Jak nastavit Integrované ověřování Windows pro službu Azure SQL Managed Instance s využitím Microsoft Entra ID a protokolu Kerberos.

Tento článek poskytuje přehled o tom, jak nastavit infrastrukturu a spravované instance pro implementaci ověřování systému Windows pro objekty zabezpečení ve službě Azure SQL Managed Instance pomocí Microsoft Entra ID (dříve Azure Active Directory).

Existují dvě fáze nastavení ověřování systému Windows pro spravovanou instanci Azure SQL pomocí Microsoft Entra ID a Kerberosu.

  • Jednorázové nastavení infrastruktury
    • Pokud jste to ještě neudělali, synchronizujte Active Directory (AD) a Microsoft Entra ID.
    • Pokud je to k dispozici, povolte moderní interaktivní tok ověřování. Moderní interaktivní tok se doporučuje pro organizace s klienty připojenými k Microsoft Entra nebo hybridními připojenými klienty se systémem Windows 10 20H1 / Windows Server 2022 a novějším.
    • Nastavte příchozí tok ověřování na základě důvěryhodnosti. To se doporučuje pro zákazníky, kteří nemůžou používat moderní interaktivní tok, ale kteří mají klienty připojené ke službě AD s Windows 10 nebo Windows Serverem 2012 a novějším.
  • Konfigurace služby Azure SQL Managed Instance
    • Vytvořte instanční objekt přiřazený systémem pro každou spravovanou instanci.

Poznámka:

ID Microsoft Entra se dříve označovalo jako Azure Active Directory (Azure AD).

Jednorázové nastavení infrastruktury

Prvním krokem v nastavení infrastruktury je synchronizace AD s ID Microsoft Entra, pokud ještě nebyla dokončena.

Za tímto způsobem správce systému konfiguruje toky ověřování. K dispozici jsou dva toky ověřování pro ověřování systému Windows pro objekty zabezpečení Microsoft Entra ve službě Azure SQL Managed Instance: příchozí tok založený na důvěryhodnosti podporuje klienty připojené ke službě AD se systémem Windows Server 2012 nebo vyšší a moderní interaktivní tok podporuje klienty připojené k Microsoft Entra s Windows 10 21H1 nebo vyšší.

Synchronizace AD s Microsoft Entra ID

Zákazníci by nejprve měli implementovat Microsoft Entra Připojení pro integraci místních adresářů s ID Microsoft Entra.

Vyberte, které toky ověřování budete implementovat.

Následující diagram znázorňuje způsobilost a základní funkce moderního interaktivního toku a příchozího toku založeného na důvěryhodnosti:

A decision tree showing criteria to select authentication flows.

"Rozhodovací strom znázorňující, že moderní interaktivní tok je vhodný pro klienty se systémem Windows 10 20H1 nebo Windows Server 2022 nebo vyšší, kde klienti jsou připojeni k Microsoft Entra nebo Microsoft Entra hybrid join. Příchozí tok založený na důvěryhodnosti je vhodný pro klienty se systémem Windows 10 nebo Windows Server 2012 nebo novějším, kde jsou klienti připojeni ke službě AD."

Moderní interaktivní tok funguje s kompatibilními klienty s Windows 10 21H1 a novějšími, kteří jsou připojeni k Microsoft Entra nebo hybridním připojeným Microsoft Entra. V moderním interaktivním toku mají uživatelé přístup ke službě Azure SQL Managed Instance, aniž by museli mít přehled o řadičích domény. V AD zákazníka není potřeba vytvořit objekt důvěryhodnosti. Pokud chcete povolit moderní interaktivní tok, správce nastaví zásady skupiny pro lístky ověřování Kerberos (TGT), které se použijí při přihlášení.

Příchozí tok založený na důvěryhodnosti funguje pro klienty s Windows 10 nebo Windows Serverem 2012 a novějším. Tento tok vyžaduje, aby se klienti připojili ke službě AD a měli přehled o službě AD z místního prostředí. V příchozím toku založeném na důvěryhodnosti se v AD zákazníka vytvoří objekt důvěryhodnosti a je zaregistrovaný v Microsoft Entra ID. Pokud chcete povolit příchozí tok založený na důvěryhodnosti, správce nastaví příchozí vztah důvěryhodnosti s ID Microsoft Entra a nastaví proxy kerberos prostřednictvím zásad skupiny.

Moderní interaktivní tok ověřování

K implementaci moderního interaktivního toku ověřování musí být splněné následující požadavky:

Požadavek Description
Na klientech musí být Windows 10 20H1, Windows Server 2022 nebo novější verze Windows.
Klienti musí být připojení k microsoftu Entra nebo hybridní připojení Microsoft Entra. Pokud chcete zjistit, jestli splňujete tento požadavek, můžete spustit příkaz dsregcmd: dsregcmd.exe /status
Aplikace se musí ke spravované instanci připojovat prostřednictvím interaktivní relace. Tuto podporu nabízejí aplikace, jako jsou SQL Server Management Studio (SSMS) nebo webové aplikace, ale u aplikací, které běží jako služba, to nefunguje.
Tenant Microsoft Entra.
Předplatné Azure ve stejném tenantovi Microsoft Entra, kterého plánujete používat k ověřování.
Microsoft Entra Připojení nainstalován. Hybridní prostředí, ve kterém identity existují v Microsoft Entra ID i v AD

Postup povolení tohoto toku ověřování najdete v tématu Postup nastavení Integrovaného ověřování Windows pro Microsoft Entra ID s využitím moderního interaktivního toku.

Tok ověřování na základě důvěryhodnosti příchozích dat

K implementaci toku ověřování založeného na příchozím vztahu důvěryhodnosti musí být splněné následující požadavky:

Požadavek Description
Na klientech musí být Windows 10, Windows Server 2012 nebo novější verze Windows.
Klienti musí být připojeni k AD. Doména musí mít funkční úroveň Windows Serveru 2012 nebo novějšího. Pokud chcete zjistit, jestli je klient připojený k AD, můžete spustit příkaz dsregcmd: dsregcmd.exe /status
Modul pro správu hybridního ověřování Azure AD Tento modul PowerShellu nabízí funkce pro správu místního nastavení.
Tenant Microsoft Entra.
Předplatné Azure ve stejném tenantovi Microsoft Entra, kterého plánujete používat k ověřování.
Microsoft Entra Připojení nainstalován. Hybridní prostředí, ve kterém identity existují v Microsoft Entra ID i v AD

Pokyny k povolení tohoto toku ověřování najdete v tématu Postup nastavení Integrovaného ověřování Windows pro Microsoft Entra ID s využitím toku založeného na příchozím vztahu důvěryhodnosti.

Konfigurace spravované instance Azure SQL

Postup nastavení služby Azure SQL Managed Instance je stejný pro tok ověřování založený na příchozím vztahu důvěryhodnosti i pro moderní interaktivní tok ověřování.

Požadavky na konfiguraci spravované instance

Ke konfiguraci Integrovaného ověřování Windows pro objekty zabezpečení Microsoft Entra ve spravované instanci musí být splněné následující požadavky:

Požadavek Description
Modul Az.Sql PowerShellu Tento modul PowerShellu nabízí rutiny pro správu prostředků Azure SQL. Nainstalujte tento modul spuštěním následujícího příkazu PowerShellu: Install-Module -Name Az.Sql
Modul Microsoft Graph PowerShellu Tento modul poskytuje rutiny správy pro úlohy správy Microsoft Entra ID, jako je správa uživatele a instančního objektu. Nainstalujte tento modul spuštěním následujícího příkazu PowerShellu: Install-Module –Name Microsoft.Graph
Spravovaná instance Můžete vytvořit novou spravovanou instanci nebo použít existující spravovanou instanci.

Konfigurace jednotlivých spravovaných instancí

Postup konfigurace jednotlivých spravovaných instancí najdete v tématu Konfigurace Integrovaného ověřování Windows pro Microsoft Entra ID ve službě Azure SQL Managed Instance.

Omezení

Následující omezení platí pro ověřování systému Windows pro objekty zabezpečení Microsoft Entra ve službě Azure SQL Managed Instance:

Není k dispozici pro klienty s Linuxem

Ověřování systému Windows pro objekty zabezpečení Microsoft Entra je aktuálně podporováno pouze pro klientské počítače s Windows.

Přihlášení k microsoft Entra ID v mezipaměti

Systém Windows omezuje, jak často se připojuje k Microsoft Entra ID, takže existuje potenciál, že uživatelské účty nebudou mít aktualizovaný lístek TGT (Kerberos Ticket Grant Ticket) do 4 hodin od upgradu nebo nového nasazení klientského počítače. Uživatelské účty, které nemají aktualizované TGT, mají za následek neúspěšné žádosti o lístek z Microsoft Entra ID.

Jako správce můžete aktivovat online přihlášení okamžitě, abyste mohli zpracovat scénáře upgradu spuštěním následujícího příkazu na klientském počítači a následným uzamčením a odemknutím uživatelské relace, abyste získali aktualizovaný TGT:

dsregcmd.exe /RefreshPrt

Další kroky

Další informace o implementaci ověřování systému Windows pro objekty zabezpečení Microsoft Entra ve službě Azure SQL Managed Instance: