Hoe Windows-verificatie voor Azure SQL Managed Instance wordt geconfigureerd met Microsoft Entra ID en Kerberos
Dit artikel bevat een overzicht van het instellen van infrastructuur en beheerde exemplaren voor het implementeren van Windows-verificatie voor principals in Azure SQL Managed Instance met Microsoft Entra ID (voorheen Azure Active Directory).
Er zijn twee fasen voor het instellen van Windows-verificatie voor Azure SQL Managed Instance met behulp van Microsoft Entra ID en Kerberos.
- Eenmalige installatie van infrastructuur.
- Active Directory (AD) en Microsoft Entra ID synchroniseren, als dit nog niet is gebeurd.
- Schakel de moderne interactieve verificatiestroom in, indien beschikbaar. De moderne interactieve stroom wordt aanbevolen voor organisaties met aan Microsoft Entra gekoppelde of hybride clients met Windows 10 20H1/Windows Server 2022 en hoger.
- Stel de binnenkomende verificatiestroom op basis van een vertrouwensrelatie in. Dit wordt aanbevolen voor klanten die de moderne interactieve stroom niet kunnen gebruiken, maar die lid zijn van AD-clients met Windows 10/Windows Server 2012 en hoger.
- Configuratie van Azure SQL Managed Instance.
- Maak een door het systeem toegewezen service-principal voor elk beheerd exemplaar.
Notitie
Microsoft Entra-id is de nieuwe naam voor Azure Active Directory (Azure AD). Op dit moment wordt de documentatie bijgewerkt.
Eenmalige infrastructuur instellen
De eerste stap bij het instellen van de infrastructuur bestaat uit het synchroniseren van AD met Microsoft Entra-id als dit nog niet is voltooid.
Hierna configureert een systeembeheerder verificatiestromen. Er zijn twee verificatiestromen beschikbaar voor het implementeren van Windows-verificatie voor Microsoft Entra-principals in Azure SQL Managed Instance: de binnenkomende stroom op basis van vertrouwen ondersteunt AD-gekoppelde clients met Windows Server 2012 of hoger en de moderne interactieve stroom ondersteunt aan Microsoft Entra gekoppelde clients met Windows 10 21H1 of hoger.
AD synchroniseren met Microsoft Entra-id
Klanten moeten eerst Microsoft Entra Verbinding maken implementeren om on-premises directory's te integreren met Microsoft Entra ID.
Selecteer welke verificatiestroom(en) u gaat implementeren
In het volgende diagram ziet u geschiktheid en de kernfunctionaliteit van de moderne interactieve stroom en de binnenkomende vertrouwensstroom:
"Een beslissingsstructuur die laat zien dat de moderne interactieve stroom geschikt is voor clients met Windows 10 20H1 of Windows Server 2022 of hoger, waarbij clients lid zijn van Microsoft Entra of hybride deelname aan Microsoft Entra. De binnenkomende stroom op basis van een vertrouwensrelatie is geschikt voor clients met Windows 10 of Windows Server 2012 of hoger waar clients lid zijn van AD."
De moderne interactieve stroom werkt met verlichte clients met Windows 10 21H1 en hoger die zijn toegevoegd aan Microsoft Entra of hybride microsoft Entra. In de moderne interactieve stroom hebben gebruikers toegang tot Azure SQL Managed Instance zonder dat ze een lijn van zicht op domeincontrollers (DC's) nodig hebben. U hoeft geen vertrouwensobject te maken in de AD van de klant. Om de moderne interactieve stroom in te schakelen, stelt een beheerder groepsbeleid in voor Kerberos-verificatietickets (TGT) die tijdens de aanmelding moeten worden gebruikt.
De binnenkomende stroom op basis van vertrouwen werkt voor clients met Windows 10 of Windows Server 2012 en hoger. Voor deze stroom is vereist dat clients worden gekoppeld aan AD en vanaf on-premises een zichtlijn naar AD hebben. In de binnenkomende stroom op basis van een vertrouwensrelatie wordt een vertrouwensobject gemaakt in de AD van de klant en is geregistreerd in Microsoft Entra-id. Om de binnenkomende stroom op basis van een vertrouwensrelatie in te schakelen, stelt een beheerder een binnenkomende vertrouwensrelatie in met Microsoft Entra-id en stelt hij Kerberos-proxy in via groepsbeleid.
Moderne interactieve verificatiestroom
De volgende vereisten zijn vereist voor het implementeren van de moderne interactieve verificatiestroom:
Vereiste | Beschrijving |
---|---|
Clients moeten Windows 10 20H1, Windows Server 2022 of een hogere versie van Windows uitvoeren. | |
Clients moeten lid zijn van Microsoft Entra of hybride Microsoft Entra-deelname. | U kunt bepalen of aan deze vereiste wordt voldaan door de opdracht dsregcmd uit te voeren: dsregcmd.exe /status |
De toepassing moet verbinding maken met het beheerde exemplaar via een interactieve sessie. | Dit ondersteunt toepassingen zoals SQL Server Management Studio (SSMS) en webtoepassingen, maar werkt niet voor toepassingen die als een service worden uitgevoerd. |
Microsoft Entra-tenant. | |
Het Azure-abonnement onder dezelfde Microsoft Entra-tenant die u wilt gebruiken voor verificatie. | |
Microsoft Entra Verbinding maken geïnstalleerd. | Hybride omgevingen waarin identiteiten bestaan in zowel Microsoft Entra ID als AD. |
Zie Windows-verificatie instellen voor Microsoft Entra ID met de moderne interactieve stroom voor stappen om deze verificatiestroom in te schakelen.
Binnenkomende verificatiestroom op basis van vertrouwen
De volgende vereisten zijn noodzakelijk voor de implementering van de moderne interactieve verificatiestroom:
Vereiste | Beschrijving |
---|---|
De Client moet Windows 10, Windows Server 2012 of een hogere versie van Windows uitvoeren. | |
Clients moeten zijn samengevoegd aan AD. Het domein moet een functioneel niveau van Windows Server 2012 of hoger hebben. | U kunt bepalen of de client is gekoppeld aan AD door de opdracht dsregcmd uit te voeren: dsregcmd.exe /status |
Azure AD module voor hybride verificatiebeheer. | Deze PowerShell-module biedt beheerfuncties voor on-premises installatie. |
Microsoft Entra-tenant. | |
Het Azure-abonnement onder dezelfde Microsoft Entra-tenant die u wilt gebruiken voor verificatie. | |
Microsoft Entra Verbinding maken geïnstalleerd. | Hybride omgevingen waarin identiteiten bestaan in zowel Microsoft Entra ID als AD. |
Zie Windows-verificatie instellen voor Microsoft Entra ID met de inkomende stroom op basis van vertrouwensrelaties voor instructies voor het inschakelen van deze verificatiestroom.
Azure SQL Managed Instance configureren
De stappen voor het instellen van Azure SQL Managed Instance zijn hetzelfde voor zowel de binnenkomende verificatiestroom op basis van vertrouwen als de moderne interactieve verificatiestroom.
Vereisten voor het configureren van een beheerd exemplaar
De volgende vereisten zijn noodzakelijk voor de configuratie van een beheerd exemplaar voor Windows-verificatie voor Microsoft Entra-principals:
Vereiste | Beschrijving |
---|---|
Az.Sql PowerShell module | Deze PowerShell-module biedt beheer-cmdlets voor Azure SQL resources. Installeer deze module door de volgende PowerShell-opdracht uit te voeren: Install-Module -Name Az.Sql |
Microsoft Graph PowerShell-module | Deze module biedt beheer-cmdlets voor beheertaken van Microsoft Entra ID, zoals beheer van gebruikers- en service-principals. Installeer deze module door de volgende PowerShell-opdracht uit te voeren: Install-Module –Name Microsoft.Graph |
Een beheerd exemplaar | U kunt een nieuw beheerd exemplaar maken of een bestaand beheerd exemplaar gebruiken. |
Elk beheerd exemplaar configureren
Zie Azure SQL Managed Instance configureren voor Windows-verificatie voor Microsoft Entra ID voor stappen om elk beheerd exemplaar te configureren.
Beperkingen
De volgende beperkingen gelden voor Windows-verificatie voor Microsoft Entra-principals in Azure SQL Managed Instance:
Niet beschikbaar voor Linux-clients
Windows-verificatie voor Microsoft Entra-principals wordt momenteel alleen ondersteund voor clientcomputers met Windows.
Aanmelding met Microsoft Entra-id in cache
Windows beperkt hoe vaak er verbinding wordt gemaakt met Microsoft Entra ID, zodat er binnen 4 uur na een upgrade of nieuwe implementatie van een clientcomputer geen vernieuwde Kerberos Ticket Granting Ticket (TGT) is. Gebruikersaccounts die geen vernieuwde TGT hebben, resulteert in mislukte ticketaanvragen van Microsoft Entra-id.
Als beheerder kunt u een onlineaanmelding onmiddellijk activeren om upgradescenario's af te handelen door de volgende opdracht uit te voeren op de clientcomputer en vervolgens de gebruikerssessie te vergrendelen en te ontgrendelen om een vernieuwde TGT op te halen:
dsregcmd.exe /RefreshPrt
Volgende stappen
Meer informatie over het implementeren van Windows-verificatie voor Microsoft Entra-principals in Azure SQL Managed Instance:
- Wat is Windows-verificatie voor Microsoft Entra-principals op Azure SQL Managed Instance?
- Hoe Windows-verificatie voor Azure SQL Managed Instance wordt geïmplementeerd met Microsoft Entra ID en Kerberos
- Hoe Windows-verificatie voor Microsoft Entra ID wordt geconfigureerd met de moderne interactieve stroom
- Hoe Windows-verificatie voor Microsoft Entra ID wordt geconfigureerd met de inkomende stroom op basis van vertrouwen
- Azure SQL Managed Instance configureren voor Windows-verificatie voor Microsoft Entra ID