다음을 통해 공유


Microsoft Entra ID 및 Kerberos를 사용하여 Azure SQL Managed Instance에 대한 Windows 인증을 설정하는 방법을 참조하세요.

이 문서에서는 Microsoft Entra ID(이전의 Azure Active Directory)를 사용하여 Azure SQL Managed Instance에서 보안 주체에 대한 Windows 인증을 구현하기 위해 인프라 및 관리되는 인스턴스를 설정하는 방법에 대한 개요를 제공합니다.

Microsoft Entra ID 및 Kerberos를 사용하여 Azure SQL Managed Instance에 대한 Windows 인증을 설정하는 두 가지 단계가 있습니다.

  • 일회성 인프라 설정.
    • 아직 동기화하지 않은 경우 AD(Active Directory)와 Microsoft Entra ID를 동기화합니다.
    • 사용 가능한 경우 최신 대화형 인증 흐름을 사용하도록 설정합니다. 최신 대화형 흐름은 Windows 10 20H1/Windows Server 2022 이상을 실행하는 Microsoft Entra 가입 또는 하이브리드 가입 클라이언트가 있는 조직에는 사용하는 것이 좋습니다.
    • 들어오는 신뢰 기반 인증 흐름을 설정합니다. 이는 최신 대화형 흐름을 사용할 수 없지만 Windows 10/Windows Server 2012 이상을 실행하는 클라이언트에 AD 조인된 고객에게 권장됩니다.
  • Azure SQL Managed Instance 구성.
    • 각 관리되는 인스턴스에 대해 시스템 할당 서비스 주체를 만듭니다.

참고 항목

Microsoft Entra ID는 이전에 Azure AD(Azure Active Directory)로 알려졌습니다.

일회성 인프라 설정

인프라 설정의 첫 번째 단계는 아직 완료되지 않은 경우 AD를 Microsoft Entra ID와 동기화하는 것입니다.

그런 다음 시스템 관리자가 인증 흐름을 구성합니다. Azure SQL Managed Instance에서 Microsoft Entra 보안 주체에 대한 Windows 인증을 구현하는 데 두 가지 인증 흐름을 사용할 수 있습니다. 들어오는 신뢰 기반 흐름은 Windows Server 2012 이상을 실행하는 AD 가입 클라이언트를 지원하고 최신 대화형 흐름은 Windows 10 21H1 이상을 실행하는 Microsoft Entra 가입 클라이언트를 지원합니다.

AD를 Microsoft Entra ID와 동기화

고객은 먼저 Microsoft Entra Connect를 구현하여 온-프레미스 디렉터리를 Microsoft Entra ID와 통합해야 합니다.

구현할 인증 흐름 선택

다음 다이어그램은 최신 대화형 흐름과 수신되는 신뢰 기반 흐름의 적격성과 핵심 기능을 보여 줍니다.

A decision tree showing criteria to select authentication flows.

"최신 대화식 흐름이 Windows 10 20H1 또는 Windows Server 2022 이상을 실행하는 클라이언트에 적합함을 보여 주는 의사 결정 트리이며, 여기서는 클라이언트가 Microsoft Entra에 가입되거나 Microsoft Entra 하이브리드에 가입되어 있습니다. 들어오는 신뢰 기반 흐름은 클라이언트가 AD에 조인된 Windows 10 또는 Windows Server 2012 이상을 실행하는 클라이언트에 적합합니다."

최신 대화형 흐름은 Microsoft Entra 또는 Microsoft Entra 하이브리드에 가입된 Windows 10 21H1 이상을 실행하는 지원된 클라이언트에서 작동합니다. 최신 대화형 흐름에서 사용자는 DC(도메인 컨트롤러)에 대한 가시선 없이 Azure SQL Managed Instance에 액세스할 수 있습니다. 고객의 AD에 트러스트 개체를 만들 필요가 없습니다. 최신 대화식 흐름을 사용하도록 설정하기 위해 관리자는 로그인하는 동안 사용할 Kerberos 인증 티켓(TGT)에 대한 그룹 정책을 설정합니다.

들어오는 신뢰 기반 흐름은 Windows 10 또는 Windows Server 2012 이상을 실행하는 클라이언트에서 작동합니다. 이 흐름을 사용하려면 클라이언트가 AD에 조인하고 온-프레미스에서 AD에 대한 가시선이 있어야 합니다. 들어오는 신뢰 기반 흐름에서 트러스트 개체는 고객의 AD에 만들어지고 Microsoft Entra ID에 등록됩니다. 들어오는 신뢰 기반 흐름을 사용하도록 설정하기 위해 관리자는 Microsoft Entra ID로 들어오는 신뢰를 설정하고 그룹 정책을 통해 Kerberos 프록시를 설정합니다.

최신 대화형 인증 흐름

최신 대화형 인증 흐름을 구현하려면 다음 필수 조건이 필요합니다.

