Så här konfigurerar du Windows-autentisering för Azure SQL Managed Instance med Hjälp av Microsoft Entra-ID och Kerberos
Den här artikeln ger en översikt över hur du konfigurerar infrastruktur och hanterade instanser för att implementera Windows-autentisering för huvudkonton i Azure SQL Managed Instance med Microsoft Entra ID (tidigare Azure Active Directory).
Det finns två faser för att konfigurera Windows-autentisering för Azure SQL Managed Instance med hjälp av Microsoft Entra-ID och Kerberos.
-
Engångsinstallation av infrastruktur.
- Synkronisera Active Directory (AD) och Microsoft Entra-ID om detta inte redan har gjorts.
- Aktivera det moderna interaktiva autentiseringsflödet när det är tillgängligt. Det moderna interaktiva flödet rekommenderas för organisationer med Microsoft Entra-ansluten eller hybridansluten klienter som använder Windows 10 20H1/Windows Server 2022 och senare.
- Konfigurera det inkommande förtroendebaserade autentiseringsflödet. Detta rekommenderas för kunder som inte kan använda det moderna interaktiva flödet, men som har AD-anslutna klienter som kör Windows 10/Windows Server 2012 och senare.
-
Konfiguration av Azure SQL Managed Instance.
- Skapa ett systemtilldelat tjänsthuvudnamn för varje hanterad instans.
Not
Microsoft Entra ID tidigare kallades Azure Active Directory (Azure AD).
Installation av engångsinfrastruktur
Det första steget i infrastrukturkonfigurationen är att synkronisera AD med Microsoft Entra-ID, om detta inte redan har slutförts.
Därefter konfigurerar en systemadministratör autentiseringsflöden. Två autentiseringsflöden är tillgängliga för att implementera Windows-autentisering för Microsoft Entra-huvudkonton i Azure SQL Managed Instance: det inkommande förtroendebaserade flödet stöder AD-anslutna klienter som kör Windows Server 2012 eller senare, och det moderna interaktiva flödet stöder Microsoft Entra-anslutna klienter som kör Windows 10 21H1 eller senare.
Synkronisera AD med Microsoft Entra-ID
Kunderna bör först implementera Microsoft Entra Connect- för att integrera lokala kataloger med Microsoft Entra-ID.
Välj vilka autentiseringsflöden du ska implementera
Följande diagram visar berättigande och kärnfunktionerna i det moderna interaktiva flödet och det inkommande förtroendebaserade flödet:
"Ett beslutsträd som visar att det moderna interaktiva flödet är lämpligt för klienter som kör Windows 10 20H1 eller Windows Server 2022 eller senare, där klienter är Microsoft Entra-anslutna eller Microsoft Entra Hybrid-anslutna. Det inkommande förtroendebaserade flödet är lämpligt för klienter som kör Windows 10 eller Windows Server 2012 eller senare där klienter är AD-anslutna."
Det moderna interaktiva flödet fungerar med upplysta klienter som kör Windows 10 21H1 och senare som är Microsoft Entra-anslutna eller Microsoft Entra Hybrid-anslutna. I det moderna interaktiva flödet kan användare komma åt Azure SQL Managed Instance utan att behöva en siktlinje för domänkontrollanter (DCs). Det finns inget behov av att skapa ett förtroendeobjekt i kundens AD. För att aktivera det moderna interaktiva flödet anger en administratör grupprincip för Kerberos-autentiseringsbiljetter (TGT) som ska användas under inloggningen.
Det inkommande förtroendebaserade flödet fungerar för klienter som kör Windows 10 eller Windows Server 2012 och senare. Det här flödet kräver att klienterna är anslutna till AD och har en siktlinje till AD lokalt. I det inkommande förtroendebaserade flödet skapas ett förtroendeobjekt i kundens AD och registreras i Microsoft Entra-ID. Om du vill aktivera det inkommande förtroendebaserade flödet konfigurerar en administratör ett inkommande förtroende med Microsoft Entra ID och konfigurerar Kerberos Proxy via grupppolicy.
Modernt interaktivt autentiseringsflöde
Följande krav krävs för att implementera det moderna interaktiva autentiseringsflödet:
| Förutsättning | Beskrivning |
|---|---|
| Klienter måste köra Windows 10 20H1, Windows Server 2022 eller en högre version av Windows. | |
| Klienter måste vara Microsoft Entra-anslutna eller Microsoft Entra-hybridanslutna. | Du kan avgöra om den här förutsättningen uppfylls genom att köra kommandot dsregcmd: dsregcmd.exe /status |
| Programmet måste ansluta till den hanterade instansen via en interaktiv session. | Detta stöder program som SQL Server Management Studio (SSMS) och webbprogram, men fungerar inte för program som körs som en tjänst. |
| Microsoft Entra-klientorganisation. | |
| Azure-prenumeration under samma Microsoft Entra-klientorganisation som du planerar att använda för autentisering. | |
| Microsoft Entra Connect installerat. | Hybridmiljöer där identiteter finns både i Microsoft Entra-ID och AD. |
Se Så här konfigurerar du Windows-autentisering för Microsoft Entra-ID med det moderna interaktiva flödet för steg för att aktivera det här autentiseringsflödet.
