Partilhar via

Como configurar a Autenticação do Windows para o Microsoft Entra ID com o fluxo interativo moderno

  • Artigo

Este artigo descreve como implementar o fluxo de autenticação interativa moderna para permitir que os clientes que executam o Windows 10 20H1, o Windows Server 2022 ou uma versão superior do Windows se autentiquem na Instância Gerenciada SQL do Azure usando a Autenticação do Windows. Os clientes devem estar associados ao Microsoft Entra ID (anteriormente Azure Ative Directory) ou ao Microsoft Entra híbrido.

Habilitar o fluxo de autenticação interativa moderna é uma etapa na configuração da Autenticação do Windows para Instância Gerenciada SQL do Azure usando o Microsoft Entra ID e Kerberos. O fluxo de entrada baseado em confiança está disponível para clientes ingressados no AD que executam o Windows 10 / Windows Server 2012 e superior.

Com esse recurso, o Microsoft Entra ID agora é seu próprio reino Kerberos independente. Os clientes Windows 10 21H1 já estão esclarecidos e redirecionarão os clientes para acessar o Microsoft Entra Kerberos para solicitar um tíquete Kerberos. A capacidade de os clientes acessarem o Microsoft Entra Kerberos é desativada por padrão e pode ser habilitada modificando a política de grupo. A política de grupo pode ser usada para implantar esse recurso de forma faseada, escolhendo clientes específicos nos quais você deseja pilotar e, em seguida, expandindo-o para todos os clientes em seu ambiente.

Nota

Microsoft Entra ID é o novo nome para o Azure Ative Directory (Azure AD). Estamos atualizando a documentação neste momento.

Pré-requisitos

Não há nenhuma configuração do Ative Directory para o Microsoft Entra ID necessária para habilitar o software em execução em VMs ingressadas no Microsoft Entra, para acessar a Instância Gerenciada SQL do Azure usando a Autenticação do Windows. São necessários os seguintes pré-requisitos para implementar o fluxo de autenticação interativo moderno:

Pré-requisito Descrição
Os clientes têm de ter o Windows 10 20H1, o Windows Server 2022 ou uma versão superior do Windows.
Os clientes devem ser associados ao Microsoft Entra ou híbridos do Microsoft Entra. Pode determinar se este pré-requisito é cumprido ao executar o comando dsregcmd: dsregcmd.exe /status
A aplicação tem de se ligar à instância gerida através de uma sessão interativa. São suportadas aplicações como o SQL Server Management Studio (SSMS) e aplicações Web, mas não funcionará para aplicações executadas como um serviço.
Inquilino do Microsoft Entra.
A subscrição do Azure tem de estar no mesmo inquilino do Microsoft Entra que quer utilizar na autenticação.
Microsoft Entra Connect instalado. Ambientes híbridos onde existem identidades no Microsoft Entra ID e no AD.

Configurar a política de grupo

Habilite a seguinte configuração de diretiva de Administrative Templates\System\Kerberos\Allow retrieving the cloud Kerberos ticket during the logongrupo:

  1. Abra o editor de política de grupo.

  2. Navegar para Administrative Templates\System\Kerberos\.

  3. Selecione a opção Permitir recuperação do tíquete kerberos na nuvem durante a configuração de logon .

    A list of kerberos policy settings in the Windows policy editor. The 'Allow retrieving the cloud kerberos ticket during the logon' policy is highlighted with a red box.

  4. Na caixa de diálogo de configuração, selecione Habilitado.

  5. Selecione OK.

    Screenshot of the 'Allow retrieving the cloud kerberos ticket during the logon' dialog. Select 'Enabled' and then 'OK' to enable the policy setting.

Atualizar PRT (opcional)

Os usuários com sessões de logon existentes podem precisar atualizar seu Microsoft Entra Primary Refresh Token (PRT) se tentarem usar esse recurso imediatamente após ele ter sido habilitado. Pode levar até algumas horas para que o PRT se atualize por conta própria.

Para atualizar o PRT manualmente, execute este comando a partir de um prompt de comando:

dsregcmd.exe /RefreshPrt

Próximos passos

Saiba mais sobre como implementar a Autenticação do Windows para entidades do Microsoft Entra na Instância Gerenciada SQL do Azure: