Udostępnij za pośrednictwem


Zobacz Jak skonfigurować uwierzytelnianie systemu Windows dla usługi Azure SQL Managed Instance przy użyciu usługi Microsoft Entra ID i protokołu Kerberos

Ten artykuł zawiera omówienie sposobu konfigurowania infrastruktury i wystąpień zarządzanych w celu zaimplementowania uwierzytelniania systemu Windows dla podmiotów zabezpieczeń w usłudze Azure SQL Managed Instance przy użyciu identyfikatora Entra firmy Microsoft (dawniej Azure Active Directory).

Istnieją dwie fazy konfigurowania uwierzytelniania systemu Windows dla usługi Azure SQL Managed Instance przy użyciu identyfikatora Entra firmy Microsoft i protokołu Kerberos.

  • Konfiguracja infrastruktury jednorazowej.
    • Zsynchronizuj usługi Active Directory (AD) i Microsoft Entra ID, jeśli jeszcze tego nie zrobiono.
    • Włącz nowoczesny przepływ uwierzytelniania interakcyjnego, jeśli jest dostępny. Nowoczesny przepływ interaktywny jest zalecany dla organizacji korzystających z klientów dołączonych do firmy Microsoft lub dołączonych hybrydnie z systemem Windows 10 20H1 / Windows Server 2022 lub nowszym.
    • Skonfiguruj przychodzący przepływ uwierzytelniania opartego na zaufaniu. Jest to zalecane dla klientów, którzy nie mogą korzystać z nowoczesnego przepływu interaktywnego, ale którzy mają klientów dołączonych do usługi AD z systemem Windows 10 / Windows Server 2012 i nowszym.
  • Konfiguracja usługi Azure SQL Managed Instance.
    • Utwórz jednostkę usługi przypisaną przez system dla każdego wystąpienia zarządzanego.

Uwaga

Microsoft Entra ID był wcześniej znany jako Azure Active Directory (Azure AD).

Konfiguracja infrastruktury jednorazowej

Pierwszym krokiem konfiguracji infrastruktury jest zsynchronizowanie usługi AD z identyfikatorem Entra firmy Microsoft, jeśli nie zostało to jeszcze ukończone.

W tym celu administrator systemu konfiguruje przepływy uwierzytelniania. Dostępne są dwa przepływy uwierzytelniania systemu Windows dla podmiotów zabezpieczeń firmy Microsoft w usłudze Azure SQL Managed Instance: przychodzący przepływ oparty na zaufaniu obsługuje klientów przyłączonych do usługi AD z systemem Windows Server 2012 lub nowszym, a nowoczesny przepływ interaktywny obsługuje klientów dołączonych do firmy Microsoft z systemem Windows 10 21H1 lub nowszym.

Synchronizowanie usługi AD z identyfikatorem entra firmy Microsoft

Klienci powinni najpierw zaimplementować Połączenie firmy Microsoft w celu zintegrowania katalogów lokalnych z identyfikatorem Entra firmy Microsoft.

Wybierz przepływy uwierzytelniania, które zostaną zaimplementowane

Na poniższym diagramie przedstawiono uprawnienia i podstawowe funkcje nowoczesnego przepływu interaktywnego oraz przychodzący przepływ oparty na zaufaniu:

A decision tree showing criteria to select authentication flows.

"Drzewo decyzyjne pokazujące, że nowoczesny przepływ interaktywny jest odpowiedni dla klientów z systemem Windows 10 20H1 lub Windows Server 2022 lub nowszym, gdzie klienci są przyłączeni do firmy Microsoft lub przyłączeni hybrydowi microsoft Entra. Przychodzący przepływ oparty na zaufaniu jest odpowiedni dla klientów z systemem Windows 10 lub Windows Server 2012 lub nowszym, gdzie klienci są przyłączone do usługi AD.

Nowoczesny przepływ interaktywny współdziała z obsługującymi klientami z systemem Windows 10 21H1 i nowszym, którzy są przyłączeni do firmy Microsoft Entra lub przyłączeni hybrydowi firmy Microsoft Entra. W nowoczesnym przepływie interaktywnym użytkownicy mogą uzyskiwać dostęp do usługi Azure SQL Managed Instance bez konieczności obserwacji kontrolerów domeny . Nie ma potrzeby tworzenia obiektu zaufania w usłudze AD klienta. Aby włączyć nowoczesny przepływ interaktywny, administrator ustawi zasady grupy dla biletów uwierzytelniania Protokołu Kerberos (TGT) do użycia podczas logowania.

Przychodzący przepływ oparty na zaufaniu działa dla klientów z systemem Windows 10 lub Windows Server 2012 lub nowszym. Ten przepływ wymaga, aby klienci zostali połączeni z usługą AD i mieli dostęp do usługi AD ze środowiska lokalnego. W przychodzącym przepływie opartym na zaufaniu obiekt zaufania jest tworzony w usłudze AD klienta i jest zarejestrowany w identyfikatorze Entra firmy Microsoft. Aby włączyć przychodzący przepływ oparty na zaufaniu, administrator skonfiguruje przychodzące zaufanie za pomocą identyfikatora Entra firmy Microsoft i skonfiguruje serwer proxy Kerberos za pośrednictwem zasad grupy.

Nowoczesny przepływ uwierzytelniania interakcyjnego

Aby można było zaimplementować nowoczesny interaktywny przepływ uwierzytelniania, muszą być spełnione następujące wymagania wstępne:

Wymaganie wstępne Opis
Klienci muszą mieć system Windows 10 20H1, Windows Server 2022 lub nowszą wersję systemu Windows.
Klienci muszą być przyłączeni do firmy Microsoft Entra lub przyłączeni hybrydowi firmy Microsoft Entra. Możesz określić, czy to wymaganie wstępne zostało spełnione, uruchamiając polecenie dsregcmd: dsregcmd.exe /status
Aplikacja musi łączyć się z wystąpieniem zarządzanym za pośrednictwem sesji interaktywnej. Obsługiwane są aplikacje takie jak SQL Server Management Studio (SSMS) i aplikacje internetowe, ale nie aplikacje uruchamiane jako usługa.
Dzierżawa Microsoft Entra.
Subskrypcja platformy Azure w ramach tej samej dzierżawy usługi Microsoft Entra, której planujesz używać do uwierzytelniania.
Zainstalowano Połączenie firmy Microsoft. Środowiska hybrydowe z tożsamościami istniejącymi zarówno w usłudze Microsoft Entra ID, jak i w usłudze AD.

Zobacz Jak skonfigurować uwierzytelnianie systemu Windows dla usługi Microsoft Entra ID przy użyciu nowoczesnego przepływu interaktywnego, aby uzyskać instrukcje umożliwiające włączenie tego przepływu uwierzytelniania.

Przychodzący przepływ uwierzytelniania opartego na zaufaniu

Aby można było zaimplementować przepływ uwierzytelniania oparty na przychodzącej relacji zaufania, muszą być spełnione następujące wymagania wstępne:

Wymaganie wstępne Opis
Klienci muszą mieć system Windows 10, Windows Server 2012 lub nowszą wersję systemu Windows.
Klienci muszą być przyłączeni do usługi AD. Domena musi mieć poziom funkcjonalności systemu Windows Server 2012 lub wyższy. Możesz określić, czy klient jest przyłączony do usługi AD, uruchamiając polecenie dsregcmd: dsregcmd.exe /status
Moduł zarządzania uwierzytelnianiem hybrydowym usługi Azure AD. Ten moduł programu PowerShell udostępnia funkcje zarządzania na potrzeby konfiguracji lokalnej.
Dzierżawa Microsoft Entra.
Subskrypcja platformy Azure w ramach tej samej dzierżawy usługi Microsoft Entra, której planujesz używać do uwierzytelniania.
Zainstalowano Połączenie firmy Microsoft. Środowiska hybrydowe z tożsamościami istniejącymi zarówno w usłudze Microsoft Entra ID, jak i w usłudze AD.

