Esercitazione: Assegnare il ruolo Lettori directory a un gruppo Microsoft Entra e gestire le assegnazioni di ruolo

  • Articolo

Si applica a:database SQL di Azure Istanza gestita di SQL di Azure Azure Synapse Analytics

Questo articolo illustra come creare un gruppo in Microsoft Entra ID (in precedenza Azure Active Directory) e assegnargli il ruolo Lettori directory. Le autorizzazioni del ruolo con autorizzazioni di lettura nella directory consentono ai proprietari del gruppo di aggiungere altri membri al gruppo, ad esempio un'identità gestita di database SQL di Azure, Istanza gestita di SQL di Azure e Azure Synapse Analytics. In questo modo viene ignorata la necessità di un Amministrazione istrator globale o di un ruolo con privilegi Amministrazione istrator per assegnare il ruolo Lettori directory direttamente per ogni identità del server logico nel tenant.

Nota

Microsoft Entra ID era precedentemente noto come Azure Active Directory (Azure AD).

Questa esercitazione usa la funzionalità introdotta in Usare i gruppi di Entra di Microsoft per gestire le assegnazioni di ruolo.

Per altre informazioni sui vantaggi dell'assegnazione del ruolo Lettori directory a un gruppo Microsoft Entra per Azure SQL, vedere Ruolo Lettori directory in Microsoft Entra ID per Azure SQL.

Nota

Con il supporto di Microsoft Graph per Azure SQL, il ruolo Lettori directory può essere sostituito con usando autorizzazioni di livello inferiore. Per altre informazioni, vedere Identità gestita assegnata dall'utente in Microsoft Entra ID for Azure SQL.

Prerequisiti

Assegnazione del ruolo con autorizzazioni di lettura nella directory con il portale di Azure

Creare un nuovo gruppo e assegnare i proprietari e i ruoli

  1. Per questa configurazione iniziale è necessario un utente con autorizzazioni di amministratore globale o amministratore ruolo con privilegi.

  2. L'utente con privilegi dovrà accedere al portale di Azure.

  3. Passare alla risorsa MICROSOFT Entra ID . In Gestita passare a Gruppi. Selezionare Nuovo gruppo per creare un nuovo gruppo.

  4. Selezionare Sicurezza come tipo di gruppo e compilare gli altri campi. Assicurarsi che l'impostazione dei ruoli di Microsoft Entra possa essere assegnata al gruppo sia impostata su . Assegnare quindi il ruolo lettore microsoft Entra ID Directory al gruppo.

  5. Assegnare gli utenti di Microsoft Entra come proprietari al gruppo creato. Un proprietario del gruppo può essere un utente di Active Directory normale senza alcun ruolo amministrativo di Microsoft Entra assegnato. Il proprietario deve essere un utente che gestisce il database SQL, l'Istanza gestita di SQL o Azure Synapse.

    Microsoft Entra ID-new-group

  6. Selezionare Crea.

Verifica del gruppo creato

Nota

Assicurarsi che il Tipo di gruppo sia Sicurezza. I gruppi di Microsoft 365 non sono supportati per Azure SQL.

Per verificare e gestire il gruppo che è stato creato, tornare al riquadro Gruppi nel portale di Azure e cercare il nome del gruppo. È possibile aggiungere altri proprietari e membri nel menu Proprietari e Membri dell'impostazione Gestisci dopo aver selezionato il gruppo. È anche possibile esaminare i Ruoli assegnati per il gruppo.

Screenshot of a Group pane with the links that open the Settings menus for Members, Owners, and Assigned roles highlighted.

Aggiungere l'identità gestita di SQL di Azure al gruppo

Nota

Per questo esempio si userà un'Istanza gestita di SQL, ma è possibile applicare procedure simili per ottenere lo stesso risultato per il database SQL o Azure Synapse.

Per i passaggi successivi, l'amministratore globale o l'utente amministratore ruolo con privilegi non è più necessario.

  1. Accedere al portale di Azure come l'utente che gestisce l'istanza gestita di SQL, che è anche un proprietario del gruppo creato in precedenza.

  2. Trovare il nome della risorsa Istanza gestita di SQL nel portale di Azure.

    Screenshot of the SQL managed instances screen with the SQL instance name ssomitest and the Subnet name ManagedInstance highlighted.

    Durante Istanza gestita di SQL provisioning, viene creata un'identità Di Microsoft Entra per l'istanza di , registrandola come applicazione Microsoft Entra. L'identità ha lo stesso nome del prefisso del nome Istanza gestita di SQL. È possibile trovare l'identità (nota anche come entità servizio) per il Istanza gestita di SQL seguendo questa procedura:

    • Passare alla risorsa MICROSOFT Entra ID . Nell'impostazione Gestisci selezionare Applicazioni aziendali. L'ID oggetto è l'identità dell'istanza.

    Screenshot of the Enterprise applications page for a Microsoft Entra ID resource with the Object ID of the SQL Managed instance highlighted.

  3. Passare alla risorsa MICROSOFT Entra ID . In Gestita passare a Gruppi. Selezionare il gruppo creato. Nell'impostazione Gestisci del gruppo selezionare Membri. Selezionare Aggiungi membri e aggiungere l'entità servizio dell'istanza gestita di SQL come membro del gruppo cercando il nome trovato sopra.

    Screenshot of the Members page for a Microsoft Entra resource with the options highlighted for adding an SQL Managed instance as a new member.

Nota

La propagazione delle autorizzazioni dell'entità servizio tramite il sistema di Azure può richiedere alcuni minuti e consentire l'accesso all'API Microsoft Graph. Potrebbe essere necessario attendere alcuni minuti prima di effettuare il provisioning di un amministratore di Microsoft Entra per Istanza gestita di SQL.

Osservazioni:

Per database SQL e Azure Synapse, l'identità del server può essere creata durante la creazione del server logico o dopo la creazione del server. Per altre informazioni su come creare o impostare l'identità del server in database SQL o Azure Synapse, vedere Abilitare le entità servizio per creare utenti di Microsoft Entra.

Per Istanza gestita di SQL, il ruolo Lettori directory deve essere assegnato all'identità dell'istanza gestita prima di poter configurare un amministratore di Microsoft Entra per l'istanza gestita.

L'assegnazione del ruolo Lettori directory all'identità del server non è necessaria per database SQL o Azure Synapse durante la configurazione di un amministratore di Microsoft Entra per il server logico. Tuttavia, per abilitare la creazione di oggetti Microsoft Entra in database SQL o Azure Synapse per conto di un'applicazione Microsoft Entra, è necessario il ruolo Lettori directory. Se il ruolo non è assegnato all'identità del server logico, la creazione di utenti di Microsoft Entra in Azure SQL avrà esito negativo. Per altre informazioni, vedere Entità servizio Microsoft Entra con Azure SQL.

Assegnazione del ruolo con autorizzazioni di lettura nella directory con PowerShell

Importante

Queste procedure iniziali dovranno essere eseguite da un amministratore globale o amministratore ruolo con privilegi. Oltre a PowerShell, Microsoft Entra ID offre l'API Microsoft Graph per creare un gruppo assegnabile a ruoli in Microsoft Entra ID.

  1. Scaricare il modulo Microsoft Graph PowerShell usando i comandi seguenti. Potrebbe essere necessario eseguire PowerShell come amministratore.

    Install-Module Microsoft.Graph.Authentication
Import-Module Microsoft.Graph.Authentication
# To verify that the module is ready to use, run the following command:
Get-Module Microsoft.Graph.Authentication

  2. Connessione al tenant di Microsoft Entra.

    Connect-MgGraph

  3. Creare un gruppo di sicurezza per assegnare il ruolo con autorizzazioni di lettura nella directory.

    • È possibile modificare DirectoryReaderGroup, Directory Reader Group e DirRead in base alle preferenze.
    $group = New-MgGroup -DisplayName "DirectoryReaderGroup" -Description "Directory Reader Group" -SecurityEnabled:$true -IsAssignableToRole:$true -MailEnabled:$false -MailNickname "DirRead"
$group

  4. Assegnare il ruolo con autorizzazioni di lettura nella directory al gruppo.

    # Displays the Directory Readers role information
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Directory Readers'"
$roleDefinition

    # Assigns the Directory Readers role to the group
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id
$roleAssignment

  5. Assegnare i proprietari al gruppo.

    • Sostituire <username> con l'utente che sarà il proprietario del gruppo. Per aggiungere più proprietari ripetere questa procedura.
    $newGroupOwner = Get-MgUser -UserId "<username>"
$newGroupOwner

    $GrOwner = New-MgGroupOwnerByRef -GroupId $group.Id -DirectoryObjectId $newGroupOwner.Id

    Controllare i proprietari del gruppo:

    Get-MgGroupOwner -GroupId $group.Id

    È anche possibile verificare i proprietari del gruppo nel portale di Azure. Seguire la procedura illustrata in Verifica del gruppo creato.

Assegnazione dell'entità servizio come membro del gruppo

Per i passaggi successivi, l'amministratore globale o l'utente amministratore ruolo con privilegi non è più necessario.

  1. Usando un proprietario del gruppo che gestisce anche la risorsa SQL di Azure, eseguire il comando seguente per connettersi all'ID Microsoft Entra.

    Connect-MgGraph

  2. Assegnare l'entità servizio come membro del gruppo che è stato creato.

    # Returns the service principal of your Azure SQL resource
$managedIdentity = Get-MgServicePrincipal -Filter "displayName eq '<ServerName>'"
$managedIdentity

    # Adds the service principal to the group
New-MgGroupMember -GroupId $group.Id -DirectoryObjectId $managedIdentity.Id

    Il comando seguente restituisce l'ID oggetto dell'entità servizio che indica che l'aggiunta al gruppo è riuscita:

    Get-MgGroupMember -GroupId $group.Id -Filter "Id eq '$($managedIdentity.Id)'"

Passaggi successivi