How to set up Windows Authentication for Microsoft Entra ID with the modern interactive flow

Cikk
01/10/2024

Ez a cikk bemutatja, hogyan implementálható a modern interaktív hitelesítési folyamat, amely lehetővé teszi a Windows 10 20H1, a Windows Server 2022 vagy a Windows egy magasabb verzióját futtató ügyfelek számára a Felügyelt Azure SQL-példányon való hitelesítést Windows-hitelesítéssel. Az ügyfeleknek csatlakozniuk kell a Microsoft Entra-azonosítóhoz (korábbi nevén Azure Active Directory) vagy a Microsoft Entra hibrid csatlakoztatásához.

A modern interaktív hitelesítési folyamat engedélyezésének egyik lépése a Felügyelt Azure SQL-példány windowsos hitelesítésének beállítása a Microsoft Entra ID és a Kerberos használatával. A bejövő megbízhatósági alapú folyamat a Windows 10/Windows Server 2012 vagy újabb rendszerű AD-hez csatlakoztatott ügyfelek számára érhető el.

Ezzel a funkcióval a Microsoft Entra ID mostantól saját független Kerberos-tartomány. A Windows 10 21H1-ügyfelek már felvilágosultak, és átirányítják az ügyfeleket, hogy hozzáférjenek a Microsoft Entra Kerberoshoz, hogy Kerberos-jegyet kérjenek. Az ügyfeleknek a Microsoft Entra Kerberoshoz való hozzáférése alapértelmezés szerint ki van kapcsolva, és a csoportházirend módosításával engedélyezhető. A csoportházirend használatával ezt a funkciót szakaszos módon helyezheti üzembe, ha kiválasztja azokat az ügyfeleket, amelyeken tesztelni szeretné, majd kiterjeszti azt a környezet összes ügyfele számára.

Megjegyzés:

A Microsoft Entra ID az Azure Active Directory (Azure AD) új neve. Jelenleg frissítjük a dokumentációt.

Előfeltételek

A Microsoft Entra-azonosítóhoz nem szükséges Active Directory beállítása ahhoz, hogy a Microsoft Entra-hoz csatlakoztatott virtuális gépeken futó szoftverek hozzáférhessenek a Felügyelt Azure SQL-példányhoz a Windows-hitelesítés használatával. The following prerequisites are required to implement the modern interactive authentication flow:

Prerequisite	Description
Clients must run Windows 10 20H1, Windows Server 2022, or a higher version of Windows.
Az ügyfeleknek Microsoft Entra-hoz vagy hibrid Microsoft Entra-hoz kell csatlakozniuk.	You can determine if this prerequisite is met by running the dsregcmd command: `dsregcmd.exe /status`
Application must connect to the managed instance via an interactive session.	This supports applications such as SQL Server Management Studio (SSMS) and web applications, but won't work for applications that run as a service.
Microsoft Entra tenant.
Azure subscription under the same Microsoft Entra tenant you plan to use for authentication.
A Microsoft Entra Csatlakozás telepítve van.	Hybrid environments where identities exist both in Microsoft Entra ID and AD.

Csoportházirend konfigurálása

Engedélyezze a következő csoportházirend-beállítást Administrative Templates\System\Kerberos\Allow retrieving the cloud Kerberos ticket during the logon:

Nyissa meg a csoportházirend-szerkesztőt.
Nyissa meg a Administrative Templates\System\Kerberos\ címet.
Válassza a felhőbeli kerberos-jegy beolvasásának engedélyezése a bejelentkezési beállítás során.
A beállítási párbeszédpanelen válassza az Engedélyezve lehetőséget.
Kattintson az OK gombra.

PrT frissítése (nem kötelező)

Előfordulhat, hogy a meglévő bejelentkezési munkamenetekkel rendelkező felhasználóknak frissíteniük kell a Microsoft Entra elsődleges frissítési jogkivonatát (PRT), ha közvetlenül az engedélyezés után megkísérlik használni ezt a funkciót. A PRT frissítése akár néhány órát is igénybe vehet.

A PRT manuális frissítéséhez futtassa ezt a parancsot egy parancssorból:

dsregcmd.exe /RefreshPrt

További lépések

További információ a Felügyelt Azure SQL-példányOn a Microsoft Entra-tagok Windows-hitelesítésének implementálásáról:

Megosztás a következőn keresztül: