Bagikan melalui

Cara menyiapkan Autentikasi Windows untuk Microsoft Entra ID dengan alur berbasis kepercayaan mendatang

  • Artikel

Artikel ini menjelaskan cara menerapkan alur autentikasi berbasis kepercayaan yang masuk untuk mengizinkan komputer klien bergabung dengan Active Directory (AD) yang menjalankan Windows 10, Windows Server 2012, atau versi Windows yang lebih tinggi untuk melakukan autentikasi ke Azure SQL Managed Instance menggunakan Autentikasi Windows.

Artikel ini juga menyertakan langkah-langkah untuk memutar Kunci Kerberos untuk akun layanan Anda di ID Microsoft Entra (sebelumnya Azure Active Directory) dan Objek Domain Tepercaya, dan langkah-langkah untuk menghapus Objek Domain Tepercaya dan semua pengaturan Kerberos, jika diinginkan.

Mengaktifkan alur autentikasi berbasis kepercayaan masuk adalah salah satu langkah dalam menyiapkan Autentikasi Windows untuk Azure SQL Managed Instance menggunakan ID Microsoft Entra dan Kerberos. Alur interaktif modern tersedia untuk klien tercerahkan yang menjalankan Windows 10 20H1, Windows Server 2022, atau versi Windows yang lebih tinggi.

Catatan

ID Microsoft Entra sebelumnya dikenal sebagai Azure Active Directory (Azure AD).

Izin

Untuk menyelesaikan langkah-langkah yang diuraikan dalam artikel ini, Anda memerlukan:

  • Nama pengguna dan kata sandi administrator Active Directory lokal.
  • Nama pengguna dan kata sandi akun Administrator Global Microsoft Entra.

Prasyarat

Untuk menerapkan alur autentikasi berbasis kepercayaan masuk, pertama, pastikan bahwa prasyarat berikut telah terpenuhi:

Prasyarat Deskripsi
Komputer klien harus menjalankan Windows 10, Windows Server 2012, atau versi Windows yang lebih tinggi.
Klien harus bergabung dengan AD. Domain harus memiliki tingkat fungsional Windows Server 2012 atau lebih tinggi. Anda dapat menilai apakah komputer klien bergabung ke AD dengan menjalankan perintah dsregcmd: dsregcmd.exe /status
Modul Manajemen Autentikasi Hibrid Azure AD. Modul PowerShell ini menyediakan fitur manajemen untuk penyiapan lokal.
Penyewa Azure.
Langganan Azure di penyewa Microsoft Entra yang sama yang Anda rencanakan untuk digunakan sebagai autentikasi.
Microsoft Entra Connect terinstal. Lingkungan hibrida saat identitas terdapat baik di Microsoft Entra ID dan AD.

Membuat dan mengonfigurasi Objek Domain Tepercaya Microsoft Entra Kerberos

Untuk membuat dan mengonfigurasi Objek Domain Tepercaya Microsoft Entra Kerberos, Anda menginstal modul Azure AD Hybrid Authentication Management PowerShell.

Anda kemudian akan menggunakan modul Azure AD Hybrid Authentication Management PowerShell untuk menyiapkan Objek Domain Tepercaya di domain AD lokal dan mendaftarkan informasi kepercayaan dengan ID Microsoft Entra. Ini membuat hubungan kepercayaan terikat ke AD lokal, yang memungkinkan MICROSOFT Entra ID untuk mempercayai AD lokal.

Menyiapkan Objek Domain Tepercaya

Untuk menyiapkan Objek Domain Tepercaya, pertama-tama pasang modul PowerShell Manajemen Autentikasi Hibrida Azure AD.

Memasang modul PowerShell Manajemen Autentikasi Hibrida Azure AD

  1. Mulai sesi Windows PowerShell dengan opsi Jalankan sebagai administrator.

  2. Memasang modul PowerShell Manajemen Autentikasi Hibrida Azure AD dengan menggunakan skrip berikut. Skrip:

    • Mengaktifkan TLS 1.2 untuk komunikasi.
    • Memasang penyedia paket NuGet.
    • Mendaftarkan repositori PSGallery.
    • Memasang modul PowerShellGet.
    • Memasang modul PowerShell Manajemen Autentikasi Hibrida Azure AD.
      • Azure AD Hybrid Authentication Management PowerShell menggunakan modul AzureADPreview, yang menyediakan fitur manajemen Microsoft Entra tingkat lanjut.
      • Untuk melindungi dari konflik penginstalan yang tidak perlu dengan modul Azure AD PowerShell, perintah ini menyertakan bendera opsi –AllowClobber.
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

Install-PackageProvider -Name NuGet -Force

if (@(Get-PSRepository | ? {$_.Name -eq "PSGallery"}).Count -eq 0){
    Register-PSRepository -DefaultSet-PSRepository -Name "PSGallery" -InstallationPolicy Trusted
}

Install-Module -Name PowerShellGet -Force

Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber

Membuat Objek Domain Tepercaya

  1. Mulai sesi Windows PowerShell dengan opsi Jalankan sebagai administrator.

  2. Atur parameter umum. Sesuaikan skrip di bawah ini sebelum menjalankannya.

    • Atur parameter $domain ke nama domain Active Directory lokal Anda.
    • Saat diminta oleh Get-Credential, masukkan nama pengguna dan sandi administrator Active Directory lokal.
    • Atur $cloudUserName parameter ke nama pengguna akun istimewa Administrator Global untuk akses cloud Microsoft Entra.

    Catatan

    Jika Anda ingin menggunakan akun masuk Windows Anda saat ini untuk akses Active Directory lokal Anda, Anda dapat melewati langkah penetapan informasi masuk ke parameter $domainCred. Jika Anda mengambil pendekatan ini, jangan sertakan parameter -DomainCredential dalam perintah PowerShell setelah langkah ini.

    $domain = "your on-premesis domain name, for example contoso.com"

$domainCred = Get-Credential

$cloudUserName = "Azure AD user principal name, for example admin@contoso.onmicrosoft.com"

  3. Periksa Pengaturan Domain Kerberos saat ini.

    Jalankan perintah berikut untuk memeriksa pengaturan Kerberos domain Anda saat ini:

    Get-AzureAdKerberosServer -Domain $domain `
    -DomainCredential $domainCred `
    -UserPrincipalName $cloudUserName

    Jika ini pertama kalinya memanggil perintah Microsoft Entra Kerberos, Anda akan dimintai akses cloud Microsoft Entra.

    • Masukkan kata sandi untuk akun Administrator Global Microsoft Entra Anda.
    • Jika organisasi Anda menggunakan metode autentikasi modern lainnya seperti autentikasi multifaktor Microsoft Entra atau Smart Card, ikuti instruksi seperti yang diminta untuk masuk.

    Jika ini pertama kalinya Anda mengonfigurasi pengaturan Microsoft Entra Kerberos, cmdlet Get-AzureAdKerberosServer menampilkan informasi kosong, seperti dalam output sampel berikut:

    ID                  :
UserAccount         :
ComputerAccount     :
DisplayName         :
DomainDnsName       :
KeyVersion          :
KeyUpdatedOn        :
KeyUpdatedFrom      :
CloudDisplayName    :
CloudDomainDnsName  :
CloudId             :
CloudKeyVersion     :
CloudKeyUpdatedOn   :
CloudTrustDisplay   :

    Jika domain Anda sudah mendukung autentikasi FIDO, Get-AzureAdKerberosServer cmdlet menampilkan informasi akun layanan Microsoft Entra, seperti dalam output sampel berikut. Bidang CloudTrustDisplay mengembalikan nilai kosong.

    ID                  : 25614
UserAccount         : CN=krbtgt-AzureAD, CN=Users, DC=aadsqlmi, DC=net
ComputerAccount     : CN=AzureADKerberos, OU=Domain Controllers, DC=aadsqlmi, DC=net
DisplayName         : krbtgt_25614
DomainDnsName       : aadsqlmi.net
KeyVersion          : 53325
KeyUpdatedOn        : 2/24/2022 9:03:15 AM
KeyUpdatedFrom      : ds-aad-auth-dem.aadsqlmi.net
CloudDisplayName    : krbtgt_25614
CloudDomainDnsName  : aadsqlmi.net
CloudId             : 25614
CloudKeyVersion     : 53325
CloudKeyUpdatedOn   : 2/24/2022 9:03:15 AM
CloudTrustDisplay   :

  4. Menambahkan Objek Domain Tepercaya.

    Jalankan cmdlet Set-AzureAdKerberosServer PowerShell untuk menambahkan Objek Domain Tepercaya. Pastikan untuk menyertakan parameter -SetupCloudTrust. Jika tidak ada akun layanan Microsoft Entra, perintah ini akan membuat akun layanan Microsoft Entra baru. Perintah ini hanya akan membuat objek Domain Tepercaya yang diminta jika ada akun layanan Microsoft Entra.

    Set-AzureADKerberosServer -Domain $domain -UserPrincipalName $cloudUserName -DomainCredential $domainCred -SetupCloudTrust

    Catatan

    Pada beberapa forest domain, untuk menghindari kesalahan LsaCreateTrustedDomainEx 0x549 saat menjalankan perintah pada domain anak:

    1. Jalankan perintah pada domain akar (sertakan -SetupCloudTrust parameter).
    2. Jalankan perintah yang sama pada domain anak tanpa -SetupCloudTrust parameter .

    Setelah membuat Objek Domain Tepercaya, Anda dapat memeriksa Pengaturan Kerberos yang diperbarui menggunakan cmdlet PowerShell Get-AzureAdKerberosServer, seperti yang ditunjukkan pada langkah sebelumnya. Jika cmdlet Set-AzureAdKerberosServer telah berhasil dijalankan dengan parameter -SetupCloudTrust, bidang CloudTrustDisplay sekarang harus mengembalikan Microsoft.AzureAD.Kdc.Service.TrustDisplay, seperti pada output sampel berikut:

    ID                  : 25614
UserAccount         : CN=krbtgt-AzureAD, CN=Users, DC=aadsqlmi, DC=net
ComputerAccount     : CN=AzureADKerberos, OU=Domain Controllers, DC=aadsqlmi, DC=net
DisplayName         : krbtgt_25614
DomainDnsName       : aadsqlmi.net
KeyVersion          : 53325
KeyUpdatedOn        : 2/24/2022 9:03:15 AM
KeyUpdatedFrom      : ds-aad-auth-dem.aadsqlmi.net
CloudDisplayName    : krbtgt_25614
CloudDomainDnsName  : aadsqlmi.net
CloudId             : 25614
CloudKeyVersion     : 53325
CloudKeyUpdatedOn   : 2/24/2022 9:03:15 AM
CloudTrustDisplay   : Microsoft.AzureAD.Kdc.Service.TrustDisplay

    Catatan

    Azure sovereign cloud memerlukan pengaturan TopLevelNames properti, yang diatur ke windows.net secara default. Penyebaran azure sovereign cloud SQL Managed Instance menggunakan nama domain tingkat atas yang berbeda, seperti usgovcloudapi.net untuk Azure US Government. Atur Objek Domain Tepercaya Anda ke nama domain tingkat atas tersebut menggunakan perintah PowerShell berikut: Set-AzureADKerberosServer -Domain $domain -DomainCredential $domainCred -CloudCredential $cloudCred -SetupCloudTrust -TopLevelNames "usgovcloudapi.net,windows.net". Anda dapat memverifikasi pengaturan dengan perintah PowerShell berikut: Get-AzureAdKerberosServer -Domain $domain -DomainCredential $domainCred -UserPrincipalName $cloudUserName | Select-Object -ExpandProperty CloudTrustDisplay.

Konfigurasikan Objek Kebijakan Grup (GPO)

  1. Identifikasi ID penyewa Microsoft Entra Anda.

  2. Sebarkan pengaturan Kebijakan Grup berikut ke komputer klien menggunakan alur berbasis kepercayaan yang masuk:

    1. Edit pengaturan kebijakan server proksi untuk komputer klien Kerberos Templates\System\Kerberos\Specify KDC.

    2. Pilih Diaktifkan.

    3. Di bawah Opsi, pilih Perlihatkan.... Tindakan ini membuka kotak dialog Perlihatkan Isi.

      Cuplikan layar kotak dialog untuk mengaktifkan 'Tentukan server proksi KDC untuk klien Kerberos'. Dialog 'Tampilkan Konten' memungkinkan input nama nilai dan nilai terkait.

    4. Tentukan pengaturan server proksi KDC dengan pemetaan sebagai berikut. Ganti ID penyewa Microsoft Entra Anda untuk your_Azure_AD_tenant_id tempat penampung. Perhatikan spasi berikut https dan sebelum penutupan / dalam pemetaan nilai.

      Nama nilai Nilai
      KERBEROS.MICROSOFTONLINE.COM <https login.microsoftonline.com:443:your_Azure_AD_tenant_id/kerberos />

      Cuplikan layar kotak dialog 'Tentukan pengaturan server proksi KDC'. Tabel memungkinkan input beberapa baris. Setiap baris terdiri dari nama nilai dan nilai.

    5. Pilih OK untuk menutup kotak dialog 'Perlihatkan Isi'.

    6. Pilih Terapkan pada kotak dialog 'Tentukan server proksi KDC untuk komputer klien Kerberos'.

Memutar Kunci Kerberos

Anda dapat memutar Kunci Kerberos secara berkala untuk akun layanan Microsoft Entra yang dibuat dan Objek Domain Tepercaya untuk tujuan manajemen.

Set-AzureAdKerberosServer -Domain $domain `
   -DomainCredential $domainCred `
   -UserPrincipalName $cloudUserName -SetupCloudTrust `
   -RotateServerKey

Setelah kunci diputar, dibutuhkan beberapa jam untuk menyebarkan kunci yang diubah antara server KDC Kerberos. Karena waktu distribusi kunci ini, Anda dapat memutar kunci sekali dalam waktu 24 jam. Jika Anda perlu memutar kunci lagi dalam waktu 24 jam karena alasan apa pun, misalnya, tepat setelah membuat Objek Domain Tepercaya, Anda dapat menambahkan -Force parameter:

Set-AzureAdKerberosServer -Domain $domain `
   -DomainCredential $domainCred `
   -UserPrincipalName $cloudUserName -SetupCloudTrust `
   -RotateServerKey -Force

Hapus Objek Domain Tepercaya

Anda dapat menghapus Objek Domain Tepercaya tambahan dengan perintah berikut:

Remove-AzureADKerberosServerTrustedDomainObject -Domain $domain `
   -DomainCredential $domainCred `
   -UserPrincipalName $cloudUserName

Perintah ini hanya akan menghapus Objek Domain Tepercaya. Jika domain Anda mendukung autentikasi FIDO, Anda dapat menghapus Objek Domain Tepercaya sambil mempertahankan akun layanan Microsoft Entra yang diperlukan untuk layanan autentikasi FIDO.

Hapus semua Pengaturan Kerberos

Anda dapat menghapus akun layanan Microsoft Entra dan Objek Domain Tepercaya menggunakan perintah berikut:

Remove-AzureAdKerberosServer -Domain $domain `
   -DomainCredential $domainCred `
   -UserPrincipalName $cloudUserName

Langkah berikutnya

Pelajari selengkapnya tentang menerapkan Autentikasi Windows untuk perwakilan Microsoft Entra di Azure SQL Managed Instance: