Installare Microsoft Entra Connessione usando le autorizzazioni di amministratore delegato SQL
Prima della build più recente di Microsoft Entra Connessione, la delega amministrativa, durante la distribuzione di configurazioni che richiedevano SQL, non era supportata. Gli utenti che volevano installare Microsoft Entra Connessione necessario disporre delle autorizzazioni di amministratore server (SA) nel server SQL.
Con la versione più recente di Microsoft Entra Connessione, il provisioning del database può ora essere eseguito fuori banda dall'amministratore SQL e quindi installato dall'amministratore di Microsoft Entra Connessione con diritti di proprietario del database.
Operazioni preliminari
Per usare questa funzionalità, è necessario comprendere che interessa molti elementi e potrebbe coinvolgere un amministratore diverso dell'organizzazione. La tabella seguente riepiloga i singoli ruoli e i rispettivi compiti nella distribuzione di Microsoft Entra Connessione con questa funzionalità.
| Ruolo | Descrizione |
|---|---|
| Amministratore del dominio o della foresta di Active Directory | Crea l'account del servizio a livello di dominio utilizzato da Microsoft Entra Connessione per eseguire il servizio di sincronizzazione. Per altre informazioni sugli account del servizio, vedere Account e autorizzazioni. |
| Amministratore SQL | Crea il database ADSync e concede l'accesso e dbo all'amministratore di Microsoft Entra Connessione e all'account del servizio creato dall'amministratore di dominio/foresta. |
| Amministratore di Microsoft Entra Connessione | Installa Microsoft Entra Connessione e specifica l'account del servizio durante l'installazione personalizzata. |
Passaggi per l'installazione di Microsoft Entra Connessione con autorizzazioni delegate SQL
Per effettuare il provisioning del database fuori banda e installare Microsoft Entra Connessione con autorizzazioni di proprietario del database, seguire questa procedura.
Nota
Benché non sia necessario, è decisamente consigliabile selezionare le regole di confronto Latin1_General_CI_AS durante la creazione del database.
Richiedere all'amministratore SQL di creare il database di ADSync con una sequenza di regole di confronto che non rispettano la distinzione tra maiuscole e minuscole (Latin1_General_CI_AS). Il modello di recupero, il livello di compatibilità e il tipo di contenimento vengono aggiornati ai valori corretti quando viene installato Microsoft Entra Connessione. Tuttavia, la sequenza di regole di confronto deve essere impostata correttamente dall'amministratore SQL; in caso contrario, Microsoft Entra Connessione bloccherà l'installazione. Per riprendere l'installazione, l'amministratore del server deve eliminare e creare di nuovo il database.
Concedere all'amministratore di Microsoft Entra Connessione e all'account del servizio di dominio le autorizzazioni seguenti:
- Account di accesso SQL
- Diritti di proprietario del database.
Nota
Microsoft Entra Connessione non supporta gli account di accesso con un'appartenenza annidata. Ciò significa che l'account amministratore di Microsoft Entra Connessione e l'account del servizio di dominio devono essere collegati a un account di accesso concesso a dbo rights. Non può essere semplicemente il membro di un gruppo assegnato a un account di accesso con diritti dbo.
Inviare un messaggio di posta elettronica all'amministratore di Microsoft Entra Connessione che indica il nome dell'istanza e del server SQL da usare durante l'installazione di Microsoft Entra Connessione.
Informazioni aggiuntive
Dopo il provisioning del database, l'amministratore di Microsoft Entra Connessione può installare e configurare la sincronizzazione locale per comodità.
Nel caso in cui SQL Amministrazione istrator abbia ripristinato il database ADSync da un precedente backup di Microsoft Entra Connessione, sarà necessario installare il nuovo server Connessione Microsoft Entra usando un database esistente. Per altre informazioni sull'installazione di Microsoft Entra Connessione con un database esistente, vedere Installare Microsoft Entra Connessione usando un database ADSync esistente.