如何使用 Microsoft Entra 識別碼和 Kerberos 實作 Azure SQL 受控執行個體的 Windows 驗證

Microsoft Entra ID (之前稱為 Azure Active Directory) 中 Azure SQL 託管執行個體主體的 Windows 驗證可讓客戶將現有的服務移至雲端,同時維持順暢的使用者體驗,並為安全性基礎結構現代化奠定基礎。 若要對 Microsoft Entra 主體啟用 Windows 驗證,請將 Microsoft Entra 租用戶轉換為獨立的 Kerberos 領域,並在客戶網域中建立連入信任。

此設定可讓客戶網域中的使用者存取 Microsoft Entra 租用戶中的資源。 它不允許 Microsoft Entra 租用戶中的使用者存取客戶網域中的資源。

下圖概述如何使用 Microsoft Entra ID 和 Kerberos 針對受控執行個體實作 Windows 驗證:

An overview of authentication: a client submits an encrypted Kerberos ticket as part of an authentication request to a managed instance. The managed instance submits the encrypted Kerberos ticket to Microsoft Entra I D, which exchanges it for a Microsoft Entra token that is returned the managed instance. The managed instance uses this token to authenticate the user.

- [針對 Azure SQL 受控執行個體上 Microsoft Entra 主體的 Windows 驗證進行疑難排解](winauth-azuread-troubleshoot.md)