Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł zawiera przegląd procesu konfigurowania infrastruktury oraz zarządzanych wystąpień SQL w celu wdrożenia Uwierzytelniania Windows dla kont użytkowników w usłudze Azure SQL Managed Instance za pomocą identyfikatora Microsoft Entra (dawniej Azure Active Directory).
Istnieją dwie fazy konfigurowania uwierzytelniania systemu Windows dla usługi Azure SQL Managed Instance przy użyciu identyfikatora Entra firmy Microsoft i protokołu Kerberos.
-
Konfiguracja infrastruktury jednorazowej.
- Zsynchronizuj usługi Active Directory (AD) i Microsoft Entra ID, jeśli nie zostało to już zrobione.
- Włącz nowoczesny przepływ uwierzytelniania interakcyjnego, jeśli jest dostępny. Nowoczesny przepływ interaktywny jest zalecany dla organizacji korzystających z klientów dołączonych do Microsoft Entra lub powiązanych hybrydowo z systemem Windows 10 20H1 / Windows Server 2022 lub nowszym.
- Skonfiguruj przychodzący przepływ uwierzytelniania opartego na zaufaniu. Zaleca się to dla klientów, którzy nie mogą korzystać z nowoczesnego przepływu interaktywnego, ale mają klientów przyłączonych do domeny Active Directory z systemem Windows 10 / Windows Server 2012 lub nowszym.
-
Konfiguracja usługi Azure SQL Managed Instance.
- Utwórz głównego użytkownika usługi przypisanego przez system dla każdego zarządzanego wystąpienia SQL.
Uwaga / Notatka
Microsoft Entra ID był wcześniej znany jako Azure Active Directory (Azure AD).
Konfiguracja infrastruktury jednorazowej
Pierwszym krokiem konfiguracji infrastruktury jest zsynchronizowanie usługi AD z identyfikatorem Entra firmy Microsoft, jeśli nie zostało to jeszcze ukończone.
W tym celu administrator systemu konfiguruje przepływy uwierzytelniania. Dostępne są dwa przepływy uwierzytelniania w celu zaimplementowania uwierzytelniania systemu Windows dla podmiotów zabezpieczeń firmy Microsoft w usłudze Azure SQL Managed Instance:
- Przychodzący przepływ danych oparty na zaufaniu obsługuje klientów dołączonych do domeny AD z systemem Windows Server 2012 lub nowszym.
- Nowoczesny przepływ interaktywny obsługuje klientów dołączonych do firmy Microsoft z systemem Windows 10 21H1 lub nowszym.
Synchronizowanie usługi AD z identyfikatorem entra firmy Microsoft
Klienci powinni najpierw zaimplementować program Microsoft Entra Connect , aby zintegrować katalogi lokalne z identyfikatorem Entra firmy Microsoft.
Wybierz przepływy uwierzytelniania, które zaimplementujesz
Na poniższym diagramie przedstawiono uprawnienia i podstawowe funkcje nowoczesnego przepływu interaktywnego oraz przychodzący przepływ oparty na zaufaniu:
Drzewo decyzyjne pokazujące, że nowoczesny przepływ interaktywny jest odpowiedni dla klientów korzystających z systemu Windows 10 w wersji 20H1 lub Windows Server 2022 bądź nowszego, gdzie klienci są przyłączeni do Microsoft Entra lub przyłączeni hybrydowo do Microsoft Entra. Przychodzący przepływ oparty na zaufaniu jest odpowiedni dla klientów z systemem Windows 10 lub Windows Server 2012 lub nowszym, gdzie klienci są przyłączone do usługi AD.
Nowoczesny przepływ interaktywny współpracuje z klientami obsługującymi system Windows 10 21H1 i nowszymi, którzy są połączeni z Microsoft Entra lub połączeni hybrydowo z Microsoft Entra. W nowoczesnym przepływie interaktywnym użytkownicy mogą uzyskiwać dostęp do Azure SQL Managed Instance bez konieczności bezpośredniego połączenia z kontrolerami domeny (DC). Nie ma potrzeby tworzenia obiektu zaufania w AD klienta. Aby włączyć nowoczesny przepływ interaktywny, administrator ustawi zasady grupy dla biletów uwierzytelniania Protokołu Kerberos (TGT) do użycia podczas logowania.
Przychodzący przepływ oparty na zaufaniu działa dla klientów z systemem Windows 10 lub Windows Server 2012 lub nowszym. Ten przepływ wymaga, aby klienci zostali połączeni z usługą AD i mieli dostęp do usługi AD ze środowiska lokalnego. W przychodzącym przepływie opartym na zaufaniu obiekt zaufania jest tworzony w usłudze AD klienta i jest zarejestrowany w identyfikatorze Entra firmy Microsoft. Aby włączyć przychodzący przepływ oparty na zaufaniu, administrator ustanowi przychodzące zaufanie za pomocą Microsoft Entra ID i skonfiguruje serwer proxy Kerberos za pośrednictwem zasad grupy.
Nowoczesny przepływ uwierzytelniania interakcyjnego
Do zaimplementowania nowoczesnego przepływu uwierzytelniania interakcyjnego wymagane są następujące wymagania wstępne:
| Warunek wstępny | Description |
|---|---|
| Klienci muszą uruchomić system Windows 10 20H1, Windows Server 2022 lub nowszą wersję systemu Windows. | |
| Klienci muszą być dołączeni do Microsoft Entra lub dołączeni hybrydowo do Microsoft Entra. | Możesz określić, czy to wymaganie wstępne jest spełnione, uruchamiając polecenie dsregcmd: dsregcmd.exe /status |
| Aplikacja musi łączyć się z wystąpieniem zarządzanym SQL za pośrednictwem sesji interakcyjnej. | Obsługuje to aplikacje, takie jak SQL Server Management Studio (SSMS) i aplikacje internetowe, ale nie będą działać w przypadku aplikacji, które działają jako usługa. |
| Dzierżawa Microsoft Entra. | |
| Subskrypcja platformy Azure w ramach tej samej dzierżawy firmy Microsoft Entra, której planujesz używać do uwierzytelniania. | |
| Zainstalowano program Microsoft Entra Connect. | Środowiska hybrydowe, w których tożsamości istnieją zarówno w usłudze Microsoft Entra ID, jak i AD. |
Zobacz Jak skonfigurować uwierzytelnianie systemu Windows dla Microsoft Entra ID przy użyciu nowoczesnego przepływu interaktywnego, aby uzyskać kroki umożliwiające włączenie tego przepływu uwierzytelniania.
Przychodzący przepływ uwierzytelniania opartego na zaufaniu
Do zaimplementowania przychodzącego przepływu uwierzytelniania opartego na zaufaniu wymagane są następujące wymagania wstępne:
| Warunek wstępny | Description |
|---|---|
| Klienci muszą mieć system Windows 10, Windows Server 2012 lub nowszą wersję systemu Windows. | |
| Klienci muszą być podłączeni do usługi Active Directory. Domena musi mieć poziom funkcjonalności systemu Windows Server 2012 lub wyższy. | Możesz określić, czy klient jest przyłączony do usługi AD, uruchamiając polecenie dsregcmd: dsregcmd.exe /status |
| Moduł zarządzania uwierzytelnianiem hybrydowym usługi Azure AD. | Ten moduł programu PowerShell udostępnia funkcje zarządzania dla konfiguracji lokalnej. |
| Dzierżawa Microsoft Entra. | |
| Subskrypcja platformy Azure w ramach tej samej dzierżawy firmy Microsoft Entra, której planujesz używać do uwierzytelniania. | |
| Zainstalowano program Microsoft Entra Connect. | Środowiska hybrydowe, w których tożsamości istnieją zarówno w usłudze Microsoft Entra ID, jak i AD. |
Zobacz How to set up Windows Authentication for Microsoft Entra ID with the incoming trust based flow (Jak skonfigurować uwierzytelnianie systemu Windows dla identyfikatora Entra firmy Microsoft przy użyciu przychodzącego przepływu zaufania ), aby uzyskać instrukcje dotyczące włączania tego przepływu uwierzytelniania.
Konfigurowanie usługi Azure SQL Managed Instance
Kroki konfigurowania usługi Azure SQL Managed Instance są takie same zarówno w przypadku przychodzącego przepływu uwierzytelniania opartego na zaufaniu, jak i nowoczesnego przepływu uwierzytelniania interakcyjnego.
Wymagania wstępne dotyczące konfigurowania wystąpienia zarządzanego SQL
Do skonfigurowania wystąpienia zarządzanego SQL na potrzeby uwierzytelniania systemu Windows dla podmiotów zabezpieczeń firmy Microsoft wymagane są następujące wymagania wstępne:
| Warunek wstępny | Description |
|---|---|
| Moduł Az.Sql programu PowerShell | Ten moduł programu PowerShell udostępnia polecenia cmdlet do zarządzania zasobami usługi Azure SQL. Aby zainstalować ten moduł, uruchom następujące polecenie programu PowerShell: Install-Module -Name Az.Sql |
| Moduł programu PowerShell programu Microsoft Graph | Ten moduł zawiera cmdlety zarządzania dla administracyjnych zadań Microsoft Entra ID, takich jak zarządzanie użytkownikami i głównym obiektem usługi. Aby zainstalować ten moduł, uruchom następujące polecenie programu PowerShell: Install-Module –Name Microsoft.Graph |
| Wystąpienie zarządzane SQL | Możesz utworzyć nowe wystąpienie zarządzane SQL lub użyć istniejącego wystąpienia zarządzanego SQL. |
Konfigurowanie każdego wystąpienia zarządzanego SQL
Zobacz Konfigurowanie usługi Azure SQL Managed Instance na potrzeby uwierzytelniania systemu Windows dla identyfikatora Entra firmy Microsoft , aby uzyskać instrukcje konfigurowania każdego wystąpienia zarządzanego SQL.
Ograniczenia
Następujące ograniczenia dotyczą Windows Authentication dla podmiotów Microsoft Entra w usłudze Azure SQL Managed Instance:
Niedostępne dla klientów z systemem Linux
Uwierzytelnianie systemu Windows dla podmiotów Microsoft Entra jest obecnie obsługiwane tylko dla komputerów klienckich z systemem Windows.
Logowanie za pomocą pamięci podręcznej Microsoft Entra ID
System Windows ogranicza częstotliwość nawiązywania połączenia z Microsoft Entra ID, dlatego istnieje możliwość, że konta użytkowników nie mają odświeżonego Biletu przyznawania biletów Kerberos (TGT) w ciągu 4 godzin od aktualizacji lub świeżej instalacji komputera klienckiego. Konta użytkowników, które nie mają odświeżonego biletu TGT, powoduje niepowodzenie żądań biletu z identyfikatora Microsoft Entra ID.
Jako administrator możesz natychmiast zainicjować logowanie online w celu zarządzania scenariuszami uaktualniania, uruchamiając następujące polecenie na maszynie klienckiej, a następnie blokując i odblokowując sesję użytkownika, aby uzyskać odświeżony bilet TGT.
dsregcmd.exe /RefreshPrt
Treści powiązane
- Co to jest uwierzytelnianie systemu Windows dla podmiotów zabezpieczeń usługi Microsoft Entra w usłudze Azure SQL Managed Instance?
- Jak jest implementowane uwierzytelnianie systemu Windows dla usługi Azure SQL Managed Instance przy użyciu usługi Microsoft Entra ID i protokołu Kerberos
- Jak skonfigurować uwierzytelnianie systemu Windows dla usługi Microsoft Entra ID przy użyciu nowoczesnego przepływu interaktywnego
- Jak skonfigurować uwierzytelnianie systemu Windows dla usługi Microsoft Entra ID przy użyciu przepływu opartego na przychodzącej relacji zaufania
- Konfigurowanie usługi Azure SQL Managed Instance na potrzeby uwierzytelniania systemu Windows dla identyfikatora entra firmy Microsoft