Можно ли ограничить аутентификацию SSRS только Kerberos?

У нас есть экземпляр SSRS (службы отчетов SQL Server), который использует ограниченное делегирование Kerberos для извлечения данных для своих отчетов из SQL Server от имени своих пользователей.

Для этого SSRS был настроен на использование <RSWindowsNegotiate/> опция аутентификации.

К сожалению, эта опция также позволяет войти в NTLM. Пользователи успешно входят в систему с NTLM, а затем получают ошибку при попытке запустить отчет (потому что делегирование явно не удается).

Существует также <RSWindowsKerberos> вариант, но, к сожалению, он не поддерживается браузерами.

Что даже стоит, после такого входа в NTLM SSRS не будет пытаться получить билет Kerberos от имени пользователя в течение некоторого периода времени, даже если пользователь теперь входит в систему, используя Kerberos, даже из другого браузера или с другой станции. Я полагаю, это потому, что SSRS запускает некоторый объект сеанса для пользователя после успешного входа в систему и связывает новые имена входа в этот сеанс - поэтому до истечения срока его действия (через ~10 минут) делегирование не будет предприниматься.

Есть ли способ сделать сбой входа NTLM или, по крайней мере, дать пользователю предупреждение о том, что он должен закрыть свой браузер, подождать некоторое время и повторно войти в систему Kerberos?