Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano sposób implementowania nowoczesnego przepływu uwierzytelniania interakcyjnego, aby umożliwić klientom z systemem Windows 10 20H1, Windows Server 2022 lub nowszą wersję systemu Windows do uwierzytelniania w usłudze Azure SQL Managed Instance przy użyciu uwierzytelniania systemu Windows. Klienci muszą być przyłączeni do usługi Microsoft Entra ID (dawniej Azure Active Directory) lub dołączone hybrydowo do firmy Microsoft Entra.
Włączenie nowoczesnego przepływu uwierzytelniania interakcyjnego to krok konfigurowania uwierzytelniania systemu Windows dla usługi Azure SQL Managed Instance przy użyciu identyfikatora Microsoft Entra ID i protokołu Kerberos. Przychodzący przepływ oparty na zaufaniu jest dostępny dla klientów przyłączonych do usługi AD z systemem Windows 10 / Windows Server 2012 lub nowszym.
Dzięki tej funkcji identyfikator Entra firmy Microsoft jest teraz własnym niezależnym obszarem Kerberos. Klienci systemu Windows 10 21H1 są już obsługiwani i przekierowują klientów w celu uzyskania dostępu do protokołu Kerberos firmy Microsoft w celu żądania biletu protokołu Kerberos. Możliwość uzyskiwania dostępu do protokołu Kerberos firmy Microsoft przez klientów jest domyślnie wyłączona i można ją włączyć, modyfikując zasady grupy. Zasady grupy mogą służyć do wdrażania tej funkcji w sposób etapowy, wybierając określonych klientów, na których chcesz przeprowadzić pilotaż, a następnie rozszerzając ją do wszystkich klientów w całym środowisku.
Uwaga / Notatka
Microsoft Entra ID był wcześniej znany jako Azure Active Directory (Azure AD).
Wymagania wstępne
Nie skonfigurowano usługi Active Directory do usługi Microsoft Entra ID wymaganej do włączenia uruchamiania oprogramowania na maszynach wirtualnych dołączonych do firmy Microsoft w celu uzyskania dostępu do usługi Azure SQL Managed Instance przy użyciu uwierzytelniania systemu Windows. Do zaimplementowania nowoczesnego przepływu uwierzytelniania interakcyjnego wymagane są następujące wymagania wstępne:
| Warunek wstępny | Description |
|---|---|
| Klienci muszą uruchomić system Windows 10 20H1, Windows Server 2022 lub nowszą wersję systemu Windows. | |
| Klienci muszą być przyłączeni do firmy Microsoft Entra lub przyłączeni hybrydowi firmy Microsoft Entra. | Możesz określić, czy to wymaganie wstępne jest spełnione, uruchamiając polecenie dsregcmd: dsregcmd.exe /status |
| Aplikacje muszą łączyć się z wystąpieniem zarządzanym SQL za pośrednictwem sesji interakcyjnej. | Obsługuje to aplikacje, takie jak SQL Server Management Studio (SSMS) i aplikacje internetowe, ale nie działają w przypadku aplikacji uruchamianych jako usługa. |
| Dzierżawa Microsoft Entra. | |
| Subskrypcja platformy Azure w ramach tej samej dzierżawy firmy Microsoft Entra, której planujesz używać do uwierzytelniania. | |
| Zainstalowano program Microsoft Entra Connect. | Środowiska hybrydowe, w których tożsamości istnieją zarówno w usłudze Microsoft Entra ID, jak i AD. |
Konfigurowanie zasad grupy
Włącz następujące ustawienie Administrative Templates\System\Kerberos\Allow retrieving the cloud Kerberos ticket during the logonzasad grupy:
Otwórz edytor zasad grupy.
Przejdź do strony
Administrative Templates\System\Kerberos\.Wybierz bilet Zezwalaj na pobieranie biletu kerberos w chmurze podczas logowania .
W oknie dialogowym ustawienia wybierz pozycję Włączone.
Kliknij przycisk OK.
Odśwież żądanie ściągnięcia (opcjonalnie)
Użytkownicy z istniejącymi sesjami logowania mogą wymagać odświeżenia podstawowego tokenu odświeżania firmy Microsoft (PRT), jeśli spróbują użyć tej funkcji natychmiast po jej włączeniu. Odświeżanie żądania ściągnięcia może potrwać do kilku godzin.
Aby ręcznie odświeżyć żądanie ściągnięcia, uruchom to polecenie w wierszu polecenia:
dsregcmd.exe /RefreshPrt
Treści powiązane
- Co to jest uwierzytelnianie systemu Windows dla podmiotów zabezpieczeń firmy Microsoft w usłudze Azure SQL Managed Instance?
- Jak uwierzytelnianie systemu Windows dla usługi Azure SQL Managed Instance jest implementowane przy użyciu identyfikatora Microsoft Entra i protokołu Kerberos
- Jak skonfigurować uwierzytelnianie systemu Windows dla identyfikatora Entra firmy Microsoft przy użyciu przychodzącego przepływu opartego na zaufaniu
- Konfigurowanie usługi Azure SQL Managed Instance na potrzeby uwierzytelniania systemu Windows dla identyfikatora entra firmy Microsoft
- Rozwiązywanie problemów z uwierzytelnianiem systemu Windows dla podmiotów zabezpieczeń firmy Microsoft w usłudze Azure SQL Managed Instance