Ниже предполагается, что вы используете виртуальную машину с установленным на ней SQL Server. Если вы используете SQL Azure (PaaS), см. Последний абзац.
Если вы установите VPN между локальной средой и Azure (VPN между сайтами) или между клиентскими компьютерами и Azure (точка VPN для сайта), будет известен исходный IP-адрес клиента, а затем было бы легко ограничить их в NSG или брандмауэре.
В любом случае, чтобы пользователь мог проходить проверку подлинности в SQL с помощью встроенной проверки подлинности Windows (contoso \ user), виртуальная машина SQL-сервера должна принадлежать домену Contoso Active Directory или домену, которому доверяет Contoso.
Таким образом, если вы присоедините эту виртуальную машину Azure к домену Contoso, в идеале контроллер домена Contoso должен быть доступен в Azure. Этот контроллер домена может общаться с локальным контроллером домена через S2S VPN. Кроме того, вы можете настроить новый домен в Azure и присоединить сервер SQL к этому новому домену, а также установить доверительные отношения между этим новым доменом и Contoso - вам также потребуется S2S VPN в этом сценарии.
Но даже после того, как вы подключили виртуальную машину к домену, (удаленные) пользователи должны установить VPN-подключение к Azure, чтобы использовать проверку подлинности Windows (было бы неплохо пытаться использовать проверку подлинности Windows непосредственно в Интернете. ).
Вы также можете оценить Доменные службы Azure Active Directory , которые могут помочь в этом сценарии, но имеют другие требования (например, синхронизация пользователей с Azure AD с помощью ADConnect).
Вы также можете оценить SQL Azure (PaaS), который поддерживает аутентификацию Azure AD (но, опять же, вам нужно будет синхронизировать пользователей с ADConnect).