필수 요소 Description
클라이언트는 Windows 10 20H1, Windows Server 2022 이상 버전의 Windows를 실행해야 합니다.
클라이언트는 Microsoft Entra 가입 또는 Microsoft Entra 하이브리드 가입되어야 합니다. dsregcmd 명령을 실행하여 이 사전 요구 사항이 충족되는지 확인할 수 있습니다. dsregcmd.exe /status
애플리케이션은 대화형 세션을 통해 관리되는 인스턴스에 연결해야 합니다. 이는 SSMS(SQL Server Management Studio) 및 웹 애플리케이션과 같은 애플리케이션을 지원하지만 서비스로 실행되는 애플리케이션에서는 작동하지 않습니다.
Microsoft Entra 테넌트.
인증에 사용하려는 동일한 Microsoft Entra 테넌트의 Azure 구독.
Microsoft Entra Connect가 설치됨 Microsoft Entra ID와 AD 모두에 ID가 존재하는 하이브리드 환경.

이 인증 흐름을 사용하도록 설정하는 단계는 최신 대화형 흐름으로 Microsoft Entra ID에 대한 Windows 인증을 설정하는 방법을 참조하세요.

들어오는 신뢰 기반 인증 흐름

들어오는 신뢰 기반 인증 흐름을 구현하려면 다음 필수 조건이 필요합니다.

필수 요소 Description
클라이언트는 Windows 10, Windows Server 2012 또는 상위 버전의 Windows를 실행해야 합니다.
클라이언트는 AD에 조인해야 합니다. 도메인의 기능 수준은 Windows Server 2012 이상이어야 합니다. dsregcmd 명령을 실행하여 클라이언트가 AD에 조인되었는지 확인할 수 있습니다. dsregcmd.exe /status
Azure AD 하이브리드 인증 관리 모듈. 이 PowerShell 모듈은 온-프레미스 설정을 위한 관리 기능을 제공합니다.
Microsoft Entra 테넌트.
인증에 사용하려는 동일한 Microsoft Entra 테넌트의 Azure 구독.
Microsoft Entra Connect가 설치됨 Microsoft Entra ID와 AD 모두에 ID가 존재하는 하이브리드 환경.

이 인증 흐름을 사용하도록 설정하는 방법에 대한 지침은 수신 신뢰 기반 흐름으로 Microsoft Entra ID에 대한 Windows 인증을 설정하는 방법을 참조하세요.

Azure SQL Managed Instance 구성

Azure SQL Managed Instance를 설정하는 단계는 들어오는 신뢰 기반 인증 흐름과 최신 대화형 인증 흐름 모두에서 동일합니다.

관리되는 인스턴스를 구성하기 위한 필수 조건

Microsoft Entra 보안 주체에 대한 Windows 인증을 위한 관리되는 인스턴스를 구성하려면 다음 필수 구성 요소가 필요합니다.

필수 요소 Description
Az.Sql PowerShell 모듈 이 PowerShell 모듈은 Azure SQL 리소스에 대한 관리 cmdlet을 제공합니다. 다음 PowerShell 명령을 실행하여 이 모듈을 설치합니다. Install-Module -Name Az.Sql
Microsoft Graph PowerShell 모듈 이 모듈은 사용자 및 서비스 주체 관리와 같은 Microsoft Entra ID 관리 작업을 위한 관리 cmdlet을 제공합니다. 다음 PowerShell 명령을 실행하여 이 모듈을 설치합니다. Install-Module –Name Microsoft.Graph
관리형 인스턴스 새 관리되는 인스턴스를 만들거나 기존 관리되는 인스턴스를 사용할 수 있습니다.

각 관리되는 인스턴스 구성

각 관리되는 인스턴스를 구성하는 단계는 Microsoft Entra ID에 대한 Windows 인증을 위한 Azure SQL Managed Instance 구성을 참조하세요.

제한 사항

Azure SQL Managed Instance의 Microsoft Entra 보안 주체에 대한 Windows 인증에는 다음 제한 사항이 적용됩니다.

Linux 클라이언트에는 사용할 수 없음

Microsoft Entra 보안 주체에 대한 Windows 인증은 현재 Windows를 실행하는 클라이언트 컴퓨터에 대해서만 지원됩니다.

Microsoft Entra ID 캐시된 로그온

Windows는 Microsoft Entra ID에 연결하는 빈도를 제한하므로 클라이언트 컴퓨터를 업그레이드하거나 새로 배포한 후 4시간 이내에 사용자 계정에 새로 고쳐진 Kerberos TGT(Ticket Granting Ticket)가 없을 가능성이 있습니다. 새로 고친 TGT가 없는 사용자 계정은 Microsoft Entra ID의 티켓 요청에 실패합니다.

관리자는 클라이언트 컴퓨터에서 다음 명령을 실행한 다음 사용자 세션을 잠그고 잠금 해제하여 새로 고친 TGT를 가져옴으로써 업그레이드 시나리오를 처리하기 위해 즉시 온라인 로그온을 트리거할 수 있습니다.

dsregcmd.exe /RefreshPrt

다음 단계

Azure SQL Managed Instance에서 Microsoft Entra 보안 주체에 대한 Windows 인증 구현에 대해 자세히 알아봅니다.