Come configurare l'autenticazione di Windows per Azure Active Directory con il flusso interattivo moderno

Questo articolo descrive come implementare il flusso di autenticazione interattiva moderna per consentire ai client con riconoscimento dei dati che eseguono Windows 10 20H1, Windows Server 2022 o una versione successiva di Windows per l'autenticazione a Istanza gestita di SQL di Azure tramite l'autenticazione di Windows. I client devono essere aggiunti ad Azure Active Directory (Azure AD) o ad Azure AD ibrido.

L'abilitazione del flusso di autenticazione interattiva moderna è un passaggio nella configurazione dell'autenticazione di Windows per Istanza gestita di SQL di Azure tramite Azure Active Directory e Kerberos (anteprima). Il flusso basato sull'attendibilità in ingresso (anteprima) è disponibile per i client aggiunti ad Active Directory che eseguono Windows 10/Windows Server 2012 e versioni successive.

Con questa anteprima, Azure AD è ora la propria area di autenticazione Kerberos indipendente. Windows 10 client 21H1 sono già abilitati e reindirizzeranno i client per accedere a Kerberos di Azure AD per richiedere un ticket Kerberos. La funzionalità per consentire ai client di accedere a Kerberos di Azure AD è disattivata per impostazione predefinita e può essere abilitata modificando i criteri di gruppo. I criteri di gruppo possono essere usati per distribuire questa funzionalità in modo a fasi scegliendo client specifici su cui si vuole eseguire la distribuzione pilota e quindi espandendola in tutti i client nell'ambiente in uso.

Prerequisiti

Non è necessario configurare Active Directory in Azure AD per abilitare il software in esecuzione in macchine virtuali aggiunte ad Azure AD per accedere alle Istanza gestita di SQL di Azure tramite l'autenticazione di Windows. Per implementare il flusso di autenticazione interattiva moderna sono necessari i prerequisiti seguenti:

Prerequisito Descrizione
I client devono eseguire Windows 10 20H1, Windows Server 2022 o una versione successiva di Windows.
I client devono essere aggiunti ad Azure AD o ad Azure AD ibrido. È possibile determinare se questo prerequisito è soddisfatto eseguendo il comando dsregcmd: dsregcmd.exe /status
L'applicazione deve connettersi all'istanza gestita tramite una sessione interattiva. Ciò supporta applicazioni come SQL Server Management Studio (SSMS) e applicazioni Web, ma non funzionano per le applicazioni eseguite come servizio.
Tenant di Azure AD.
Sottoscrizione di Azure nello stesso tenant di Azure AD che si prevede di usare per l'autenticazione.
Azure AD Connect installato. Ambienti ibridi in cui esistono identità sia in Azure AD che in AD.

Configurare i criteri di gruppo

Abilitare l'impostazione di Criteri di Administrative Templates\System\Kerberos\Allow retrieving the cloud Kerberos ticket during the logongruppo seguente:

  1. Aprire l'editor criteri di gruppo.

  2. Accedere a Administrative Templates\System\Kerberos\.

  3. Selezionare l'impostazione Consenti il recupero del ticket Kerberos cloud durante l'accesso .

    Elenco delle impostazioni dei criteri Kerberos nell'editor dei criteri di Windows. Il criterio

  4. Nella finestra di dialogo delle impostazioni selezionare Abilitato.

  5. Selezionare OK.

    Screenshot della finestra di dialogo

Aggiornare il token di aggiornamento primario (facoltativo)

Gli utenti con sessioni di accesso esistenti potrebbero dover aggiornare il token di aggiornamento primario (PRT) di Azure AD se tentano di usare questa funzionalità immediatamente dopo che è stata abilitata. L'aggiornamento del token di aggiornamento primario può richiedere fino a poche ore.

Per aggiornare manualmente prt, eseguire questo comando da un prompt dei comandi:

dsregcmd.exe /RefreshPrt

Passaggi successivi

Altre informazioni sull'implementazione dell'autenticazione di Windows per entità di Azure AD in Istanza gestita di SQL di Azure: