Configurare e gestire l'autenticazione Microsoft Entra con Azure SQL

Per impostare l'amministratore Microsoft Entra per il server logico nel portale di Azure, seguire questa procedura:

1. Nel riquadro del portale di Azure Directory e sottoscrizioni, scegli la directory che contiene la tua risorsa Azure SQL come directory corrente.

2. Cercare SQL Server e quindi selezionare il server logico per la risorsa di database per aprire il riquadro SQL Server.

   

3. Nel riquadro SQL server per il server logico selezionare Microsoft Entra ID in Settings per aprire il riquadro Microsoft Entra ID.

4. Nel riquadro Microsoft Entra ID selezionare Set admin per aprire il riquadro Microsoft Entra ID.

   

5. Il riquadro Microsoft Entra ID mostra tutti gli utenti, i gruppi e le applicazioni nella directory corrente e consente di eseguire ricerche in base al nome, all'alias o all'ID. Trovare l'identità desiderata per l'amministratore Microsoft Entra e selezionarla, quindi selezionare Selezionare per chiudere il riquadro.

6. Nella parte superiore della pagina Microsoft Entra ID per il server logico selezionare Salva.

   

   L'ID Object viene visualizzato accanto al nome dell'amministratore per Microsoft Entra utenti e gruppi. Per le applicazioni (entità servizio), viene visualizzato l'ID applicazione.

Il processo di modifica dell'amministratore può richiedere alcuni minuti. Il nuovo amministratore viene quindi visualizzato nel campo Microsoft Entra admin.

Per rimuovere l'amministratore, nella parte superiore della pagina Microsoft Entra ID selezionare Amministratore , quindi selezionare Salva. La rimozione dell'amministratore Microsoft Entra disabilita l'autenticazione Microsoft Entra per il server logico.

Per eseguire i cmdlet di PowerShell, è necessario avere Azure PowerShell installato ed eseguito. Per informazioni dettagliate, vedere Come installare e configurare Azure PowerShell.

I cmdlet di Azure PowerShell seguenti possono essere usati per impostare e gestire un amministratore Microsoft Entra per Azure SQL Database e Azure Synapse Analytics:

Per visualizzare altre informazioni su ognuno di questi comandi, usare il comando get-help di PowerShell. Ad esempio: get-help Set-AzSqlServerActiveDirectoryAdministrator.

Lo script seguente imposta un gruppo di amministratori Microsoft Entra denominato DBA_Group (ID oggetto di esempio aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) per il server di esempio example-server in un gruppo di risorse di esempio denominato Example-Resource-Group:

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    ServerName = "example-server"
    DisplayName = "DBA_Group"
}

Set-AzSqlServerActiveDirectoryAdministrator @parameters

Il parametro DisplayName accetta il nome visualizzato Microsoft Entra ID o il Nome principale utente, come nei seguenti esempi: DisplayName="Adrian King" e DisplayName="adrian@contoso.com". Se si usa un gruppo di Microsoft Entra, viene supportato soltanto il nome visualizzato.

L'esempio seguente usa il parametro opzionale ObjectID:

$parameters = @{
  ResourceGroupName = "Example-Resource-Group"
  ServerName = "example-server"
  DisplayName = "DBA_Group"
  ObjectId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
}
Set-AzSqlServerActiveDirectoryAdministrator @parameters

Le seguenti informazioni sull'amministratore corrente di Microsoft Entra per il server vengono restituite nell'esempio seguente:

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    ServerName = "example-server"
}

Get-AzSqlServerActiveDirectoryAdministrator @parameters | Format-List

Nell'esempio seguente viene rimosso un amministratore di Microsoft Entra:

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    ServerName = "example-server"
}

Remove-AzSqlServerActiveDirectoryAdministrator @parameters

È possibile impostare un amministratore di Microsoft Entra per Azure SQL Database e Azure Synapse Analytics con i comandi di Azure CLI seguenti:

Per ulteriori comandi dell'interfaccia della riga di comando, vedere az sql server.

È anche possibile utilizzare le API REST dell'Amministratore del server di Azure AD per creare, aggiornare, eliminare e ottenere l'amministratore di Microsoft Entra per Azure SQL Database e Azure Synapse Analytics.

Per concedere all'istanza gestita di SQL le autorizzazioni di lettura per Microsoft Entra ID usando il portale di Azure, accedere come Amministratore di Ruolo Privilegiato e seguire i seguenti passaggi:

1. Nell'angolo superiore destro del portale di Azure, selezionare il proprio account e quindi scegliere Cambia directory per confermare quale sia la propria directory corrente. Se necessario, cambiare directory.

   

2. Nel riquadro Azure portal Directory e abbonamenti scegli la directory che contiene l'istanza gestita come directory corrente.

3. Cercare istanze gestite di SQL e quindi selezionare l'istanza gestita per aprire il riquadro Istanza gestita di SQL. Selezionare quindi Microsoft Entra ID in Settings per aprire il riquadro Microsoft Entra ID per l'istanza.

   

4. Nel riquadro Microsoft Entra admin selezionare Set admin dalla barra di spostamento per aprire il riquadro Microsoft Entra ID.

   

5. Nel riquadro Microsoft Entra ID cercare un utente, selezionare la casella accanto all'utente o al gruppo come amministratore e quindi premere Select per chiudere il riquadro e tornare alla pagina Microsoft Entra admin per l'istanza gestita.

   Il riquadro Microsoft Entra ID mostra tutti i membri e i gruppi all'interno della directory corrente. Gli utenti o i gruppi visualizzati in grigio non sono selezionabili perché non sono supportati come amministratori per Microsoft Entra. Selezionare l'identità da assegnare come amministratore.

6. Nella barra di spostamento della pagina Microsoft Entra admin per l'istanza gestita, selezionare Salva per confermare l'amministratore di Microsoft Entra.

   

   Al termine dell'operazione di modifica dell'amministratore, il nuovo amministratore viene visualizzato nel campo Microsoft Entra admin.

   L'ID Object viene visualizzato accanto al nome dell'amministratore per Microsoft Entra utenti e gruppi. Per le applicazioni (entità servizio), viene visualizzato l'ID applicazione.

Per eseguire i cmdlet di PowerShell, è necessario avere Azure PowerShell installato ed eseguito. Per informazioni dettagliate, vedere Come installare e configurare Azure PowerShell.

La tabella seguente elenca i cmdlet di PowerShell che è possibile usare per definire e gestire l'amministratore Microsoft Entra per le istanze gestite:

Questo comando di esempio ottiene informazioni su un amministratore di Microsoft Entra per un'istanza gestita denominata "Sample-Instance" associata a un gruppo di risorse denominato "Example-Resource-Group".

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    InstanceName = "Sample-Instance"
}

Get-AzSqlInstanceActiveDirectoryAdministrator @parameters

Questo comando di esempio imposta l'amministratore Microsoft Entra su un gruppo denominato DBAs (con ID oggetto di esempio aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) per l'istanza gestita di SQL denominata "Sample-Instance". Questo server è associato con il gruppo di risorse "Example-Resource-Group".

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    InstanceName = "Sample-Instance"
    DisplayName = "DBAs"
    ObjectId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
}

Set-AzSqlInstanceActiveDirectoryAdministrator @parameters

Questo comando di esempio rimuove l'amministratore Microsoft Entra per il SQL Managed Instance denominato "Sample-Instance" associato al gruppo di risorse "Example-Resource-Group".

$parameters = @{
    ResourceGroupName = "Example-Resource-Group"
    InstanceName = "Sample-Instance"
    Confirm = $true
    PassThru = $true
}

Remove-AzSqlInstanceActiveDirectoryAdministrator @parameters

È possibile impostare e gestire un amministratore di Microsoft Entra per il SQL Managed Instance chiamando i comandi di Azure CLI seguenti:

Per ulteriori comandi dell'interfaccia della riga di comando, vedere az sql mi.

È possibile usare le API REST Managed Instance Administrators per creare, aggiornare, eliminare e ottenere l'amministratore Microsoft Entra per le istanze gestite di SQL.

La pagina Microsoft Entra ID per SQL Managed Instance nel portale di Azure visualizza un banner pratico quando all'istanza non vengono assegnate le autorizzazioni di lettura directory.

1. Selezionare il banner nella parte superiore della pagina Microsoft Entra ID e concedere l'autorizzazione all'identità gestita assegnata dal sistema o assegnata dall'utente che rappresenta l'istanza. Questa operazione può essere eseguita solo da un Amministratore dei ruoli privilegiati o da un ruolo superiore nel tuo tenant.

   Nota

   Se il banner non viene visualizzato, l'istanza potrebbe avere già assegnato il ruolo Lettori della directory, oppure potresti non avere il ruolo Amministratore dei ruoli con privilegi richiesto. Se questo ruolo non è disponibile, chiedere all'amministratore tenant di concedere l'autorizzazione o usare il metodo PowerShell nella scheda PowerShell .

   

2. Quando l'operazione ha esito positivo, viene visualizzata una notifica di operazione riuscita nell'angolo in alto a destra:

   

Lo script di PowerShell seguente aggiunge un'identità al ruolo Lettori di directory. Può essere usato per assegnare autorizzazioni a un'istanza gestita o a un'identità del server primario per il server logico (o qualsiasi identità Microsoft Entra).

# This script grants "Directory Readers" permission to a service principal representing a SQL Managed Instance or logical server.
# It can be executed only by a user who is a member of the **Privileged Roles Administrator** role.

Import-Module Microsoft.Graph.Authentication
$instanceName = "<InstanceName>"        # Enter the name of your managed instance or server
$tenantId = "<TenantId>"                       # Enter your tenant ID

Connect-MgGraph -TenantId $tenantId -Scopes "RoleManagement.ReadWrite.Directory"

# Get Microsoft Entra "Directory Readers" role and create if it doesn't exist
$roleName = "Directory Readers"
$role = Get-MgDirectoryRole -Filter "DisplayName eq '$roleName'"
if ($role -eq $null) {
    # Instantiate an instance of the role template
    $roleTemplate = Get-MgDirectoryRoleTemplate -Filter "DisplayName eq '$roleName'"
    New-MgDirectoryRoleTemplate -RoleTemplateId $roleTemplate.Id
    $role = Get-MgDirectoryRole -Filter "DisplayName eq '$roleName'"
}

# Get service principal for your SQL Managed Instance or logical server
$roleMember = Get-MgServicePrincipal -Filter "DisplayName eq '$instanceName'"
$roleMember.Count
if ($roleMember -eq $null) {
    Write-Output "Error: No service principal with name '$($instanceName)' found, make sure that instanceName parameter was entered correctly."
    exit
}
if (-not ($roleMember.Count -eq 1)) {
    Write-Output "Error: Multiple service principals with name '$($instanceName)'"
    Write-Output $roleMember | Format-List DisplayName, Id, AppId
    exit
}

# Check if service principal is already member of Directory Readers role
$isDirReader = Get-MgDirectoryRoleMember -DirectoryRoleId $role.Id -Filter "Id eq '$($roleMember.Id)'"
if ($isDirReader -eq $null) {
    # Add principal to Directory Readers role
    Write-Output "Adding service principal '$($instanceName)' to 'Directory Readers' role..."
    $body = @{
        "@odata.id"= "https://graph.microsoft.com/v1.0/directoryObjects/{$($roleMember.Id)}"
    }
    New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $body
    Write-Output "'$($instanceName)' service principal added to 'Directory Readers' role."
} else {
    Write-Output "Service principal '$($instanceName)' is already member of 'Directory Readers' role."
}

Per informazioni dettagliate su come assegnare ruoli di Azure tramite Azure CLI, vedere qui Assign Azure ruoli usando Azure CLI.

Assegnare ruoli di Azure tramite l'API REST.