Megosztás a következőn keresztül:


How to set up Windows Authentication for Azure SQL Managed Instance using Microsoft Entra ID and Kerberos

Ez a cikk áttekintést nyújt arról, hogyan állíthatja be az infrastruktúrát és a felügyelt példányokat a Windows-hitelesítés implementálásához a felügyelt Azure SQL-példányon a Microsoft Entra ID-val (korábbi nevén Azure Active Directory).

A Felügyelt Azure SQL-példány windowsos hitelesítésének beállításához két fázis áll rendelkezésre a Microsoft Entra ID és a Kerberos használatával.

  • Egyszeri infrastruktúra-beállítás.
    • Synchronize Active Directory (AD) and Microsoft Entra ID, if this hasn't already been done.
    • Ha elérhető, engedélyezze a modern interaktív hitelesítési folyamatot. A modern interaktív folyamat a Microsoft Entra-hoz csatlakozó vagy hibrid csatlakoztatott ügyfelek számára ajánlott, windows 10 20H1/Windows Server 2022 vagy újabb rendszert futtató ügyfelek számára.
    • Állítsa be a bejövő megbízhatósági alapú hitelesítési folyamatot. Ez azoknak az ügyfeleknek ajánlott, akik nem tudják használni a modern interaktív folyamatot, de windows 10/Windows Server 2012 vagy újabb rendszert futtató AD-hez csatlakoztatott ügyfelekkel rendelkeznek.
  • Felügyelt Azure SQL-példány konfigurálása.
    • Hozzon létre egy rendszer által hozzárendelt szolgáltatásnevet minden felügyelt példányhoz.

Megjegyzés:

A Microsoft Entra ID az Azure Active Directory (Azure AD) új neve. Jelenleg frissítjük a dokumentációt.

Egyszeri infrastruktúra beállítása

Az infrastruktúra beállításának első lépése az AD és a Microsoft Entra-azonosító szinkronizálása, ha ez még nem fejeződött be.

Ezt követően egy rendszergazda konfigurálja a hitelesítési folyamatokat. Két hitelesítési folyamat érhető el a Microsoft Entra-tagok Windows-hitelesítésének implementálásához a felügyelt Azure SQL-példányon: a bejövő megbízhatósági alapú folyamat támogatja a Windows Server 2012 vagy újabb rendszert futtató AD-hez csatlakoztatott ügyfeleket, a modern interaktív folyamat pedig a Windows 10 21H1 vagy újabb rendszert futtató Microsoft Entra csatlakoztatott ügyfeleket támogatja.

Az AD szinkronizálása a Microsoft Entra-azonosítóval

Az ügyfeleknek először a Microsoft Entra Csatlakozás kell implementálniuk, hogy integrálják a helyszíni könyvtárakat a Microsoft Entra ID azonosítóval.

Válassza ki a megvalósítandó hitelesítési folyamat(ok)t

Az alábbi ábra a jogosultságot és a modern interaktív folyamat és a bejövő megbízhatósági alapú folyamat alapvető funkcióit mutatja be:

A decision tree showing criteria to select authentication flows.

"A döntési fa azt mutatja, hogy a modern interaktív folyamat alkalmas a Windows 10 20H1 vagy Windows Server 2022 vagy újabb rendszerű ügyfelek számára, ahol az ügyfelek a Microsoft Entra-hoz csatlakoznak, vagy a Microsoft Entra hibrid csatlakozik. A bejövő megbízhatósági alapú folyamat alkalmas a Windows 10 vagy Windows Server 2012 vagy újabb rendszerű ügyfelek számára, ahol az ügyfelek AD-hez csatlakoznak."

A modern interaktív folyamat a Windows 10 21H1 és újabb rendszert futtató felvilágosult ügyfelekkel működik, amelyekhez a Microsoft Entra vagy a Microsoft Entra hibrid csatlakozó csatlakozik. A modern interaktív folyamat során a felhasználók anélkül férhetnek hozzá a felügyelt Azure SQL-példányhoz, hogy a tartományvezérlőkhöz (tartományvezérlőkhöz) kellene igazodni. Nincs szükség megbízhatósági objektum létrehozására az ügyfél AD-jében. A modern interaktív folyamat engedélyezéséhez a rendszergazda beállítja a Kerberos-hitelesítési jegyek (TGT) csoportházirendjének használatát a bejelentkezés során.

A bejövő megbízhatósági alapú folyamat a Windows 10 vagy Windows Server 2012 vagy újabb rendszerű ügyfelek számára működik. Ez a folyamat megköveteli, hogy az ügyfelek csatlakozva legyenek az AD-hez, és a helyszíni AD-hez igazodjanak. A bejövő megbízhatósági alapú folyamatban egy megbízhatósági objektum jön létre az ügyfél AD-jében, és regisztrálva van a Microsoft Entra-azonosítóban. A bejövő megbízhatósági alapú folyamat engedélyezéséhez a rendszergazda beállít egy bejövő megbízhatósági kapcsolatot a Microsoft Entra-azonosítóval, és csoportházirenden keresztül beállítja a Kerberos-proxyt.

Modern interaktív hitelesítési folyamat

The following prerequisites are required to implement the modern interactive authentication flow:

Prerequisite Description
Clients must run Windows 10 20H1, Windows Server 2022, or a higher version of Windows.
Az ügyfeleknek Microsoft Entra-hoz vagy hibrid Microsoft Entra-hoz kell csatlakozniuk. You can determine if this prerequisite is met by running the dsregcmd command: dsregcmd.exe /status
Application must connect to the managed instance via an interactive session. This supports applications such as SQL Server Management Studio (SSMS) and web applications, but won't work for applications that run as a service.
Microsoft Entra tenant.
Azure subscription under the same Microsoft Entra tenant you plan to use for authentication.
A Microsoft Entra Csatlakozás telepítve van. Hybrid environments where identities exist both in Microsoft Entra ID and AD.

See How to set up Windows Authentication for Microsoft Entra ID with the modern interactive flow for steps to enable this authentication flow.

Bejövő megbízhatósági alapú hitelesítési folyamat

The following prerequisites are required to implement the incoming trust-based authentication flow:

Prerequisite Description
Client must run Windows 10, Windows Server 2012, or a higher version of Windows.
Clients must be joined to AD. The domain must have a functional level of Windows Server 2012 or higher. You can determine if the client is joined to AD by running the dsregcmd command: dsregcmd.exe /status
Azure AD Hybrid Authentication Management Module. This PowerShell module provides management features for on-premises setup.
Microsoft Entra tenant.
Azure subscription under the same Microsoft Entra tenant you plan to use for authentication.
A Microsoft Entra Csatlakozás telepítve van. Hybrid environments where identities exist both in Microsoft Entra ID and AD.

See How to set up Windows Authentication for Microsoft Entra ID with the incoming trust based flow for instructions on enabling this authentication flow.

Az Azure SQL Managed Instance konfigurálása

The steps to set up Azure SQL Managed Instance are the same for both the incoming trust-based authentication flow and the modern interactive authentication flow.

Felügyelt példány konfigurálásához szükséges előfeltételek

The following prerequisites are required to configure a managed instance for Windows Authentication for Microsoft Entra principals:

Előfeltételek Description
Az.Sql PowerShell module This PowerShell module provides management cmdlets for Azure SQL resources. Install this module by running the following PowerShell command: Install-Module -Name Az.Sql
Microsoft Graph PowerShell-modul Ez a modul felügyeleti parancsmagokat biztosít a Microsoft Entra ID felügyeleti feladataihoz, például a felhasználó- és szolgáltatásnév-kezeléshez. Install this module by running the following PowerShell command: Install-Module –Name Microsoft.Graph
A managed instance You may create a new managed instance or use an existing managed instance.

Az egyes felügyelt példányok konfigurálása

See Configure Azure SQL Managed Instance for Windows Authentication for Microsoft Entra ID for steps to configure each managed instance.

Korlátozások

A Felügyelt Azure SQL-példányon a Microsoft Entra-tagok Windows-hitelesítésére a következő korlátozások vonatkoznak:

Linux-ügyfelek esetén nem érhető el

A Microsoft Entra-tagok Windows-hitelesítése jelenleg csak Windows rendszerű ügyfélszámítógépeken támogatott.

Microsoft Entra ID gyorsítótárazott bejelentkezés

A Windows korlátozza, hogy milyen gyakran csatlakozik a Microsoft Entra-azonosítóhoz, így előfordulhat, hogy a felhasználói fiókok nem rendelkeznek frissített Kerberos-jegykiadó jeggyel (TGT) az ügyfélszámítógép frissítését vagy friss üzembe helyezését követő 4 órán belül. Azok a felhasználói fiókok, amelyek nem rendelkeznek frissített TGT-vel, sikertelen jegykérelmet eredményeznek a Microsoft Entra-azonosítótól.

Rendszergazdaként azonnal elindíthat egy online bejelentkezést a frissítési forgatókönyvek kezeléséhez az alábbi parancs futtatásával az ügyfélszámítógépen, majd zárolhatja és feloldhatja a felhasználói munkamenetet a frissített TGT eléréséhez:

dsregcmd.exe /RefreshPrt

További lépések

További információ a Felügyelt Azure SQL-példányOn a Microsoft Entra-tagok Windows-hitelesítésének implementálásáról: