Delen via

Hoe Windows-verificatie voor Microsoft Entra ID wordt geconfigureerd met de moderne interactieve stroom

  • Artikel

In dit artikel wordt beschreven hoe u de moderne interactieve verificatiestroom implementeert om clients met Windows 10 20H1, Windows Server 2022 of een hogere versie van Windows toe te staan om te verifiëren bij Azure SQL Managed Instance met behulp van Windows-verificatie. Clients moeten lid zijn van Microsoft Entra ID (voorheen Azure Active Directory) of hybride Microsoft Entra-deelname.

Het inschakelen van de moderne interactieve verificatiestroom is één stap bij het instellen van Windows-verificatie voor Azure SQL Managed Instance met behulp van Microsoft Entra ID en Kerberos. De binnenkomende stroom op basis van vertrouwen is beschikbaar voor AD-gekoppelde clients met Windows 10/Windows Server 2012 en hoger.

Met deze functie is Microsoft Entra ID nu een eigen onafhankelijke Kerberos-realm. Windows 10 21H1-clients zijn al verlicht en leiden clients om toegang te krijgen tot Microsoft Entra Kerberos om een Kerberos-ticket aan te vragen. De mogelijkheid voor clients voor toegang tot Microsoft Entra Kerberos is standaard uitgeschakeld en kan worden ingeschakeld door groepsbeleid te wijzigen. Groepsbeleid kan worden gebruikt om deze functie op een gefaseerde manier te implementeren door specifieke clients te kiezen waarop u wilt testen en deze vervolgens uit te breiden naar alle clients in uw omgeving.

Notitie

Microsoft Entra-id is de nieuwe naam voor Azure Active Directory (Azure AD). Op dit moment wordt de documentatie bijgewerkt.

Vereisten

Er is geen Active Directory voor Microsoft Entra-id ingesteld om actieve software in te schakelen op aan Microsoft Entra gekoppelde VM's voor toegang tot Azure SQL Managed Instance met behulp van Windows-verificatie. De volgende vereisten zijn vereist voor het implementeren van de moderne interactieve verificatiestroom:

Vereiste Beschrijving
Clients moeten Windows 10 20H1, Windows Server 2022 of een hogere versie van Windows uitvoeren.
Clients moeten lid zijn van Microsoft Entra of hybride Microsoft Entra-deelname. U kunt bepalen of aan deze vereiste wordt voldaan door de opdracht dsregcmd uit te voeren: dsregcmd.exe /status
De toepassing moet verbinding maken met het beheerde exemplaar via een interactieve sessie. Dit ondersteunt toepassingen zoals SQL Server Management Studio (SSMS) en webtoepassingen, maar werkt niet voor toepassingen die als een service worden uitgevoerd.
Microsoft Entra-tenant.
Het Azure-abonnement onder dezelfde Microsoft Entra-tenant die u wilt gebruiken voor verificatie.
Microsoft Entra Verbinding maken geïnstalleerd. Hybride omgevingen waarin identiteiten bestaan in zowel Microsoft Entra ID als AD.

Groepsbeleid configureren

Schakel de volgende groepsbeleidsinstelling Administrative Templates\System\Kerberos\Allow retrieving the cloud Kerberos ticket during the logonin:

  1. Open de editor voor groepsbeleid.

  2. Navigeer naar Administrative Templates\System\Kerberos\.

  3. Selecteer het ticket voor het ophalen van cloud kerberos toestaan tijdens de aanmeldingsinstelling .

    A list of kerberos policy settings in the Windows policy editor. The 'Allow retrieving the cloud kerberos ticket during the logon' policy is highlighted with a red box.

  4. Selecteer Ingeschakeld in het instellingsdialoogvenster.

  5. Selecteer OK.

    Screenshot of the 'Allow retrieving the cloud kerberos ticket during the logon' dialog. Select 'Enabled' and then 'OK' to enable the policy setting.

PRT vernieuwen (optioneel)

Gebruikers met bestaande aanmeldingssessies moeten mogelijk hun Microsoft Entra Primary Refresh Token (PRT) vernieuwen als ze deze functie proberen te gebruiken direct nadat deze is ingeschakeld. Het kan enkele uren duren voordat de PRT zelfstandig is vernieuwd.

Als u PRT handmatig wilt vernieuwen, voert u deze opdracht uit vanaf een opdrachtprompt:

dsregcmd.exe /RefreshPrt

Volgende stappen

Meer informatie over het implementeren van Windows-verificatie voor Microsoft Entra-principals in Azure SQL Managed Instance: