如何使用现代交互式流程为 Microsoft Entra ID 设置 Windows 身份验证

本文介绍如何实施现代交互式身份验证流程,以允许运行 Windows 10 20H1、Windows Server 2022 或更高版本的 Windows 的客户端使用 Windows 身份验证向 Azure SQL 托管实例进行身份验证。 客户端必须已加入 Microsoft Entra ID(以前称为 Azure Active Directory),或已加入 Microsoft Entra 混合联接

启用新式交互式身份验证流程是使用 Microsoft Entra ID 和 Kerberos 为 Azure SQL 托管实例设置 Windows 身份验证的一个步骤。 传入的基于信任的流适用于运行 Windows 10/Windows Server 2012 及更高版本的已建立 AD 联接的客户端。

使用此功能,Microsoft Entra ID 现在是它自己独立的 Kerberos 领域。 Windows 10 21H1 客户端已启用,并将重定向客户端来访问 Microsoft Entra Kerberos,从而请求 Kerberos 票证。 客户端访问 Microsoft Entra Kerberos 的功能默认是关闭的,可以通过修改组策略启用。 可以使用组策略来分阶段部署此功能,方法是选择你要试用的特定客户端,然后将其扩展到你环境中的所有客户端。

注意

Microsoft Entra ID 以前称为 Azure Active Directory (Azure AD)。

先决条件

无需设置 Active Directory 到 Microsoft Entra ID,即可在加入 Microsoft Entra 的 VM 上运行软件,以便通过 Windows 身份验证访问Azure SQL 托管实例。 需要满足以下先决条件才能实施现代交互式身份验证流程:

先决条件 说明
客户端必须运行 Windows 10 20H1、Windows Server 2022 或更高版本的 Windows。
客户端必须加入 Microsoft Entra,或加入混合 Microsoft Entra。 你可以通过运行 dsregcmd 命令来确定是否满足此先决条件:dsregcmd.exe /status
应用程序必须通过交互式会话连接到托管实例。 这支持 SQL Server Management Studio (SSMS) 和 Web 应用程序等应用程序,但不适用于作为服务运行的应用程序。
Microsoft Entra 租户。
同一 Microsoft Entra 租户下计划用于身份验证的 Azure 订阅。
已安装 Microsoft Entra Connect 混合环境,即 Microsoft Entra ID 和 AD 中都存在标识。

配置组策略

启用以下组策略设置 Administrative Templates\System\Kerberos\Allow retrieving the cloud Kerberos ticket during the logon

  1. 打开组策略编辑器。

  2. 导航到 Administrative Templates\System\Kerberos\

  3. 选择“允许在登录期间检索云 kerberos 票证”设置。

    Windows 策略编辑器中的 kerberos 策略设置列表。“允许在登录期间检索云 kerberos 票证”策略以红色框突出显示。

  4. 在设置对话框中,选择“已启用”。

  5. 选择“确定” 。

    “允许在登录期间检索云 kerberos 票证”对话框的屏幕截图。选择“启用”,然后选择“确定”以启用策略设置。

刷新 PRT(可选)

如果具有现有登录会话的用户在启用此功能后立即尝试使用此功能,则他们可能需要刷新其 Microsoft Entra 主刷新令牌 (PRT)。 PRT 可能需要几小时才能自行刷新。

要手动刷新 PRT,请从命令提示符运行以下命令:

dsregcmd.exe /RefreshPrt

后续步骤

详细了解如何为 Azure SQL 托管实例上的 Microsoft Entra 主体实现 Windows 身份验证: