Come configurare l'autenticazione di Windows per Istanza gestita di SQL di Azure usando Microsoft Entra ID e Kerberos
Questo articolo offre una panoramica di come configurare l'infrastruttura e le istanze gestite per implementare l'autenticazione di Windows per le entità in Istanza gestita di SQL di Azure con l'ID Microsoft Entra (in precedenza Azure Active Directory).
Esistono due fasi per configurare l'autenticazione di Windows per Istanza gestita di SQL di Azure usando Microsoft Entra ID e Kerberos.
-
configurazione unica dell'infrastruttura.
- Sincronizzare Active Directory (AD) e Microsoft Entra ID, se non è già stato fatto.
- Abilitare il flusso di autenticazione interattiva moderno, se disponibile. Il flusso interattivo moderno è consigliato per le organizzazioni con microsoft Entra aggiunto o client ibridi aggiunti che eseguono Windows 10 20H1 / Windows Server 2022 e versioni successive.
- Configurare il flusso di autenticazione basata su attendibilità in ingresso. Questa opzione è consigliata per i clienti che non possono usare il flusso interattivo moderno, ma che hanno client aggiunti ad AD che eseguono Windows 10/ Windows Server 2012 e versioni successive.
-
Configurazione di Istanza gestita di Azure SQL.
- Creare un'entità servizio assegnata dal sistema per ogni istanza gestita.
Nota
ID Microsoft Entra era precedentemente noto come Azure Active Directory (Azure AD).
Configurazione di un'infrastruttura monouso
Il primo passaggio della configurazione dell'infrastruttura consiste nel sincronizzare AD con Microsoft Entra ID, se non è già stato completato.
A questo scopo, un amministratore di sistema configura i flussi di autenticazione. Sono disponibili due flussi di autenticazione per implementare l'autenticazione di Windows per i principali di Microsoft Entra su Azure SQL Managed Instance: il flusso basato su trust in ingresso supporta i client registrati ad AD che eseguono Windows Server 2012 o versione successiva, e il flusso interattivo moderno supporta i client registrati a Microsoft Entra che eseguono Windows 10 21H1 o versione successiva.
Sincronizzare AD con Microsoft Entra ID
I clienti devono prima implementare Microsoft Entra Connect per integrare le directory locali con Microsoft Entra ID.
Selezionare i flussi di autenticazione che verranno implementati
Il diagramma seguente illustra l'idoneità e la funzionalità di base del flusso interattivo moderno e del flusso basato sull'attendibilità in ingresso:
Un albero decisionale che mostra che il flusso interattivo moderno è adatto per i client che eseguono Windows 10 20H1 o Windows Server 2022 o versioni successive, dove i client sono uniti a Microsoft Entra o uniti a Microsoft Entra in modalità ibrida. Il flusso basato sulla fiducia in ingresso è adatto per i clienti che eseguono Windows 10 o Windows Server 2012 o versione successiva in cui i clienti sono collegati a Active Directory.
Il flusso interattivo moderno funziona con i client abilitati che eseguono Windows 10 21H1 e versioni successive che sono aggiunti a Microsoft Entra o aggiunti a Microsoft Entra ibrido. Nel moderno flusso interattivo, gli utenti possono accedere a un'Istanza gestita di Azure SQL senza dover avere una linea di contatto con i controller di dominio (DC). Non è necessario creare un oggetto trust nell'istanza di Active Directory del cliente. Per abilitare il flusso interattivo moderno, un amministratore imposta criteri di gruppo per i ticket di autenticazione Kerberos (TGT) da usare durante l'accesso.
Il flusso basato su attendibilità in ingresso funziona per i client che eseguono Windows 10 o Windows Server 2012 e versioni successive. Questo flusso richiede che i client siano aggiunti ad AD e abbiano una connessione diretta ad AD dall'ambiente locale. Nel flusso basato sull'attendibilità in ingresso viene creato un oggetto trust nell'istanza di Active Directory del cliente e registrato in Microsoft Entra ID. Per abilitare il flusso basato sull'attendibilità in ingresso, un amministratore configurerà un trust in ingresso con l'ID Microsoft Entra e configurerà il proxy Kerberos tramite criteri di gruppo.
Flusso di autenticazione interattiva moderno
Per implementare il flusso di autenticazione interattiva moderno sono necessari i prerequisiti seguenti:
| Prerequisito | Descrizione |
|---|---|
| I client devono eseguire Windows 10 20H1, Windows Server 2022 o una versione successiva di Windows. | |
| I client devono essere aggiunti a Microsoft Entra o aggiunti ad adesione ibrida a Microsoft Entra. | È possibile determinare se questo prerequisito è soddisfatto eseguendo il comando dsregcmd : dsregcmd.exe /status |
| L'applicazione deve connettersi all'istanza gestita tramite una sessione interattiva. | In questo modo sono supportate applicazioni come SQL Server Management Studio (SSMS) e applicazioni Web, ma non funzionano per le applicazioni eseguite come servizio. |
| Tenant di Microsoft Entra. | |
| Sottoscrizione di Azure all'interno dello stesso tenant Microsoft Entra che prevedi di usare per l'autenticazione. | |
| Microsoft Entra Connect installato. | Ambienti ibridi in cui esistono identità sia in Microsoft Entra ID che in AD. |
Consultare Come configurare l'autenticazione di Windows per Microsoft Entra ID con il flusso interattivo moderno per i passaggi per abilitare questo flusso di autenticazione.
Flusso di autenticazione basato su attendibilità in ingresso
Per implementare il flusso di autenticazione basato su attendibilità in ingresso sono necessari i prerequisiti seguenti:
| Prerequisito | Descrizione |
|---|---|
| Il client deve eseguire Windows 10, Windows Server 2012 o una versione successiva di Windows. | |
| I client devono essere aggiunti ad Active Directory. Il dominio deve avere un livello di funzionalità di Windows Server 2012 o superiore. | È possibile determinare se il client viene aggiunto ad ACTIVE Directory eseguendo il comando dsregcmd: dsregcmd.exe /status |
| Modulo di gestione dell'autenticazione ibrida di Azure AD. | Questo modulo di PowerShell offre funzionalità di gestione per l'installazione locale. |
| Istanza di Microsoft Entra. | |
| Sottoscrizione di Azure sotto lo stesso tenant di Microsoft Entra che intendi usare per l'autenticazione. | |
| installato microsoft Entra Connect. | Ambienti ibridi in cui esistono identità sia in Microsoft Entra ID che in AD. |
Vedere Come configurare l'autenticazione di Windows per Microsoft Entra ID con il flusso basato sull'attendibilità in ingresso per istruzioni sull'abilitazione di questo flusso di autenticazione.
Configurare Istanza gestita di SQL di Azure
I passaggi per configurare Istanza gestita di SQL di Azure sono gli stessi per il flusso di autenticazione basata su attendibilità in ingresso e per il flusso di autenticazione interattiva moderno.
Prerequisiti per configurare un'istanza gestita
Per configurare un'istanza gestita per l'autenticazione di Windows per le entità di sicurezza di Microsoft Entra, sono necessari i prerequisiti seguenti:
| Prerequisito | Descrizione |
|---|---|
| Modulo Az.Sql PowerShell | Questo modulo di PowerShell fornisce i cmdlet di gestione per le risorse SQL di Azure. Installare questo modulo eseguendo il comando di PowerShell seguente: Install-Module -Name Az.Sql |
| Modulo di Microsoft Graph PowerShell | Questo modulo fornisce i cmdlet di gestione per le attività amministrative di Microsoft Entra ID, ad esempio la gestione di utenti e entità servizio. Installare questo modulo eseguendo il comando di PowerShell seguente: Install-Module –Name Microsoft.Graph |
| Istanza gestita | È possibile creare una nuova istanza gestita o usare un'istanza gestita esistente. |
Configurare ogni istanza gestita
Limitazioni
Le limitazioni seguenti si applicano all'Autenticazione di Windows per le entità Microsoft Entra nell'istanza gestita di Azure SQL:
Non disponibile per i client Linux
L'autenticazione di Windows per i principali di Microsoft Entra è attualmente supportata solo per i computer client che eseguono Windows.
Accesso memorizzato nella cache di Microsoft Entra ID
Windows limita quanto spesso si connette all'ID Microsoft Entra, pertanto è possibile che gli account utente non abbiano un Ticket di Concessione Ticket Kerberos aggiornato (TGT) entro 4 ore da un aggiornamento oppure un nuovo deployment di un computer client. Gli account utente che non dispongono di un TGT aggiornato comportano richieste di ticket fallite da Microsoft Entra ID.
Gli amministratori possono attivare immediatamente un accesso online per gestire gli scenari di aggiornamento eseguendo il comando seguente nel computer client, quindi bloccando e sbloccando la sessione utente per ottenere un TGT aggiornato:
dsregcmd.exe /RefreshPrt
Passaggi successivi
** Scopri di più sull'implementazione dell'autenticazione di Windows per i principali di Microsoft Entra su Azure SQL Managed Instance.
- Che cos'è l'autenticazione di Windows per le entità di accesso Microsoft in Istanza gestita di SQL di Azure?
- come viene implementata l'autenticazione di Windows per Istanza gestita di SQL di Azure con Microsoft Entra ID e Kerberos
- Come configurare l'autenticazione di Windows per Microsoft Entra ID con il flusso interattivo moderno
- Come configurare l'autenticazione di Windows per Microsoft Entra ID con il flusso basato sull'attendibilità in ingresso
- Configurare Istanza gestita di SQL di Azure per l'autenticazione di Windows per l'ID Entra Microsoft