如何使用現代互動式流程為 Microsoft Entra 識別碼設定 Windows 驗證
本文說明如何實作現代互動式驗證流程,以允許執行 Windows 10 20H1、Windows Server 2022 或更高 Windows 版本的用戶端,使用 Windows 驗證向 Azure SQL 受控執行個體進行驗證。 客戶端必須加入 Microsoft Entra ID (之前稱為 Azure Active Directory) 或已加入 Microsoft Entra 混合式。
啟用新式互動式驗證流程是使用 Microsoft Entra ID 和 Kerberos 為 Azure SQL 受控執行個體設定 Windows 驗證中的一個步驟。 傳入的信任型流程適用於執行 Windows 10 或 Windows Server 2012 和更新版本的用戶端 (且用戶端已加入 AD)。
透過這項功能,Microsoft Entra ID 現在是它自己的獨立 Kerberos 領域。 Windows 10 21H1 用戶端已啟用,並將用戶端重新導向至存取 Microsoft Entra Kerberos 以要求 Kerberos 票證。 用戶端存取 Microsoft Entra Kerberos 的功能預設為關閉,並可透過修改組策略來啟用。 組策略可用來以分段方式部署這項功能,方法是選擇您要試驗的特定客戶端,然後將它擴充至您環境中的所有用戶端。
注意
Microsoft Entra 標識符 先前稱為 Azure Active Directory (Azure AD)。
必要條件
在加入 Microsoft Entra 的 VM 上啟用執行軟體以使用 Windows 驗證存取 Azure SQL 受控執行個體 時,不需要設定 Active Directory 到 Microsoft Entra 識別符。 實作現代互動式驗證流程需要下列必要條件:
| 必要條件 | 描述 |
|---|---|
| 用戶端必須執行 Windows 10 20H1、Windows Server 2022 或更新版本的 Windows。 | |
| 用戶端必須已加入 Microsoft Entra 或加入 Microsoft Entra 混合式。 | 您可以執行 dsregcmd 命令來判斷是否符合此必要條件:dsregcmd.exe /status |
| 應用程式必須透過互動工作階段連線至受控執行個體。 | 此支援 SQL Server Management Studio (SSMS) 和 Web 應用程式等應用程式,但不適用於以服務形式執行的應用程式。 |
| Microsoft Entra 租用戶。 | |
| 您打算用於驗證的相同 Microsoft Entra 租用戶下的 Azure 訂用帳戶。 | |
| 已安裝 Microsoft Entra Connect。 | Microsoft Entra 識別碼和 AD 中同時存在身分識別的混合式環境。 |
在群組原則中,設定
開啟下列組策略設定 Administrative Templates\System\Kerberos\Allow retrieving the cloud Kerberos ticket during the logon:
開啟群組原則編輯器。
瀏覽至
Administrative Templates\System\Kerberos\。選取 [ 允許在登入 設定期間擷取雲端 kerberos 票證]。
在設定對話框中,選取 [ 已啟用]。
選取 [確定]。
重新整理PRT (選擇性)
如果使用者嘗試在啟用此功能之後立即使用此功能,則具有現有登入會話的使用者可能需要重新整理其 Microsoft Entra Primary Refresh Token (PRT) 。 PRT 最多可能需要幾個小時才能自行重新整理。
若要手動重新整理 PRT,請從命令提示字元執行此命令:
dsregcmd.exe /RefreshPrt
下一步
深入了解在 Azure SQL 受控執行個體上為 Microsoft Entra 主體實作 Windows 驗證: