Cómo configurar la autenticación de Windows para Microsoft Entra ID con el flujo interactivo moderno

Artículo
10/26/2023

En este artículo, se describe cómo implementar el flujo de autenticación interactivo moderno para permitir que los clientes que ejecutan Windows 10 20H1, Windows Server 2022 o una versión superior de Windows se autentiquen en Azure SQL Managed Instance con la autenticación de Windows. Los clientes deben estar unidos a Microsoft Entra ID (antes llamado Azure Active Directory) o Microsoft Entra híbrido.

La habilitación del flujo de autenticación interactivo moderno es un paso de la configuración de la autenticación de Windows para Azure SQL Managed Instance mediante Microsoft Entra ID y Kerberos. El flujo basado en la confianza de entrada está disponible para los clientes unidos a AD que ejecutan Windows 10 o Windows Server 2012 y versiones superiores.

Con esta característica, Microsoft Entra ID es ahora su propio dominio Kerberos independiente. Los clientes de Windows 10 21H1 ya están habilitados y redirigirán a los clientes a acceder a Kerberos de Microsoft Entra ID para solicitar un vale de Kerberos. De manera predeterminada, la funcionalidad para que los clientes accedan a Kerberos de Microsoft Entra ID está desactivada, pero se puede habilitar si se modifica la directiva de grupo. La directiva de grupo se puede usar para implementar esta característica en fases mediante la elección de clientes específicos en los que desea realizar pruebas piloto, para luego expandirla a todos los clientes de su entorno.

Nota:

Microsoft Entra ID era conocido anteriormente como Azure Active Directory (Azure AD).

Requisitos previos

No hay ningún Active Directory en Microsoft Entra ID configurado para habilitar la ejecución de software en máquinas virtuales unidas a Microsoft Entra para acceder a Azure SQL Managed Instance mediante la autenticación de Windows. Si desea implementar el flujo de autenticación interactivo moderno, debe cumplir con los requisitos previos siguientes:

Requisito previo	Descripción
Los clientes deben ejecutar Windows 10 20H1, Windows Server 2022 o una versión superior de Windows.
Los clientes deben estar unidos a Microsoft Entra o a Microsoft Entra híbrido.	Para determinar si se cumple con este requisito previo, puede ejecutar el comando dsregcmd: `dsregcmd.exe /status`
La aplicación se debe conectar a la instancia administrada a través de una sesión interactiva.	Esto admite aplicaciones como SQL Server Management Studio (SSMS) y aplicaciones web, pero no funciona con aplicaciones que se ejecutan como servicio.
Inquilino de Microsoft Entra.
Suscripción de Azure en el mismo inquilino de Microsoft Entra que planea utilizar para la autenticación.
Microsoft Entra Connect instalado.	Entornos híbridos donde existen identidades tanto en Microsoft Entra ID como en AD.

Configuración de directiva de grupo

Habilite esta configuración de directiva de grupo Administrative Templates\System\Kerberos\Allow retrieving the cloud Kerberos ticket during the logon:

Abra el Editor de directivas de grupo.
Vaya a Administrative Templates\System\Kerberos\.
Seleccione la configuración Allow retrieving the cloud kerberos ticket during the logon (Permitir la recuperación del vale de Kerberos de la nube durante el inicio de sesión).
En el cuadro de diálogo de configuración, seleccione Habilitado.
Seleccione Aceptar.

Actualización de PRT (opcional)

Es posible que los usuarios con sesiones de inicio existentes deban actualizar su token de actualización principal (PRT) de Microsoft Entra si intentan usar esta característica inmediatamente después de habilitarla. El PRT puede tardar hasta unas horas en actualizarse por sí mismo.

Si desea actualizar manualmente el PRT, ejecute este comando desde un símbolo del sistema:

dsregcmd.exe /RefreshPrt

Pasos siguientes

Obtenga más información sobre la implementación de la autenticación de Windows para entidades de seguridad de Microsoft Entra en Azure SQL Managed Instance:

Share via