Настройка проверки подлинности Windows для управляемого экземпляра SQL Azure с помощью идентификатора Microsoft Entra и Kerberos
В этой статье представлен обзор настройки инфраструктуры и управляемых экземпляров для реализации аутентификации Windows для субъектов в управляемом экземпляре Azure SQL с помощью Microsoft Entra ID (ранее Azure Active Directory).
Существует два этапа настройки проверки подлинности Windows для управляемого экземпляра SQL Azure с помощью идентификатора Microsoft Entra и Kerberos.
-
Единовременная настройка инфраструктуры.
- Синхронизируйте Active Directory (AD) и Microsoft Entra ID, если это еще не сделано.
- Включите современный интерактивный поток проверки подлинности, если он доступен. Современный интерактивный поток рекомендуется для организаций с присоединенным Microsoft Entra или гибридно присоединенными клиентами, работающими под управлением Windows 10 20H1 / Windows Server 2022 и более поздних версий.
- Настройте входящий поток проверки подлинности на основе доверия. Это рекомендуется для клиентов, которые не могут использовать современный интерактивный процесс, но с клиентами, подключенными к AD, под управлением Windows 10 или Windows Server 2012 и новее.
-
Конфигурация управляемого экземпляра Azure SQL.
- Создайте служебный принципал, назначаемый системой для каждой управляемой копии.
Заметка
идентификатор Microsoft Entra ID ранее был известен как Azure Active Directory (Azure AD).
Настройка одноразовой инфраструктуры
Первым шагом в настройке инфраструктуры является синхронизация AD с идентификатором Microsoft Entra, если это еще не завершено.
После этого системный администратор настраивает потоки проверки подлинности. Два потока аутентификации доступны для реализации Windows-аутентификации субъектов Microsoft Entra на Управляемом экземпляре SQL Azure: поток на основе входящего доверия поддерживает клиентов, подключенных к AD и работающих на Windows Server 2012 или выше, в то время как современный интерактивный поток поддерживает клиентов, подключенных к Microsoft Entra и работающих на Windows 10 21H1 или выше.
Синхронизация AD с идентификатором Microsoft Entra
Клиенты должны сначала реализовать Microsoft Entra Connect для интеграции локальных каталогов с идентификатором Microsoft Entra.
Выберите, какие потоки проверки подлинности будут реализованы
На следующей схеме показаны права и основные функциональные возможности современного интерактивного потока и входящего потока доверия:
Дерево принятия решений, показывающее, что современный интерактивный поток подходит для клиентов под управлением Windows 10 20H1 или Windows Server 2022 или более поздней версии, где клиенты либо присоединены к Microsoft Entra, либо имеют гибридное присоединение к Microsoft Entra. Входящий поток, основанный на доверии, подходит для клиентов с Windows 10 или Windows Server 2012 и более поздних версий, присоединённых к AD.
Современный интерактивный поток работает с совместимыми клиентами, использующими Windows 10 версии 21H1 и выше, которые либо присоединены к Microsoft Entra, либо имеют гибридное присоединение к Microsoft Entra. В современном интерактивном потоке пользователи могут получить доступ к Управляемому экземпляру SQL Azure, не требуя прямой видимости контроллерам домена (DCs). В AD клиента не требуется создавать объект доверия. Чтобы активировать современный интерактивный поток, администратор установит групповую политику для билетов аутентификации Kerberos (TGT), предназначенных для использования при входе.
Входящий поток на основе доверия работает для клиентов под управлением Windows 10 или Windows Server 2012 и более поздних версий. Этот поток требует, чтобы клиенты были присоединены к AD и имеют линию видимости с AD из локальной среды. В входящем потоке на основе доверия объект доверия создается в AD клиента и регистрируется в идентификаторе Microsoft Entra. Чтобы включить поток на основе доверия, администратор настроит входящее доверие с идентификатором Microsoft Entra и настроит прокси Kerberos через групповую политику.
Современный поток интерактивной проверки подлинности
Для реализации современного потока интерактивной проверки подлинности требуются следующие предварительные требования:
| Предпосылка | Описание |
|---|---|
| Клиенты должны работать под управлением Windows 10 20H1, Windows Server 2022 или более поздней версии Windows. | |
| Клиенты должны быть присоединены к Microsoft Entra или присоединены к гибридной сети Microsoft Entra. | Вы можете определить, соответствует ли это требование, выполнив команду dsregcmd: dsregcmd.exe /status |
| Приложение должно подключаться к управляемому экземпляру через интерактивный сеанс. | Это поддерживает такие приложения, как SQL Server Management Studio (SSMS) и веб-приложения, но не будут работать для приложений, работающих в качестве службы. |
| Клиент Microsoft Entra. | |
| Подписка Azure в том же клиенте Microsoft Entra, который вы планируете использовать для проверки подлинности. | |
| установлен Microsoft Entra Connect. | Гибридные среды, в которых удостоверения существуют как в идентификаторе Microsoft Entra, так и в AD. |
Инструкции по настройке идентификации Windows для Microsoft Entra ID с помощью современного интерактивного потока и шаги для его включения.
Поток аутентификации на основе доверия при входе
Для реализации входящего потока проверки подлинности на основе доверия требуются следующие предварительные требования:
| Предпосылка | Описание |
|---|---|
| Клиент должен запускать Windows 10, Windows Server 2012 или более позднюю версию Windows. | |
| Клиенты должны быть присоединены к AD. Домен должен иметь функциональный уровень Windows Server 2012 или более поздней версии. | Можно определить, присоединен ли клиент к AD, выполнив команду dsregcmd: dsregcmd.exe /status |
| Модуль управления гибридной проверкой подлинности Azure AD. | Этот модуль PowerShell предоставляет функции управления для локальной настройки. |
| Клиент Microsoft Entra. | |
| Подписка Azure в том же клиенте Microsoft Entra, который вы планируете использовать для проверки подлинности. | |
| установлен Microsoft Entra Connect. | Гибридные среды, в которых удостоверения существуют как в идентификаторе Microsoft Entra, так и в AD. |
См. статью о настройке проверки подлинности Windows для Microsoft Entra ID с использованием потока на основе доверия для инструкций по активации этого потока проверки подлинности.
Настройка управляемого экземпляра SQL Azure
Действия по настройке Управляемого экземпляра SQL Azure одинаковы для потока проверки подлинности на основе входящего доверия и современного интерактивного потока проверки подлинности.
Предварительные требования для настройки управляемого экземпляра
Для настройки управляемого экземпляра проверки подлинности Windows для субъектов Microsoft Entra требуются следующие предварительные требования:
| Предпосылка | Описание |
|---|---|
| Модуль Az.Sql PowerShell | Этот модуль PowerShell предоставляет командлеты управления для ресурсов SQL Azure. Установите этот модуль, выполнив следующую команду PowerShell: Install-Module -Name Az.Sql |
| Модуль Microsoft Graph PowerShell | Этот модуль предоставляет командлеты управления для административных задач Microsoft Entra ID, таких как управление пользователями и служебными объектами. Установите этот модуль, выполнив следующую команду PowerShell: Install-Module –Name Microsoft.Graph |
| Управляемый экземпляр | Можно создать новый управляемый экземпляр или использовать существующий управляемый экземпляр. |
Настройка каждого управляемого экземпляра
Для настройки каждого управляемого экземпляра SQL Azure для проверки подлинности Windows с использованием Microsoft Entra ID см. раздел Configuring Azure SQL Managed Instance.
Ограничения
Следующие ограничения применяются к аутентификации Windows для учетных записей Microsoft Entra в управляемом экземпляре Azure SQL:
Недоступно для клиентов Linux
Проверка подлинности Windows для субъектов Microsoft Entra в настоящее время поддерживается только для клиентских машин под управлением Windows.
Кэшированный вход в систему с использованием Microsoft Entra ID
Windows ограничивает частоту подключения к Microsoft Entra ID, поэтому есть вероятность, что учетные записи пользователей не получат обновленный Kerberos Ticket Granting Ticket (TGT) в течение четырех часов после обновления или свежего развертывания клиентского компьютера. Учетные записи пользователей, у которых нет обновленного TGT, приводят к неудачным запросам билетов от Microsoft Entra ID.
Как администратор, вы можете активировать вход в интернет немедленно для обработки сценариев обновления, выполнив следующую команду на клиентском компьютере, а затем блокировку и разблокировку сеанса пользователя, чтобы получить обновленный TGT:
dsregcmd.exe /RefreshPrt
Дальнейшие действия
Дополнительные сведения о внедрении проверки подлинности Windows для субъектов Microsoft Entra в Azure SQL Managed Instance:
- Что такое проверка подлинности Windows для субъектов Microsoft Entra в Управляемом экземпляре SQL Azure?
- Как реализована проверка подлинности Windows для SQL Managed Instance в Azure с Microsoft Entra ID и Kerberos
- Настройка проверки подлинности Windows для Microsoft Entra ID с использованием современного интерактивного потока
- Настройка проверки подлинности Windows для идентификатора Microsoft Entra с потока на основе входящего доверия
- Настройка Azure SQL Managed Instance для аутентификации Windows для Microsoft Entra ID