Megosztás a következőn keresztül:

How to set up Windows Authentication for Microsoft Entra ID with the incoming trust-based flow

  • Cikk

Ez a cikk azt ismerteti, hogyan implementálható a bejövő megbízható hitelesítési folyamat, amely lehetővé teszi az Active Directoryhoz (AD) a Windows 10, a Windows Server 2012 vagy újabb windowsos verziót futtató, az Active Directoryhoz (AD) csatlakoztatott ügyfelek windowsos hitelesítéssel történő hitelesítését egy Felügyelt Azure SQL-példányon.

Ez a cikk a Szolgáltatásfiók Kerberos-kulcsának a Microsoft Entra-azonosítóban (korábban Azure Active Directory) és a Megbízható tartományobjektumban történő elforgatását, valamint a megbízható tartományobjektumok és az összes Kerberos-beállítás eltávolításának lépéseit is tartalmazza, ha szükséges.

A bejövő megbízhatósági alapú hitelesítési folyamat engedélyezésének egy lépése a Felügyelt Azure SQL-példány windowsos hitelesítésének beállítása a Microsoft Entra ID és a Kerberos használatával. A modern interaktív folyamat a Windows 10 20H1, a Windows Server 2022 vagy a Windows magasabb verzióját futtató, felvilágosult ügyfelek számára érhető el.

Megjegyzés:

A Microsoft Entra ID az Azure Active Directory (Azure AD) új neve. Jelenleg frissítjük a dokumentációt.

Permissions

A cikkben ismertetett lépések végrehajtásához a következőkre van szükség:

  • Egy helyi Active Directory rendszergazdai felhasználónév és jelszó.
  • Microsoft Entra Global Rendszergazda istrator-fiók felhasználóneve és jelszava.

Előfeltételek

A bejövő megbízhatósági alapú hitelesítési folyamat implementálásához először győződjön meg arról, hogy a következő előfeltételek teljesültek:

Előfeltételek Description
Client must run Windows 10, Windows Server 2012, or a higher version of Windows.
Clients must be joined to AD. The domain must have a functional level of Windows Server 2012 or higher. You can determine if the client is joined to AD by running the dsregcmd command: dsregcmd.exe /status
Azure AD Hybrid Authentication Management Module. This PowerShell module provides management features for on-premises setup.
Azure tenant.
Azure subscription under the same Microsoft Entra tenant you plan to use for authentication.
A Microsoft Entra Csatlakozás telepítve van. Hybrid environments where identities exist both in Microsoft Entra ID and AD.

A Microsoft Entra Kerberos megbízható tartományobjektum létrehozása és konfigurálása

A Microsoft Entra Kerberos megbízható tartományobjektum létrehozásához és konfigurálásához telepítse az Azure AD hibrid hitelesítéskezelési PowerShell-modult.

Ezt követően az Azure AD hibrid hitelesítéskezelési PowerShell-modullal állít be egy megbízható tartományobjektumot a helyszíni AD-tartományban, és regisztrálja a megbízhatósági adatokat a Microsoft Entra-azonosítóval. Ez egy kötött megbízhatósági kapcsolatot hoz létre a helyszíni AD-vel, amely lehetővé teszi, hogy a Microsoft Entra ID megbízható legyen a helyszíni AD-ben.

A Megbízható tartomány objektum beállítása

A megbízható tartományobjektum beállításához először telepítse az Azure AD hibrid hitelesítéskezelési PowerShell-modult.

Az Azure AD hibrid hitelesítéskezelési PowerShell-moduljának telepítése

  1. Indítsa el a Windows PowerShell-munkamenetet a Futtatás rendszergazdaként beállítással.

  2. Telepítse az Azure AD hibrid hitelesítéskezelési PowerShell-modult az alábbi szkripttel. A szkript a következőket hajtja végre:

    • Engedélyezi a TLS 1.2-et a kommunikációhoz.
    • Telepíti a NuGet-csomagszolgáltatót.
    • Regisztrálja a PSGallery-adattárat.
    • Telepíti a PowerShellGet modult.
    • Telepíti az Azure AD hibrid hitelesítéskezelési PowerShell-modult.
      • Az Azure AD hibrid hitelesítéskezelési PowerShell az AzureADPreview modult használja, amely fejlett Microsoft Entra felügyeleti funkciót biztosít.
      • Az Azure AD PowerShell-modullal való szükségtelen telepítési ütközések elleni védelemhez ez a parancs tartalmazza az –AllowClobber beállításjelzőt.
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

Install-PackageProvider -Name NuGet -Force

if (@(Get-PSRepository | ? {$_.Name -eq "PSGallery"}).Count -eq 0){
    Register-PSRepository -DefaultSet-PSRepository -Name "PSGallery" -InstallationPolicy Trusted
}

Install-Module -Name PowerShellGet -Force

Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber

A megbízható tartományobjektum létrehozása

  1. Indítsa el a Windows PowerShell-munkamenetet a Futtatás rendszergazdaként beállítással.

  2. Adja meg a gyakori paramétereket. A szkript futtatása előtt testre szabhatja az alábbi szkriptet.

    • Állítsa be a paramétert $domain a helyi Active Directory tartománynévre.
    • Amikor a Get-Credentialrendszer kéri, adjon meg egy helyi Active Directory rendszergazdai felhasználónevet és jelszót.
    • Állítsa a paramétert $cloudUserName egy Globális Rendszergazda istrator jogosultsággal rendelkező fiók felhasználónevére a Microsoft Entra felhőhozzáféréshez.

    Megjegyzés:

    Ha az aktuális Windows-bejelentkezési fiókját szeretné használni a helyi Active Directory-hozzáféréshez, kihagyhatja azt a lépést, amelyben a hitelesítő adatok hozzá vannak rendelve a $domainCred paraméterhez. Ha ezt a megközelítést alkalmazza, ne vegye fel a paramétert -DomainCredential a PowerShell-parancsokba a következő lépésben.

    $domain = "your on-premesis domain name, for example contoso.com"

$domainCred = Get-Credential

$cloudUserName = "Azure AD user principal name, for example admin@contoso.onmicrosoft.com"

  3. Ellenőrizze az aktuális Kerberos-tartomány Gépház.

    Futtassa a következő parancsot a tartomány jelenlegi Kerberos-beállításainak ellenőrzéséhez:

    Get-AzureAdKerberosServer -Domain $domain `
    -DomainCredential $domainCred `
    -UserPrincipalName $cloudUserName

    Ha ez az első alkalom, hogy meghív egy Microsoft Entra Kerberos-parancsot, a rendszer kérni fogja a Microsoft Entra felhőbeli hozzáférését.

    • Adja meg a Microsoft Entra Global Rendszergazda istrator-fiók jelszavát.
    • Ha a szervezet más modern hitelesítési módszereket, például a Microsoft Entra többtényezős hitelesítést vagy intelligens kártyát használ, kövesse a bejelentkezéshez szükséges utasításokat.

    Ha először konfigurálja a Microsoft Entra Kerberos-beállításokat, a Get-AzureAdKerberosServer parancsmag üres információkat jelenít meg, ahogyan az alábbi mintakimenetben is látható:

    ID                  :
UserAccount         :
ComputerAccount     :
DisplayName         :
DomainDnsName       :
KeyVersion          :
KeyUpdatedOn        :
KeyUpdatedFrom      :
CloudDisplayName    :
CloudDomainDnsName  :
CloudId             :
CloudKeyVersion     :
CloudKeyUpdatedOn   :
CloudTrustDisplay   :

    Ha a tartománya már támogatja a FIDO-hitelesítést, a parancsmag a Get-AzureAdKerberosServer Microsoft Entra szolgáltatásfiók adatait jeleníti meg, ahogyan az alábbi példakimenetben is látható. A CloudTrustDisplay mező üres értéket ad vissza.

    ID                  : 25614
UserAccount         : CN=krbtgt-AzureAD, CN=Users, DC=aadsqlmi, DC=net
ComputerAccount     : CN=AzureADKerberos, OU=Domain Controllers, DC=aadsqlmi, DC=net
DisplayName         : krbtgt_25614
DomainDnsName       : aadsqlmi.net
KeyVersion          : 53325
KeyUpdatedOn        : 2/24/2022 9:03:15 AM
KeyUpdatedFrom      : ds-aad-auth-dem.aadsqlmi.net
CloudDisplayName    : krbtgt_25614
CloudDomainDnsName  : aadsqlmi.net
CloudId             : 25614
CloudKeyVersion     : 53325
CloudKeyUpdatedOn   : 2/24/2022 9:03:15 AM
CloudTrustDisplay   :

  4. Adja hozzá a megbízható tartományobjektumot.

    Futtassa a Set-AzureAdKerberosServer PowerShell-parancsmagot a megbízható tartományobjektum hozzáadásához. Ügyeljen arra, hogy a paramétert is tartalmazza -SetupCloudTrust . Ha nincs Microsoft Entra szolgáltatásfiók, ez a parancs létrehoz egy új Microsoft Entra szolgáltatásfiókot. Ez a parancs csak akkor hozza létre a kért megbízható tartomány objektumot, ha van Microsoft Entra szolgáltatásfiók.

    Set-AzureADKerberosServer -Domain $domain -UserPrincipalName $cloudUserName -DomainCredential $domainCred -SetupCloudTrust

    Megjegyzés:

    Több tartományerdőben az LsaCreateTrustedDomainEx 0x549 hiba elkerülése érdekében a parancs gyermektartományon való futtatásakor:

    1. Futtassa a parancsot a gyökértartományon (adja meg a paramétert -SetupCloudTrust ).
    2. Futtassa ugyanazt a parancsot a gyermektartományon a -SetupCloudTrust paraméter nélkül.

    A Megbízható tartomány objektum létrehozása után ellenőrizheti a frissített Kerberos-Gépház a Get-AzureAdKerberosServer PowerShell-parancsmag használatával, ahogyan az előző lépésben is látható. Ha a Set-AzureAdKerberosServer parancsmag sikeresen lefutott a -SetupCloudTrust paraméterrel, a CloudTrustDisplay mezőnek most már vissza kell térnie Microsoft.AzureAD.Kdc.Service.TrustDisplay, mint a következő mintakimenetben:

    ID                  : 25614
UserAccount         : CN=krbtgt-AzureAD, CN=Users, DC=aadsqlmi, DC=net
ComputerAccount     : CN=AzureADKerberos, OU=Domain Controllers, DC=aadsqlmi, DC=net
DisplayName         : krbtgt_25614
DomainDnsName       : aadsqlmi.net
KeyVersion          : 53325
KeyUpdatedOn        : 2/24/2022 9:03:15 AM
KeyUpdatedFrom      : ds-aad-auth-dem.aadsqlmi.net
CloudDisplayName    : krbtgt_25614
CloudDomainDnsName  : aadsqlmi.net
CloudId             : 25614
CloudKeyVersion     : 53325
CloudKeyUpdatedOn   : 2/24/2022 9:03:15 AM
CloudTrustDisplay   : Microsoft.AzureAD.Kdc.Service.TrustDisplay

    Megjegyzés:

    Az Azure szuverén felhőinek meg kell adniuk a TopLevelNames tulajdonságot, amely alapértelmezés szerint be van állítva windows.net . A felügyelt SQL-példány Azure szuverén felhőbeli üzembe helyezései más legfelső szintű tartománynevet használnak, például usgovcloudapi.net az Azure US Government esetében. Állítsa a megbízható tartományobjektumot erre a legfelső szintű tartománynévre a következő PowerShell-paranccsal: Set-AzureADKerberosServer -Domain $domain -DomainCredential $domainCred -CloudCredential $cloudCred -SetupCloudTrust -TopLevelNames "usgovcloudapi.net,windows.net". A beállítást a következő PowerShell-paranccsal ellenőrizheti: Get-AzureAdKerberosServer -Domain $domain -DomainCredential $domainCred -UserPrincipalName $cloudUserName | Select-Object -ExpandProperty CloudTrustDisplay.

A csoportházirend-objektum (GPO) konfigurálása

  1. Azonosítsa a Microsoft Entra-bérlő azonosítóját.

  2. Telepítse a következő csoportházirend-beállítást az ügyfélgépeken a bejövő megbízhatósági alapú folyamat használatával:

    1. Szerkessze a Rendszergazda istrative Templates\System\Kerberos\Specify KDC proxykiszolgálóit a Kerberos-ügyfelek házirendbeállításához.

    2. Válassza az Engedélyezve lehetőséget.

    3. A Beállítások területen válassza a Megjelenítés... lehetőséget. Ekkor megnyílik a Tartalom megjelenítése párbeszédpanel.

      Screenshot of dialog box to enable 'Specify KDC proxy servers for Kerberos clients'. The 'Show Contents' dialog allows input of a value name and the related value.

    4. A KDC-proxykiszolgálók beállításait a következő leképezésekkel határozhatja meg. Cserélje le a Microsoft Entra bérlőazonosítóját a your_Azure_AD_tenant_id helyőrzőre. Jegyezze fel az értékleképezésben a következő https és a záró / szóközt.

      Érték neve Érték
      KERBEROS.MICROSOFTONLINE.COM <https login.microsoftonline.com:443:your_Azure_AD_tenant_id/kerberos />

      Screenshot of the 'Define KDC proxy server settings' dialog box. A table allows input of multiple rows. Each row consists of a value name and a value.

    5. Kattintson az OK gombra a "Tartalom megjelenítése" párbeszédpanel bezárásához.

    6. Válassza az Alkalmaz lehetőséget a Kerberos-ügyfelek KDC-proxykiszolgálóinak megadása párbeszédpanelen.

A Kerberos-kulcs elforgatása

A létrehozott Microsoft Entra szolgáltatásfiókhoz és a megbízható tartományobjektumhoz tartozó Kerberos-kulcsot időnként elforgathatja felügyeleti célokra.

Set-AzureAdKerberosServer -Domain $domain `
   -DomainCredential $domainCred `
   -UserPrincipalName $cloudUserName -SetupCloudTrust `
   -RotateServerKey

A kulcs elforgatása után több órát vesz igénybe a módosított kulcs propagálása a Kerberos KDC-kiszolgálók között. A kulcsterjesztés időzítése miatt 24 órán belül egyszer elforgathatja a kulcsot. Ha 24 órán belül újra el kell forgatnia a kulcsot bármilyen okból, például a megbízható tartományobjektum létrehozása után, hozzáadhatja a -Force paramétert:

Set-AzureAdKerberosServer -Domain $domain `
   -DomainCredential $domainCred `
   -UserPrincipalName $cloudUserName -SetupCloudTrust `
   -RotateServerKey -Force

A megbízható tartományobjektum eltávolítása

A hozzáadott megbízható tartományobjektumot az alábbi paranccsal távolíthatja el:

Remove-AzureADKerberosTrustedDomainObject -Domain $domain `
   -DomainCredential $domainCred `
   -UserPrincipalName $cloudUserName

Ez a parancs csak a megbízható tartományobjektumot távolítja el. Ha a tartomány támogatja a FIDO-hitelesítést, eltávolíthatja a megbízható tartományobjektumot, miközben fenntartja a FIDO hitelesítési szolgáltatáshoz szükséges Microsoft Entra szolgáltatásfiókot.

Az összes Kerberos-Gépház eltávolítása

Az alábbi paranccsal eltávolíthatja a Microsoft Entra szolgáltatásfiókot és a megbízható tartományobjektumot is:

Remove-AzureAdKerberosServer -Domain $domain `
   -DomainCredential $domainCred `
   -UserPrincipalName $cloudUserName

További lépések

További információ a Felügyelt Azure SQL-példányOn a Microsoft Entra-tagok Windows-hitelesítésének implementálásáról: