Ruolo amministratori che leggono la directory in Microsoft Entra ID per Azure SQL

Si applica a: Database SQL di Azure Istanza gestita di SQL di Azure Azure Synapse Analytics

Microsoft Entra ID (precedentemente Azure Active Directory) ha introdotto l'uso dei gruppi per gestire le assegnazioni di ruolo. Ciò consente di assegnare i ruoli di Microsoft Entra ai gruppi.

Nota

Con il supporto di Microsoft Graph per Azure SQL, il ruolo amministratori che leggono la directory può essere sostituito usando autorizzazioni di livello inferiore. Per altre informazioni, vedere Identità gestita assegnata dall'utente in Microsoft Entra per Azure SQL.

Quando si abilita un'identità gestita per database SQL di Azure, Istanza gestita di SQL di Azure o Azure Synapse Analytics, è possibile assegnare il ruolo amministratori che leggono la directory di Microsoft Entra ID all'identità per consentire l'accesso in lettura all'API Microsoft Graph. L'identità gestita di database SQL e Azure Synapse è nota come identità del server. L'identità gestita di Istanza gestita di SQL è nota come identità dell'istanza gestita e viene assegnata automaticamente al momento della creazione dell'istanza. Per altre informazioni su come assegnare l'identità del server al database SQL o ad Azure Synapse, vedere Abilitare le entità servizio per creare gli utenti di Microsoft Entra.

Il ruolo amministratori che leggono la directory può essere usato come identità del server o dell'istanza per facilitare le operazioni seguenti:

  • Creare account di accesso Microsoft Entra per Istanza gestita di SQL
  • Rappresentare gli utenti Microsoft Entra in Azure SQL
  • Eseguire la migrazione di utenti di SQL Server che usano autenticazione di Windows a Istanza gestita di SQL con l'autenticazione Microsoft Entra (tramite il comando ALTER USER (Transact-SQL))
  • Modificare l'amministratore Microsoft Entra per Istanza gestita di SQL
  • Consentire alle entità servizio (applicazioni) di creare utenti di Microsoft Entra in Azure SQL

Nota

Microsoft Entra ID era precedentemente conosciuto come Azure Active Directory (Azure AD).

Assegnazione del ruolo amministratori che leggono la directory

Per assegnare il ruolo amministratori che leggono la directory a un'identità, è necessario un utente con autorizzazioni di amministratore globale o amministratore ruolo con privilegi. Gli utenti che spesso gestiscono o implementano database SQL, Istanza gestita di SQL o Azure Synapse potrebbero non avere accesso a questi ruoli con privilegi elevati. Ciò può spesso causare complicazioni per gli utenti che creano risorse Azure SQL non pianificate o necessitano di assistenza da membri con ruoli con privilegi elevati che sono spesso inaccessibili nelle organizzazioni di grandi dimensioni.

Per l'istanza gestita di SQL, è necessario assegnare il ruoloamministratori che leggono la directory a un'identità dell'istanza gestita prima di poter configurare un amministratore di Microsoft Entra per l'istanza gestita.

Quando si configura un amministratore di Microsoft Entra per il server logico, non è necessario assegnare il ruolo amministratori che leggono la directory all'identità del server per il database SQL o Azure Synapse. Tuttavia, per abilitare la creazione di un oggetto Microsoft Entra nel database SQL o in Azure Synapse per conto di un'applicazione Microsoft Entra, è necessario il ruolo amministratori che leggono la directory. Se il ruolo non è assegnato all'identità del server logico, la creazione degli utenti di Microsoft Entra in Azure SQL avrà esito negativo. Per altre informazioni, vedere Entità servizio di Microsoft Entra con Azure SQL.

Concessione del ruolo amministratori che leggono la directory a un gruppo Microsoft Entra

È ora possibile far creare da un amministratore globale o da un amministratore ruolo con privilegi un gruppo Microsoft Entra e assegnare l'autorizzazione amministratori che leggono la directory al gruppo. Ciò consentirà l'accesso all'API Microsoft Graph per i membri del gruppo. Inoltre, gli utenti di Microsoft Entra che sono proprietari di questo gruppo possono assegnare nuovi membri al gruppo, incluse le identità dei server logici.

Questa soluzione richiede comunque un utente con privilegi elevati (amministratore globale o amministratore ruolo con privilegi) per creare un gruppo e assegnare gli utenti come attività unica, ma i proprietari del gruppo Microsoft Entra potranno assegnare altri membri in futuro. In questo modo si elimina la necessità di coinvolgere un utente con privilegi elevati in futuro per configurare tutti i database SQL, le Istanze gestite di SQL o i server Azure Synapse nel tenant di Microsoft Entra.

Passaggi successivi