Поделиться через


Настройка проверки подлинности Windows для Управляемого экземпляра SQL Azure с помощью Microsoft Entra ID и Kerberos.

В этой статье представлен обзор настройки инфраструктуры и управляемых экземпляров для реализации проверки подлинности Windows для субъектов на Управляемый экземпляр SQL Azure с идентификатором Microsoft Entra (ранее — Azure Active Directory).

Существует два этапа настройки проверки подлинности Windows для Управляемый экземпляр SQL Azure с помощью идентификатора Microsoft Entra и Kerberos.

  • Однократная настройка инфраструктуры.
    • Настройте синхронизацию Active Directory (AD) и Microsoft Entra ID, если это еще не сделано.
    • Включите современный интерактивный поток проверки подлинности, если он доступен. Современный интерактивный поток рекомендуется для организаций с присоединенными к Microsoft Entra или гибридными клиентами под управлением Windows 10 20H1 / Windows Server 2022 и более поздних версий.
    • Настройте входящий поток проверки подлинности на основе доверия. Это рекомендуется для клиентов, которые не могут использовать современный интерактивный поток, но с клиентами, присоединенными к AD, под управлением Windows 10 или Windows Server 2012 и более поздних версий.
  • Настройка Управляемого экземпляра SQL Azure.
    • Создайте назначаемый системой субъект-службу для каждого управляемого экземпляра.

Примечание.

Идентификатор Microsoft Entra ранее был известен как Azure Active Directory (Azure AD).

Однократная настройка инфраструктуры

Первым шагом в настройке инфраструктуры является синхронизация AD с идентификатором Microsoft Entra, если это еще не завершено.

После этого системный администратор настраивает потоки проверки подлинности. Два потока проверки подлинности доступны для реализации проверки подлинности Windows для субъектов Microsoft Entra на Управляемый экземпляр SQL Azure: входящий поток на основе доверия поддерживает присоединенные к AD клиенты под управлением Windows Server 2012 или более поздней версии, а современный интерактивный поток поддерживает присоединенные к Microsoft Entra клиенты под управлением Windows 10 21H1 или более поздней версии.

Синхронизация AD с идентификатором Microsoft Entra

Клиенты должны сначала реализовать Microsoft Entra Подключение для интеграции локальных каталогов с идентификатором Microsoft Entra.

Выбор потоков проверки подлинности, которые будут реализованы

На следующей схеме показаны алгоритм выбора и основные функции для современного интерактивного потока и входящего потока на основе доверия:

A decision tree showing criteria to select authentication flows.

"Дерево принятия решений, показывающее, что современный интерактивный поток подходит для клиентов под управлением Windows 10 20H1 или Windows Server 2022 или более поздней версии, где клиенты присоединены к Microsoft Entra или microsoft Entra гибридно присоединены. Входящий поток на основе доверия подходит для клиентов, присоединенных к AD и использующих Windows 10 или Windows Server 2012 или более поздних версий".

Современный интерактивный поток работает с просвещенными клиентами под управлением Windows 10 21H1 и более поздних версий, присоединенных к Microsoft Entra, или гибридным присоединением к Microsoft Entra. В современных интерактивных потоках пользователи могут получить доступ к Управляемому экземпляру SQL Azure без обращения к контроллерам домена (DC). В таких потоках нет необходимости создавать объект доверия в каталоге AD клиента. Чтобы включить современный интерактивный поток, администратор должен настроить групповую политику для билетов проверки подлинности Kerberos (TGT), которая будет использоваться при входе.

Входящий поток на основе доверия подходит для клиентов, использующих Windows 10 или Windows Server 2012 и более поздней версии. В таких потоках требуется, чтобы клиенты были присоединены к AD и имели доступ к AD из локальной среды. В входящем потоке на основе доверия объект доверия создается в AD клиента и регистрируется в идентификаторе Microsoft Entra. Чтобы включить поток на основе доверия, администратор настроит входящее доверие с идентификатором Microsoft Entra и настроит прокси Kerberos через групповую политику.

Современный интерактивный поток проверки подлинности

Чтобы реализовать современный интерактивный поток проверки подлинности, необходимо выполнить следующие предварительные требования:

Предварительные требования Описание
Клиенты должны работать под управлением Windows 10 20H1, Windows Server 2022 или более поздней версии Windows.
Клиенты должны быть присоединены к Microsoft Entra или гибридное присоединение к Microsoft Entra. Проверить выполнение этого предварительного требования можно с помощью команды dsregcmd: dsregcmd.exe /status
Приложение должно подключаться к управляемому экземпляру через интерактивный сеанс. Это требование поддерживает такие приложения как SQL Server Management Studio (SSMS) и веб-приложения, но не подходит для приложений, которые запускаются в качестве службы.
Клиент Microsoft Entra.
Подписка Azure в том же клиенте Microsoft Entra, который вы намерены использовать для проверки подлинности.
Установленная Подключение Microsoft Entra. Гибридные среды, в которых удостоверения существуют одновременно в Microsoft Entra ID и AD.

Инструкции по включению этого потока проверки подлинности см. в статье Настройка проверки подлинности Windows для Microsoft Entra ID с помощью современного интерактивного потока.

Входящий поток проверки подлинности на основе доверия

Чтобы реализовать входящий поток проверки подлинности на основе доверия, необходимо выполнить следующие предварительные требования:

Предварительные требования Описание
Клиент должен работать под управлением Windows 10, Windows Server 2012 или более поздней версии Windows.
Клиент должен быть присоединен к AD. Домен должен иметь функциональный уровень Windows Server 2012 или выше. Чтобы определить, присоединен ли клиент к AD, выполните команду dsregcmd: dsregcmd.exe /status
Модуль управления проверкой подлинности для гибридного присоединения к Azure AD. Этот модуль PowerShell предоставляет функции управления для локальной системы.
Клиент Microsoft Entra.
Подписка Azure в том же клиенте Microsoft Entra, который вы намерены использовать для проверки подлинности.
Установленная Подключение Microsoft Entra. Гибридные среды, в которых удостоверения существуют одновременно в Microsoft Entra ID и AD.

Инструкции по включению этого потока проверки подлинности см. в статье Настройка проверки подлинности Windows для Microsoft Entra ID с помощью входящего потока на основе доверия.

Настройка Управляемого экземпляра SQL Azure

Действия по настройке Управляемого экземпляра SQL Azure для входящих потоков проверки подлинности на основе доверия и современных интерактивных потоков проверки подлинности одинаковы.

Предварительные требования для настройки управляемого экземпляра

Чтобы настроить проверку подлинности Windows для субъектов Microsoft Entra в управляемом экземпляре, необходимо выполнить следующие предварительные требования:

Необходимые условия Описание
Модуль PowerShell Az.Sql Этот модуль PowerShell предоставляет командлеты управления для ресурсов Azure SQL. Установите этот модуль, выполнив следующую команду PowerShell: Install-Module -Name Az.Sql
Модуль Microsoft Graph PowerShell Этот модуль предоставляет командлеты управления для административных задач идентификатора Microsoft Entra ID, таких как управление пользователями и субъектами-службами. Установите этот модуль, выполнив следующую команду PowerShell: Install-Module –Name Microsoft.Graph
Управляемый экземпляр. Вы можете создать новый управляемый экземпляр или использовать существующий управляемый экземпляр.

Настройка каждого управляемого экземпляра

Действия по настройке каждого управляемого экземпляра приведены в статье Настройка проверки подлинности Windows для Microsoft Entra ID в Управляемом экземпляре SQL Azure.

Ограничения

Следующие ограничения применяются к проверке подлинности Windows для субъектов Microsoft Entra в Управляемый экземпляр SQL Azure:

Недоступно для клиентов Linux

Проверка подлинности Windows для субъектов Microsoft Entra в настоящее время поддерживается только для клиентских компьютеров под управлением Windows.

Кэшированный вход в кэш идентификатора Microsoft Entra

Windows ограничивает частоту подключения к идентификатору Microsoft Entra ID, поэтому у учетных записей пользователей нет обновленного билета Kerberos (TGT) в течение 4 часов обновления или нового развертывания клиентского компьютера. Учетные записи пользователей, у которых нет обновленного TGT, приводят к неудачным запросам на запросы из идентификатора Microsoft Entra.

Администратор может немедленно активировать интерактивный вход в систему для поддержки сценариев обновления, выполнив следующую команду на клиентском компьютере и затем заблокировав и разблокировав сеанс пользователя для получения обновленного TGT:

dsregcmd.exe /RefreshPrt

Следующие шаги

Дополнительные сведения о реализации проверки подлинности Windows для субъектов Microsoft Entra в Управляемый экземпляр SQL Azure: