Was ist die Windows-Authentifizierung für Microsoft Entra-Prinzipale auf Azure SQL Managed Instance?
Gilt für: Azure SQL Managed Instance
Azure SQL Managed Instance ist der intelligente, skalierbare cloudbasierte Datenbankdienst, in dem die umfassende Kompatibilität mit der SQL Server-Datenbank-Engine mit den Vorteilen einer vollständig verwalteten und stets aktuellen Platform-as-a-Service-Instanz vereint ist. Die Kerberos-Authentifizierung für Microsoft Entra ID (früher Azure Active Directory) ermöglicht per Windows-Authentifizierung Zugriff auf Azure SQL Managed Instance. Die Windows-Authentifizierung für verwaltete Instanzen versetzt Kunden in die Lage, vorhandene Dienste in die Cloud zu verlagern und dabei eine nahtlose Benutzererfahrung beizubehalten, und bietet die Grundlage für die Modernisierung der Infrastruktur.
Hinweis
Microsoft Entra ID war zuvor als Azure Active Directory (Azure AD) bekannt.
Wichtige Funktionen und Szenarien
Wenn Kunden ihre Infrastruktur-, Anwendungs- und Datenschicht modernisieren, modernisieren sie auch ihre Identitätsverwaltungsfunktionen, indem sie zu Microsoft Entra ID wechseln. Azure SQL bietet mehrere Optionen zur Microsoft Entra-Authentifizierung:
- Kennwort bietet Authentifizierung mit Microsoft Entra-Anmeldeinformationen
- Universal mit MFA fügt Multi-Faktor-Authentifizierung hinzu
- Integriert ermöglicht Single Sign-On (SSO) mit Verbundanbietern wie Active Directory-Verbunddienste (ADFS, Active Directory Federation Services)
- Dienstprinzipal aktiviert Authentifizierung von Azure-Anwendungen
- Verwaltete Identität aktiviert die Authentifizierung von Anwendungen, denen Microsoft Entra-Identitäten zugewiesen sind
Einige Legacy-Apps können ihre Authentifizierung jedoch nicht in Microsoft Entra ID ändern: Legacy-Anwendungscode ist möglicherweise länger verfügbar, es besteht möglicherweise eine Abhängigkeit von Legacy-Treibern, Clients können möglicherweise nicht geändert werden usw. Windows-Authentifizierung für Microsoft Entra-Prinzipale entfernt diesen Migrationsblocker und bietet Unterstützung für eine größere Bandbreite von Kundenanwendungen.
Die Windows-Authentifizierung für Microsoft Entra-Prinzipale auf verwalteten Instanzen ist für Geräte oder virtuelle Computer (VMs) verfügbar, die mit Active Directory, Microsoft Entra ID oder hybride Microsoft Entra-ID verbunden sind – eine hybride Microsoft Entra-Benutzeridentität ist sowohl in Microsoft Entra ID als auch Active Directory vorhanden und kann mithilfe von Microsoft Entra Kerberos auf eine verwaltete Instanz in Azure zugreifen.
Wenn Sie Windows-Authentifizierung für eine verwaltete Instanz aktivieren, müssen Kunden keine neue lokale Infrastruktur bereitstellen oder den Mehraufwand für die Einrichtung von Domänendiensten verwalten.
Windows-Authentifizierung für Microsoft Entra-Prinzipale in Azure SQL Managed Instance ermöglicht zwei wichtige Szenarien: die Migration lokaler SQL Server-Instanzen zu Azure mit minimalen Änderungen und Modernisierung der Sicherheitsinfrastruktur.
Migrieren lokaler SQL Server-Instanzen per Lift & Shift zu Azure mit minimalen Änderungen
Indem Windows-Authentifizierung für Microsoft Entra-Prinzipale aktiviert wird, können Kunden zu Azure SQL Managed Instance migrieren, ohne Änderungen an Anwendungsauthentifizierungsstapeln zu implementieren oder Microsoft Entra Domain Services bereitzustellen. Kunden können auch Windows-Authentifizierung verwenden, um von ihrem Active Directory oder Microsoft Entra eingebundenen Geräten auf eine verwaltete Instanz zuzugreifen.
Windows-Authentifizierung für Microsoft Entra-Prinzipale ermöglicht auch die folgenden Muster auf verwalteten Instanzen. Diese Muster werden häufig in herkömmlichen lokalen SQL Server-Instanzen verwendet:
- Double-Hop-Authentifizierung: Webanwendungen verwenden den Identitätswechsel von IIS, um Abfragen für eine Instanz im Sicherheitskontext des Endbenutzers auszuführen.
- Ablaufverfolgungen mit erweiterten Ereignissen und SQL Server Profiler können mithilfe der Windows-Authentifizierung gestartet werden und Datenbankadministratoren und Entwicklern, die an diesen Workflow gewöhnt sind, die Arbeit erleichtern. Erfahren Sie, wie Sie eine Ablaufverfolgung gegen Azure SQL Managed Instance mit Windows-Authentifizierung for Microsoft Entra Principals ausführen.
Modernisieren der Sicherheitsinfrastruktur
Durch Aktivieren der Windows-Authentifizierung für Microsoft Entra-Prinzipale in Azure SQL Managed Instance können Kunden ihre Sicherheitsmaßnahmen modernisieren.
Beispielsweise kann ein Kunde einem Mobile-Analysten mithilfe bewährter Tools, die auf Windows-Authentifizierung basieren, ermöglichen, sich mit biometrischen Anmeldeinformationen bei einer verwalteten Instanz zu authentifizieren. Dies kann ist auch möglich, wenn der Mobile-Analyst von einem Laptop aus arbeitet, der in Microsoft Entra ID eingebunden ist.
Nächste Schritte
Erfahren Sie mehr über das Implementieren der Windows-Authentifizierung für Microsoft Entra-Prinzipale in Azure SQL Managed Instance: