이 문서에서는 Microsoft Entra ID(이전의 Azure Active Directory)를 사용하여 Azure SQL Managed Instance 의 보안 주체에 대해 Windows 인증을 구현하기 위한 인프라 및 관리되는 인스턴스를 설정하는 방법에 대한 개요를 제공합니다.
Microsoft Entra ID 및 Kerberos를 사용하여 Azure SQL Managed Instance에 대한 Windows 인증을 설정하는 두 단계가 있습니다.
- 일회성 인프라 설정 .
- 아직 수행되지 않은 경우 AD(Active Directory) 및 Microsoft Entra ID를 동기화합니다.
- 사용 가능한 경우 최신 대화형 인증 흐름을 사용하도록 설정합니다. 최신 대화형 흐름은 Windows 10 20H1/Windows Server 2022 이상을 실행하는 Microsoft Entra 조인 또는 하이브리드 조인 클라이언트를 사용하는 조직에 권장됩니다.
- 들어오는 신뢰 기반 인증 흐름을 설정합니다. 최신 대화형 흐름을 사용할 수 없지만 Windows 10/Windows Server 2012 이상을 실행하는 AD 조인 클라이언트가 있는 고객에게 권장됩니다.
-
Azure SQL Managed Instance의 구성입니다.
- 각 관리되는 인스턴스에 대해 시스템 할당 서비스 주체를 만듭니다.
메모
Microsoft Entra ID 이전에 Azure AD(Azure Active Directory)라고 했습니다.
일회성 인프라 설정
인프라 설정의 첫 번째 단계는 아직 완료되지 않은 경우 Microsoft Entra ID와 AD를 동기화하는 것입니다.
그런 다음 시스템 관리자가 인증 흐름을 구성합니다. Azure SQL Managed Instance에서 Microsoft Entra 보안 주체에 대한 Windows 인증을 구현하는 데 사용할 수 있는 두 가지 인증 흐름: 들어오는 신뢰 기반 흐름은 Windows Server 2012 이상을 실행하는 AD 조인 클라이언트를 지원하고, 최신 대화형 흐름은 Windows 10 21H1 이상을 실행하는 Microsoft Entra 조인 클라이언트를 지원합니다.
Microsoft Entra ID와 AD 동기화
고객은 먼저 Microsoft Entra Connect 구현하여 온-프레미스 디렉터리를 Microsoft Entra ID와 통합해야 합니다.
구현할 인증 흐름을 선택합니다.
다음 다이어그램은 최신 대화형 흐름 및 들어오는 신뢰 기반 흐름의 자격 및 핵심 기능을 보여 주는 다이어그램입니다.
"최신 대화형 흐름이 Windows 10 20H1 또는 Windows Server 2022 이상을 실행하는 클라이언트에 적합하다는 것을 보여 주는 의사 결정 트리입니다. 여기서 클라이언트는 Microsoft Entra에 가입되었거나 Microsoft Entra 하이브리드에 가입된 상태입니다." 들어오는 신뢰 기반 흐름은 클라이언트가 AD에 조인된 Windows 10 또는 Windows Server 2012 이상을 실행하는 클라이언트에 적합합니다."
최신 대화형 흐름은 Windows 10 21H1 이상을 실행하고 Microsoft Entra에 연결되거나 Microsoft Entra 하이브리드에 연결된 고급 클라이언트에서 작동합니다. 최신 대화형 흐름에서 사용자는 DC(도메인 컨트롤러)에 대한 시야를 요구하지 않고 Azure SQL Managed Instance에 액세스할 수 있습니다. 고객의 AD에서 트러스트 개체를 만들 필요가 없습니다. 최신 대화형 흐름을 사용하도록 설정하기 위해 관리자는 로그인 중에 사용할 Kerberos 인증 티켓(TGT)에 대한 그룹 정책을 설정합니다.
들어오는 신뢰 기반 흐름은 Windows 10 또는 Windows Server 2012 이상을 실행하는 클라이언트에서 작동합니다. 이 작업 흐름을 사용하려면 클라이언트를 AD에 가입시키고 온-프레미스에서 AD에 접근할 수 있어야 합니다. 들어오는 신뢰 기반 흐름에서 신뢰 개체는 고객의 AD에 만들어지고 Microsoft Entra ID에 등록됩니다. 들어오는 신뢰 기반 흐름을 사용하도록 설정하려면 관리자가 Microsoft Entra ID로 들어오는 트러스트를 설정하고 그룹 정책을 통해 Kerberos 프록시를 설정합니다.
최신 대화형 인증 흐름
최신 대화형 인증 흐름을 구현하려면 다음 필수 구성 요소가 필요합니다.
| 전제 조건 | 묘사 |
|---|---|
| 클라이언트는 Windows 10 20H1, Windows Server 2022 또는 더 높은 버전의 Windows를 실행해야 합니다. | |
| 클라이언트는 Microsoft Entra에 조인되어야 하며Microsoft Entra 하이브리드에조인되어야 합니다. |
dsregcmd 명령실행하여 이 필수 조건이 충족되는지 확인할 수 있습니다. dsregcmd.exe /status |
| 애플리케이션은 대화형 세션을 통해 관리되는 인스턴스에 연결해야 합니다. | SSMS(SQL Server Management Studio) 및 웹 애플리케이션과 같은 애플리케이션을 지원하지만 서비스로 실행되는 애플리케이션에는 작동하지 않습니다. |
| Microsoft Entra 테넌트. | |
| 인증에 사용하려는 동일한 Microsoft Entra 테넌트 아래의 Azure 구독 | |
| Microsoft Entra Connect 설치되어 있습니다. | Microsoft Entra ID 및 AD에 ID가 모두 있는 하이브리드 환경. |
Microsoft Entra ID의 Windows 인증을 최신 대화형 흐름으로 설정하는 방법을 참조하십시오. 이 인증 흐름을 사용하도록 설정하는 단계입니다.
들어오는 신뢰 기반 인증 흐름
들어오는 신뢰 기반 인증 흐름을 구현하려면 다음 필수 구성 요소가 필요합니다.
| 전제 조건 | 묘사 |
|---|---|
| 클라이언트는 Windows 10, Windows Server 2012 또는 더 높은 버전의 Windows를 실행해야 합니다. | |
| 클라이언트는 AD에 조인되어야 합니다. 도메인에는 Windows Server 2012 이상의 기능 수준이 있어야 합니다. |
dsregcmd 명령실행하여 클라이언트가 AD에 조인되는지 확인할 수 dsregcmd.exe /status |
| Azure AD 하이브리드 인증 관리 모듈. | 이 PowerShell 모듈은 온-프레미스 설정에 대한 관리 기능을 제공합니다. |
| Microsoft Entra 테넌트. | |
| 인증에 사용하려는 동일한 Microsoft Entra 테넌트 아래의 Azure 구독 | |
| Microsoft Entra Connect 설치되어 있습니다. | Microsoft Entra ID 및 AD에 ID가 모두 있는 하이브리드 환경. |
이 인증 흐름을 사용하도록 설정하는 방법에 대한 지침은 들어오는 신뢰 기반 흐름 Microsoft Entra ID에 대한 Windows 인증을 설정하는 방법을 참조하세요.
Azure SQL Managed Instance를 구성합니다.
Azure SQL Managed Instance를 설정하는 단계는 들어오는 신뢰 기반 인증 흐름과 최신 대화형 인증 흐름 모두에 대해 동일합니다.
관리되는 인스턴스를 구성하기 위한 필수 구성 요소
Microsoft Entra 보안 주체에 대한 Windows 인증에 대한 관리되는 인스턴스를 구성하려면 다음 필수 구성 요소가 필요합니다.
| 전제 조건 | 묘사 |
|---|---|
| Az.Sql PowerShell 모듈 | 이 PowerShell 모듈은 Azure SQL 리소스에 대한 관리 cmdlet을 제공합니다. 다음 PowerShell 명령을 실행하여 이 모듈을 설치합니다. Install-Module -Name Az.Sql |
| Microsoft Graph PowerShell 모듈 | 이 모듈에서는 사용자 및 서비스 주체 관리와 같은 Microsoft Entra ID 관리 작업에 대한 관리 cmdlet을 제공합니다. 다음 PowerShell 명령을 실행하여 이 모듈을 설치합니다. Install-Module –Name Microsoft.Graph |
| 관리되는 인스턴스 | 새 관리형 인스턴스를 만들거나 기존 관리형 인스턴스를 사용할 수 있습니다. |
각 관리되는 인스턴스 구성
각 관리되는 인스턴스를 구성하는 단계는 Microsoft Entra ID Windows 인증용 Azure SQL Managed Instance 구성을 참조하세요.
제한
Azure SQL Managed Instance의 Microsoft Entra 보안 주체에 대한 Windows 인증에는 다음과 같은 제한 사항이 적용됩니다.
Linux 클라이언트에 사용할 수 없음
Microsoft Entra 보안 주체에 대한 Windows 인증은 현재 Windows를 실행하는 클라이언트 컴퓨터에 대해서만 지원됩니다.
Microsoft Entra ID 캐시된 로그인
Windows는 Microsoft Entra ID에 연결하는 빈도를 제한하므로 사용자 계정에 클라이언트 컴퓨터의 업그레이드 또는 새로 배포 후 4시간 이내에 새로 고쳐진 Kerberos TGT(티켓 부여 티켓)가 없을 가능성이 있습니다. 새로 고친 TGT가 없는 사용자 계정은 Microsoft Entra ID의 티켓 요청이 실패합니다.
관리자는 클라이언트 컴퓨터에서 다음 명령을 실행한 다음 사용자 세션을 잠그고 잠금 해제하여 새로 고친 TGT를 가져와 업그레이드 시나리오를 처리하도록 온라인 로그온을 즉시 트리거할 수 있습니다.
dsregcmd.exe /RefreshPrt
다음 단계
Azure SQL Managed Instance에서 Microsoft Entra 보안 주체에 대한 Windows 인증을 구현하는 방법에 대해 자세히 알아봅니다.
- Azure SQL Managed Instance에서 Microsoft Entra 주체의 Windows 인증이란?
- Microsoft Entra ID 및 Kerberos 사용하여 Azure SQL Managed Instance에 대한 Windows 인증을 구현하는 방법
- 최신 대화형 흐름 사용하여 Microsoft Entra ID용 Windows 인증을 설정하는 방법
- Microsoft Entra ID의 Windows 인증을 위한 들어오는 신뢰 기반 흐름 설정 방법
- Azure SQL Managed Instance를 Microsoft Entra ID의 Windows 인증용으로 구성