Delen via

Hoe Windows-verificatie voor Microsoft Entra ID wordt geconfigureerd met de inkomende stroom op basis van vertrouwen

  • Artikel

In dit artikel wordt beschreven hoe u de binnenkomende verificatiestroom op basis van een vertrouwensrelatie implementeert om clients die zijn gekoppeld aan Active Directory (AD) toe te staan waarop Windows 10, Windows Server 2012 of hogere versies van Windows worden uitgevoerd voor verificatie bij een Met Azure SQL beheerd exemplaar met Behulp van Windows-verificatie.

Dit artikel bevat ook stappen voor het roteren van een Kerberos-sleutel voor uw serviceaccount in Microsoft Entra-id (voorheen Azure Active Directory) en vertrouwd domeinobject, en stappen voor het verwijderen van een vertrouwd domeinobject en alle Kerberos-instellingen, indien gewenst.

Het inschakelen van de binnenkomende verificatiestroom op basis van vertrouwen is één stap bij het instellen van Windows-verificatie voor Azure SQL Managed Instance met behulp van Microsoft Entra ID en Kerberos. De moderne interactieve stroom is beschikbaar voor verlichte clients met Windows 10 20H1, Windows Server 2022 of een hogere versie van Windows.

Notitie

Microsoft Entra-id is de nieuwe naam voor Azure Active Directory (Azure AD). Op dit moment wordt de documentatie bijgewerkt.

Bevoegdheden

Voor het voltooien van de stappen die in dit artikel worden beschreven, hebt u het volgende nodig:

  • De gebruikersnaam en het wachtwoord van een on-premises Active Directory-beheerder.
  • Gebruikersnaam en wachtwoord voor microsoft Entra Global Beheer istrator-account.

Vereisten

Als u eerst de binnenkomende verificatiestroom op basis van een vertrouwensrelatie wilt implementeren, moet u ervoor zorgen dat aan de volgende vereisten is voldaan:

Vereiste Beschrijving
De Client moet Windows 10, Windows Server 2012 of een hogere versie van Windows uitvoeren.
Clients moeten zijn samengevoegd aan AD. Het domein moet een functioneel niveau van Windows Server 2012 of hoger hebben. U kunt bepalen of de client is gekoppeld aan AD door de opdracht dsregcmd uit te voeren: dsregcmd.exe /status
Azure AD module voor hybride verificatiebeheer. Deze PowerShell-module biedt beheerfuncties voor on-premises installatie.
Azure-tenant.
Het Azure-abonnement onder dezelfde Microsoft Entra-tenant die u wilt gebruiken voor verificatie.
Microsoft Entra Verbinding maken geïnstalleerd. Hybride omgevingen waarin identiteiten bestaan in zowel Microsoft Entra ID als AD.

Het vertrouwde domeinobject microsoft Entra Kerberos maken en configureren

Als u het vertrouwde domeinobject van Microsoft Entra Kerberos wilt maken en configureren, installeert u de PowerShell-module azure AD Hybrid Authentication Management.

Vervolgens gebruikt u de PowerShell-module voor hybride verificatiebeheer van Azure AD om een vertrouwd domeinobject in te stellen in het on-premises AD-domein en vertrouwensinformatie te registreren bij Microsoft Entra-id. Hiermee maakt u een ingebonden vertrouwensrelatie in de on-premises AD, waardoor Microsoft Entra-id on-premises AD kan vertrouwen.

Het vertrouwde domeinobject instellen

Als u het Trusted Domain Object wilt instellen, installeert u eerst de PowerShell-module voor hybride verificatiebeheer van Azure AD.

De PowerShell-module hybride verificatiebeheer van Azure AD installeren

  1. Start een Windows PowerShell-sessie met de optie Als administrator uitvoeren.

  2. Installeer de PowerShell-module hybride verificatiebeheer van Azure AD met behulp van het volgende script. Met het script:

    • Hiermee schakelt u TLS 1.2 in voor communicatie.
    • Hiermee wordt de NuGet-pakketprovider geïnstalleerd.
    • Registreert de PSGallery-opslagplaats.
    • Installeert de PowerShellGet-module.
    • Hiermee wordt de PowerShell-module hybride verificatiebeheer van Azure AD geïnstalleerd.
      • De Azure AD Hybrid Authentication Management PowerShell maakt gebruik van de AzureADPreview-module, die geavanceerde Microsoft Entra-beheerfunctie biedt.
      • Ter bescherming tegen onnodige installatieconflicten met de Azure AD PowerShell-module bevat deze opdracht de vlag -AllowClobber-optie.
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

Install-PackageProvider -Name NuGet -Force

if (@(Get-PSRepository | ? {$_.Name -eq "PSGallery"}).Count -eq 0){
    Register-PSRepository -DefaultSet-PSRepository -Name "PSGallery" -InstallationPolicy Trusted
}

Install-Module -Name PowerShellGet -Force

Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber

Het object Vertrouwd domein maken

  1. Start een Windows PowerShell-sessie met de optie Als administrator uitvoeren.

  2. Stel de algemene parameters in. Pas het onderstaande script aan voordat u het uitvoert.

    • Stel de $domain parameter in op uw on-premises Active Directory-domeinnaam.
    • Wanneer u hierom wordt gevraagd Get-Credential, voert u de gebruikersnaam en het wachtwoord van een on-premises Active Directory-beheerder in.
    • Stel de $cloudUserName parameter in op de gebruikersnaam van een Global Beheer istrator privileged account voor Microsoft Entra-cloudtoegang.

    Notitie

    Als u uw huidige Windows-aanmeldingsaccount wilt gebruiken voor uw on-premises Active Directory-toegang, kunt u de stap overslaan waarin referenties zijn toegewezen aan de $domainCred parameter. Als u deze methode gebruikt, neemt u de -DomainCredential parameter niet op in de PowerShell-opdrachten die volgen op deze stap.

    $domain = "your on-premesis domain name, for example contoso.com"

$domainCred = Get-Credential

$cloudUserName = "Azure AD user principal name, for example admin@contoso.onmicrosoft.com"

  3. Controleer het huidige Kerberos-domein Instellingen.

    Voer de volgende opdracht uit om de huidige Kerberos-instellingen van uw domein te controleren:

    Get-AzureAdKerberosServer -Domain $domain `
    -DomainCredential $domainCred `
    -UserPrincipalName $cloudUserName

    Als dit de eerste keer is dat u een Microsoft Entra Kerberos-opdracht aanroept, wordt u gevraagd om microsoft Entra-cloudtoegang.

    • Voer het wachtwoord in voor uw Microsoft Entra Global Beheer istrator-account.
    • Als uw organisatie gebruikmaakt van andere moderne verificatiemethoden, zoals Microsoft Entra-meervoudige verificatie of SmartCard, volgt u de instructies die zijn aangevraagd voor aanmelding.

    Als dit de eerste keer is dat u Microsoft Entra Kerberos-instellingen configureert, geeft de cmdlet Get-AzureAdKerberosServer lege informatie weer, zoals in de volgende voorbeelduitvoer:

    ID                  :
UserAccount         :
ComputerAccount     :
DisplayName         :
DomainDnsName       :
KeyVersion          :
KeyUpdatedOn        :
KeyUpdatedFrom      :
CloudDisplayName    :
CloudDomainDnsName  :
CloudId             :
CloudKeyVersion     :
CloudKeyUpdatedOn   :
CloudTrustDisplay   :

    Als uw domein al FIDO-verificatie ondersteunt, geeft de cmdlet gegevens van het Get-AzureAdKerberosServer Microsoft Entra-serviceaccount weer, zoals in de volgende voorbeelduitvoer. Het CloudTrustDisplay veld retourneert een lege waarde.

    ID                  : 25614
UserAccount         : CN=krbtgt-AzureAD, CN=Users, DC=aadsqlmi, DC=net
ComputerAccount     : CN=AzureADKerberos, OU=Domain Controllers, DC=aadsqlmi, DC=net
DisplayName         : krbtgt_25614
DomainDnsName       : aadsqlmi.net
KeyVersion          : 53325
KeyUpdatedOn        : 2/24/2022 9:03:15 AM
KeyUpdatedFrom      : ds-aad-auth-dem.aadsqlmi.net
CloudDisplayName    : krbtgt_25614
CloudDomainDnsName  : aadsqlmi.net
CloudId             : 25614
CloudKeyVersion     : 53325
CloudKeyUpdatedOn   : 2/24/2022 9:03:15 AM
CloudTrustDisplay   :

  4. Voeg het vertrouwde domeinobject toe.

    Voer de PowerShell-cmdlet Set-AzureAdKerberosServer uit om het vertrouwde domeinobject toe te voegen. Zorg ervoor dat u de parameter opneemt -SetupCloudTrust . Als er geen Microsoft Entra-serviceaccount is, wordt met deze opdracht een nieuw Microsoft Entra-serviceaccount gemaakt. Met deze opdracht maakt u alleen het aangevraagde trusted domain-object als er een Microsoft Entra-serviceaccount is.

    Set-AzureADKerberosServer -Domain $domain -UserPrincipalName $cloudUserName -DomainCredential $domainCred -SetupCloudTrust

    Notitie

    Om in een forest met meerdere domeinen de fout LsaCreateTrustedDomainEx 0x549 te voorkomen bij het uitvoeren van de opdracht op een onderliggend domein:

    1. Voer de opdracht uit in het hoofddomein (parameter opnemen -SetupCloudTrust ).
    2. Voer dezelfde opdracht uit op het onderliggende domein zonder de -SetupCloudTrust parameter.

    Nadat u het vertrouwde domeinobject hebt gemaakt, kunt u de bijgewerkte Kerberos-Instellingen controleren met behulp van de Get-AzureAdKerberosServer PowerShell-cmdlet, zoals wordt weergegeven in de vorige stap. Als de Set-AzureAdKerberosServer cmdlet is uitgevoerd met de -SetupCloudTrust parameter, moet het CloudTrustDisplay veld nu worden geretourneerd Microsoft.AzureAD.Kdc.Service.TrustDisplay, zoals in de volgende voorbeelduitvoer:

    ID                  : 25614
UserAccount         : CN=krbtgt-AzureAD, CN=Users, DC=aadsqlmi, DC=net
ComputerAccount     : CN=AzureADKerberos, OU=Domain Controllers, DC=aadsqlmi, DC=net
DisplayName         : krbtgt_25614
DomainDnsName       : aadsqlmi.net
KeyVersion          : 53325
KeyUpdatedOn        : 2/24/2022 9:03:15 AM
KeyUpdatedFrom      : ds-aad-auth-dem.aadsqlmi.net
CloudDisplayName    : krbtgt_25614
CloudDomainDnsName  : aadsqlmi.net
CloudId             : 25614
CloudKeyVersion     : 53325
CloudKeyUpdatedOn   : 2/24/2022 9:03:15 AM
CloudTrustDisplay   : Microsoft.AzureAD.Kdc.Service.TrustDisplay

    Notitie

    Voor onafhankelijke Azure-clouds is het instellen van de TopLevelNames eigenschap vereist. Deze eigenschap is standaard ingesteld windows.net . Implementaties van onafhankelijke Azure-clouds van SQL Managed Instance maken gebruik van een andere domeinnaam op het hoogste niveau, zoals usgovcloudapi.net voor Azure US Government. Stel uw vertrouwde domeinobject in op die domeinnaam op het hoogste niveau met behulp van de volgende PowerShell-opdracht: Set-AzureADKerberosServer -Domain $domain -DomainCredential $domainCred -CloudCredential $cloudCred -SetupCloudTrust -TopLevelNames "usgovcloudapi.net,windows.net". U kunt de instelling controleren met de volgende PowerShell-opdracht: Get-AzureAdKerberosServer -Domain $domain -DomainCredential $domainCred -UserPrincipalName $cloudUserName | Select-Object -ExpandProperty CloudTrustDisplay

Het groepsbeleidsobject (GPO) configureren

  1. Identificeer uw Microsoft Entra-tenant-id.

  2. Implementeer de volgende groepsbeleidsinstelling op clientcomputers met behulp van de binnenkomende stroom op basis van een vertrouwensrelatie:

    1. Bewerk de Beheer istratieve sjablonen\System\Kerberos\Geef KDC-proxyservers op voor beleidsinstelling kerberos-clients.

    2. Selecteer Ingeschakeld.

    3. Selecteer Onder Opties de optie Weergeven.... Hiermee opent u het dialoogvenster Inhoud weergeven.

      Screenshot of dialog box to enable 'Specify KDC proxy servers for Kerberos clients'. The 'Show Contents' dialog allows input of a value name and the related value.

    4. Definieer als volgt de instellingen van de KDC-proxyservers met behulp van toewijzingen. Vervang de tenant-id van Microsoft Entra door de your_Azure_AD_tenant_id tijdelijke aanduiding. Let op de spatie die volgt https en vóór de sluiting / van de waardetoewijzing.

      Waardenaam Weergegeven als
      KERBEROS.MICROSOFTONLINE.COM <https login.microsoftonline.com:443:your_Azure_AD_tenant_id/kerberos/>

      Screenshot of the 'Define KDC proxy server settings' dialog box. A table allows input of multiple rows. Each row consists of a value name and a value.

    5. Selecteer OK om het dialoogvenster Inhoud weergeven te sluiten.

    6. Selecteer Toepassen in het dialoogvenster KDC-proxyservers opgeven voor Kerberos-clients.

De Kerberos-sleutel draaien

U kunt de Kerberos-sleutel periodiek roteren voor het gemaakte Microsoft Entra-serviceaccount en het vertrouwde domeinobject voor beheerdoeleinden.

Set-AzureAdKerberosServer -Domain $domain `
   -DomainCredential $domainCred `
   -UserPrincipalName $cloudUserName -SetupCloudTrust `
   -RotateServerKey

Nadat de sleutel is geroteerd, duurt het enkele uren om de gewijzigde sleutel door te geven tussen de Kerberos KDC-servers. Vanwege deze tijdsinstelling voor sleuteldistributie kunt u de sleutel eenmaal binnen 24 uur draaien. Als u de sleutel om welke reden dan ook binnen 24 uur opnieuw moet draaien, bijvoorbeeld net nadat u het object Vertrouwd domein hebt gemaakt, kunt u de -Force parameter toevoegen:

Set-AzureAdKerberosServer -Domain $domain `
   -DomainCredential $domainCred `
   -UserPrincipalName $cloudUserName -SetupCloudTrust `
   -RotateServerKey -Force

Het vertrouwde domeinobject verwijderen

U kunt het toegevoegde Trusted Domain Object verwijderen met behulp van de volgende opdracht:

Remove-AzureADKerberosTrustedDomainObject -Domain $domain `
   -DomainCredential $domainCred `
   -UserPrincipalName $cloudUserName

Met deze opdracht wordt alleen het vertrouwde domeinobject verwijderd. Als uw domein FIDO-verificatie ondersteunt, kunt u het object Vertrouwd domein verwijderen terwijl u het Microsoft Entra-serviceaccount dat is vereist voor de FIDO-verificatieservice, onderhoudt.

Alle Kerberos-Instellingen verwijderen

U kunt zowel het Microsoft Entra-serviceaccount als het vertrouwde domeinobject verwijderen met behulp van de volgende opdracht:

Remove-AzureAdKerberosServer -Domain $domain `
   -DomainCredential $domainCred `
   -UserPrincipalName $cloudUserName

Volgende stappen

Meer informatie over het implementeren van Windows-verificatie voor Microsoft Entra-principals in Azure SQL Managed Instance: