本文介绍如何实现新式交互式身份验证流,以允许运行 Windows 10 20H1、Windows Server 2022 或更高版本的 Windows 的客户端使用 Windows 身份验证向 Azure SQL 托管实例进行身份验证。 必须将客户端加入到 Microsoft Entra ID(以前为 Azure Active Directory)或 Microsoft Entra 混合联接。
启用新式交互式身份验证流是 使用 Microsoft Entra ID 和 Kerberos 为 Azure SQL 托管实例设置 Windows 身份验证的一个步骤。 传入 的基于信任的流 适用于运行 Windows 10/Windows Server 2012 及更高版本的 AD 加入客户端。
借助此功能,Microsoft Entra ID 现在是其自己的独立 Kerberos 领域。 Windows 10 21H1 客户端已启动,并将重定向客户端以访问 Microsoft Entra Kerberos 以请求 Kerberos 票证。 客户端访问 Microsoft Entra Kerberos 的功能默认处于关闭状态,可以通过修改组策略启用。 组策略可用于分阶段部署此功能,方法是选择要试运行的特定客户端,然后将其扩展到环境中的所有客户端。
注释
Microsoft Entra ID 以前称为 Azure Active Directory (Azure AD)。
先决条件
无需将 Active Directory Microsoft Entra ID 设置为在 Microsoft已加入条目的虚拟机上启用正在运行的软件即可使用 Windows 身份验证访问 Azure SQL 托管实例。 实现新式交互式身份验证流需要满足以下先决条件:
| 先决条件 | Description |
|---|---|
| 客户端必须运行 Windows 10 20H1、Windows Server 2022 或更高版本的 Windows。 | |
| 客户端必须Microsoft Entra 联接或Microsoft Entra 混合联接。 | 可以通过运行 dsregcmd 命令来确定是否满足此先决条件: dsregcmd.exe /status |
| 应用程序必须通过交互式会话连接到 SQL 托管实例。 | 这支持 SQL Server Management Studio(SSMS)和 Web 应用程序等应用程序,但不适用于作为服务运行的应用程序。 |
| Microsoft Entra 租户。 | |
| 计划用于身份验证的同一Microsoft Entra 租户下的 Azure 订阅。 | |
| 已安装 Microsoft Entra Connect 。 | Microsoft Entra ID 和 AD 中都存在标识的混合环境。 |
配置组策略
启用以下组策略设置 Administrative Templates\System\Kerberos\Allow retrieving the cloud Kerberos ticket during the logon:
打开组策略编辑器。
请导航至
Administrative Templates\System\Kerberos\选择 登录设置期间允许检索云 kerberos 票证 。
在设置对话框中,选择“ 已启用”。
选择“确定”。
刷新 PRT (可选)
如果具有现有登录会话的用户在启用此功能后立即尝试使用此功能,则可能需要刷新其Microsoft Entra 主刷新令牌(PRT )。 PRT 可能需要几个小时才能自行刷新。
若要手动刷新 PRT,请从命令提示符运行以下命令:
dsregcmd.exe /RefreshPrt