Configuración de la autenticación de Windows para Azure SQL Managed Instance mediante Microsoft Entra ID y Kerberos
En este artículo, se proporciona información general sobre cómo configurar la infraestructura y las instancias administradas a fin de implementar la autenticación de Windows para entidades de seguridad en Azure SQL Managed Instance con Microsoft Entra ID (antes llamado Azure Active Directory).
Hay dos fases de configuración de la autenticación de Windows para Azure SQL Managed Instance mediante Microsoft Entra ID y Kerberos.
- Configuración de infraestructura por única vez.
- Si todavía no lo hizo, sincronice Active Directory (AD) y Microsoft Entra ID.
- Habilite el flujo de autenticación interactivo moderno, si está disponible. El flujo interactivo moderno se recomienda para las organizaciones que tienen clientes unidos a Microsoft Entra o híbrido que ejecutan Windows 10 20H1 o Windows Server 2022 y versiones superiores.
- Configure el flujo de autenticación basado en la confianza de entrada. Esto se recomienda para los clientes que no pueden usar el flujo interactivo moderno, pero que tienen clientes unidos a AD que ejecutan Windows 10 o Windows Server 2012 y versiones superiores.
- Configuración de Azure SQL Managed Instance.
- Cree una entidad de servicio asignada por el sistema para cada instancia administrada.
Nota:
Microsoft Entra ID era conocido anteriormente como Azure Active Directory (Azure AD).
Configuración de infraestructura por única vez
El primer paso en la configuración de la infraestructura es sincronizar AD con Microsoft Entra ID, si todavía no se completa.
A continuación, un administrador del sistema configura los flujos de autenticación. Hay dos flujos de autenticación disponibles para implementar la autenticación de Windows para entidades de seguridad de Microsoft Entra en Azure SQL Managed Instance: el flujo basado en la confianza de entrada, que admite clientes unidos a AD que ejecutan Windows Server 2012 o versiones superiores, y el flujo interactivo moderno, que admite clientes unidos a Microsoft Entra que ejecutan Windows 10 21H1 o versiones superiores.
Sincronice AD con Microsoft Entra ID
Los clientes deben implementar primero Microsoft Entra Connect para integrar directorios locales con Microsoft Entra ID.
Selección de los flujos de autenticación que se implementarán
En el diagrama siguiente, se muestra la idoneidad y la funcionalidad principal del flujo interactivo moderno y el flujo basado en la confianza de entrada:
"Un árbol de decisión que muestra que el flujo interactivo moderno es adecuado para los clientes que ejecutan Windows 10 20H1 o Windows Server 2022 o versiones superiores, donde los clientes están unidos a Microsoft Entra o híbrido. El flujo basado en la confianza de entrada es adecuado para los clientes que ejecutan Windows 10 o Windows Server 2012 o versiones superiores, donde los clientes están unidos a AD".
El flujo interactivo moderno funciona con clientes habilitados que ejecutan Windows 10 21H1 y versiones superiores que están unidos a Microsoft Entra o híbrido. En el flujo interactivo moderno, los usuarios pueden acceder a Azure SQL Managed Instance sin necesidad de tener una línea de visión a los controladores de dominio. No es necesario crear un objeto de confianza en la instancia de AD del cliente. A fin de habilitar el flujo interactivo moderno, un administrador establecerá la directiva de grupo para los vales (TGT) de autenticación Kerberos que se usarán durante el inicio de sesión.
El flujo basado en la confianza de entrada sirve para los clientes que ejecutan Windows 10 o Windows Server 2012 y versiones superiores. Este flujo requiere que los clientes se unan a AD y tengan una línea de visión a AD desde el entorno local. En el flujo basado en la confianza de entrada, se crea un objeto de confianza en la instancia de AD del cliente y se registra en Microsoft Entra ID. A fin de habilitar el flujo basado en la confianza de entrada, un administrador configurará una confianza de entrada con Microsoft Entra ID y configurará el proxy Kerberos a través de la directiva de grupo.
Flujo de autenticación interactivo moderno
Si desea implementar el flujo de autenticación interactivo moderno, debe cumplir con los requisitos previos siguientes:
Requisito previo | Descripción |
---|---|
Los clientes deben ejecutar Windows 10 20H1, Windows Server 2022 o una versión superior de Windows. | |
Los clientes deben estar unidos a Microsoft Entra o a Microsoft Entra híbrido. | Para determinar si se cumple con este requisito previo, puede ejecutar el comando dsregcmd: dsregcmd.exe /status |
La aplicación se debe conectar a la instancia administrada a través de una sesión interactiva. | Esto admite aplicaciones como SQL Server Management Studio (SSMS) y aplicaciones web, pero no funciona con aplicaciones que se ejecutan como servicio. |
Inquilino de Microsoft Entra. | |
Suscripción de Azure en el mismo inquilino de Microsoft Entra que planea utilizar para la autenticación. | |
Microsoft Entra Connect instalado. | Entornos híbridos donde existen identidades tanto en Microsoft Entra ID como en AD. |
Consulte el artículo sobre la configuración de la autenticación de Windows para Microsoft Entra ID con el flujo interactivo moderno para conocer los pasos necesarios para activar este flujo de autenticación.
