Nota
L'accesso a questa pagina richiede l'autorizzazione. Puoi provare ad accedere o a cambiare directory.
L'accesso a questa pagina richiede l'autorizzazione. Puoi provare a cambiare directory.
Si applica a:
SQL Server 2025 (17.x)
SQL Server 2025 (17.x) include il supporto delle identità gestite per SQL Server in Windows. Usare un'identità gestita per interagire con le risorse in Azure usando l'autenticazione Di Microsoft Entra.
Informazioni generali
SQL Server 2025 (17.x) introduce il supporto per le identità gestite di Microsoft Entra. Usare le identità gestite per eseguire l'autenticazione ai servizi di Azure senza dover gestire le credenziali. Le identità gestite vengono gestite automaticamente da Azure e possono essere usate per l'autenticazione a qualsiasi servizio che supporti l'autenticazione di Microsoft Entra. Con SQL Server 2025 (17.x), è possibile usare le identità gestite sia per autenticare le connessioni in ingresso che per autenticare le connessioni in uscita ai servizi di Azure.
Quando si connette l'istanza di SQL Server ad Azure Arc, viene creata automaticamente un'identità gestita assegnata dal sistema per il nome host di SQL Server. Dopo aver creato l'identità gestita, è necessario associare l'identità all'istanza di SQL Server e all'ID tenant di Microsoft Entra aggiornando il Registro di sistema.
Per istruzioni dettagliate sulla configurazione, vedere Configurare l'identità gestita per SQL Server abilitata da Azure Arc.
Quando si usa l'identità gestita con SQL Server abilitato da Azure Arc, tenere presente quanto segue:
- L'identità gestita viene assegnata a livello di server Azure Arc.
- Sono supportate solo le identità gestite assegnate dal sistema.
- SQL Server usa questa identità gestita a livello di server Di Azure Arc come identità gestita primaria.
- SQL Server può utilizzare questa identità gestita primaria in connessioni di tipo
inbounde/ooutbound.-
Inbound connectionssono account di accesso e utenti che si connettono a SQL Server. Le connessioni in ingresso possono essere ottenute anche usando la Registrazione dell'app, a partire da SQL Server 2022 (16.x). -
Outbound connectionssono connessioni di SQL Server alle risorse di Azure, ad esempio il backup nell'URL o la connessione ad Azure Key Vault.
-
- La registrazione App non può abilitare un SQL Server per stabilire connessioni in uscita. Le connessioni in uscita richiedono un'identità gestita primaria assegnata a SQL Server.
- Per SQL Server 2025 e versioni successive, è consigliabile usare la configurazione di Microsoft Entra basata su identità gestita, come descritto in questo articolo. In alternativa, è possibile configurare una registrazione dell'app per SQL Server 2025.
Prerequisiti
Prima di poter usare un'identità gestita con SQL Server abilitato da Azure Arc, assicurarsi di soddisfare i prerequisiti seguenti:
- Connetti il tuo SQL Server ad Azure Arc.
- Versione più recente dell'estensione di Azure per SQL Server.
Per istruzioni dettagliate sulla configurazione, vedere Configurare l'identità gestita per SQL Server abilitata da Azure Arc.
Limitazioni
Quando si usa un'identità gestita con SQL Server 2025, tenere presenti le limitazioni seguenti:
- La configurazione dell'identità gestita per l'autenticazione di Microsoft Entra è supportata solo con SQL Server 2025 abilitato per Azure Arc, in esecuzione in Windows Server.
- SQL Server deve accedere al cloud pubblico di Azure per usare l'autenticazione Microsoft Entra.
- L'utilizzo dell'autenticazione Microsoft Entra con le istanze del cluster di failover non è supportato.
- Una volta abilitata l'autenticazione di Microsoft Entra, la disabilitazione non è consigliabile. La disabilitazione forzata dell'autenticazione di Microsoft Entra eliminando le voci del Registro di sistema può comportare un comportamento imprevedibile con SQL Server 2025.
- L'autenticazione a SQL Server nei computer Arc tramite l'autenticazione di Microsoft Entra con il metodo FIDO2 non è attualmente supportata.
- Le operazioni OPENROWSET BULK possono anche leggere la cartella
C:\ProgramData\AzureConnectedMachineAgent\Tokens\token. L'opzioneBULKrichiede autorizzazioniADMINISTER BULK OPERATIONSoADMINISTER DATABASE BULK OPERATIONS. Queste autorizzazioni devono essere considerate equivalenti a sysadmin.