Zobacz Jak skonfigurować uwierzytelnianie systemu Windows dla usługi Microsoft Entra ID przy użyciu przepływu opartego na przychodzącej relacji zaufania, aby uzyskać instrukcje dotyczące włączania tego przepływu uwierzytelniania.

Konfigurowanie wystąpienia usługi Azure SQL Managed Instance

Kroki konfigurowania usługi Azure SQL Managed Instance są takie same zarówno w przypadku przepływu uwierzytelniania opartego na przychodzącej relacji zaufania, jak i nowoczesnego interaktywnego przepływu uwierzytelniania.

Wymagania wstępne dotyczące konfigurowania wystąpienia zarządzanego

Aby możliwe było skonfigurowanie wystąpienia zarządzanego na potrzeby uwierzytelniania systemu Windows dla podmiotów zabezpieczeń Microsoft Entra, muszą być spełnione następujące wymagania wstępne:

Wymaganie wstępne Opis
Moduł Az.Sql programu PowerShell Ten moduł programu PowerShell udostępnia polecenia cmdlet do zarządzania zasobami usługi Azure SQL. Aby zainstalować ten moduł, uruchom następujące polecenie programu PowerShell: Install-Module -Name Az.Sql
Moduł programu PowerShell programu Microsoft Graph Ten moduł zawiera polecenia cmdlet zarządzania dla zadań administracyjnych identyfikatora entra firmy Microsoft, takich jak zarządzanie użytkownikami i jednostką usługi. Aby zainstalować ten moduł, uruchom następujące polecenie programu PowerShell: Install-Module –Name Microsoft.Graph
Wystąpienie zarządzane Możesz utworzyć nowe wystąpienie zarządzane lub użyć istniejącego wystąpienia zarządzanego.

Konfigurowanie każdego wystąpienia zarządzanego

Zobacz Konfigurowanie usługi Azure SQL Managed Instance na potrzeby uwierzytelniania systemu Windows dla usługi Microsoft Entra ID, aby uzyskać instrukcje konfigurowania poszczególnych wystąpień zarządzanych.

Ograniczenia

Następujące ograniczenia dotyczą uwierzytelniania systemu Windows dla podmiotów zabezpieczeń firmy Microsoft w usłudze Azure SQL Managed Instance:

Niedostępne dla klientów z systemem Linux

Uwierzytelnianie systemu Windows dla podmiotów zabezpieczeń firmy Microsoft jest obecnie obsługiwane tylko dla komputerów klienckich z systemem Windows.

Logowanie w pamięci podręcznej identyfikatora entra firmy Microsoft

System Windows ogranicza częstotliwość nawiązywania połączenia z identyfikatorem Entra firmy Microsoft, dlatego istnieje możliwość, że konta użytkowników nie mają odświeżonego biletu przyznania biletu Protokołu Kerberos (TGT) w ciągu 4 godzin od uaktualnienia lub nowego wdrożenia maszyny klienckiej. Konta użytkowników, które nie mają odświeżonego biletu TGT, powodują niepowodzenie żądań biletów z identyfikatora Entra firmy Microsoft.

Jako administrator możesz natychmiast wyzwolić logowanie online w celu obsługi scenariuszy uaktualniania, uruchamiając następujące polecenie na maszynie klienckiej, a następnie blokując i odblokowując sesję użytkownika w celu pobrania odświeżonego biletu TGT:

dsregcmd.exe /RefreshPrt

Następne kroki

Dowiedz się więcej o implementowaniu uwierzytelniania systemu Windows dla podmiotów zabezpieczeń firmy Microsoft w usłudze Azure SQL Managed Instance: