Postup nastavení Integrovaného ověřování Windows pro Microsoft Entra ID s využitím toku založeného na příchozím vztahu důvěryhodnosti

Tento článek popisuje, jak implementovat příchozí tok ověřování na základě důvěryhodnosti, který umožňuje klientům připojeným ke službě Active Directory (AD) s Windows 10, Windows Serverem 2012 nebo vyššími verzemi Windows ověřovat ve spravované instanci Azure SQL pomocí ověřování systému Windows.

Tento článek obsahuje také postup obměna klíče Kerberos pro váš účet služby v Microsoft Entra ID (dříve Azure Active Directory) a objektu důvěryhodné domény a postup odebrání důvěryhodného objektu domény a všech nastavení protokolu Kerberos, pokud je to žádoucí.

Povolení toku ověřování na základě důvěryhodnosti je jedním krokem při nastavování ověřování systému Windows pro spravovanou instanci Azure SQL pomocí Microsoft Entra ID a Kerberosu. Moderní interaktivní tok je k dispozici pro kompatibilní klienty s Windows 10 20H1, Windows Serverem 2022 nebo novější verzí Windows.

Oprávnění

K dokončení kroků uvedených v tomto článku potřebujete:

• Uživatelské jméno a heslo správce místní Active Directory.
• Uživatelské jméno a heslo účtu globálního správce Microsoft Entra

Požadavky

Pokud chcete implementovat příchozí tok ověřování na základě důvěryhodnosti, nejprve se ujistěte, že byly splněny následující požadavky:

Vytvoření a konfigurace objektu důvěryhodné domény protokolu Microsoft Entra Kerberos

Pokud chcete vytvořit a nakonfigurovat objekt důvěryhodné domény protokolu Microsoft Entra Kerberos, nainstalujte modul PowerShellu pro správu hybridního ověřování Azure AD.

Pak použijete modul PowerShellu pro správu hybridního ověřování Azure AD k nastavení důvěryhodného objektu domény v místní doméně AD a registraci informací o důvěryhodnosti v Microsoft Entra ID. Tím se vytvoří vztah důvěryhodnosti vázaný do místní služby AD, která umožňuje službě Microsoft Entra ID důvěřovat místní službě AD.

Nastavení objektu důvěryhodné domény

Pokud chcete nastavit objekt důvěryhodné domény, nejprve nainstalujte modul PowerShellu pro správu hybridního ověřování Azure AD.

Instalace modulu PowerShellu pro hybridní ověřování Azure AD

1. Spusťte relaci Windows PowerShellu s možností Spustit jako správce .

2. Pomocí následujícího skriptu nainstalujte modul PowerShellu pro správu hybridního ověřování Azure AD. Tento skript:

   • Povolí komunikaci pomocí protokolu TLS 1.2.
   • Nainstaluje zprostředkovatele balíčku NuGet.
   • Zaregistruje úložiště PSGallery.
   • Nainstaluje modul PowerShellGet.
   • Nainstaluje modul PowerShellu pro správu hybridního ověřování Azure AD.
     • Azure AD Hybrid Authentication Management PowerShell používá modul AzureADPreview, který poskytuje pokročilou funkci správy Microsoft Entra.
     • Pokud chcete chránit před zbytečnými konflikty instalace s modulem Azure AD PowerShell, tento příkaz obsahuje příznak možnosti –AllowClobber.

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

Install-PackageProvider -Name NuGet -Force

if (@(Get-PSRepository | Where-Object { $_.Name -eq "PSGallery" }).Count -eq -1) {
    Register-PSRepository -Default
    Set-PSRepository -Name "PSGallery" -InstallationPolicy Trusted
}

Install-Module -Name PowerShellGet -Force

Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber

Vytvoření objektu důvěryhodné domény

1. Spusťte relaci Windows PowerShellu s možností Spustit jako správce .

2. Nastavte společné parametry. Před spuštěním upravte následující skript.

   • $domain Nastavte parametr na název domény místní Active Directory.
   • Po zobrazení výzvy Get-Credentialzadejte uživatelské jméno a heslo správce místní Active Directory.
   • $cloudUserName Nastavte parametr na uživatelské jméno privilegovaného účtu globálního správce pro přístup ke cloudu Microsoft Entra.

   Poznámka:

   Pokud chcete pro přístup k místní Active Directory použít svůj aktuální přihlašovací účet Windows, můžete přeskočit krok, ve kterém jsou k parametru $domainCred přiřazeny přihlašovací údaje. Pokud tento přístup provedete, nezahrnujte parametr -DomainCredential do příkazů PowerShellu, které následují v tomto kroku.

   $domain = "your on-premesis domain name, for example contoso.com"
   
   $domainCred = Get-Credential
   
   $cloudUserName = "Azure AD user principal name, for example admin@contoso.onmicrosoft.com"
   

3. Zkontrolujte aktuální nastavení domény Kerberos.

   Spuštěním následujícího příkazu zkontrolujte aktuální nastavení protokolu Kerberos vaší domény:

   Get-AzureAdKerberosServer -Domain $domain `
       -DomainCredential $domainCred `
       -UserPrincipalName $cloudUserName
   

   Pokud se jedná o první volání jakéhokoli příkazu Microsoft Entra Kerberos, zobrazí se výzva k přístupu ke cloudu Microsoft Entra.

   • Zadejte heslo pro účet globálního správce Microsoft Entra.
   • Pokud vaše organizace používá jiné moderní metody ověřování, jako je vícefaktorové ověřování Microsoft Entra nebo čipová karta, postupujte podle pokynů požadovaných pro přihlášení.

   Pokud konfigurujete nastavení protokolu Microsoft Entra Kerberos poprvé, zobrazí rutina Get-AzureAdKerberosServer prázdné informace, jako v následujícím ukázkovém výstupu:

   ID                  :
   UserAccount         :
   ComputerAccount     :
   DisplayName         :
   DomainDnsName       :
   KeyVersion          :
   KeyUpdatedOn        :
   KeyUpdatedFrom      :
   CloudDisplayName    :
   CloudDomainDnsName  :
   CloudId             :
   CloudKeyVersion     :
   CloudKeyUpdatedOn   :
   CloudTrustDisplay   :
   

   Pokud vaše doména už podporuje ověřování FIDO, zobrazí rutina Get-AzureAdKerberosServer informace o účtu služby Microsoft Entra, jako v následujícím ukázkovém výstupu. Pole CloudTrustDisplay vrátí prázdnou hodnotu.

   ID                  : 25614
   UserAccount         : CN=krbtgt-AzureAD, CN=Users, DC=aadsqlmi, DC=net
   ComputerAccount     : CN=AzureADKerberos, OU=Domain Controllers, DC=aadsqlmi, DC=net
   DisplayName         : krbtgt_25614
   DomainDnsName       : aadsqlmi.net
   KeyVersion          : 53325
   KeyUpdatedOn        : 2/24/2022 9:03:15 AM
   KeyUpdatedFrom      : ds-aad-auth-dem.aadsqlmi.net
   CloudDisplayName    : krbtgt_25614
   CloudDomainDnsName  : aadsqlmi.net
   CloudId             : 25614
   CloudKeyVersion     : 53325
   CloudKeyUpdatedOn   : 2/24/2022 9:03:15 AM
   CloudTrustDisplay   :
   

4. Přidejte objekt důvěryhodné domény.

   Spuštěním rutiny Set-AzureAdKerberosServer PowerShell přidejte objekt důvěryhodné domény. Nezapomeňte zahrnout -SetupCloudTrust parametr. Pokud neexistuje žádný účet služby Microsoft Entra, tento příkaz vytvoří nový účet služby Microsoft Entra. Tento příkaz vytvoří požadovaný objekt důvěryhodné domény pouze v případě, že existuje účet služby Microsoft Entra.

   Set-AzureADKerberosServer -Domain $domain -UserPrincipalName $cloudUserName -DomainCredential $domainCred -SetupCloudTrust
   

   Poznámka:

   Pokud chcete zabránit chybě LsaCreateTrustedDomainEx 0x549 při spuštění příkazu v podřízené doméně, v doménové struktuře s více doménami:

   1. Spusťte příkaz v kořenové doméně (parametr include -SetupCloudTrust ).
   2. Spusťte stejný příkaz v podřízené doméně bez parametru -SetupCloudTrust .

   Po vytvoření důvěryhodného objektu domény můžete pomocí rutiny PowerShellu Get-AzureAdKerberosServer zkontrolovat aktualizované nastavení protokolu Kerberos, jak je znázorněno v předchozím kroku. Pokud se Set-AzureAdKerberosServer rutina úspěšně spustila s parametrem -SetupCloudTrust , CloudTrustDisplay pole by se teď mělo vrátit Microsoft.AzureAD.Kdc.Service.TrustDisplay, jako v následujícím ukázkovém výstupu:

   ID                  : 25614
   UserAccount         : CN=krbtgt-AzureAD, CN=Users, DC=aadsqlmi, DC=net
   ComputerAccount     : CN=AzureADKerberos, OU=Domain Controllers, DC=aadsqlmi, DC=net
   DisplayName         : krbtgt_25614
   DomainDnsName       : aadsqlmi.net
   KeyVersion          : 53325
   KeyUpdatedOn        : 2/24/2022 9:03:15 AM
   KeyUpdatedFrom      : ds-aad-auth-dem.aadsqlmi.net
   CloudDisplayName    : krbtgt_25614
   CloudDomainDnsName  : aadsqlmi.net
   CloudId             : 25614
   CloudKeyVersion     : 53325
   CloudKeyUpdatedOn   : 2/24/2022 9:03:15 AM
   CloudTrustDisplay   : Microsoft.AzureAD.Kdc.Service.TrustDisplay
   

   Poznámka:

   Suverénní cloudy Azure vyžadují nastavení TopLevelNames vlastnosti, která je ve výchozím nastavení nastavená windows.net . Nasazení suverénního cloudu Azure spravované instance SQL používají jiný název domény nejvyšší úrovně, například usgovcloudapi.net pro Azure US Government. Nastavte důvěryhodný objekt domény na název domény nejvyšší úrovně pomocí následujícího příkazu PowerShellu: Set-AzureADKerberosServer -Domain $domain -DomainCredential $domainCred -CloudCredential $cloudCred -SetupCloudTrust -TopLevelNames "usgovcloudapi.net,windows.net" Nastavení můžete ověřit pomocí následujícího příkazu PowerShellu: Get-AzureAdKerberosServer -Domain $domain -DomainCredential $domainCred -UserPrincipalName $cloudUserName | Select-Object -ExpandProperty CloudTrustDisplay.

Konfigurace objektu zásad skupiny (GPO)

1. Identifikujte ID tenanta Microsoft Entra.

2. Pomocí příchozího toku založeného na důvěryhodnosti nasaďte následující nastavení zásad skupiny do klientských počítačů:

   1. Upravte šablony pro správu\System\Kerberos\Zadat proxy servery KDC pro nastavení zásad klientů Kerberos.

   2. Vyberte Povoleno.

   3. V části Možnosti vyberte Zobrazit.... Otevře se dialogové okno Zobrazit obsah.

      

   4. Nastavení proxy serverů KDC definujte pomocí mapování následujícím způsobem. Zástupný symbol nahraďte ID your_Azure_AD_tenant_id tenanta Microsoft Entra. Všimněte si následující https mezery a před uzavřením / v mapování hodnot.

      Název hodnoty	Hodnota
      KERBEROS.MICROSOFTONLINE.COM	<https login.microsoftonline.com:443:your_Azure_AD_tenant_id/kerberos />

      

   5. Kliknutím na tlačítko OK zavřete dialogové okno Zobrazit obsah.

   6. V dialogovém okně Zadat proxy servery KDC pro klienty Kerberos vyberte Použít .

Otočení klíče Kerberos

Pro účely správy můžete pravidelně obměňovat klíč Kerberos pro vytvořený účet služby Microsoft Entra a důvěryhodný objekt domény.

Set-AzureAdKerberosServer -Domain $domain `
   -DomainCredential $domainCred `
   -UserPrincipalName $cloudUserName -SetupCloudTrust `
   -RotateServerKey

Po obměně klíče trvá několik hodin, než se změněný klíč rozšíří mezi servery KDC protokolu Kerberos. Vzhledem k tomuto načasování distribuce klíčů můžete klíč otočit jednou za 24 hodin. Pokud potřebujete klíč znovu otočit do 24 hodin z jakéhokoli důvodu, například hned po vytvoření důvěryhodného objektu -Force domény, můžete přidat parametr:

Set-AzureAdKerberosServer -Domain $domain `
   -DomainCredential $domainCred `
   -UserPrincipalName $cloudUserName -SetupCloudTrust `
   -RotateServerKey -Force

Odebrání objektu důvěryhodné domény

Přidaný objekt důvěryhodné domény můžete odebrat pomocí následujícího příkazu:

Remove-AzureADKerberosServerTrustedDomainObject -Domain $domain `
   -DomainCredential $domainCred `
   -UserPrincipalName $cloudUserName

Tento příkaz odebere pouze objekt důvěryhodné domény. Pokud vaše doména podporuje ověřování FIDO, můžete odebrat důvěryhodný objekt domény při zachování účtu služby Microsoft Entra vyžadovaný pro ověřovací službu FIDO.

Odebrat všechna nastavení protokolu Kerberos

Účet služby Microsoft Entra i objekt důvěryhodné domény můžete odebrat pomocí následujícího příkazu:

Remove-AzureAdKerberosServer -Domain $domain `
   -DomainCredential $domainCred `
   -UserPrincipalName $cloudUserName

Související obsah

• Konfigurace Azure SQL Managed Instance pro ověřování Windows pro Microsoft Entra ID.
• Co je Integrované ověřování Windows pro objekty zabezpečení Microsoft Entra ve službě Azure SQL Managed Instance?
• Jak nastavit Integrované ověřování Windows pro službu Azure SQL Managed Instance s využitím Microsoft Entra ID a protokolu Kerberos.