Flujo de autenticación basado en la confianza de entrada
Si desea implementar el flujo de autenticación basado en la confianza de entrada, debe cumplir con los requisitos previos siguientes:
Requisito previo | Descripción |
---|---|
Los clientes deben ejecutar Windows 10, Windows Server 2012 o una versión superior de Windows. | |
Los clientes se deben unir a AD. El dominio debe tener un nivel funcional de Windows Server 2012 o versiones superiores. | Para determinar si el cliente se unió a AD, ejecute el comando dsregcmd: dsregcmd.exe /status |
Módulo de administración de la autenticación de Azure AD híbrido. | Este módulo de PowerShell proporciona características de administración para la instalación en el entorno local. |
Inquilino de Microsoft Entra. | |
Suscripción de Azure en el mismo inquilino de Microsoft Entra que planea utilizar para la autenticación. | |
Microsoft Entra Connect instalado. | Entornos híbridos donde existen identidades tanto en Microsoft Entra ID como en AD. |
Consulte el artículo sobre la configuración de la autenticación de Windows para Microsoft Entra ID con el flujo basado en la confianza de entrada para instrucciones sobre cómo habilitar este flujo de autenticación.
Configuración de Azure SQL Managed Instance
Los pasos para configurar Azure SQL Managed Instance son los mismos para el flujo de autenticación basado en la confianza de entrada y el flujo de autenticación interactivo moderno.
Requisitos previos para configurar una instancia administrada
Si desea configurar una instancia administrada para la autenticación de Windows para entidades de seguridad de Microsoft Entra, debe cumplir con los requisitos previos siguientes:
Requisito previo | Descripción |
---|---|
Módulo Az.Sql de PowerShell | Este módulo de PowerShell proporciona cmdlets de administración para recursos de Azure SQL. Para instalar este módulo, ejecute este comando de PowerShell: Install-Module -Name Az.Sql |
Módulo de PowerShell en Microsoft Graph | Este módulo proporciona cmdlets de administración para tareas administrativas de Microsoft Entra ID como la administración de usuarios y entidades de servicio. Para instalar este módulo, ejecute este comando de PowerShell: Install-Module –Name Microsoft.Graph |
Una instancia administrada | Puede crear una instancia administrada o utilizar una existente. |
Configuración de cada instancia administrada
Para conocer los pasos necesarios para configurar cada instancia administrada, consulte el artículo sobre la configuración de Azure SQL Managed Instance para la autenticación de Windows para Microsoft Entra ID.
Limitaciones
Las limitaciones siguientes se aplican a la autenticación de Windows para entidades de seguridad de Microsoft Entra en Azure SQL Managed Instance:
No disponible para clientes Linux
Actualmente, la autenticación de Windows para entidades de seguridad de Microsoft Entra solo es compatible con las máquinas cliente que ejecutan Windows.
Inicio de sesión almacenado en caché de Microsoft Entra ID
Por lo general, Windows limita la frecuencia con la que se conecta a Microsoft Entra ID, por lo que existe la posibilidad de que las cuentas de usuario no tengan un vale de concesión de vales (TGT) de Kerberos actualizado en un plazo de 4 horas después de una actualización o una implementación nueva de una máquina cliente. Las solicitudes de vales de Microsoft Entra ID generarán un error para las cuentas de usuario que no tienen un TGT actualizado.
Los administradores pueden desencadenar un inicio de sesión en línea de inmediato a fin de controlar los escenarios de actualización. Para ello, ejecute el comando siguiente en la máquina cliente y, luego, bloquee y desbloquee la sesión del usuario para recibir un TGT actualizado:
dsregcmd.exe /RefreshPrt
Pasos siguientes
Obtenga más información sobre la implementación de la autenticación de Windows para entidades de seguridad de Microsoft Entra en Azure SQL Managed Instance:
- ¿Qué es la autenticación de Windows para las entidades de seguridad de Microsoft Entra en Azure SQL Managed Instance?
- Implementación de la autenticación de Windows para Azure SQL Managed Instance con Microsoft Entra ID y Kerberos (versión preliminar)
- Cómo configurar la autenticación de Windows para Microsoft Entra ID con el flujo interactivo moderno
- Cómo configurar la autenticación de Windows para Microsoft Entra ID con el flujo basado en la confianza de entrada
- Configuración de Azure SQL Managed Instance para la autenticación de Windows para Microsoft Entra ID