네이티브 Windows 보안 주체
적용 대상: 
Azure SQL Managed Instance
Windows 인증 메타데이터 모드는 사용자가 Azure SQL Managed Instance에서 Windows 인증 또는 Microsoft Entra 인증(Windows 보안 주체 메타데이터 사용)을 사용할 수 있는 새로운 모드입니다. 이 모드는 SQL Managed Instance에서만 사용할 수 있습니다. Azure SQL Database에서는 Windows 인증 메타데이터 모드를 사용할 수 없습니다.
환경이 AD (Active Directory)와 Microsoft Entra ID 간 동기화되면 AD의 Windows 사용자 계정이 Microsoft Entra ID의 Microsoft Entra 사용자 계정과 동기화됩니다.
SQL Managed Instance 및 SQL Server에 대한 인증은 로그인에 연결된 메타데이터를 기반으로 합니다. Windows 인증 로그인의 경우 CREATE LOGIN FROM WINDOWS 명령에서 로그인을 만들 때 메타데이터가 생성됩니다. Microsoft Entra 로그인의 경우 CREATE LOGIN FROM EXTERNAL PROVIDER 명령에서 로그인을 만들 때 메타데이터가 생성됩니다. SQL 인증 로그인의 경우 CREATE LOGIN WITH PASSWORD 명령이 실행될 때 메타데이터가 생성됩니다. 인증 프로세스는 SQL Managed Instance 또는 SQL Server에 저장된 메타데이터와 긴밀하게 결합됩니다.
네이티브 Windows 보안 주체를 설명하는 비디오의 경우, 이 데이터 노출 에피소드를 참조할 수도 있습니다.
참고 항목
SQL Managed Instance에서 Windows 인증 메타데이터 모드로의 네이티브 Windows 보안 주체 사용은 현재 미리 보기로 제공됩니다.
인증 메타데이터 모드
다음의 인증 메타데이터 모드는 SQL Managed Instance에 사용할 수 있으며, 다른 모드는 로그인을 생성하는 방법과 인증에 사용되는 인증 메타데이터를 결정합니다.
- Microsoft Entra(기본값): 이 모드에서는 Microsoft Entra 사용자 메타데이터를 사용하여 Microsoft Entra 사용자를 인증할 수 있습니다. 이 모드에서 Windows 인증을 사용하려면 Azure SQL Managed Instance에서 Microsoft Entra 보안 주체에 대한 Windows 인증.을 참조하십시오.
- 페어링됨(SQL Server 기본값): SQL Server 인증의 기본 모드입니다.
- Windows(새로운 모드): 이 모드를 사용하면 SQL Managed Instance 내에서 Windows 사용자 메타데이터를 사용하여 Microsoft Entra 사용자를 인증할 수 있습니다.
구문 CREATE LOGIN FROM WINDOWS와 CREATE USER FROM WINDOWS는 Windows 인증 메타데이터 모드의 Windows 보안 주체에 대해 각각 SQL Managed Instance에서 로그인 또는 사용자를 생성하기 위해 사용할 수 있습니다. Windows_principal은 Windows 사용자 또는 Windows 그룹일 수 있습니다.
Windows 인증 메타데이터 모드를 사용하려면 사용자 환경은 Microsoft Entra ID와 AD (Active Directory)를 동기화해야 합니다.
인증 메타데이터 모드 구성
- Azure Portal에서 SQL Managed Instance 리소스로 이동합니다.
- > Microsoft Entra ID 설정으로 이동합니다.
- 드롭다운 목록에서 원하는 인증 메타데이터 모드를 선택합니다.
- 인증 메타데이터 구성 저장을 선택합니다.
Windows 인증 메타데이터 모드를 사용하여 마이그레이션 문제 해결
Windows 인증 메타데이터 모드는 애플리케이션에 대한 인증을 현대화하고 SQL Managed Instance로의 마이그레이션 문제를 해결하는 데 도움이 됩니다. 다음은 Windows 인증 메타데이터 모드를 사용하여 고객의 문제를 해결할 수 있는 몇 가지 일반적인 시나리오입니다.
- Microsoft Entra ID 및 Kerberos를 사용하여 Azure SQL Managed Instance에 대한 Windows 인증 설정의 복잡함.
- Managed Instance 링크의 읽기 전용 복제본 장애 조치 (failover).
- SQL Server에 대한 Microsoft Entra 인증 동기화
Microsoft Entra 보안 주체에 대한 Windows 인증
환경이 AD와 Microsoft Entra ID 간 동기화되는 한 Windows 인증 메타데이터 모드를 사용하여 Windows 보안 주체(CREATE LOGIN FROM WINDOWS)에서 로그인을 만든 경우 Windows 로그인 또는 Microsoft Entra 로그인을 사용하여 SQL Managed Instance에 사용자를 인증할 수 있습니다.
이 기능은 Windows 인증 사용하고 SQL Managed Instance로 마이그레이션하는 애플리케이션이 있는 고객에게 특히 유용합니다. Windows 인증 메타데이터 모드를 사용하면 고객은 애플리케이션 코드를 변경하지 않고도 애플리케이션에 대한 Windows 인증을 계속 사용할 수 있습니다. 예를 들어, CREATE LOGIN FROM WINDOWS 및 CREATE USER FROM WINDOWS 명령을 실행하는 BizTalk 서버와 같은 애플리케이션은 SQL Managed Instance로 마이그레이션할 때 변경 없이 계속 작동할 수 있습니다. 다른 사용자는 AD에 동기화된 Microsoft Entra 로그인을 사용하여 SQL Managed Instance에 인증할 수 있습니다.
Managed Instance 링크
Managed Instance 링크를 사용하면 SQL Server와 SQL Managed Instance 간 거의 실시간으로 데이터를 복제할 수 있지만 클라우드의 읽기 전용 복제본은 Microsoft Entra 보안 주체를 생성하지 못하게 합니다. Windows 인증 메타데이터 모드를 사용하면 고객이 장애 조치(failover)가 발생하는 경우 기존 Windows 로그인을 사용하여 복제본에 인증할 수 있습니다.
SQL Server 2022 및 이후 제품에 대한 Microsoft Entra 인증
SQL Server 2022는 Microsoft Entra 인증에 대한 지원을 적용했습니다. 대부분의 사용자는 최신 인증만 사용하도록 인증 모드를 제한하고 모든 Windows 보안 주체를 Microsoft Entra ID로 마이그레이션하려고 합니다. 하지만, Windows 보안 주체에 연결된 애플리케이션 코드와 같이 Windows 인증이 여전히 필요한 시나리오가 있습니다. Windows 인증 메타데이터 모드를 사용하면 고객이 인증을 위해 동기화된 Microsoft Entra 보안 주체를 사용하는 동안 SQL Server 내에서 권한 부여를 위해 Windows 보안 주체를 계속 사용할 수 있습니다.
SQL Server는 Active Directory와 Microsoft Entra ID 간의 동기화를 이해하지 못합니다. 사용자와 그룹은 AD와 Microsoft Entra ID 간에 동기화되지만 구문 CREATE LOGIN FROM EXTERNAL PROVIDER을 사용하여 로그인을 생성하고 로그인에 권한을 추가해야 했습니다. Windows 인증 메타데이터 모드는 로그인을 Microsoft Entra ID에 수동으로 마이그레이션할 필요성을 줄여줍니다.
인증 메타데이터 모드 비교
인증 메타데이터 모드가 SQL Managed Instance에서 작동하는 방식을 설명하는 순서도는 다음과 같습니다.
이전에는 AD와 Microsoft Entra ID 간에 사용자를 동기화하는 고객은 AD에서 동기화된 Windows 인증 또는 Microsoft Entra 인증을 사용했는지 여부에 관계없이 Windows 보안 주체에서 만든 로그인으로 인증할 수 없었습니다. Windows 인증 메타데이터 모드를 사용하면 이제 고객은 Windows 인증 또는 동기화된 Microsoft Entra 보안 주체를 사용하여 Windows 보안 주체에서 만든 로그인으로 인증할 수 있습니다.
동기화된 사용자의 경우 다음의 구성 및 로그인 유형에 따라 인증이 성공하거나 실패합니다.
| 인증 메타데이터 모드 | Windows에서 시작 | 외부 공급자에서 시작 |
|---|---|---|
| Windows 모드 | ||
| Microsoft Entra 인증 | 성공 | 실패 |
| Windows 인증 | 성공 | 실패 |
| Microsoft Entra ID 모드 | ||
| Microsoft Entra 인증 | 실패 | 성공 |
| Windows 인증 | 실패 | 성공 |
| 페어링된 모드 | ||
| Microsoft Entra 인증 | 실패 | 성공 |
| Windows 인증 | 성공 | 실패 |
관련 콘텐츠
Azure SQL Managed Instance에서 Microsoft Entra 보안 주체에 대한 Windows 인증 구현에 대해 자세히 알아봅니다.
- Azure SQL Managed Instance의 Microsoft Entra 보안 주체에 대한 Windows 인증이란 무엇인가요?
- Azure SQL Managed Instance에 대한 Windows 인증이 Microsoft Entra ID 및 Kerberos를 사용하여 구현되는 방법
- 최신 대화형 흐름을 사용하여 Microsoft Entra ID에 대한 Windows 인증을 설정하는 방법
- 수신 신뢰 기반 흐름을 사용하여 Microsoft Entra ID에 대한 Windows 인증을 설정하는 방법
- Microsoft Entra ID에 대한 Windows 인증을 위한 Azure SQL Managed Instance 구성