Informazioni su come configurare l'autenticazione Windows per Istanza gestita di SQL di Azure tramite ID Microsoft Entra e Kerberos
Questo articolo offre una panoramica di come configurare l'infrastruttura e le istanze gestite per implementare l'autenticazione di Windows per le entità in Istanza gestita di SQL di Azure con l'ID Microsoft Entra (in precedenza Azure Active Directory).
Esistono due fasi per configurare l'autenticazione di Windows per Istanza gestita di SQL di Azure usando Microsoft Entra ID e Kerberos.
- Configurazione dell'infrastruttura monouso.
- Sincronizzare Active Directory (AD) e Azure ID Microsoft Entra, se non è già stato fatto.
- Abilitare il flusso di autenticazione interattiva moderno, se disponibile. Il flusso interattivo moderno è consigliato per le organizzazioni con client aggiunti a Microsoft Entra o aggiunti ad ibrido che eseguono Windows 10 20H1 / Windows Server 2022 e versioni successive.
- Configurare il flusso di autenticazione basata su attendibilità in ingresso. Questa opzione è consigliata per i clienti che non possono usare il flusso interattivo moderno, ma che hanno client aggiunti ad AD che eseguono Windows 10/ Windows Server 2012 e versioni successive.
- Configurazione di Istanza gestita di SQL di Azure.
- Creare un'entità servizio assegnata dal sistema per ogni istanza gestita.
Nota
Microsoft Entra ID era precedentemente noto come Azure Active Directory (Azure AD).
Configurazione di un'infrastruttura monouso
Il primo passaggio della configurazione dell'infrastruttura consiste nel sincronizzare AD con Microsoft Entra ID, se non è già stato completato.
A questo scopo, un amministratore di sistema configura i flussi di autenticazione. Sono disponibili due flussi di autenticazione per implementare l'autenticazione di Windows per le entità di accesso Microsoft in Istanza gestita di SQL di Azure: il flusso basato sull'attendibilità in ingresso supporta i client aggiunti ad AD che eseguono Windows server 2012 o versione successiva e il flusso interattivo moderno supporta i client aggiunti a Microsoft Entra che eseguono Windows 10 21H1 o versione successiva.
Sincronizzare AD con Microsoft Entra ID
I clienti devono prima implementare Microsoft Entra Connessione per integrare le directory locali con Microsoft Entra ID.
Selezionare i flussi di autenticazione che verranno implementati
Il diagramma seguente illustra l'idoneità e la funzionalità di base del flusso interattivo moderno e del flusso basato sull'attendibilità in ingresso:
"Un albero delle decisioni che mostra che il flusso interattivo moderno è adatto per i client che eseguono Windows 10 20H1 o Windows Server 2022 o versione successiva, in cui i client sono aggiunti a Microsoft Entra o aggiunti a Microsoft Entra ibrido. Il flusso basato sull'attendibilità in ingresso è adatto per i client che eseguono Windows 10 o Windows Server 2012 o versione successiva in cui i client sono aggiunti ad ACTIVE Directory."
Il flusso interattivo moderno funziona con i client abilitati che eseguono Windows 10 21H1 e versioni successive che sono aggiunti a Microsoft Entra o aggiunti a Microsoft Entra ibrido. Nel flusso interattivo moderno, gli utenti possono accedere Istanza gestita di SQL di Azure senza dover visualizzare i controller di dominio. Non è necessario creare un oggetto trust nell'istanza di Active Directory del cliente. Per abilitare il flusso interattivo moderno, un amministratore imposta criteri di gruppo per i ticket di autenticazione Kerberos (TGT) da usare durante l'accesso.
Il flusso basato su attendibilità in ingresso funziona per i client che eseguono Windows 10 o Windows Server 2012 e versioni successive. Questo flusso richiede che i client siano aggiunti ad Active Directory e abbiano una linea di vista ad AD dall'ambiente locale. Nel flusso basato sull'attendibilità in ingresso viene creato un oggetto trust nell'istanza di Active Directory del cliente e registrato in Microsoft Entra ID. Per abilitare il flusso basato sull'attendibilità in ingresso, un amministratore configurerà un trust in ingresso con l'ID Microsoft Entra e configurerà il proxy Kerberos tramite criteri di gruppo.
Flusso di autenticazione interattiva moderno
Per implementare il flusso di autenticazione interattivo moderno sono necessari i prerequisiti seguenti:
Prerequisito | Descrizione |
---|---|
I client devono eseguire Windows 10 20H1, Windows Server 2022 o una versione successiva di Windows. | |
I client devono essere aggiunti a Microsoft Entra o aggiunti a Microsoft Entra ibrido. | È possibile determinare se questo prerequisito è soddisfatto eseguendo il comando dsregcmd: dsregcmd.exe /status |
L'applicazione deve connettersi all'istanza gestita tramite una sessione interattiva. | Sono supportate applicazioni come SQL Server Management Studio (SSMS) e applicazioni Web, ma l'operazione avrà esito negativo per le applicazioni eseguite come servizio. |
Tenant di Microsoft Entra. | |
Sottoscrizione di Azure nello stesso tenant di Microsoft Entra che si prevede di usare per l'autenticazione. | |
Microsoft Entra Connessione installato. | Ambienti ibridi in cui esistono identità sia in ID che in AD Microsoft Entra. |
Per la procedura volta ad abilitare questo flusso di autenticazione, si veda Come configurare l'autenticazione Windows per ID Microsoft Entra con il flusso interattivo moderno.
Flusso di autenticazione basato su attendibilità in ingresso
Per implementare il flusso basato sull'attendibilità in ingresso sono necessari i prerequisiti seguenti:
Prerequisito | Descrizione |
---|---|
I client devono eseguire Windows 10, Windows Server 2012 o una versione successiva di Windows. | |
I client devono avere un join ad AD. Il dominio deve avere un livello funzionale di Windows Server 2012 o successivo. | È possibile determinare se il client ha un join ad AD eseguendo il comando dsregcmd: dsregcmd.exe /status |
Modulo di gestione dell'autenticazione ibrida di Azure AD. | Questo modulo di PowerShell offre funzionalità di gestione per la configurazione locale. |
Tenant di Microsoft Entra. | |
Sottoscrizione di Azure nello stesso tenant di Microsoft Entra che si prevede di usare per l'autenticazione. | |
Microsoft Entra Connessione installato. | Ambienti ibridi in cui esistono identità sia in ID che in AD Microsoft Entra. |
Per istruzioni sull'abilitazione di questo flusso di autenticazione, si veda Come configurare l'autenticazione Windows per ID Microsoft Entra con il flusso basato sull'attendibilità in ingresso.
Configurare l'Istanza gestita di SQL di Azure
I passaggi per configurare Istanza gestita di SQL di Azure sono gli stessi sia per il flusso di autenticazione basato sull'attendibilità in ingresso che per il flusso di autenticazione interattivo moderno.
Prerequisiti per configurare un'istanza gestita
Per configurare un'istanza gestita con l'autenticazione Windows per le entità di Microsoft Entra, sono necessari i prerequisiti seguenti:
Prerequisito | Descrizione |
---|---|
Modulo Az.Sql PowerShell | Questo modulo di PowerShell fornisce i cmdlet di gestione per le risorse di Azure SQL. Installare questo modulo eseguendo il comando PowerShell seguente: Install-Module -Name Az.Sql |
Modulo di Microsoft Graph PowerShell | Questo modulo fornisce i cmdlet di gestione per le attività amministrative di Microsoft Entra ID, ad esempio la gestione di utenti e entità servizio. Installare questo modulo eseguendo il comando PowerShell seguente: Install-Module –Name Microsoft.Graph |
Istanza gestita | È possibile creare una nuova istanza gestita o usarne una esistente. |
Configurare ogni istanza gestita
Per la procedura di configurazione di ogni istanza gestita, vedere Configurare Istanza gestita di SQL di Azure per l'autenticazione Windows per ID Microsoft Entra.
Limiti
Le limitazioni seguenti si applicano all'autenticazione di Windows per le entità Di sicurezza di Microsoft Entra in Istanza gestita di SQL di Azure:
Non disponibile per i client Linux
L'autenticazione di Windows per le entità di sicurezza Di Microsoft Entra è attualmente supportata solo per i computer client che eseguono Windows.
Accesso memorizzato nella cache di Microsoft Entra ID
Windows limita la frequenza con cui si connette all'ID Microsoft Entra, pertanto è possibile che gli account utente non abbiano un ticket di concessione ticket Kerberos aggiornato (TGT) entro 4 ore da un aggiornamento o una nuova distribuzione di un computer client. Gli account utente che non dispongono di un TGT aggiornato generano richieste di ticket non riuscite da Microsoft Entra ID.
Gli amministratori possono attivare immediatamente un accesso online per gestire gli scenari di aggiornamento eseguendo il comando seguente nel computer client, quindi bloccando e sbloccando la sessione utente per ottenere un TGT aggiornato:
dsregcmd.exe /RefreshPrt
Passaggi successivi
Altre informazioni sull'implementazione dell'autenticazione di Windows per le entità di accesso Microsoft in Istanza gestita di SQL di Azure:
- Che cos'è l'autenticazione Windows per le entità di Microsoft Entra in Istanza gestita di SQL di Azure?
- Com'è implementata l'autenticazione Windows per Istanza gestita di SQL di Azure con ID Microsoft Entra e Kerberos
- Come configurare l'autenticazione Windows per ID Microsoft Entra con il flusso interattivo moderno
- Come configurare l'autenticazione Windows per ID Microsoft Entra con il flusso basato sull'attendibilità in ingresso
- Configurazione di un'Istanza gestita di SQL di Azure per l'autenticazione Windows per ID Microsoft Entra