interactif moderne d’authentification :

Configuration requise Description
Le client doit utiliser Windows 10, Windows Server 2012 ou une version ultérieure de Windows.
Les clients doivent être joints à AD. Le domaine doit avoir un niveau fonctionnel de Windows Server 2012 ou version ultérieure. Vous pouvez déterminer si le client est joint à AD en exécutant la commande dsregcmd : dsregcmd.exe /status
Module de gestion des authentifications hybrides Azure AD. Ce module PowerShell fournit des fonctionnalités de gestion pour l’installation locale.
Locataire Microsoft Entra.
Abonnement Azure sous le même locataire Microsoft Entra que celui que vous prévoyez d’utiliser pour l’authentification.
Microsoft Entra Connect installé. Environnements hybrides où les identités existent à la fois dans Microsoft Entra ID et AD.

Pour obtenir des instructions sur l’activation de ce flux d’authentification, consultez Comment configurer l’authentification Windows pour Microsoft Entra ID avec le flux entrant basé sur la confiance.

Configurer Azure SQL Managed Instance

Les étapes de la configuration d'Azure SQL Managed Instance sont les mêmes pour le flux entrant d'authentification basée sur la confiance et le flux interactif moderne d’authentification.

Conditions préalables à la configuration d’une instance gérée

Les conditions préalables suivantes sont requises pour configurer une instance gérée pour l’authentification Windows pour les principaux Microsoft Entra :

Configuration requise Description
Module Az.Sql PowerShell Ce module PowerShell fournit des applets de commande pour la gestion des ressources Azure SQL. Installez ce module en exécutant la commande PowerShell suivante : Install-Module -Name Az.Sql
Module Microsoft Graph PowerShell Ce module fournit des cmdlets de gestion pour des tâches administratives Microsoft Entra ID telles que la gestion d’utilisateur et de principal de service. Installez ce module en exécutant la commande PowerShell suivante : Install-Module –Name Microsoft.Graph
Une instance managée Vous pouvez créer une nouvelle instance gérée ou utiliser une instance gérée existante.

Configurer chaque instance gérée

Pour obtenir plus d’informations sur les étapes de configuration de chaque instance gérée, consultez configurer Azure SQL Managed Instance pour l’authentification Windows pour Microsoft Entra.

Limites

Les limitations suivantes s’appliquent à l’authentification Windows pour les principaux Microsoft Entra sur Azure SQL Managed Instance :

Non disponible pour les clients Linux

L’authentification Windows pour les principaux Microsoft Entra est actuellement prise en charge uniquement pour les ordinateurs clients exécutant Windows.

Ouverture de session mise en cache de Microsoft Entra ID

Windows limite la fréquence à laquelle il se connecte à Microsoft Entra ID. Il est donc possible que les comptes d’utilisateur ne disposent pas d’un ticket TGT (Ticket-Granting Ticket) Kerberos actualisé dans les 4 heures suivant une mise à niveau ou un nouveau déploiement d’un ordinateur client. Les demandes de ticket de Microsoft Entra ID échoueront pour les comptes d’utilisateur qui n’ont pas de ticket TGT actualisé.

En tant qu’administrateur, vous pouvez déclencher immédiatement une ouverture de session en ligne pour gérer les scénarios de mise à niveau en exécutant la commande suivante sur l’ordinateur client, puis en verrouillant et déverrouillant la session utilisateur pour obtenir un ticket TGT actualisé :

dsregcmd.exe /RefreshPrt

Étapes suivantes

En savoir plus sur l’implémentation de l’authentification Windows pour les principaux Microsoft Entra sur Azure SQL Managed Instance :