Cara menyiapkan Autentikasi Windows Microsoft Entra ID dengan alur interaktif modern

  • Artikel

Artikel ini menjelaskan cara menerapkan alur autentikasi interaktif modern untuk memungkinkan klien yang menjalankan Windows 10 20H1, Windows Server 2022, atau versi Windows yang lebih tinggi untuk mengautentikasi ke Azure SQL Managed Instance menggunakan Autentikasi Windows. Klien harus bergabung ke MICROSOFT Entra ID (sebelumnya Azure Active Directory) atau Microsoft Entra hybrid joined.

Mengaktifkan alur autentikasi interaktif modern adalah salah satu langkah dalam menyiapkan Autentikasi Windows untuk Azure SQL Managed Instance menggunakan ID Microsoft Entra dan Kerberos. Alur berbasis kepercayaan masuk tersedia untuk klien yang bergabung dengan AD yang menjalankan Windows 10 / Windows Server 2012 dan yang lebih tinggi.

Dengan fitur ini, Microsoft Entra ID sekarang menjadi ranah Kerberos independennya sendiri. Klien Windows 10 21H1 sudah tercerahkan dan akan mengalihkan klien untuk mengakses Microsoft Entra Kerberos untuk meminta tiket Kerberos. Kemampuan bagi klien untuk mengakses Microsoft Entra Kerberos dinonaktifkan secara default dan dapat diaktifkan dengan memodifikasi kebijakan grup. Kebijakan grup dapat digunakan untuk menyebarkan fitur ini secara bertahap dengan memilih klien tertentu yang ingin Anda uji coba lalu memperluasnya ke semua klien di seluruh lingkungan.

Catatan

ID Microsoft Entra sebelumnya dikenal sebagai Azure Active Directory (Azure AD).

Prasyarat

Tidak ada Direktori Aktif ke penyiapan ID Microsoft Entra yang diperlukan untuk mengaktifkan menjalankan perangkat lunak pada VM yang bergabung dengan Microsoft Entra untuk mengakses Azure SQL Managed Instance menggunakan Autentikasi Windows. Prasyarat berikut diperlukan untuk menerapkan alur autentikasi interaktif modern:

Prasyarat Deskripsi
Klien harus menjalankan Windows 10 20H1, Windows Server 2022, atau versi Windows yang lebih tinggi.
Klien harus bergabung dengan Microsoft Entra atau gabungan hibrid Microsoft Entra. Anda dapat menentukan apakah prasyarat ini terpenuhi dengan menjalankan perintah dsregcmd: dsregcmd.exe /status
Aplikasi harus terhubung ke instans terkelola melalui sesi interaktif. Cara ini mendukung aplikasi seperti SQL Server Management Studio (SSMS) dan aplikasi web, tetapi tidak akan berfungsi untuk aplikasi yang berjalan sebagai layanan.
Penyewa Microsoft Entra.
Langganan Azure di penyewa Microsoft Entra yang sama yang Anda rencanakan untuk digunakan sebagai autentikasi.
Microsoft Entra Koneksi terinstal. Lingkungan hibrida saat identitas terdapat baik di Microsoft Entra ID dan AD.

Mengonfigurasi kebijakan grup

Aktifkan pengaturan kebijakan grup berikut Administrative Templates\System\Kerberos\Allow retrieving the cloud Kerberos ticket during the logon:

  1. Buka editor kebijakan grup.

  2. Buka Administrative Templates\System\Kerberos\.

  3. Pilih pengaturan Izinkan mengambil tiket kerberos cloud selama masuk.

    A list of kerberos policy settings in the Windows policy editor. The 'Allow retrieving the cloud kerberos ticket during the logon' policy is highlighted with a red box.

  4. Dalam dialog pengaturan, pilih Diaktifkan.

  5. Pilih OK.

    Screenshot of the 'Allow retrieving the cloud kerberos ticket during the logon' dialog. Select 'Enabled' and then 'OK' to enable the policy setting.

Refresh PRT (opsional)

Pengguna dengan sesi masuk yang ada mungkin perlu me-refresh Token Refresh Utama (PRT) Microsoft Entra mereka jika mereka mencoba menggunakan fitur ini segera setelah diaktifkan. Hal ini dapat memakan waktu hingga beberapa jam bagi PRT untuk me-refresh sendiri.

Untuk me-refresh PRT secara manual, jalankan perintah ini dari tampilan perintah:

dsregcmd.exe /RefreshPrt

Langkah berikutnya

Pelajari selengkapnya tentang menerapkan Autentikasi Windows untuk perwakilan Microsoft Entra di Azure SQL Managed Instance: