Hur du konfigurerar Windows-autentisering för Azure SQL Managed Instance med hjälp av Microsoft Entra ID och Kerberos
Den här artikeln ger en översikt över hur du konfigurerar infrastruktur och hanterade instanser för att implementera Windows-autentisering för huvudkonton i Azure SQL Managed Instance med Microsoft Entra-ID (tidigare Azure Active Directory).
Det finns två faser för att konfigurera Windows-autentisering för Azure SQL Managed Instance med hjälp av Microsoft Entra-ID och Kerberos.
- Installation av engångsinfrastruktur.
- Synkronisera Active Directory (AD) och Microsoft Entra ID, om detta inte redan har gjorts.
- Aktivera det moderna interaktiva autentiseringsflödet när det är tillgängligt. Det moderna interaktiva flödet rekommenderas för organisationer med Microsoft Entra-anslutna eller hybrid-anslutna klienter som kör Windows 10 20H1/Windows Server 2022 och senare.
- Konfigurera det inkommande förtroendebaserade autentiseringsflödet. Detta rekommenderas för kunder som inte kan använda det moderna interaktiva flödet, men som har AD-anslutna klienter som kör Windows 10/Windows Server 2012 och senare.
- Konfiguration av Azure SQL Managed Instance.
- Skapa ett systemtilldelat tjänsthuvudnamn för varje hanterad instans.
Kommentar
Microsoft Entra-ID är det nya namnet för Azure Active Directory (Azure AD). Vi uppdaterar dokumentationen just nu.
Installation av engångsinfrastruktur
Det första steget i infrastrukturkonfigurationen är att synkronisera AD med Microsoft Entra-ID, om detta inte redan har slutförts.
Därefter konfigurerar en systemadministratör autentiseringsflöden. Två autentiseringsflöden är tillgängliga för att implementera Windows-autentisering för Microsoft Entra-huvudkonton i Azure SQL Managed Instance: det inkommande förtroendebaserade flödet stöder AD-anslutna klienter som kör Windows Server 2012 eller senare, och det moderna interaktiva flödet stöder Microsoft Entra-anslutna klienter som kör Windows 10 21H1 eller senare.
Synkronisera AD med Microsoft Entra-ID
Kunderna bör först implementera Microsoft Entra Anslut för att integrera lokala kataloger med Microsoft Entra-ID.
Välj vilka autentiseringsflöden du ska implementera
Följande diagram visar berättigande och kärnfunktionerna i det moderna interaktiva flödet och det inkommande förtroendebaserade flödet:
"Ett beslutsträd som visar att det moderna interaktiva flödet är lämpligt för klienter som kör Windows 10 20H1 eller Windows Server 2022 eller senare, där klienter är Microsoft Entra-anslutna eller Microsoft Entra Hybrid-anslutna. Det inkommande förtroendebaserade flödet är lämpligt för klienter som kör Windows 10 eller Windows Server 2012 eller senare där klienter är AD-anslutna."
Det moderna interaktiva flödet fungerar med upplysta klienter som kör Windows 10 21H1 och senare som är Microsoft Entra-anslutna eller Microsoft Entra Hybrid-anslutna. I det moderna interaktiva flödet kan användare komma åt Azure SQL Managed Instance utan att behöva en siktlinje för domänkontrollanter (DCs). Det finns inget behov av att skapa ett förtroendeobjekt i kundens AD. För att aktivera det moderna interaktiva flödet anger en administratör grupprincip för Kerberos-autentiseringsbiljetter (TGT) som ska användas under inloggningen.
Det inkommande förtroendebaserade flödet fungerar för klienter som kör Windows 10 eller Windows Server 2012 och senare. Det här flödet kräver att klienterna är anslutna till AD och har en siktlinje till AD lokalt. I det inkommande förtroendebaserade flödet skapas ett förtroendeobjekt i kundens AD och registreras i Microsoft Entra-ID. Om du vill aktivera det inkommande förtroendebaserade flödet konfigurerar en administratör ett inkommande förtroende med Microsoft Entra-ID och konfigurerar Kerberos Proxy via grupprincip.
Modernt interaktivt autentiseringsflöde
Följande krav måste vara uppfyllda innan du kan implementera det moderna interaktiva autentiseringsflödet:
| Förutsättning | Description |
|---|---|
| Klienter måste köra Windows 10 20H1, Windows Server 2022 eller en senare version av Windows. | |
| Klienter måste vara Microsoft Entra-anslutna eller Microsoft Entra-hybridanslutningar. | Du kan ta reda på om den här förutsättningen uppfylls genom att köra kommandot dsregcmd: dsregcmd.exe /status |
| Programmet måste ansluta till den hanterade instansen via en interaktiv session. | Detta stöder program som SQL Server Management Studio (SSMS) och webbprogram, men fungerar inte för program som körs som en tjänst. |
| Microsoft Entra-klientorganisation. | |
| Azure-prenumeration under samma Microsoft Entra-klientorganisation som du planerar att använda för autentisering. | |
| Microsoft Entra Anslut installerat. | Hybridmiljöer där identiteter finns både i Microsoft Entra ID och AD. |
I Konfigurera Windows-autentisering för Microsoft Entra ID med det moderna interaktiva flödet hittar du steg för att aktivera det här autentiseringsflödet.
Inkommande förtroendebaserat autentiseringsflöde
Följande krav måste vara uppfyllda innan du kan implementera det inkommande förtroendebaserade autentiseringsflödet:
| Förutsättning | Description |
|---|---|
| Klienten måste köra Windows 10, Windows Server 2012 eller en senare version av Windows. | |
| Klienter måste vara anslutna till AD. Domänen måste ha Windows Server 2012-funktionsnivån eller senare. | Du kan ta reda på om klienten är ansluten till AD genom att köra kommandot dsregcmd: dsregcmd.exe /status |
| Modul för Azure AD-hybridautentiseringshantering. | Den här PowerShell-modulen innehåller hanteringsfunktioner för lokal installation. |
| Microsoft Entra-klientorganisation. | |
| Azure-prenumeration under samma Microsoft Entra-klientorganisation som du planerar att använda för autentisering. | |
| Microsoft Entra Anslut installerat. | Hybridmiljöer där identiteter finns både i Microsoft Entra ID och AD. |
I Konfigurera Windows-autentisering för Microsoft Entra ID med det inkommande förtroendebaserade flödet hittar du instruktioner för hur du aktiverar det här autentiseringsflödet.
Konfigurera Azure SQL Managed Instance
Stegen för att konfigurera Azure SQL Managed Instance är desamma för både det inkommande förtroendebaserade autentiseringsflödet och det moderna interaktiva autentiseringsflödet.
Förutsättningar för att konfigurera en hanterad instans
Följande krav måste uppfyllas innan du kan konfigurera en hanterad instans för Windows-autentisering för Microsoft Entra-huvudkonton:
| Förutsättning | Description |
|---|---|
| Az.Sql PowerShell-modul | Den här PowerShell-modulen innehåller cmdletar för hantering för Azure SQL-resurser. Installera den här modulen genom att köra följande PowerShell-kommando: Install-Module -Name Az.Sql |
| Microsoft Graph PowerShell-modul | Den här modulen innehåller hanterings-cmdletar för administrativa uppgifter för Microsoft Entra-ID, till exempel hantering av användar- och tjänstens huvudnamn. Installera den här modulen genom att köra följande PowerShell-kommando: Install-Module –Name Microsoft.Graph |
| En hanterad instans | Du kan skapa en ny hanterad instans eller använda en befintlig hanterad instans. |
Konfigurera varje hanterad instans
I Konfigurera Azure SQL Managed Instance för Windows-autentisering för Microsoft Entra ID hittar du steg för att konfigurera varje hanterad instans.
Begränsningar
Följande begränsningar gäller för Windows-autentisering för Microsoft Entra-huvudnamn på Azure SQL Managed Instance:
Inte tillgängligt för Linux-klienter
Windows-autentisering för Microsoft Entra-huvudnamn stöds för närvarande endast för klientdatorer som kör Windows.
Cachelagrad Inloggning i Microsoft Entra-ID
Windows begränsar hur ofta det ansluter till Microsoft Entra-ID, så det finns en potential för användarkonton att inte ha en uppdaterad Kerberos-biljettbeviljande biljett (TGT) inom 4 timmar efter en uppgradering eller ny distribution av en klientdator. Användarkonton som inte har en uppdaterad TGT resulterar i misslyckade biljettbegäranden från Microsoft Entra-ID.
Som administratör kan du utlösa en onlineinloggning omedelbart för att hantera uppgraderingsscenarier genom att köra följande kommando på klientdatorn och sedan låsa upp och låsa upp användarsessionen för att få en uppdaterad TGT:
dsregcmd.exe /RefreshPrt
Nästa steg
Läs mer om att implementera Windows-autentisering för Microsoft Entra-huvudnamn på Azure SQL Managed Instance:
- Vad är Windows-autentisering för Microsoft Entra-huvudkonton i Azure SQL Managed Instance?
- Så här implementeras Windows-autentisering för Azure SQL Managed Instance med Microsoft Entra ID och Kerberos
- Konfigurera Windows-autentisering för Microsoft Entra ID med det moderna interaktiva flödet
- Konfigurera Windows-autentisering för Microsoft Entra ID med det inkommande förtroendebaserade flödet
- Konfigurera Azure SQL Managed Instance för Windows-autentisering för Microsoft Entra ID