共用方式為


什麼是 Azure SQL 受控執行個體上 Microsoft Entra 主體的 Windows 驗證?

適用於:Azure SQL 受控執行個體

Azure SQL 受控執行個體是可調整的智慧型雲端資料庫服務,結合了最廣泛的 SQL Server 資料庫引擎相容性,以及完全受控和常保最新狀態的平台即服務優點。 Microsoft Entra ID (前稱為 Azure Active Directory) 的 Kerberos 驗證可對 Azure SQL 受控執行個體啟用 Windows 驗證存取權。 受控執行個體的 Windows 驗證可讓客戶將現有的服務移至雲端,同時維持順暢的使用者體驗,並為基礎結構現代化提供基礎。

注意

Microsoft Entra ID 先前稱為 Azure Active Directory (Azure AD)。

主要案例和功能

當客戶將其基礎結構、應用程式和資料層現代化時,也會透過 Microsoft Entra ID 的移轉將其身分識別管理功能現代化。 Azure SQL 提供多個 Microsoft Entra 驗證 選項:

  • 密碼提供透過 Microsoft Entra 認證進行的驗證
  • 與 MFA 通用:新增多重要素驗證
  • 整合會使用同盟提供者,例如 Active Directory 同盟服務 (ADFS) 來啟用單一登入 (SSO) 體驗
  • 服務主體可在 Azure 應用程式上進行驗證
  • 受控識別可從應用程式指派的 Microsoft Entra 身分識別進行驗證

不過,某些舊版應用程式無法將其驗證變更為 Microsoft Entra ID:繼承應用程式程式碼可能更長,可能相依於舊版驅動程式、無法變更的用戶端等等。 適用於 Microsoft Entra 主體的 Windows 驗證會移除此移轉封鎖程式,並提供更廣泛的客戶應用程式支援。

受控執行個體上 Microsoft Entra 主體的 Windows 驗證適用於已加入 Active Directory、Microsoft Entra ID 或混合式 Microsoft Entra ID 的虛擬機器 (VM) - 混合式 Microsoft Entra 使用者識別同時存在於 Microsoft Entra ID 和 Active Directory 中,而且可以使用 Microsoft Entra Kerberos 存取 Azure 中的受控執行個體。

為受控執行個體啟用 Windows 驗證時,客戶無須部署新的內部部署基礎結構,或承受設定 Domain Services 的額外負荷。

Azure SQL 受控執行個體上的 Microsoft Entra 主體的 Windows 驗證可啟用兩個主要案例:使用最少的變更和現代化安全性基礎結構,將內部部署 SQL Server 移轉至 Azure。

透過最少的變更,將內部部署 SQL Server 隨即轉移至 Azure

透過啟用 Microsoft Entra 主體的 Windows 驗證,客戶可以移轉至 Azure SQL 受控執行個體,而不需要實作應用程式驗證堆疊的變更,或部署 Microsoft Entra Domain Services。 客戶也可以使用 Windows 驗證,從其 Active Directory 或加入 Microsoft Entra 的裝置存取受控執行個體。

適用於 Microsoft Entra 主體的 Windows 驗證也會在受控執行個體上啟用下列模式。 這些模式經常用於傳統內部部署 SQL Server:

將安全性基礎結構現代化

在 Azure SQL 受控執行個體上啟用 Microsoft Entra 主體的 Windows 驗證,可讓客戶將其安全性做法現代化。

例如,客戶可以透過使用 Windows 驗證的工具來啟用行動分析師,以使用生物特徵辨識認證向受控執行個體進行驗證。 即使行動分析師從已加入 Microsoft Entra ID 的膝上型電腦運作,也可以完成此作業。

下一步

深入了解在 Azure SQL 受控執行個體上為 Microsoft Entra 主體實作 Windows 驗證: