Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver hur du implementerar det moderna interaktiva autentiseringsflödet så att klienter som kör Windows 10 20H1, Windows Server 2022 eller en högre version av Windows kan autentisera till Azure SQL Managed Instance med Windows-autentisering. Klienter måste vara anslutna till Microsoft Entra-ID (tidigare Azure Active Directory) eller Microsoft Entra-hybridanslutning.
Att aktivera det moderna interaktiva autentiseringsflödet är ett steg i konfigurationen av Windows-autentisering för Azure SQL Managed Instance med hjälp av Microsoft Entra ID och Kerberos. Det inkommande förtroendebaserade flödet är tillgängligt för AD-anslutna klienter som kör Windows 10/Windows Server 2012 och senare.
Med den här funktionen är Microsoft Entra-ID nu en egen oberoende Kerberos-sfär. Windows 10 21H1-klienter är redan upplysta och omdirigerar klienter till Microsoft Entra Kerberos för att begära en Kerberos-biljett. Möjligheten för klienter att komma åt Microsoft Entra Kerberos är inaktiverad som standard och kan aktiveras genom att ändra grupprincip. Grupprincip kan användas för att distribuera den här funktionen på ett stegvis sätt genom att välja specifika klienter som du vill testa och sedan expandera den till alla klienter i din miljö.
Anmärkning
Microsoft Entra-ID kallades tidigare Azure Active Directory (Azure AD).
Förutsättningar
Det finns ingen Active Directory till Microsoft Entra-ID som krävs för att aktivera programvara som körs på Microsoft Entra-anslutna virtuella datorer för att få åtkomst till Azure SQL Managed Instance med Windows-autentisering. Följande krav krävs för att implementera det moderna interaktiva autentiseringsflödet:
| Förutsättning | Description |
|---|---|
| Klienter måste köra Windows 10 20H1, Windows Server 2022 eller en högre version av Windows. | |
| Klienter måste vara Microsoft Entra-anslutna eller Microsoft Entra-hybridanslutningar. | Du kan avgöra om den här förutsättningen uppfylls genom att köra kommandot dsregcmd: dsregcmd.exe /status |
| Program måste ansluta till den SQL-hanterade instansen via en interaktiv session. | Detta stöder program som SQL Server Management Studio (SSMS) och webbprogram, men fungerar inte för program som körs som en tjänst. |
| Microsoft Entra-klientorganisation. | |
| Azure-prenumeration under samma Microsoft Entra-klientorganisation som du planerar att använda för autentisering. | |
| Microsoft Entra Connect installerat. | Hybridmiljöer där identiteter finns både i Microsoft Entra-ID och AD. |
Konfigurera grupprincip
Aktivera följande grupprincipinställning Administrative Templates\System\Kerberos\Allow retrieving the cloud Kerberos ticket during the logon:
Öppna redigeraren för grupprincip.
Gå till
Administrative Templates\System\Kerberos\.Välj alternativet Tillåt hämtning av kerberos-biljetten i molnet under inloggningsinställningen .
I inställningsdialogrutan väljer du Aktiverad.
Välj OK.
Uppdatera PRT (valfritt)
Användare med befintliga inloggningssessioner kan behöva uppdatera sin Microsoft Entra Primary Refresh Token (PRT) om de försöker använda den här funktionen omedelbart efter aktivering. Det kan ta upp till några timmar innan PRT uppdateras på egen hand.
Om du vill uppdatera PRT manuellt kör du det här kommandot från en kommandotolk:
dsregcmd.exe /RefreshPrt
Relaterat innehåll
- Vad är Windows-autentisering för Microsoft Entra-huvudkonton i Azure SQL Managed Instance?
- Så här implementeras Windows-autentisering för Azure SQL Managed Instance med Microsoft Entra-ID och Kerberos
- Så här konfigurerar du Windows-autentisering för Microsoft Entra-ID med det inkommande förtroendebaserade flödet
- Konfigurera Azure SQL Managed Instance för Windows-autentisering för Microsoft Entra-ID
- Felsöka Windows-autentisering för Microsoft Entra-huvudnamn på Azure SQL Managed Instance