Creare utenti guest di Microsoft Entra e impostarli come amministratore di Microsoft Entra

Si applica a: Database SQL di Azure Istanza gestita di SQL di Azure

Gli utenti guest con collaborazione B2B Microsoft Entra sono utenti che dispongono di account in un'organizzazione Microsoft Entra esterna o di un provider di identità esterno (ad esempio Outlook, Windows Live Mail o Gmail), che non è gestito all'interno del tenant di Microsoft Entra. Gli account utente guest vengono creati quando tali utenti vengono invitati a collaborare all'interno del tenant, pur eseguendo l'autenticazione nel loro provider di identità.

Questo articolo illustra come creare un utente guest di Microsoft Entra e impostare tale utente come amministratore Microsoft Entra per Istanza gestita di SQL di Azure o il server logico in Azure usato da database SQL di Azure e Azure Synapse Analytics.

Descrizione delle funzionalità

Database SQL di Azure, Istanza gestita di SQL e Azure Synapse Analytics supportano la creazione di entità di sicurezza da account utente guest, direttamente o come membri dei gruppi di Microsoft Entra all'interno del tenant. Gli utenti guest possono anche essere impostati come amministratore Microsoft Entra per il server logico o l'istanza gestita.

Prerequisiti

• Il modulo Az.Sql 2.9.0 o versione successiva è necessario quando si usa PowerShell per impostare un utente guest come amministratore Microsoft Entra per il server logico o l'istanza gestita.

Creare un utente del database per l'utente guest Microsoft Entra

Seguire questa procedura per creare un utente del database usando un utente guest di Microsoft Entra. In questa sezione, sostituire <guest_user> con un indirizzo email valido, ad esempio guest_user@example.com.

Creare un utente guest in database SQL e Azure Synapse

1. Assicurarsi che l'utente guest sia già stato aggiunto a Microsoft Entra ID e che sia stato impostato un amministratore di Microsoft Entra per il server database. La presenza di un amministratore di Microsoft Entra è necessaria per l'autenticazione Microsoft Entra.

2. Connettersi al database SQL come amministratore di Microsoft Entra o come utente di Microsoft Entra con autorizzazioni SQL sufficienti per creare utenti ed eseguire il comando seguente nel database in cui è necessario aggiungere l'utente guest:

   CREATE USER [<guest_user>] FROM EXTERNAL PROVIDER;
   

3. Dovrebbe essere stato creato un utente di database per l'utente guest.

4. Eseguire il comando seguente per verificare che l'utente di database sia stato creato correttamente:

   SELECT * FROM sys.database_principals;
   

5. Disconnettere e accedere al database come utente guest usando SQL Server Management Studio (SSMS) con il metodo di autenticazione Azure Active Directory - Universale con supporto MFA. Per altre informazioni, vedere Utilizzare l'autenticazione a più fattori di Microsoft Entra.

Creare un utente guest in Istanza gestita di SQL

1. Assicurarsi che l'utente guest sia già stato aggiunto al tenant Microsoft Entra e che sia stato impostato un amministratore di Microsoft Entra per Istanza gestita di SQL. La presenza di un amministratore di Microsoft Entra è necessaria per l'autenticazione Microsoft Entra.

2. Connettersi a Istanza gestita di SQL come amministratore di Microsoft Entra o come utente di Microsoft Entra con autorizzazioni SQL sufficienti per creare utenti ed eseguire il comando seguente nel database master per creare un account di accesso per l'utente guest:

   CREATE LOGIN [<guest_user>] FROM EXTERNAL PROVIDER;
   

3. Dovrebbe essere stato creato un account di accesso per l'utente guest nel database master.

4. Eseguire il comando seguente per verificare che l'account di accesso sia stato creato correttamente:

   SELECT * FROM sys.server_principals;
   

5. Eseguire il comando seguente nel database in cui deve essere aggiunto l'utente guest:

   CREATE USER [<guest_user>] FROM LOGIN [<guest_user>];
   

6. Dovrebbe essere stato creato un utente di database per l'utente guest.

7. Disconnettere e accedere al database come utente guest usando SQL Server Management Studio (SSMS) con il metodo di autenticazione Azure Active Directory - Universale con supporto MFA. Per altre informazioni, vedere Utilizzare l'autenticazione a più fattori di Microsoft Entra.

Impostare un utente guest come amministratore Microsoft Entra

Impostare l'amministratore Microsoft Entra usando il portale di Azure, Azure PowerShell o l'interfaccia della riga di comando di Azure. In questa sezione, sostituire <guest_user> con un indirizzo email valido, ad esempio guest_user@example.com.

Azure portal

Per configurare un amministratore di Microsoft Entra per un server logico o per un'istanza gestita usando il portale di Azure, seguire questa procedura:

1. Apri il portale di Azure.
2. Passare alla pagina Microsoft Entra della risorsa del server SQL o dell'istanza gestita in Impostazioni.
3. Selezionare Imposta amministratore per aprire il riquadro Microsoft Entra ID.
4. Nel riquadro Microsoft Entra ID, digitare il nome dell'account utente guest.
5. Selezionare questo nuovo utente, quindi salvare l'operazione.

Per altre informazioni, vedere Impostare l'amministratore di Microsoft Entra.

Azure PowerShell (Database SQL e Azure Synapse)

Per configurare un utente guest Microsoft Entra per un server logico, seguire questa procedura:

1. Assicurarsi che l'utente guest sia già stato aggiunto al tenant Microsoft Entra.

2. Eseguire il seguente comando di PowerShell per aggiungere l'utente guest come amministratore di Microsoft Entra per il server logico:

   • Sostituire <ResourceGroupName> con il nome del gruppo di risorse di Azure che contiene il server logico.
   • Sostituire <ServerName> con il nome del server logico. Se il nome del server è myserver.database.windows.net, sostituire <Server Name> con myserver.
   • Sostituire <DisplayNameOfGuestUser> con il nome utente guest.

   Set-AzSqlServerActiveDirectoryAdministrator -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DisplayName <DisplayNameOfGuestUser>
   

È anche possibile usare il comando dell'interfaccia della riga di comando di Azure az sql server ad-admin per impostare l'utente guest come amministratore di Microsoft Entra per il server logico.

Azure PowerShell (Istanza gestita di SQL)

Per configurare un utente guest Microsoft Entra per un'istanza gestita, seguire questa procedura:

1. Assicurarsi che l'utente guest sia già stato aggiunto al tenant Microsoft Entra.

2. Passare al Portale di Azure e andare alla risorsa Microsoft Entra ID. In Gestisci passare al riquadro Utenti . Selezionare l'utente guest e registrare Object ID.

3. Eseguire il seguente comando di PowerShell per aggiungere l'utente guest come amministratore di Microsoft Entra per Istanza gestita di SQL:

   • Sostituire <ResourceGroupName> con il nome del gruppo di risorse di Azure che contiene Istanza gestita di SQL.
   • Sostituire <ManagedInstanceName> con il nome di Istanza gestita di SQL.
   • Sostituire <DisplayNameOfGuestUser> con il nome utente guest.
   • Sostituire <AADObjectIDOfGuestUser> con il valore Object ID registrato in precedenza.

   Set-AzSqlInstanceActiveDirectoryAdministrator -ResourceGroupName <ResourceGroupName> -InstanceName "<ManagedInstanceName>" -DisplayName <DisplayNameOfGuestUser> -ObjectId <AADObjectIDOfGuestUser>
   

È anche possibile usare il comando dell'interfaccia della riga di comando di Azure az sql mi ad-admin per impostare l'utente guest come amministratore di Microsoft Entra per l'istanza gestita.

Contenuto correlato

• Configurare e gestire l'autenticazione a Microsoft Entra con Azure SQL
• Utilizzare l'autenticazione a più fattori di Microsoft Entra
• CREATE USER (Transact-SQL)