Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede, Microsoft Entra Id (eski adıyla Azure Active Directory) ile Azure SQL Yönetilen Örneği'nde sorumlular için Windows Kimlik Doğrulaması uygulamak üzere altyapı ve SQL yönetilen örneklerinin nasıl ayarlanacağına ilişkin bir genel bakış verilmektedir.
Microsoft Entra Id ve Kerberos kullanarak Azure SQL Yönetilen Örneği için Windows Kimlik Doğrulamasını ayarlamanın iki aşaması vardır.
-
Tek seferlik altyapı kurulumunu.
- Henüz yapılmadıysa Active Directory (AD) ve Microsoft Entra Id'yi eşitleyin.
- Kullanılabilir olduğunda modern etkileşimli kimlik doğrulama akışını etkinleştirin. Modern etkileşimli akış, Windows 10 20H1 / Windows Server 2022 ve üzeri çalıştıran Microsoft Entra'ya katılmış veya karma katılmış istemcileri kuruluşlar için önerilir.
- Gelen güven tabanlı kimlik doğrulama akışını ayarlayın. Bu seçenek, modern etkileşimli akışı kullanamayan, ancak Windows 10 / Windows Server 2012 ve üzeri çalıştıran Active Directory'ye katılmış istemcileri olan müşteriler için önerilmektedir.
-
Azure SQL Yönetilen Örneğinin Yapılandırması.
- Her SQL yönetilen örneği için sistem tarafından atanan bir hizmet sorumlusu oluşturun.
Not
Microsoft Entra ID daha önce Azure Active Directory (Azure AD) olarak biliniyordu.
Tek seferlik altyapı kurulumu
Altyapı kurulumunun ilk adımı, bu tamamlanmadıysa AD'yi Microsoft Entra Id ile eşitlemektir.
Bunun ardından, sistem yöneticisi kimlik doğrulama akışlarını yapılandırıyor. Azure SQL Yönetilen Örneği'nde Microsoft Entra sorumluları için Windows Kimlik Doğrulamasını uygulamak için iki kimlik doğrulama akışı sağlanır:
- Gelen güven tabanlı akış, Windows Server 2012 veya üzerini çalıştıran AD'ye katılmış istemcileri destekler.
- Modern etkileşimli akış, Windows 10 21H1 veya üzerini çalıştıran Microsoft Entra'ya katılmış istemcileri destekler.
AD'yi Microsoft Entra Id ile eşitleme
Müşteriler, şirket içi dizinleri Microsoft Entra ID ile tümleştirmek için önce Microsoft Entra Connect uygulamalıdır.
Hangi kimlik doğrulama akışlarını uygulayacağınızı seçin
Aşağıdaki diyagramda, modern etkileşimli akışın ve gelen güven tabanlı akışın uygunluğu ve temel işlevleri gösterilmektedir:
Windows 10 20H1 veya Windows Server 2022 ya da üzerini çalıştıran ve Microsoft Entra'ya katılmış veya Microsoft Entra karma bağlı istemciler için modern etkileşimli akışın uygun olduğunu gösteren bir karar ağacı. Gelen güven tabanlı akış, istemcilerin AD'ye katıldığı Windows 10 veya Windows Server 2012 ya da daha üst sürümleri çalıştıran müşteriler için uygundur.
Modern etkileşimli akış, Microsoft Entra'ya katılmış veya Microsoft Entra karmaya katılmış Windows 10 sürüm 21H1 ve üzerinde çalışan gelişmiş istemcilerle çalışır. Günümüzün etkileşimli süreçlerinde, kullanıcılar Etki Alanı Denetleyicilerine (DC'ler) bir görüş hattına ihtiyaç duymadan Azure SQL Yönetilen Örnek'e erişebilir. Müşterinin AD'sinde bir güven nesnesinin oluşturulmasına gerek yoktur. Modern etkileşimli akışı etkinleştirmek için yönetici, oturum açma sırasında kullanılacak Kerberos kimlik doğrulama anahtarları (TGT) için grup ilkesi ayarlar.
Gelen güven tabanlı akış, Windows 10 veya Windows Server 2012 ve üzerini çalıştıran istemciler için çalışır. Bu akış, istemcilerin AD'ye bağlı olmasını ve şirket içinden AD'ye erişim sağlamasını gerektirir. Gelen güven tabanlı akışta, müşterinin AD'sinde bir güven nesnesi oluşturulur ve Microsoft Entra Id'ye kaydedilir. Gelen güven tabanlı akışı etkinleştirmek için, bir yönetici Microsoft Entra Kimliği ile gelen güveni ayarlar ve grup ilkesi aracılığıyla Kerberos Proxy'yi ayarlar.
Modern etkileşimli kimlik doğrulama akışı
Modern etkileşimli kimlik doğrulama akışını uygulamak için aşağıdaki önkoşullar gereklidir:
| Önkoşul | Açıklama |
|---|---|
| İstemciler Windows 10 20H1, Windows Server 2022 veya daha yüksek bir Windows sürümü çalıştırmalıdır. | |
| İstemcilerin Microsoft Entra'ya dahil olmuş veya Microsoft Entra karma dahil olmuşolması gerekir. | Bu önkoşula uygun olup olmadığını belirlemek için dsregcmd komutunu: dsregcmd.exe /status |
| Uygulamanın etkileşimli bir oturum aracılığıyla SQL yönetilen örneğine bağlanması gerekir. | Bu, SQL Server Management Studio (SSMS) ve web uygulamaları gibi uygulamaları destekler, ancak hizmet olarak çalışan uygulamalarda çalışmaz. |
| Microsoft Entra kiracısı. | |
| Azure aboneliği, kimlik doğrulaması için kullanmayı planladığınız Microsoft Entra kiracısı kapsamında olmalıdır. | |
| Microsoft Entra Connect yüklü. | Hem Microsoft Entra Id hem de AD'de kimliklerin bulunduğu karma ortamlar. |
Microsoft Entra ID için Windows Kimlik Doğrulaması'nı modern etkileşimli akışla () ayarlama adımları için, bu kimlik doğrulama akışını etkinleştirmek üzere'a bakın.
Gelen güven tabanlı kimlik doğrulama akışı
Gelen güven tabanlı kimlik doğrulama akışını uygulamak için aşağıdaki önkoşullar gereklidir:
| Önkoşul | Açıklama |
|---|---|
| İstemcinin Windows 10, Windows Server 2012 veya daha yüksek bir Windows sürümü çalıştırması gerekir. | |
| Müşterilerin AD'ye katılması gerekir. Etki alanının işlevsel düzeyi Windows Server 2012 veya üzeri olmalıdır. |
dsregcmd komutunuçalıştırarak istemcinin AD'ye katılacağını belirleyebilirsiniz: dsregcmd.exe /status |
| Azure AD Karma Kimlik Doğrulama Yönetimi Modülü. | Bu PowerShell modülü, şirket içi kurulum için yönetim özellikleri sağlar. |
| Microsoft Entra kiracısı. | |
| Azure aboneliği, kimlik doğrulaması için kullanmayı planladığınız Microsoft Entra kiracısı kapsamında olmalıdır. | |
| Microsoft Entra Connect yüklü. | Hem Microsoft Entra Id hem de AD'de kimliklerin bulunduğu karma ortamlar. |
Bu kimlik doğrulama akışını etkinleştirme talimatları için Microsoft Entra ID ile Windows Kimlik Doğrulamasını Ayarlama ve Gelen Güven Bazlı Akış bölümlerine bakın.
Azure SQL Yönetilen Örneğini Yapılandırma
Azure SQL Yönetilen Örneği'ni ayarlama adımları hem gelen güven tabanlı kimlik doğrulama akışı hem de modern etkileşimli kimlik doğrulama akışı için aynıdır.
SQL yönetilen örneğini yapılandırma önkoşulları
Microsoft Entra sorumluları için Windows Kimlik Doğrulaması için SQL yönetilen örneğini yapılandırmak için aşağıdaki önkoşullar gereklidir:
| Önkoşul | Açıklama |
|---|---|
| Az.Sql PowerShell modülü | Bu PowerShell modülü, Azure SQL kaynakları için yönetim cmdlet'leri sağlar. Aşağıdaki PowerShell komutunu çalıştırarak bu modülü yükleyin: Install-Module -Name Az.Sql |
| Microsoft Graph PowerShell Modülü | Bu modül, kullanıcı ve hizmet sorumlusu yönetimi gibi Microsoft Entra ID yönetim görevleri için yönetim cmdlet'leri sağlar. Aşağıdaki PowerShell komutunu çalıştırarak bu modülü yükleyin: Install-Module –Name Microsoft.Graph |
| SQL yönetilen örneği | Yeni bir SQL yönetilen örneği oluşturabilir veya var olan bir SQL yönetilen örneğini kullanabilirsiniz. |
Her SQL yönetilen örneğini yapılandırma
Her SQL yönetilen örneğini yapılandırma adımları için bkz. Microsoft Entra ID için Windows Kimlik Doğrulaması için Azure SQL Yönetilen Örneğini Yapılandırma.
Sınırlama
Azure SQL Yönetilen Örneği'nde Microsoft Entra sorumluları için Windows Kimlik Doğrulaması için aşağıdaki sınırlamalar geçerlidir:
Linux istemcileri için kullanılamaz
Microsoft Entra sorumluları için Windows Kimlik Doğrulaması şu anda yalnızca Windows çalıştıran istemci makinelerinde desteklenmektedir.
Microsoft Entra ID önbelleğe alınmış oturum açma
Windows, Microsoft Entra Id'ye ne sıklıkta bağlandığını sınırlar, bu nedenle kullanıcı hesaplarının bir istemci makinesinin yükseltilmesinden veya yeni dağıtımından sonraki 4 saat içinde yenilenen kerberos anahtar verme anahtarına (TGT) sahip olmaması olasılığı vardır. Yenilenen TGT'si olmayan kullanıcı hesapları, Microsoft Entra Id'den başarısız bilet istekleriyle sonuçlanır.
Yönetici olarak, istemci makinesinde aşağıdaki komutu çalıştırarak yükseltme senaryolarını işlemek için hemen çevrimiçi oturum açmayı tetikleyebilir, ardından yenilenen bir TGT almak için kullanıcı oturumunu kilitleyip kilidini açabilirsiniz:
dsregcmd.exe /RefreshPrt
İlgili içerik
- Azure SQL Yönetilen Örneği'nde Microsoft Entra sorumluları için Windows Kimlik Doğrulaması nedir?
- Azure SQL Yönetilen Örneği için Windows Kimlik Doğrulaması, Microsoft Entra Id ve Kerberos ile nasıl uygulanır?
- Microsoft Entra ID için Windows Kimlik Doğrulaması’nı modern etkileşimli akışla ayarlama
- Microsoft Entra ID için Gelen güven tabanlı akışla Windows Kimlik Doğrulaması'nı nasıl ayarlayacağınızı öğrenin
- Microsoft Entra ID için Windows Kimlik Doğrulaması için Azure SQL Yönetilen Örneğini Yapılandırma