Настройка проверки подлинности Windows для Microsoft Entra ID с помощью современного интерактивного потока

Статья
10/20/2023

В этой статье описывается, как реализовать современный интерактивный поток проверки подлинности, позволяющий клиентам работать под управлением Windows 10 20H1, Windows Server 2022 или более поздней версии Windows для проверки подлинности в Управляемый экземпляр SQL Azure с помощью проверки подлинности Windows. Клиенты должны быть присоединены к идентификатору Microsoft Entra (ранее Azure Active Directory) или гибридному присоединению к Microsoft Entra.

Включение современного интерактивного потока проверки подлинности является одним из этапов настройки проверки подлинности Windows для Управляемый экземпляр SQL Azure с помощью идентификатора Microsoft Entra и Kerberos. Поток на основе доверия доступен для присоединенных к AD клиентов под управлением Windows 10 / Windows Server 2012 и более поздних версий.

Благодаря этой функции идентификатор Microsoft Entra теперь является собственной независимой областью Kerberos. Клиенты Windows 10 21H1 уже просвещены и перенаправят клиенты для доступа к Microsoft Entra Kerberos, чтобы запросить билет Kerberos. Возможность доступа клиентов к Microsoft Entra Kerberos отключена по умолчанию и может быть включена путем изменения групповой политики. Групповую политику можно использовать для поэтапного развертывания этой функции. Для этого выберите конкретных клиентов, на которых эта функция будет протестирована, а затем расширьте действие функции на всех клиентов в вашей среде.

Примечание.

Идентификатор Microsoft Entra ранее был известен как Azure Active Directory (Azure AD).

Необходимые компоненты

Идентификатор Microsoft Entra не настроен для включения запуска программного обеспечения на виртуальных машинах, присоединенных к Microsoft Entra, для доступа к Управляемый экземпляр SQL Azure с помощью проверки подлинности Windows не требуется. Чтобы реализовать современный интерактивный поток проверки подлинности, необходимо выполнить следующие предварительные требования:

Предварительные требования	Описание
Клиенты должны работать под управлением Windows 10 20H1, Windows Server 2022 или более поздней версии Windows.
Клиенты должны быть присоединены к Microsoft Entra или гибридное присоединение к Microsoft Entra.	Проверить выполнение этого предварительного требования можно с помощью команды dsregcmd: `dsregcmd.exe /status`
Приложение должно подключаться к управляемому экземпляру через интерактивный сеанс.	Это требование поддерживает такие приложения как SQL Server Management Studio (SSMS) и веб-приложения, но не подходит для приложений, которые запускаются в качестве службы.
Клиент Microsoft Entra.
Подписка Azure в том же клиенте Microsoft Entra, который вы намерены использовать для проверки подлинности.
Установленная Подключение Microsoft Entra.	Гибридные среды, в которых удостоверения существуют одновременно в Microsoft Entra ID и AD.

Настройка групповой политики

Включите следующий параметр групповой политики Administrative Templates\System\Kerberos\Allow retrieving the cloud Kerberos ticket during the logon:

Откройте редактор групповой политики.
Перейдите к Administrative Templates\System\Kerberos\.
Выберите параметр Allow retrieving the cloud kerberos ticket during the logon (Разрешить получение облачного билета Kerberos во время входа).
В диалоговом окне параметра выберите Включено.
Нажмите ОК.

Обновление PRT (необязательно)

Пользователям с существующими сеансами входа может потребоваться обновить основной маркер обновления Microsoft Entra (PRT), если он попытается использовать эту функцию сразу после включения. Без этого на обновление PRT может потребоваться несколько часов.

Чтобы обновить PRT вручную, выполните следующую команду в командной строке:

dsregcmd.exe /RefreshPrt

Следующие шаги

Дополнительные сведения о реализации проверки подлинности Windows для субъектов Microsoft Entra в Управляемый экземпляр SQL Azure: