كيفية إعداد مصادقة Windows لـ Microsoft Azure Active Directory باستخدام التدفق التفاعلي الحديث (إصدار أولي)

توضح هذه المقالة كيفية تنفيذ تدفق المصادقة التفاعلية الحديثة للسماح للعملاء المطلعين الذين يقومون بتشغيل Windows 10 20H1 أو Windows Server 2022 أو إصدار أحدث من Windows للمصادقة على Azure SQL Managed Instance باستخدام مصادقة Windows. يجب أن ينضم العملاء إلى Microsoft Azure Active Directory (Azure AD) أو Hybrid Microsoft Azure Active Directory.

يعد تمكين تدفق المصادقة التفاعلية الحديثة خطوة واحدة في إعداد مصادقة Windows لمثيل مُدار من Azure SQL باستخدام Microsoft Azure Active Directory وKerberos (إصدار أولي). يتوفر التدفق الوارد المستند إلى الثقة (إصدار أولي) للعملاء المنضمين إلى AD والذين يشغلون Windows 10 / Windows Server 2012 والإصدارات الأحدث.

باستخدام هذه الإصدار أولي، أصبح Microsoft Azure Active Directory الآن عالم Kerberos المستقل الخاص به. تم بالفعل إطلاع عملاء Windows 10 21H1 وسيعيدون توجيه العملاء للوصول إلى Microsoft Azure Active Directory Kerberos لطلب تذكرة Kerberos. يتم إيقاف تشغيل إمكانية وصول العملاء إلى Microsoft Azure Active Directory Kerberos افتراضياً ويمكن تمكينها عن طريق تعديل نهج المجموعة. يمكن استخدام نهج المجموعة لتوزيع هذه الميزة بطريقة مرحلية عن طريق اختيار عملاء معينين تريد تجربتهم ثم توسيعها لتشمل جميع العملاء عبر بيئتك.

المتطلبات الأساسية

لا يوجد إعداد AD لـ Microsoft Azure Active Directory مطلوب لتمكين البرامج التي تعمل على Microsoft Azure Active Directory المنضمة VMs للوصول إلى Azure SQL Managed Instance باستخدام مصادقة Windows. المتطلبات الأساسية التالية مطلوبة لتنفيذ تدفق المصادقة التفاعلية الحديثة:

المتطلب الأساسي الوصف
يجب على العملاء تشغيل Windows 10 20H1 أو Windows Server 2022 أو إصدار أحدث من Windows.
يجب أن ينضم العملاء إلى Microsoft Azure Active Directory أو Hybrid Microsoft Azure Active Directory. يمكنك تحديد ما إذا كان هذا الشرط قد تم تحقيقه عن طريق تشغيل الأمر dsregcmd: dsregcmd.exe /status
يجب أن يتصل التطبيق بالمثيل المُدار عبر جلسة تفاعلية. يدعم هذا تطبيقات مثل SQL Server Management Studio (SSMS) وتطبيقات الويب، ولكنه لن يعمل مع التطبيقات التي تعمل كخدمة.
مستأجر Microsoft Azure Active Directory.
تم تثبيت Microsoft Azure Active Directory Connect. البيئات المختلطة حيث توجد الهويات في كل من Microsoft Azure Active Directory وAD.

تكوين نهج المجموعة

قم بتمكين إعداد نهج المجموعة التالي Administrative Templates\System\Kerberos\Allow retrieving the cloud Kerberos ticket during the logon:

  1. افتح محرر نهج المجموعة.

  2. انتقل إلى ⁧Administrative Templates\System\Kerberos\⁩.

  3. حدد الإعداد Allow retrieving the cloud kerberos ticket during the logon.

    A list of kerberos policy settings in the Windows policy editor. The 'Allow retrieving the cloud kerberos tikcet during the logon' policy is highlighted with a red box.

  4. في مربع حوار الإعداد، حدد Enabled.

  5. حدد "OK".

    Screenshot of the 'Allow retrieving the cloud kerberos ticket during the logon' dialog. Select 'Enabled' and then 'OK' to enable the policy setting.

تحديث PRT (اختياري)

قد يحتاج المستخدمون الذين لديهم جلسات تسجيل دخول حالية إلى تحديث رمز التحديث الأساسي Microsoft Azure Active Directory الأساسي (PRT) إذا حاولوا استخدام هذه الميزة فور تمكينها. قد يستغرق الأمر بضع ساعات حتى يتم تحديث PRT من تلقاء نفسه.

لتحديث PRT يدوياً، قم بتشغيل هذا الأمر من موجه الأوامر:

dsregcmd.exe /RefreshPrt

الخطوات التالية

تعرف على المزيد حول تنفيذ مصادقة Windows لكيانات Microsoft Azure Active Directory على مثيل Azure SQL المُدار: