최신 대화형 흐름을 사용하여 Microsoft Entra ID에 대한 Windows 인증을 설정하는 방법
이 문서에서는 Windows 10 20H1, Windows Server 2022 이상 버전의 Windows를 실행하는 클라이언트에서 Windows 인증을 사용하여 Azure SQL Managed Instance에 인증할 수 있도록 최신 대화형 인증 흐름을 구현하는 방법을 설명합니다. 클라이언트는 Microsoft Entra ID(이전에는 Azure Active Directory) 또는 Microsoft Entra 하이브리드에 참가해야 합니다.
최신 대화형 인증 흐름 사용은 Microsoft Entra ID 및 Kerberos를 사용하여 Azure SQL Managed Instance에 대한 Windows 인증 설정의 한 단계입니다. 수신 신뢰 기반 흐름은 Windows 10/Windows Server 2012 이상을 실행하는 AD 참가 클라이언트에서 사용 가능합니다.
이 기능을 사용하면 Microsoft Entra ID는 이제 고유한 독립적인 Kerberos 영역이 됩니다. Windows 10 21H1 클라이언트는 이미 지원되었으며 Kerberos 티켓을 요청하기 위해 Microsoft Entra Kerberos에 액세스하도록 클라이언트를 리디렉션합니다. Microsoft Entra Kerberos에 액세스할 수 있는 클라이언트 기능은 기본적으로 꺼져 있으며 그룹 정책을 수정하여 이 기능을 사용하도록 설정할 수 있습니다. 그룹 정책을 사용하여 파일럿할 특정 클라이언트를 선택한 다음 사용자 환경의 모든 클라이언트로 확장하여 단계적 방식으로 이 기능을 배포할 수 있습니다.
참고 항목
이전에는 Microsoft Entra ID는 Azure AD(Azure Active Directory)였습니다.
필수 조건
Microsoft Entra 참가 VM에서 실행 중인 소프트웨어가 Windows 인증을 사용하여 Azure SQL Managed Instance에 액세스할 수 있도록 설정하는 데 필요한 Microsoft Entra ID 설정에는 Active Directory가 없습니다. 최신 대화형 인증 흐름을 구현하려면 다음 필수 조건이 필요합니다.
| 필수 요소 | Description |
|---|---|
| 클라이언트는 Windows 10 20H1, Windows Server 2022 이상 버전의 Windows를 실행해야 합니다. | |
| 클라이언트는 Microsoft Entra 가입 또는 Microsoft Entra 하이브리드 가입되어야 합니다. | dsregcmd 명령을 실행하여 이 사전 요구 사항이 충족되는지 확인할 수 있습니다. dsregcmd.exe /status |
| 애플리케이션은 대화형 세션을 통해 관리되는 인스턴스에 연결해야 합니다. | 이는 SSMS(SQL Server Management Studio) 및 웹 애플리케이션과 같은 애플리케이션을 지원하지만 서비스로 실행되는 애플리케이션에서는 작동하지 않습니다. |
| Microsoft Entra 테넌트. | |
| 인증에 사용하려는 동일한 Microsoft Entra 테넌트의 Azure 구독. | |
| Microsoft Entra Connect가 설치됨. | Microsoft Entra ID와 AD 모두에 ID가 존재하는 하이브리드 환경. |
그룹 정책 구성
다음 그룹 정책 설정 Administrative Templates\System\Kerberos\Allow retrieving the cloud Kerberos ticket during the logon을 사용합니다.
그룹 정책 편집기를 엽니다.
Administrative Templates\System\Kerberos\으로 이동합니다.로그온 중 클라우드 kerberos 티켓 검색 허용 설정을 선택합니다.
설정 대화 상자에서 사용을 선택합니다.
확인을 선택합니다.
PRT 새로 고침(선택 사항)
기존 로그온 세션이 있는 사용자는 이 기능을 사용하도록 설정한 직후에 사용하려고 하면 Microsoft Entra PRT(기본 새로 고침 토큰)를 새로 고쳐야 할 수 있습니다. PRT가 자체적으로 새로 고쳐지는 데 최대 몇 시간이 걸릴 수 있습니다.
PRT를 수동으로 새로 고치려면 명령 프롬프트에서 다음 명령을 실행합니다.
dsregcmd.exe /RefreshPrt
다음 단계
Azure SQL Managed Instance에서 Microsoft Entra 보안 주체에 대한 Windows 인증 구현에 대해 자세히 알아봅니다.
- Azure SQL Managed Instance의 Microsoft Entra 보안 주체에 대한 Windows 인증이란 무엇인가요?
- Azure SQL Managed Instance에 대한 Windows 인증이 Microsoft Entra ID 및 Kerberos를 사용하여 구현되는 방법
- 수신 신뢰 기반 흐름을 사용하여 Microsoft Entra ID에 대한 Windows 인증을 설정하는 방법
- Microsoft Entra ID에 대한 Windows 인증을 위한 Azure SQL Managed Instance 구성
- Azure SQL Managed Instance의 Microsoft Entra 보안 주체에 대한 Windows 인증 문제 해결