Cara menyiapkan Autentikasi Windows untuk Microsoft Entra ID dengan alur berbasis kepercayaan mendatang
Artikel ini menjelaskan cara menerapkan alur autentikasi berbasis kepercayaan yang masuk untuk mengizinkan komputer klien bergabung dengan Active Directory (AD) yang menjalankan Windows 10, Windows Server 2012, atau versi Windows yang lebih tinggi untuk melakukan autentikasi ke Azure SQL Managed Instance menggunakan Autentikasi Windows.
Artikel ini juga menyertakan langkah-langkah untuk memutar Kunci Kerberos untuk akun layanan Anda di ID Microsoft Entra (sebelumnya Azure Active Directory) dan Objek Domain Tepercaya, dan langkah-langkah untuk menghapus Objek Domain Tepercaya dan semua pengaturan Kerberos, jika diinginkan.
Mengaktifkan alur autentikasi berbasis kepercayaan masuk adalah salah satu langkah dalam menyiapkan Autentikasi Windows untuk Azure SQL Managed Instance menggunakan ID Microsoft Entra dan Kerberos. Alur interaktif modern tersedia untuk klien tercerahkan yang menjalankan Windows 10 20H1, Windows Server 2022, atau versi Windows yang lebih tinggi.
Catatan
ID Microsoft Entra sebelumnya dikenal sebagai Azure Active Directory (Azure AD).
Izin
Untuk menyelesaikan langkah-langkah yang diuraikan dalam artikel ini, Anda memerlukan:
- Nama pengguna dan kata sandi administrator Active Directory lokal.
- Nama pengguna dan kata sandi akun Administrator Global Microsoft Entra.
Prasyarat
Untuk menerapkan alur autentikasi berbasis kepercayaan masuk, pertama, pastikan bahwa prasyarat berikut telah terpenuhi:
Prasyarat | Deskripsi |
---|---|
Komputer klien harus menjalankan Windows 10, Windows Server 2012, atau versi Windows yang lebih tinggi. | |
Klien harus bergabung dengan AD. Domain harus memiliki tingkat fungsional Windows Server 2012 atau lebih tinggi. | Anda dapat menilai apakah komputer klien bergabung ke AD dengan menjalankan perintah dsregcmd: dsregcmd.exe /status |
Modul Manajemen Autentikasi Hibrid Azure AD. | Modul PowerShell ini menyediakan fitur manajemen untuk penyiapan lokal. |
Penyewa Azure. | |
Langganan Azure di penyewa Microsoft Entra yang sama yang Anda rencanakan untuk digunakan sebagai autentikasi. | |
Microsoft Entra Connect terinstal. | Lingkungan hibrida saat identitas terdapat baik di Microsoft Entra ID dan AD. |
Membuat dan mengonfigurasi Objek Domain Tepercaya Microsoft Entra Kerberos
Untuk membuat dan mengonfigurasi Objek Domain Tepercaya Microsoft Entra Kerberos, Anda menginstal modul Azure AD Hybrid Authentication Management PowerShell.
Anda kemudian akan menggunakan modul Azure AD Hybrid Authentication Management PowerShell untuk menyiapkan Objek Domain Tepercaya di domain AD lokal dan mendaftarkan informasi kepercayaan dengan ID Microsoft Entra. Ini membuat hubungan kepercayaan terikat ke AD lokal, yang memungkinkan MICROSOFT Entra ID untuk mempercayai AD lokal.
Menyiapkan Objek Domain Tepercaya
Untuk menyiapkan Objek Domain Tepercaya, pertama-tama pasang modul PowerShell Manajemen Autentikasi Hibrida Azure AD.
Memasang modul PowerShell Manajemen Autentikasi Hibrida Azure AD
Mulai sesi Windows PowerShell dengan opsi Jalankan sebagai administrator.
Memasang modul PowerShell Manajemen Autentikasi Hibrida Azure AD dengan menggunakan skrip berikut. Skrip:
- Mengaktifkan TLS 1.2 untuk komunikasi.
- Memasang penyedia paket NuGet.
- Mendaftarkan repositori PSGallery.
- Memasang modul PowerShellGet.
- Memasang modul PowerShell Manajemen Autentikasi Hibrida Azure AD.
- Azure AD Hybrid Authentication Management PowerShell menggunakan modul AzureADPreview, yang menyediakan fitur manajemen Microsoft Entra tingkat lanjut.
- Untuk melindungi dari konflik penginstalan yang tidak perlu dengan modul Azure AD PowerShell, perintah ini menyertakan bendera opsi –AllowClobber.
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
Install-PackageProvider -Name NuGet -Force
if (@(Get-PSRepository | ? {$_.Name -eq "PSGallery"}).Count -eq 0){
Register-PSRepository -DefaultSet-PSRepository -Name "PSGallery" -InstallationPolicy Trusted
}
Install-Module -Name PowerShellGet -Force
Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber
Membuat Objek Domain Tepercaya
Mulai sesi Windows PowerShell dengan opsi Jalankan sebagai administrator.
Atur parameter umum. Sesuaikan skrip di bawah ini sebelum menjalankannya.
- Atur parameter
$domain
ke nama domain Active Directory lokal Anda. - Saat diminta oleh
Get-Credential
, masukkan nama pengguna dan sandi administrator Active Directory lokal. - Atur
$cloudUserName
parameter ke nama pengguna akun istimewa Administrator Global untuk akses cloud Microsoft Entra.
Catatan
Jika Anda ingin menggunakan akun masuk Windows Anda saat ini untuk akses Active Directory lokal Anda, Anda dapat melewati langkah penetapan informasi masuk ke parameter
$domainCred
. Jika Anda mengambil pendekatan ini, jangan sertakan parameter-DomainCredential
dalam perintah PowerShell setelah langkah ini.$domain = "your on-premesis domain name, for example contoso.com" $domainCred = Get-Credential $cloudUserName = "Azure AD user principal name, for example admin@contoso.onmicrosoft.com"
- Atur parameter
Periksa Pengaturan Domain Kerberos saat ini.
Jalankan perintah berikut untuk memeriksa pengaturan Kerberos domain Anda saat ini:
Get-AzureAdKerberosServer -Domain $domain ` -DomainCredential $domainCred ` -UserPrincipalName $cloudUserName
Jika ini pertama kalinya memanggil perintah Microsoft Entra Kerberos, Anda akan dimintai akses cloud Microsoft Entra.
- Masukkan kata sandi untuk akun Administrator Global Microsoft Entra Anda.
- Jika organisasi Anda menggunakan metode autentikasi modern lainnya seperti autentikasi multifaktor Microsoft Entra atau Smart Card, ikuti instruksi seperti yang diminta untuk masuk.
Jika ini pertama kalinya Anda mengonfigurasi pengaturan Microsoft Entra Kerberos, cmdlet Get-AzureAdKerberosServer menampilkan informasi kosong, seperti dalam output sampel berikut:
ID : UserAccount : ComputerAccount : DisplayName : DomainDnsName : KeyVersion : KeyUpdatedOn : KeyUpdatedFrom : CloudDisplayName : CloudDomainDnsName : CloudId : CloudKeyVersion : CloudKeyUpdatedOn : CloudTrustDisplay :
Jika domain Anda sudah mendukung autentikasi FIDO,
Get-AzureAdKerberosServer
cmdlet menampilkan informasi akun layanan Microsoft Entra, seperti dalam output sampel berikut. BidangCloudTrustDisplay
mengembalikan nilai kosong.ID : 25614 UserAccount : CN=krbtgt-AzureAD, CN=Users, DC=aadsqlmi, DC=net ComputerAccount : CN=AzureADKerberos, OU=Domain Controllers, DC=aadsqlmi, DC=net DisplayName : krbtgt_25614 DomainDnsName : aadsqlmi.net KeyVersion : 53325 KeyUpdatedOn : 2/24/2022 9:03:15 AM KeyUpdatedFrom : ds-aad-auth-dem.aadsqlmi.net CloudDisplayName : krbtgt_25614 CloudDomainDnsName : aadsqlmi.net CloudId : 25614 CloudKeyVersion : 53325 CloudKeyUpdatedOn : 2/24/2022 9:03:15 AM CloudTrustDisplay :
Menambahkan Objek Domain Tepercaya.
Jalankan cmdlet Set-AzureAdKerberosServer PowerShell untuk menambahkan Objek Domain Tepercaya. Pastikan untuk menyertakan parameter
-SetupCloudTrust
. Jika tidak ada akun layanan Microsoft Entra, perintah ini akan membuat akun layanan Microsoft Entra baru. Perintah ini hanya akan membuat objek Domain Tepercaya yang diminta jika ada akun layanan Microsoft Entra.Set-AzureADKerberosServer -Domain $domain -UserPrincipalName $cloudUserName -DomainCredential $domainCred -SetupCloudTrust
Catatan
Pada beberapa forest domain, untuk menghindari kesalahan LsaCreateTrustedDomainEx 0x549 saat menjalankan perintah pada domain anak:
- Jalankan perintah pada domain akar (sertakan
-SetupCloudTrust
parameter). - Jalankan perintah yang sama pada domain anak tanpa
-SetupCloudTrust
parameter .
Setelah membuat Objek Domain Tepercaya, Anda dapat memeriksa Pengaturan Kerberos yang diperbarui menggunakan cmdlet PowerShell
Get-AzureAdKerberosServer
, seperti yang ditunjukkan pada langkah sebelumnya. Jika cmdletSet-AzureAdKerberosServer
telah berhasil dijalankan dengan parameter-SetupCloudTrust
, bidangCloudTrustDisplay
sekarang harus mengembalikanMicrosoft.AzureAD.Kdc.Service.TrustDisplay
, seperti pada output sampel berikut:ID : 25614 UserAccount : CN=krbtgt-AzureAD, CN=Users, DC=aadsqlmi, DC=net ComputerAccount : CN=AzureADKerberos, OU=Domain Controllers, DC=aadsqlmi, DC=net DisplayName : krbtgt_25614 DomainDnsName : aadsqlmi.net KeyVersion : 53325 KeyUpdatedOn : 2/24/2022 9:03:15 AM KeyUpdatedFrom : ds-aad-auth-dem.aadsqlmi.net CloudDisplayName : krbtgt_25614 CloudDomainDnsName : aadsqlmi.net CloudId : 25614 CloudKeyVersion : 53325 CloudKeyUpdatedOn : 2/24/2022 9:03:15 AM CloudTrustDisplay : Microsoft.AzureAD.Kdc.Service.TrustDisplay
Catatan
Azure sovereign cloud memerlukan pengaturan
TopLevelNames
properti, yang diatur kewindows.net
secara default. Penyebaran azure sovereign cloud SQL Managed Instance menggunakan nama domain tingkat atas yang berbeda, sepertiusgovcloudapi.net
untuk Azure US Government. Atur Objek Domain Tepercaya Anda ke nama domain tingkat atas tersebut menggunakan perintah PowerShell berikut:Set-AzureADKerberosServer -Domain $domain -DomainCredential $domainCred -CloudCredential $cloudCred -SetupCloudTrust -TopLevelNames "usgovcloudapi.net,windows.net"
. Anda dapat memverifikasi pengaturan dengan perintah PowerShell berikut:Get-AzureAdKerberosServer -Domain $domain -DomainCredential $domainCred -UserPrincipalName $cloudUserName | Select-Object -ExpandProperty CloudTrustDisplay
.- Jalankan perintah pada domain akar (sertakan
Konfigurasikan Objek Kebijakan Grup (GPO)
Identifikasi ID penyewa Microsoft Entra Anda.
Sebarkan pengaturan Kebijakan Grup berikut ke komputer klien menggunakan alur berbasis kepercayaan yang masuk:
Edit pengaturan kebijakan server proksi untuk komputer klien Kerberos Templates\System\Kerberos\Specify KDC.
Pilih Diaktifkan.
Di bawah Opsi, pilih Perlihatkan.... Tindakan ini membuka kotak dialog Perlihatkan Isi.
Tentukan pengaturan server proksi KDC dengan pemetaan sebagai berikut. Ganti ID penyewa Microsoft Entra Anda untuk
your_Azure_AD_tenant_id
tempat penampung. Perhatikan spasi berikuthttps
dan sebelum penutupan/
dalam pemetaan nilai.Nama nilai Nilai KERBEROS.MICROSOFTONLINE.COM <https login.microsoftonline.com:443: your_Azure_AD_tenant_id
/kerberos />Pilih OK untuk menutup kotak dialog 'Perlihatkan Isi'.
Pilih Terapkan pada kotak dialog 'Tentukan server proksi KDC untuk komputer klien Kerberos'.
Memutar Kunci Kerberos
Anda dapat memutar Kunci Kerberos secara berkala untuk akun layanan Microsoft Entra yang dibuat dan Objek Domain Tepercaya untuk tujuan manajemen.
Set-AzureAdKerberosServer -Domain $domain `
-DomainCredential $domainCred `
-UserPrincipalName $cloudUserName -SetupCloudTrust `
-RotateServerKey
Setelah kunci diputar, dibutuhkan beberapa jam untuk menyebarkan kunci yang diubah antara server KDC Kerberos. Karena waktu distribusi kunci ini, Anda dapat memutar kunci sekali dalam waktu 24 jam. Jika Anda perlu memutar kunci lagi dalam waktu 24 jam karena alasan apa pun, misalnya, tepat setelah membuat Objek Domain Tepercaya, Anda dapat menambahkan -Force
parameter:
Set-AzureAdKerberosServer -Domain $domain `
-DomainCredential $domainCred `
-UserPrincipalName $cloudUserName -SetupCloudTrust `
-RotateServerKey -Force
Hapus Objek Domain Tepercaya
Anda dapat menghapus Objek Domain Tepercaya tambahan dengan perintah berikut:
Remove-AzureADKerberosServerTrustedDomainObject -Domain $domain `
-DomainCredential $domainCred `
-UserPrincipalName $cloudUserName
Perintah ini hanya akan menghapus Objek Domain Tepercaya. Jika domain Anda mendukung autentikasi FIDO, Anda dapat menghapus Objek Domain Tepercaya sambil mempertahankan akun layanan Microsoft Entra yang diperlukan untuk layanan autentikasi FIDO.
Hapus semua Pengaturan Kerberos
Anda dapat menghapus akun layanan Microsoft Entra dan Objek Domain Tepercaya menggunakan perintah berikut:
Remove-AzureAdKerberosServer -Domain $domain `
-DomainCredential $domainCred `
-UserPrincipalName $cloudUserName
Langkah berikutnya
Pelajari selengkapnya tentang menerapkan Autentikasi Windows untuk perwakilan Microsoft Entra di Azure SQL Managed Instance:
- Mengonfigurasi Instans Terkelola Azure SQL untuk Autentikasi Windows untuk Microsoft Entra ID
- Apakah Autentikasi Windows untuk prinsipal Microsoft Entra di Instans Terkelola Azure SQL?
- Cara menyiapkan Autentikasi Windows untuk Instans Terkelola Azure SQL dengan menggunakan Microsoft Entra ID dan Kerberos