Windows-verificatie instellen voor Azure SQL Managed Instance met behulp van Microsoft Entra ID en Kerberos
Dit artikel bevat een overzicht van het instellen van infrastructuur en beheerde exemplaren voor het implementeren van Windows-verificatie voor principals in Azure SQL Managed Instance met Microsoft Entra ID (voorheen Azure Active Directory).
Er zijn twee fasen voor het instellen van Windows-verificatie voor Azure SQL Managed Instance met behulp van Microsoft Entra ID en Kerberos.
-
eenmalige installatie van de infrastructuur.
- Synchroniseer Active Directory (AD) en Microsoft Entra ID, als dit nog niet is gebeurd.
- Schakel de moderne interactieve verificatiestroom in, indien beschikbaar. De moderne interactieve stroom wordt aanbevolen voor organisaties met Microsoft Entra-gekoppelde of hybride gekoppelde clients die Windows 10 20H1/Windows Server 2022 en hoger gebruiken.
- Stel de binnenkomende verificatiestroom op basis van een vertrouwensrelatie in. Dit wordt aanbevolen voor klanten die de moderne interactieve stroom niet kunnen gebruiken, maar die lid zijn van AD-clients met Windows 10/Windows Server 2012 en hoger.
-
configuratie van Azure SQL Managed Instance.
- Maak een door het systeem toegewezen service-principal voor elk beheerd exemplaar.
Notitie
Microsoft Entra ID voorheen Azure Active Directory (Azure AD) werd genoemd.
Eenmalige infrastructuur instellen
De eerste stap bij het instellen van de infrastructuur bestaat uit het synchroniseren van AD met Microsoft Entra-id als dit nog niet is voltooid.
Hierna configureert een systeembeheerder authenticatiestromen. Er zijn twee verificatiestromen beschikbaar voor het implementeren van Windows-verificatie voor Microsoft Entra-principals in Azure SQL Managed Instance: de binnenkomende stroom op basis van vertrouwen ondersteunt AD-gekoppelde clients met Windows Server 2012 of hoger en de moderne interactieve stroom ondersteunt aan Microsoft Entra gekoppelde clients met Windows 10 21H1 of hoger.
AD synchroniseren met Microsoft Entra-id
Klanten moeten eerst Microsoft Entra Connect- implementeren om on-premises directory's te integreren met Microsoft Entra ID.
Selecteer welke verificatiestroom(en) u gaat implementeren
In het volgende diagram ziet u de toepasbaarheid en de kernfunctionaliteit van de moderne interactieve stroom en de inkomende vertrouwensgebaseerde stroom:
Een beslisboom die aantoont dat de moderne interactieve werkwijze geschikt is voor apparaten met Windows 10 20H1 of Windows Server 2022 of hoger, waarbij de apparaten Microsoft Entra-verbonden of Microsoft Entra hybride verbonden zijn. De binnenkomende stroom op basis van een vertrouwensrelatie is geschikt voor clients met Windows 10 of Windows Server 2012 of hoger waar clients lid zijn van AD."
De moderne interactieve proces werkt met geavanceerde clients die Windows 10 21H1 en hoger gebruiken en die zijn aangemeld bij Microsoft Entra of hybride Microsoft Entra. In de moderne interactieve stroom hebben gebruikers toegang tot Azure SQL Managed Instance zonder dat ze een lijn van zicht op domeincontrollers (DC's) nodig hebben. U hoeft geen vertrouwensobject te maken in de AD van de klant. Om de moderne interactieve stroom in te schakelen, stelt een beheerder groepsbeleid in voor Kerberos-verificatietickets (TGT) die tijdens de aanmelding moeten worden gebruikt.
De binnenkomende stroom op basis van vertrouwen werkt voor clients met Windows 10 of Windows Server 2012 en hoger. Voor dit proces is vereist dat clients worden gekoppeld aan AD en vanaf on-premises een directe verbinding met AD hebben. In het inkomende proces, gebaseerd op vertrouwen, wordt een vertrouwensobject gemaakt in de Active Directory van de klant en wordt geregistreerd in Microsoft Entra ID. Om de binnenkomende stroom op basis van een vertrouwensrelatie in te schakelen, stelt een beheerder een binnenkomende vertrouwensrelatie in met Microsoft Entra-id en stelt hij Kerberos-proxy in via groepsbeleid.
Moderne interactieve verificatiestroom
De volgende vereisten zijn vereist voor het implementeren van de moderne interactieve verificatiestroom:
| Voorwaarde | Beschrijving |
|---|---|
| Clients moeten Windows 10 20H1, Windows Server 2022 of een hogere versie van Windows uitvoeren. | |
| Clients moeten worden Microsoft Entra-gekoppeld of Microsoft Entra-hybride gekoppeld. | U kunt bepalen of aan deze vereiste wordt voldaan door de opdracht dsregcmd uit te voeren: dsregcmd.exe /status |
| De toepassing moet verbinding maken met het beheerde exemplaar via een interactieve sessie. | Dit ondersteunt toepassingen zoals SQL Server Management Studio (SSMS) en webtoepassingen, maar werkt niet voor toepassingen die als een service worden uitgevoerd. |
| Microsoft Entra tenant | |
| Azure-abonnement onder dezelfde Microsoft Entra-tenant die u wilt gebruiken voor verificatie. | |
| Microsoft Entra Connect geïnstalleerd. | Hybride omgevingen waarin identiteiten bestaan, zowel in Microsoft Entra ID als AD. |
Zie Windows-verificatie instellen voor Microsoft Entra ID met de moderne interactieve stroom voor stappen om deze verificatiestroom in te schakelen.
Binnenkomende verificatiestroom op basis van vertrouwen
De volgende vereisten zijn vereist voor het implementeren van de binnenkomende verificatiestroom op basis van een vertrouwensrelatie:
| Voorwaarde | Beschrijving |
|---|---|
| Client moet Windows 10, Windows Server 2012 of een hogere versie van Windows uitvoeren. | |
| Clients moeten worden toegevoegd aan Active Directory (AD). Het domein moet een functioneel niveau van Windows Server 2012 of hoger hebben. | U kunt bepalen of de client lid is van AD door de opdracht dsregcmd uit te voeren: dsregcmd.exe /status |
| Azure AD Hybrid Authentication Management Module. | Deze PowerShell-module biedt beheerfuncties voor on-premises installatie. |
| Microsoft Entra-tenant. | |
| Azure-abonnement onder dezelfde Microsoft Entra-tenant die u wilt gebruiken voor verificatie. | |
| Microsoft Entra Connect geïnstalleerd. | Hybride omgevingen waarin identiteiten bestaan, zowel in Microsoft Entra ID als AD. |
Zie Hoe Windows-verificatie voor Microsoft Entra ID instellen met de binnenkomende stroom op basis van vertrouwen voor instructies over het inschakelen van deze authenticatiestroom.
Azure SQL Managed Instance configureren
De stappen voor het instellen van Azure SQL Managed Instance zijn hetzelfde voor zowel de binnenkomende verificatiestroom op basis van vertrouwen als de moderne interactieve verificatiestroom.
Vereisten voor het configureren van een beheerd exemplaar
De volgende vereisten zijn vereist voor het configureren van een beheerd exemplaar voor Windows-verificatie voor Microsoft Entra-principals:
| Voorwaarde | Beschrijving |
|---|---|
| Az.Sql PowerShell-module | Deze PowerShell-module biedt beheer-cmdlets voor Azure SQL-resources. Installeer deze module door de volgende PowerShell-opdracht uit te voeren: Install-Module -Name Az.Sql |
| Microsoft Graph PowerShell module | Deze module biedt beheer-cmdlets voor beheertaken van Microsoft Entra ID, zoals beheer van gebruikers- en service-principals. Installeer deze module door de volgende PowerShell-opdracht uit te voeren: Install-Module –Name Microsoft.Graph |
| Een beheerd exemplaar | U kunt een nieuw beheerd exemplaar maken of een bestaand beheerd exemplaar gebruiken. |
Elk beheerd exemplaar configureren
Zie Azure SQL Managed Instance configureren voor Windows-verificatie voor Microsoft Entra ID voor stappen voor het configureren van elk beheerd exemplaar.
Beperkingen
De volgende beperkingen gelden voor Windows-verificatie voor Microsoft Entra-principals in Azure SQL Managed Instance:
Niet beschikbaar voor Linux-clients
Windows-verificatie voor Microsoft Entra-principals wordt momenteel alleen ondersteund voor clientcomputers met Windows.
Aanmelding met Microsoft Entra ID in de cache
Windows beperkt hoe vaak er verbinding wordt gemaakt met Microsoft Entra ID, waardoor er een kans is dat gebruikersaccounts mogelijk geen vernieuwd Kerberos Ticket Granting Ticket (TGT) hebben binnen 4 uur na een upgrade of nieuwe implementatie van een clientcomputer. Gebruikersaccounts die geen vernieuwde TGT hebben, resulteert in mislukte ticketaanvragen van Microsoft Entra-id.
Als beheerder kunt u een onlineaanmelding onmiddellijk activeren om upgradescenario's af te handelen door de volgende opdracht uit te voeren op de clientcomputer en vervolgens de gebruikerssessie te vergrendelen en te ontgrendelen om een vernieuwde TGT op te halen:
dsregcmd.exe /RefreshPrt
Volgende stappen
Meer informatie over het implementeren van Windows-verificatie voor Microsoft Entra-principals in Azure SQL Managed Instance:
- Wat is Windows-verificatie voor Microsoft Entra-principals in Azure SQL Managed Instance?
- Hoe Windows-verificatie voor Azure SQL Managed Instance wordt geïmplementeerd met Microsoft Entra ID en Kerberos-
- Hoe je de Windows-verificatiemethode instelt voor Microsoft Entra ID met het moderne interactieve proces
- Windows-authenticatie instellen voor Microsoft Entra ID met de inkomende vertrouwensgebaseerde stroom
- Azure SQL Managed Instance configureren voor Windows-verificatie voor Microsoft Entra ID