Inkommande förtroendebaserat autentiseringsflöde
Följande krav krävs för att implementera det inkommande förtroendebaserade autentiseringsflödet:
| Förutsättning | Beskrivning |
|---|---|
| Klienten måste köra Windows 10, Windows Server 2012 eller en högre version av Windows. | |
| Klienter måste vara anslutna till AD. Domänen måste ha en funktionsnivå för Windows Server 2012 eller senare. | Du kan avgöra om klienten är ansluten till AD genom att köra kommandot dsregcmd: dsregcmd.exe /status |
| Azure AD Hybrid Authentication Management Module. | Den här PowerShell-modulen innehåller hanteringsfunktioner för lokal installation. |
| Microsoft Entra-klientorganisation. | |
| Azure-prenumeration under samma Microsoft Entra-klientorganisation som du planerar att använda för autentisering. | |
| Microsoft Entra Connect installerat. | Hybridmiljöer där identiteter finns både i Microsoft Entra-ID och AD. |
Se Så här konfigurerar du Windows-autentisering för Microsoft Entra-ID med inkommande förtroendebaserat flöde för anvisningar om hur du aktiverar det här autentiseringsflödet.
Konfigurera Azure SQL Managed Instance
Stegen för att konfigurera Azure SQL Managed Instance är desamma för både det inkommande förtroendebaserade autentiseringsflödet och det moderna interaktiva autentiseringsflödet.
Förutsättningar för att konfigurera en hanterad instans
Följande krav krävs för att konfigurera en hanterad instans för Windows-autentisering för Microsoft Entra-huvudnamn:
| Förutsättning | Beskrivning |
|---|---|
| Az.Sql PowerShell-modul | Den här PowerShell-modulen innehåller hanterings-cmdletar för Azure SQL-resurser. Installera den här modulen genom att köra följande PowerShell-kommando: Install-Module -Name Az.Sql |
| Microsoft Graph PowerShell-modul | Den här modulen innehåller hanteringscmdletar för administrativa uppgifter för Microsoft Entra ID, till exempel hantering av användare och tjänsthuvudmän. Installera den här modulen genom att köra följande PowerShell-kommando: Install-Module –Name Microsoft.Graph |
| En hanterad instans | Du kan skapa en ny hanterad instans eller använda en befintlig hanterad instans. |
Konfigurera varje hanterad instans
Se Konfigurera Azure SQL Managed Instance för Windows-autentisering för Microsoft Entra-ID för steg för att konfigurera varje hanterad instans.
Begränsningar
Följande begränsningar gäller för Windows-autentisering för Microsoft Entra-huvudnamn på Azure SQL Managed Instance:
Inte tillgängligt för Linux-klienter
Windows-autentisering för Microsoft Entra-huvudnamn stöds för närvarande endast för klientdatorer som kör Windows.
Cachelagrad Inloggning i Microsoft Entra-ID
Windows begränsar hur ofta det ansluter till Microsoft Entra-ID, så det finns en potential för användarkonton att inte ha en uppdaterad Kerberos-biljettbeviljande biljett (TGT) inom 4 timmar efter en uppgradering eller ny distribution av en klientdator. Användarkonton som inte har en uppdaterad TGT resulterar i misslyckade biljettbegäranden från Microsoft Entra-ID.
Som administratör kan du utlösa en onlineinloggning omedelbart för att hantera uppgraderingsscenarier genom att köra följande kommando på klientdatorn och sedan låsa upp och låsa upp användarsessionen för att få en uppdaterad TGT:
dsregcmd.exe /RefreshPrt
Nästa steg
Läs mer om att implementera Windows-autentisering för Microsoft Entra-huvudnamn på Azure SQL Managed Instance:
- Vad är Windows-autentisering för Microsoft Entra-huvudprinciper på Azure SQL Managed Instance?
- Hur Windows-autentisering för Azure SQL Managed Instance implementeras med Microsoft Entra ID och Kerberos
- Konfigurera Windows-autentisering för Microsoft Entra-ID med det moderna interaktiva flödet
- Konfigurera Windows-autentisering för Microsoft Entra-ID med inkommande förtroendebaserat flöde
- Konfigurera Azure SQL Managed Instance för Windows-autentisering för Microsoft Entra-ID