Einrichtung der Windows-Authentifizierung für Azure SQL Managed Instance mit Microsoft Entra ID und Kerberos

Dieser Artikel bietet eine Übersicht über das Einrichten von Infrastruktur und verwalteten Instanzen zum Implementieren der Windows-Authentifizierung für Prinzipale für Azure SQL Managed Instance mit Microsoft Entra ID (ehemals Azure Active Directory).

Es gibt zwei Phasen, um die Windows-Authentifizierung für Azure SQL Managed Instance mit Microsoft Entra ID und Kerberos einzurichten.

  • Einmalige Einrichtung der Infrastruktur
    • Synchronisieren Sie Active Directory (AD) und Microsoft Entra ID, falls dies noch nicht geschehen ist.
    • Sofern verfügbar, aktivieren Sie den modernen interaktiven Authentifizierungsflow. Der moderne interaktive Ablauf wird für Unternehmen mit Microsoft Entra- oder Hybrid-verbundenen Clients unter Windows 10 20H1 / Windows Server 2022 und höher empfohlen.
    • Richten Sie den eingehenden vertrauensbasierten Authentifizierungsflow ein. Dies wird für Kunden empfohlen, die den modernen interaktiven Flow nicht verwenden können, aber über in AD eingebundene Clients verfügen, auf denen Windows 10/Windows Server 2012 oder höher ausgeführt wird.
  • Konfiguration von Azure SQL Managed Instance
    • Erstellen Sie für jede verwaltete Instanz einen systemseitig zugewiesenen Dienstprinzipal.

Hinweis

Microsoft Entra ID war zuvor als Azure Active Directory (Azure AD) bekannt.

Einmalige Einrichtung der Infrastruktur

Der erste Schritt beim Einrichten der Infrastruktur besteht darin, AD mit Microsoft Entra ID zu synchronisieren, sofern dies noch nicht geschehen ist.

Anschließend werden von einem Systemadministrator Authentifizierungsflows konfiguriert. Für die Implementierung von Windows-Authentifizierung für Microsoft Entra-Prinzipale in Azure SQL Managed Instance stehen zwei Authentifizierungsflows zur Verfügung: der eingehende vertrauensbasierte Flow, der in AD eingebundene Clients unterstützt, auf denen Windows Server 2012 oder höher ausgeführt wird, und der moderne interaktive Flow, der in Microsoft Entra eingebundene Clients unterstützt, auf denen Windows 10 21H1 oder höher ausgeführt wird.

AD mit Microsoft Entra ID synchronisieren

Kunden sollten zunächst Microsoft Entra Connect implementieren, um lokale Verzeichnisse mit Microsoft Entra ID zu integrieren.

Wählen Sie aus, welche(n) Authentifizierungsflow(s) Sie implementieren möchten.

Das folgende Diagramm zeigt die Eignung und die Kernfunktionen des modernen interaktiven Flows und des eingehenden vertrauensbasierten Flows:

A decision tree showing criteria to select authentication flows.

„Eine Entscheidungsstruktur, die zeigt, dass der moderne interaktive Flow für Clients geeignet ist, auf denen Windows 10 20H1 bzw. Windows Server 2022 oder höher ausgeführt wird und die in Microsoft Entra oder Microsoft Entra Hybrid eingebunden sind. Der eingehende vertrauensbasierte Flow eignet sich für Clients, auf denen Windows 10 bzw. Windows Server 2012 oder höher ausgeführt wird und die in AD eingebunden sind.“

Der moderne interaktive Flow funktioniert bei aktivierten Clients, auf denen Windows 10 21H1 und höher ausgeführt wird und die in Microsoft Entra oder Microsoft Entra Hybrid eingebunden sind. Im modernen interaktiven Flow können Benutzer auf Azure SQL Managed Instance zugreifen, ohne dass eine Sichtverbindung mit Domänencontrollern (DCs) erforderlich ist. Es ist nicht erforderlich, ein Vertrauensstellungsobjekt im AD des Kunden zu erstellen. Zum Aktivieren des modernen interaktiven Flows legt ein Administrator eine Gruppenrichtlinie für Kerberos-Authentifizierungstickets (TGT) fest, die während der Anmeldung zu verwenden sind.

Der eingehende vertrauensbasierte Flow funktioniert bei Clients, auf denen Windows 10 bzw. Windows Server 2012 oder höher ausgeführt wird. Für diesen Flow ist es erforderlich, dass Clients mit AD verknüpft sind und vom lokalen Standort aus über eine Sichtverbindung mit AD verfügen. Im eingehenden vertrauensbasierten Flow wird ein Vertrauensstellungsobjekt im AD des Kunden erstellt und in Microsoft Entra ID registriert. Zum Aktivieren des eingehenden vertrauensbasierten Flows richtet ein Administrator eine eingehende Vertrauensstellung mit Microsoft Entra ID ein und konfiguriert den Kerberos-Proxy über eine Gruppenrichtlinie.

Moderner interaktiver Authentifizierungsflow

Für die Implementierung des modernen interaktiven Authentifizierungsflows müssen die folgenden Voraussetzungen erfüllt sein:

Voraussetzung BESCHREIBUNG
Auf den Clients muss Windows 10 20H1, Windows Server 2022 oder eine höhere Version von Windows ausgeführt werden.
Die Clients müssen mit Microsoft Entra oder Microsoft Entra Hybrid verbunden sein. Sie können ermitteln, ob diese Voraussetzung erfüllt ist, indem Sie den dsregcmd-Befehl ausführen: dsregcmd.exe /status
Die Anwendung muss über eine interaktive Sitzung eine Verbindung mit der verwalteten Instanz herstellen. Dies unterstützt Anwendungen wie SQL Server Management Studio (SSMS) und Webanwendungen, funktioniert aber nicht bei Anwendungen, die als Dienst ausgeführt werden.
Microsoft Entra-Mandant.
Azure-Abonnement unter demselben Microsoft Entra-Tenant, den Sie für die Authentifizierung verwenden möchten.
Microsoft Entra Connect ist installiert. Hybride Umgebungen, in denen Identitäten sowohl in Microsoft Entra ID als auch in AD vorhanden sind.

Siehe Einrichten der Windows-Authentifizierung für Microsoft Entra ID mit dem modernen interaktiven Ablauf für Schritte zur Aktivierung dieses Authentifizierungsablaufs.

Eingehender vertrauensbasierter Authentifizierungsflow

Für die Implementierung des eingehenden vertrauensbasierten Authentifizierungsflows müssen die folgenden Voraussetzungen erfüllt sein:

Voraussetzung BESCHREIBUNG
Auf dem Client muss Windows 10, Windows Server 2012 oder eine höhere Version von Windows ausgeführt werden.
Die Clients müssen in AD eingebunden sein. Die Domäne muss die Funktionsebene „Windows Server 2012“ oder höher aufweisen. Sie können ermitteln, ob der Client in AD eingebunden ist, indem Sie den dsregcmd-Befehl ausführen: dsregcmd.exe /status
Modul „Azure AD Hybrid Authentication Management“ Dieses PowerShell-Modul stellt Verwaltungsfunktionen für die lokale Einrichtung bereit.
Microsoft Entra-Mandant.
Azure-Abonnement unter demselben Microsoft Entra-Tenant, den Sie für die Authentifizierung verwenden möchten.
Microsoft Entra Connect ist installiert. Hybride Umgebungen, in denen Identitäten sowohl in Microsoft Entra ID als auch in AD vorhanden sind.

Siehe So richten Sie die Windows-Authentifizierung für Microsoft Entra ID mit dem eingehenden vertrauensbasierten Fluss ein, um Anweisungen zur Aktivierung dieses Authentifizierungsflusses zu erhalten.

Konfigurieren von Azure SQL Managed Instance

Die Schritte zum Einrichten von Azure SQL Managed Instance sind für den eingehenden vertrauensbasierten Authentifizierungsflow und den modernen interaktiven Authentifizierungsflow identisch.

Voraussetzungen für die Konfiguration einer verwalteten Instanz

Die folgenden Voraussetzungen sind erforderlich, um eine verwaltete Instanz für die Windows-Authentifizierung für Microsoft Entra-Prinzipale zu konfigurieren:

Voraussetzung BESCHREIBUNG
PowerShell-Modul „Az.Sql“ Dieses PowerShell-Modul stellt Cmdlets für die Verwaltung von Azure SQL-Ressourcen zur Verfügung. Installieren Sie dieses Modul, indem Sie den folgenden PowerShell-Befehl ausführen: Install-Module -Name Az.Sql
Microsoft Graph-PowerShell-Modul Dieses Modul bietet Verwaltungs-Cmdlets für Microsoft Entra ID-Verwaltungsaufgaben wie die Verwaltung von Benutzern und Dienstprinzipalen. Installieren Sie dieses Modul, indem Sie den folgenden PowerShell-Befehl ausführen: Install-Module –Name Microsoft.Graph
Eine verwaltete Instanz Sie können eine neue verwaltete Instanz erstellen oder eine vorhandene verwaltete Instanz verwenden.

Konfigurieren der einzelnen verwalteten Instanzen

Siehe Konfigurieren der Azure SQL Managed Instance für Windows-Authentifizierung für Microsoft Entra ID für Schritte zur Konfiguration jeder verwalteten Instanz.

Begrenzungen

Die folgenden Einschränkungen gelten für Windows-Authentifizierung für Microsoft Entra-Prinzipale in Azure SQL Managed Instance:

Nicht für Linux-Clients verfügbar

Windows-Authentifizierung für Microsoft Entra-Prinzipale wird derzeit nur für Clientcomputer unterstützt, auf denen Windows ausgeführt wird.

Microsoft Entra ID-Anmeldung zwischengespeichert

Windows begrenzt die Häufigkeit, mit der eine Verbindung mit Microsoft Entra ID hergestellt wird. Daher besteht die Möglichkeit, dass Benutzerkonten innerhalb von vier Stunden nach einem Upgrade oder einer neuen Bereitstellung eines Clientcomputers kein aktualisiertes Kerberos Ticket Granting Ticket (TGT) haben. Benutzerkonten ohne aktualisiertes TGT führen zu fehlgeschlagenen Ticketanforderungen von Microsoft Entra ID.

Als Administrator können Sie sofort eine Onlineanmeldung auslösen, um Upgradeszenarien zu verarbeiten. Führen Sie dazu den folgenden Befehl auf dem Clientcomputer aus und sperren und entsperren Sie dann die Benutzersitzung, um ein aktualisiertes TGT zu erhalten:

dsregcmd.exe /RefreshPrt

Nächste Schritte

Erfahren Sie mehr über das Implementieren der Windows-Authentifizierung für Microsoft Entra-Prinzipale in Azure SQL Managed Instance: