Cara menyiapkan Autentikasi Windows untuk Instans Terkelola Azure SQL dengan menggunakan Microsoft Entra ID dan Kerberos
Artikel ini memberikan gambaran umum tentang cara menyiapkan infrastruktur dan instans terkelola untuk menerapkan Autentikasi Windows untuk prinsipal di Azure SQL Managed Instance dengan ID Microsoft Entra (sebelumnya Azure Active Directory).
Ada dua fase untuk menyiapkan Autentikasi Windows untuk Azure SQL Managed Instance menggunakan ID Microsoft Entra dan Kerberos.
- Penyiapan infrastruktur satu kali.
- Sinkronisasikan Active Directory (AD) dan Microsoft Entra ID, jika ini belum dilakukan sebelumnya.
- Aktifkan alur autentikasi interaktif modern, jika tersedia. Alur interaktif modern direkomendasikan untuk organisasi dengan klien gabungan Microsoft Entra atau gabungan hibrid yang menjalankan Windows 10 20H1 / Windows Server 2022 dan yang lebih tinggi.
- Siapkan alur autentikasi berbasis kepercayaan yang masuk. Ini direkomendasikan untuk pelanggan yang tidak dapat menggunakan alur interaktif modern, tetapi yang memiliki klien yang bergabung dengan AD yang menjalankan Windows 10 / Windows Server 2012 dan yang lebih tinggi.
- Konfigurasi Azure SQL Managed Instance.
- Buat prinsipal layanan yang ditetapkan sistem untuk setiap instans terkelola.
Catatan
ID Microsoft Entra sebelumnya dikenal sebagai Azure Active Directory (Azure AD).
Penyiapan infrastruktur satu kali
Langkah pertama dalam penyiapan infrastruktur adalah menyinkronkan AD dengan ID Microsoft Entra, jika ini belum selesai.
Setelah ini, administrator sistem mengonfigurasi alur autentikasi. Dua alur autentikasi tersedia untuk menerapkan Autentikasi Windows untuk perwakilan Microsoft Entra di Azure SQL Managed Instance: alur berbasis kepercayaan masuk mendukung klien gabungan AD yang menjalankan Windows server 2012 atau yang lebih tinggi, dan alur interaktif modern mendukung klien gabungan Microsoft Entra yang menjalankan Windows 10 21H1 atau yang lebih tinggi.
Menyinkronkan AD dengan ID Microsoft Entra
Pelanggan harus terlebih dahulu menerapkan Microsoft Entra Koneksi untuk mengintegrasikan direktori lokal dengan ID Microsoft Entra.
Pilih alur autentikasi mana yang akan Anda terapkan
Diagram berikut menunjukkan kelayakan dan fungsionalitas inti dari aliran interaktif modern dan aliran berbasis kepercayaan yang masuk:
"Pohon keputusan yang menunjukkan bahwa alur interaktif modern cocok untuk klien yang menjalankan Windows 10 20H1 atau Windows Server 2022 atau yang lebih tinggi, di mana klien bergabung dengan Microsoft Entra atau Microsoft Entra hybrid bergabung. Aliran berbasis kepercayaan yang masuk cocok untuk klien yang menjalankan Windows 10 atau Windows Server 2012 atau lebih tinggi tempat komputer klien bergabung dengan AD."
Alur interaktif modern bekerja dengan klien tercerahkan yang menjalankan Windows 10 21H1 dan yang lebih tinggi yang bergabung dengan Microsoft Entra atau Microsoft Entra hybrid bergabung. Dalam alur interaktif modern, pengguna dapat mengakses Azure SQL Managed Instance tanpa memerlukan garis pandang ke Pengontrol Domain (DC). Objek kepercayaan tidak perlu dibuat di AD pelanggan. Untuk mengaktifkan alur interaktif modern, administrator akan menetapkan kebijakan grup untuk tiket autentikasi Kerberos (TGT) yang akan digunakan selama masuk.
Aliran berbasis kepercayaan yang masuk berfungsi untuk komputer klien yang menjalankan Windows 10 atau Windows Server 2012 dan yang lebih tinggi. Alur ini mengharuskan komputer klien bergabung ke AD dan memiliki garis pandang ke AD dari lokal. Dalam alur berbasis kepercayaan masuk, objek kepercayaan dibuat di AD pelanggan dan terdaftar di ID Microsoft Entra. Untuk mengaktifkan alur berbasis kepercayaan masuk, administrator akan menyiapkan kepercayaan masuk dengan ID Microsoft Entra dan menyiapkan Proksi Kerberos melalui kebijakan grup.
Alur autentikasi interaktif modern
Prasyarat berikut diperlukan untuk menerapkan alur autentikasi interaktif modern:
| Prasyarat | Deskripsi |
|---|---|
| Klien harus menjalankan Windows 10 20H1, Windows Server 2022, atau versi Windows yang lebih tinggi. | |
| Klien harus bergabung dengan Microsoft Entra atau gabungan hibrid Microsoft Entra. | Anda dapat menentukan apakah prasyarat ini terpenuhi dengan menjalankan perintah dsregcmd: dsregcmd.exe /status |
| Aplikasi harus terhubung ke instans terkelola melalui sesi interaktif. | Cara ini mendukung aplikasi seperti SQL Server Management Studio (SSMS) dan aplikasi web, tetapi tidak akan berfungsi untuk aplikasi yang berjalan sebagai layanan. |
| Penyewa Microsoft Entra. | |
| Langganan Azure di penyewa Microsoft Entra yang sama yang Anda rencanakan untuk digunakan sebagai autentikasi. | |
| Microsoft Entra Koneksi terinstal. | Lingkungan hibrida saat identitas terdapat baik di Microsoft Entra ID dan AD. |
Lihat Cara menyiapkan Autentikasi Windows untuk Microsoft Entra ID dengan alur interaktif modern untuk langkah-langkah dalam mengaktifkan alur autentikasi ini.
Alur autentikasi berbasis kepercayaan yang masuk
Prasyarat berikut diperlukan untuk menerapkan alur autentikasi berbasis kepercayaan yang masuk:
| Prasyarat | Deskripsi |
|---|---|
| Komputer klien harus menjalankan Windows 10, Windows Server 2012, atau versi Windows yang lebih tinggi. | |
| Klien harus bergabung dengan AD. Domain harus memiliki tingkat fungsional Windows Server 2012 atau lebih tinggi. | Anda dapat menilai apakah komputer klien bergabung ke AD dengan menjalankan perintah dsregcmd: dsregcmd.exe /status |
| Modul Manajemen Autentikasi Hibrida Azure AD. | Modul PowerShell ini menyediakan fitur manajemen untuk penyiapan lokal. |
| Penyewa Microsoft Entra. | |
| Langganan Azure di penyewa Microsoft Entra yang sama yang Anda rencanakan untuk digunakan sebagai autentikasi. | |
| Microsoft Entra Koneksi terinstal. | Lingkungan hibrida saat identitas terdapat baik di Microsoft Entra ID dan AD. |
Lihat Cara menyiapkan Autentikasi Windows untuk Microsoft Entra ID dengan alur kepercayaan mendatang untuk petunjuk dalam mengaktifkan alur autentikasi ini.
Mengonfigurasi Azure SQL Managed Instance
Langkah-langkah untuk menyiapkan Azure SQL Managed Instance sama baik untuk alur autentikasi berbasis kepercayaan yang masuk maupun alur autentikasi interaktif modern.
Prasyarat untuk mengonfigurasi instans terkelola
Prasyarat berikut diperlukan untuk mengonfigurasi instans terkelola untuk Windows Authentication untuk prinsipal Microsoft Entra:
| Prasyarat | Deskripsi |
|---|---|
| Modul Az.Sql PowerShell | Modul PowerShell ini menyediakan cmdlet manajemen untuk sumber daya Azure SQL. Pasang modul ini dengan menjalankan perintah PowerShell berikut: Install-Module -Name Az.Sql |
| Modul Microsoft Graph PowerShell | Modul ini menyediakan cmdlet manajemen untuk tugas administratif ID Microsoft Entra seperti manajemen pengguna dan perwakilan layanan. Pasang modul ini dengan menjalankan perintah PowerShell berikut: Install-Module –Name Microsoft.Graph |
| Instans terkelola | Anda dapat membuat instans terkelola baru atau menggunakan instans terkelola yang sudah ada. |
Mengonfigurasi setiap instans terkelola
Lihat Mengonfigurasi Instans Terkelola Azure SQL untuk Autentikasi Windows untuk Microsoft Entra ID untuk langkah-langkah mengonfigurasi tiap instans terkelola.
Batasan
Batasan berikut berlaku untuk Autentikasi Windows untuk perwakilan Microsoft Entra di Azure SQL Managed Instance:
Tidak tersedia untuk klien Aplikasi Linux
Autentikasi Windows untuk perwakilan Microsoft Entra saat ini hanya didukung untuk komputer klien yang menjalankan Windows.
Log masuk cache ID Microsoft Entra
Windows membatasi seberapa sering terhubung ke ID Microsoft Entra, sehingga ada potensi bagi akun pengguna untuk tidak memiliki Tiket Pemberian Tiket (TGT) Kerberos yang disegarkan dalam waktu 4 jam setelah peningkatan atau penyebaran baru komputer klien. Akun pengguna yang tidak memiliki TGT yang di-refresh menghasilkan permintaan tiket yang gagal dari ID Microsoft Entra.
Sebagai administrator, Anda dapat segera memicu masuk online untuk menangani skenario peningkatan dengan menjalankan perintah berikut pada komputer klien, lalu mengunci dan membuka kunci sesi pengguna untuk mendapatkan TGT yang disegarkan:
dsregcmd.exe /RefreshPrt
Langkah berikutnya
Pelajari selengkapnya tentang menerapkan Autentikasi Windows untuk perwakilan Microsoft Entra di Azure SQL Managed Instance:
- Apakah Autentikasi Windows untuk prinsipal Microsoft Entra di Instans Terkelola Azure SQL?
- Cara Autentikasi Windows untuk Instans Terkelola Azure SQL diimplementasikan dengan Microsoft Entra ID dan Kerberos
- Cara menyiapkan Autentikasi Windows Microsoft Entra ID dengan alur interaktif modern
- Cara menyiapkan Autentikasi Windows untuk Microsoft Entra ID dengan alur berbasis kepercayaan mendatang
- Mengonfigurasi Instans Terkelola Azure SQL untuk Autentikasi Windows untuk Microsoft Entra ID
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk