Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk áttekintést nyújt arról, hogyan állíthatja be az infrastruktúrát és az SQL-felügyelt példányokat a Windows-hitelesítés implementálásához a Felügyelt Azure SQL-példányon az entitások számára Microsoft Entra ID-vel (korábbi nevén Azure Active Directory).
A Felügyelt Azure SQL-példány windowsos hitelesítésének beállításához két fázis áll rendelkezésre a Microsoft Entra ID és a Kerberos használatával.
-
Egyszeri infrastruktúra telepítés.
- Szinkronizálja az Active Directoryt (AD) és a Microsoft Entra-azonosítót, ha ez még nem történt meg.
- Ha elérhető, engedélyezze a modern interaktív hitelesítési folyamatot. A modern interaktív folyamat olyan szervezetek számára ajánlott, amelyeknek Microsoft Entra- vagy hibrid csatlakoztatott windows 10 20H1/Windows Server 2022 vagy újabb rendszerű ügyfeleket.
- Állítsa be a bejövő megbízhatósági alapú hitelesítési folyamatot. Ez azoknak az ügyfeleknek ajánlott, akik nem tudják használni a modern interaktív folyamatot, de windows 10/Windows Server 2012 vagy újabb rendszert futtató AD-hez csatlakoztatott ügyfelekkel rendelkeznek.
-
Felügyelt Azure SQL-példány konfigurálása.
- Hozzon létre egy rendszer által hozzárendelt szolgáltatásnevet minden felügyelt SQL-példányhoz.
Jegyzet
Microsoft Entra ID korábban Azure Active Directory (Azure AD) néven ismert.
Egyszeri infrastruktúra beállítása
Az infrastruktúra beállításának első lépése az AD és a Microsoft Entra-azonosító szinkronizálása, ha ez még nem fejeződött be.
Ezt követően egy rendszergazda konfigurálja a hitelesítési folyamatokat. Két hitelesítési folyamat érhető el a Microsoft Entra-tagok Windows-hitelesítésének implementálásához felügyelt Azure SQL-példányon:
- A bejövő megbízhatóságon alapuló adatfolyam támogatja a Windows Server 2012 vagy újabb rendszert futtató AD-hez csatlakoztatott klienseket.
- A modern interaktív folyamat támogatja a Windows 10 21H1 vagy újabb rendszert futtató Microsoft Entra csatlakoztatott ügyfeleket.
Az AD szinkronizálása a Microsoft Entra-azonosítóval
Az ügyfeleknek először implementálniuk kell a Microsoft Entra Connect-t, hogy integrálják a helyszíni könyvtárakat a Microsoft Entra ID-val.
Válassza ki a megvalósítandó hitelesítési folyamatokat
Az alábbi ábra a jogosultságot és a modern interaktív folyamat és a bejövő megbízhatósági alapú folyamat alapvető funkcióit mutatja be:
"A döntési fa azt mutatja, hogy a modern interaktív folyamat alkalmas a Windows 10 20H1 vagy Windows Server 2022 vagy újabb rendszerű ügyfelek számára, ahol az ügyfelek a Microsoft Entra-hoz csatlakoznak, vagy a Microsoft Entra hibrid csatlakozik. A bejövő megbízhatósági alapú folyamat alkalmas a Windows 10 vagy Windows Server 2012 vagy újabb rendszerű ügyfelek számára, ahol az ügyfelek AD-hez csatlakoznak."
A modern interaktív folyamat a Windows 10 21H1 és újabb rendszereket futtató, fejlett ügyfelekhez kapcsolódik, amelyek Microsoft Entra vagy Microsoft Entra hibrid rendszerekhez csatlakoznak. A modern interaktív folyamatban a felhasználók úgy férhetnek hozzá az Azure SQL Managed Instance-hoz, hogy nincs szükség láthatóságra a tartományvezérlők felé. Nincs szükség megbízhatósági objektum létrehozására az ügyfél AD-jében. A modern interaktív folyamat engedélyezéséhez a rendszergazda beállítja a Kerberos-hitelesítési jegyek (TGT) csoportházirendjének használatát a bejelentkezés során.
A bejövő megbízhatósági alapú folyamat a Windows 10 vagy Windows Server 2012 vagy újabb rendszerű ügyfelek számára működik. Ez az eljárás megköveteli, hogy az ügyfelek csatlakozva legyenek az AD-hez, és legyen hozzáférésük az AD-hez a helyszínről. A bejövő megbízhatósági alapú folyamatban egy megbízhatósági objektum jön létre az ügyfél AD-jében, és regisztrálva van a Microsoft Entra-azonosítóban. A bejövő megbízhatósági alapú folyamat engedélyezéséhez a rendszergazda beállít egy bejövő megbízhatósági kapcsolatot a Microsoft Entra-azonosítóval, és csoportházirenden keresztül beállítja a Kerberos-proxyt.
Modern interaktív hitelesítési folyamat
A modern interaktív hitelesítési folyamat megvalósításához a következő előfeltételek szükségesek:
| Előfeltétel | Leírás |
|---|---|
| Az ügyfeleknek Windows 10 20H1, Windows Server 2022 vagy a Windows magasabb verzióját kell futtatniuk. | |
| Az ügyfeleknek Microsoft Entra-hoz csatlakoztatottnak vagy Microsoft Entra hibrid módon csatlakoztatottnakkell lenniük. | Ezt az előfeltételt a dsregcmd parancsfuttatásával állapíthatja meg: dsregcmd.exe /status |
| Az alkalmazásnak interaktív munkameneten keresztül kell csatlakoznia a felügyelt SQL-példányhoz. | Ez támogatja az olyan alkalmazásokat, mint az SQL Server Management Studio (SSMS) és a webalkalmazások, de szolgáltatásként futó alkalmazások esetében nem működik. |
| Microsoft Entra-bérlő. | |
| Azure-előfizetés ugyanabban a Microsoft Entra-bérlőben, amelyet a hitelesítéshez használni kíván. | |
| Microsoft Entra Connect telepítve van. | Hibrid környezetek, ahol az identitások a Microsoft Entra-azonosítóban és az AD-ben is léteznek. |
Tekintse meg a szakaszt a Microsoft Entra ID-hez tartozó Windows-hitelesítés beállításáról a modern interaktív folyamattal kapcsolatban, a szakaszban leírt lépésekért, hogy engedélyezze ezt a hitelesítési folyamatot.
Bejövő megbízhatósági alapú hitelesítési folyamat
A bejövő megbízhatósági alapú hitelesítési folyamat implementálásához a következő előfeltételek szükségesek:
| Előfeltétel | Leírás |
|---|---|
| Az ügyfélnek Windows 10, Windows Server 2012 vagy a Windows magasabb verzióját kell futtatnia. | |
| Az ügyfeleknek csatlakozniuk kell az AD-hez. A tartománynak a Windows Server 2012 vagy annál magasabb működési szinttel kell rendelkeznie. | A dsregcmd parancsfuttatásával megállapíthatja, hogy az ügyfél csatlakozik-e az AD-hez: dsregcmd.exe /status |
| Az Azure AD hibrid hitelesítéskezelési modulja. | Ez a PowerShell-modul felügyeleti funkciókat biztosít a helyszíni beállításhoz. |
| Microsoft Entra-bérlő. | |
| Azure-előfizetés ugyanabban a Microsoft Entra-bérlőben, amelyet a hitelesítéshez használni kíván. | |
| Microsoft Entra Connect telepítve van. | Hibrid környezetek, ahol az identitások a Microsoft Entra-azonosítóban és az AD-ben is léteznek. |
Az ehhez a hitelesítési folyamathoz szükséges engedélyezési utasításokat lásd a következő résznél: Hogyan állítsuk be a Microsoft Entra ID windowsos hitelesítését a bejövő megbízhatósági alapú folyamattal.
Az felügyelt Azure SQL-példány konfigurálása
A felügyelt Azure SQL-példány beállításának lépései megegyeznek a bejövő megbízhatósági alapú hitelesítési folyamat és a modern interaktív hitelesítési folyamat esetében is.
Felügyelt SQL-példány konfigurálására vonatkozó előfeltételek
A Microsoft Entra-tagok windowsos hitelesítéséhez felügyelt SQL-példány konfigurálásához a következő előfeltételek szükségesek:
| Előfeltétel | Leírás |
|---|---|
| Az.Sql PowerShell-modul | Ez a PowerShell-modul felügyeleti parancsmagokat biztosít az Azure SQL-erőforrásokhoz. Telepítse ezt a modult a következő PowerShell-parancs futtatásával: Install-Module -Name Az.Sql |
| Microsoft Graph PowerShell-modul | Ez a modul felügyeleti parancsmagokat biztosít a Microsoft Entra ID felügyeleti feladataihoz, például a felhasználó- és szolgáltatásnév-kezeléshez. Telepítse ezt a modult a következő PowerShell-parancs futtatásával: Install-Module –Name Microsoft.Graph |
| Felügyelt SQL-példány | Létrehozhat egy új felügyelt SQL-példányt, vagy használhat egy meglévő felügyelt SQL-példányt. |
Az egyes felügyelt SQL-példányok konfigurálása
Az egyes felügyelt SQL-példányok konfigurálására vonatkozó lépéseket lásd az Azure SQL Managed Instance Windows-hitelesítésének beállításai a Microsoft Entra ID-hez című dokumentumban.
Korlátozások
A Felügyelt Azure SQL-példányon a Microsoft Entra-tagok Windows-hitelesítésére a következő korlátozások vonatkoznak:
Linux-ügyfelek esetén nem érhető el
A Microsoft Entra-tagok Windows-hitelesítése jelenleg csak Windows rendszerű ügyfélszámítógépeken támogatott.
Microsoft Entra ID cache-elt bejelentkezés
A Windows korlátozza, hogy milyen gyakran csatlakozik a Microsoft Entra-azonosítóhoz, így előfordulhat, hogy a felhasználói fiókok nem rendelkeznek frissített Kerberos-jegykiadó jeggyel (TGT) az ügyfélszámítógép frissítését vagy friss üzembe helyezését követő 4 órán belül. Azok a felhasználói fiókok, amelyek nem rendelkeznek frissített TGT-vel, sikertelen jegykérelmet eredményeznek a Microsoft Entra-azonosítótól.
Rendszergazdaként azonnal elindíthat egy online bejelentkezést a frissítési forgatókönyvek kezeléséhez az alábbi parancs futtatásával az ügyfélszámítógépen, majd zárolhatja és feloldhatja a felhasználói munkamenetet a frissített TGT eléréséhez:
dsregcmd.exe /RefreshPrt
Kapcsolódó tartalom
- Mi az a Windows-hitelesítés a Microsoft Entra-tagok számára a felügyelt Azure SQL-példányon?
- Felügyelt Azure SQL-példány Windows-hitelesítésének implementálása a Microsoft Entra ID és a Kerberos
- Windows-hitelesítés beállítása a Microsoft Entra-azonosítóhoz a modern interaktív folyamattal
- A Microsoft Entra ID Windows-hitelesítésének beállítása a bejövő bizalmi alapú folyamattal
- Azure SQL Managed Instance konfigurálása Windows-hitelesítéshez a Microsoft Entra ID használatával