Criteri di Azure per l'autenticazione basata solo su Microsoft Entra con Azure SQL

  • Articolo

Si applica a: Database SQL di Azure Istanza gestita di SQL di Azure

Con Criteri di Azure è possibile attuare la creazione di un database SQL di Azure o di un'Istanza gestita di SQL di Azure con l'autenticazione basata solo su Microsoft Entra abilitata durante il provisioning. Con questo criterio, qualsiasi tentativo di creare un server logico in Azure o un'istanza gestita avrà esito negativo se non viene creato con l'autenticazione basata solo su Microsoft Entra abilitata.

Nota

Anche se Azure Active Directory (Azure AD) è stato rinominato Microsoft Entra ID, i nomi dei criteri contengono attualmente il nome originale di Azure AD, quindi i termini autenticazione basata solo su Microsoft Entra e autenticazione basata solo su Azure AD sono usati in modo intercambiabile in questo articolo.

È possibile applicare i Criteri di Azure all'intera sottoscrizione di Azure o solo all'interno di un gruppo di risorse.

Nei Criteri di Azure sono stati introdotti due nuovi criteri predefiniti:

  • Il database SQL di Azure deve avere l'autenticazione basata solo su Azure Active Directory abilitata
  • Istanza gestita di SQL di Azure deve avere l'autenticazione basata solo su Azure Active Directory abilitata

Per altre informazioni sui Criteri di Azure, vedere Che cosa sono i Criteri di Azure? e Definizione della struttura dei Criteri di Azure.

Autorizzazioni

Per una panoramica delle autorizzazioni necessarie per gestire Criteri di Azure, vedere Autorizzazioni del controllo degli accessi in base al ruolo di Azure in Criteri di Azure.

Azioni

Se si usa un ruolo personalizzato per gestire Criteri di Azure, sono necessarie le seguenti Azioni.

  • */lettura
  • Microsoft.Authorization/policyassignments/*
  • Microsoft.Authorization/policydefinitions/*
  • Microsoft.Authorization/policyexemptions/*
  • Microsoft.Authorization/policysetdefinitions/*
  • Microsoft.PolicyInsights/*

Per altre informazioni sui ruoli personalizzati, vedere Ruoli personalizzati di Azure.

Gestire Criteri di Azure per l'autenticazione basata solo su Azure AD

I criteri di autenticazione basata solo su Azure AD possono essere gestiti passando al Portale di Azure e cercando il servizio Criteri. In Definizioni cercare Autenticazione basata solo su Azure Active Directory.

Screenshot di Gestire Criteri di Azure per l'autenticazione basata solo su Azure AD

Per una guida, vedere Usare Criteri di Azure per applicare l'autenticazione basata solo su Microsoft Entra con Azure SQL.

Esistono tre effetti per questi criteri:

  • Audit: l'impostazione predefinita e acquisisce solo un report di controllo nei log attività Criteri di Azure
  • Nega: impedisce la creazione di un server logico o di un'istanza gestita senza l'autenticazione basata solo su Microsoft Entra con Azure SQL abilitato
  • Disabilitato: disabilita il criterio e non impedisce agli utenti di creare un server logico o un'istanza gestita senza l'autenticazione basata solo su Microsoft Entra abilitata

Se Criteri di Azure per l'autenticazione basata solo su Azure AD è impostato su Nega, la creazione di un server logico o di un'istanza gestita ha esito negativo. I dettagli di questo errore vengono registrati nel log attività del gruppo di risorse.

Conformità ai criteri

È possibile visualizzare l'impostazione Conformità nel servizio Criteri per visualizzare lo stato di conformità. Lo Stato di conformità indica se il server o l'istanza gestita è attualmente in conformità con l'autenticazione basata solo su Microsoft Entra abilitata.

Criteri di Azure può impedire la creazione di un nuovo server logico o di un'istanza gestita senza l'abilitazione dell'autenticazione basata solo su Microsoft Entra, ma la funzionalità può essere modificata dopo la creazione del server o dell'istanza gestita. Se un utente ha disabilitato l'autenticazione basata solo su Microsoft Entra dopo la creazione del server o dell'istanza gestita, lo stato di conformità sarà Non-compliant se Criteri di Azure è impostato su Nega.

Screenshot del menu Conformità Criteri di Azure per l'autenticazione basata solo su Azure AD.

Limiti

  • Criteri di Azure applica l'autenticazione basata solo su Azure AD durante la creazione di un'istanza gestita o del server logico. Dopo aver creato il server, gli utenti autorizzati di Microsoft Entra con ruoli speciali (ad esempio, Gestore sicurezza SQL) possono disabilitare la funzionalità di autenticazione basata solo su Azure AD. Criteri di Azure lo consente, ma in questo caso il server o l'istanza gestita verranno elencati nel rapporto di conformità come Non-compliant e il rapporto indicherà il nome del server o dell'istanza gestita.
  • Per altri commenti, problemi noti e autorizzazioni necessarie, vedere Autenticazione basata solo su Microsoft Entra con Azure SQL.

Passaggio successivo

Usare Criteri di Azure per applicare l'autenticazione basata solo su Microsoft Entra con Azure SQL