Ruolo con autorizzazioni di lettura nella directory in Azure Active Directory per Azure SQL

Si applica a: Database SQL di Azure Istanza gestita di SQL di Azure Azure Synapse Analytics

Azure Active Directory (Azure AD) ha introdotto l'uso di gruppi di Azure AD per gestire le assegnazioni di ruolo. Ciò consente l'assegnazione dei ruoli di Azure AD ai gruppi.

Nota

Con il supporto di Microsoft Graph per Azure SQL, il ruolo Lettori directory può essere sostituito con usando autorizzazioni di livello inferiore. Per altre informazioni, vedere Identità gestita assegnata dall'utente in Azure AD per Azure SQL.

Quando si abilita un'identità gestita per database Azure SQL, Istanza gestita di SQL di Azure o Azure Synapse Analytics, è possibile assegnare il ruolo Lettore directory di Azure AD all'identità per consentire l'accesso in lettura al API Graph Microsoft. L'identità gestita di database SQL e Azure Synapse viene definita identità del server. L'identità gestita di Istanza gestita di SQL viene definita identità dell'istanza gestita e viene assegnata automaticamente al momento della creazione dell'istanza. Per altre informazioni sull'assegnazione di un'identità server a database SQL o Azure Synapse, vedere Abilitare le entità servizio per creare utenti di Azure AD.

Il ruolo Lettore directory può essere usato come identità del server o dell'istanza per semplificare le operazioni seguenti:

  • Creare account di accesso di Azure AD per Istanza gestita di SQL
  • Rappresentare gli utenti di Azure AD in Azure SQL
  • Eseguire la migrazione di SQL Server utenti che usano autenticazione di Windows per Istanza gestita di SQL con l'autenticazione di Azure AD (usando il comando ALTER USER (Transact-SQL)
  • Modificare l'amministratore di Azure AD per Istanza gestita di SQL
  • Consentire alle entità servizio (applicazioni) di creare utenti di Azure AD in Azure SQL

Assegnazione del ruolo Lettori directory

Per assegnare il ruolo Lettore directory a un'identità, è necessario un utente con autorizzazioni di amministratore globale o amministratore ruolo con privilegi . Gli utenti che spesso gestiscono o distribuiscono database SQL, Istanza gestita di SQL o Azure Synapse potrebbero non avere accesso a questi ruoli con privilegi elevati. Ciò può spesso causare complicazioni per gli utenti che creano risorse di Azure SQL non pianificate o necessitano di assistenza da membri con ruoli con privilegi elevati che sono spesso inaccessibili nelle organizzazioni di grandi dimensioni.

Per l'istanza gestita di SQL, è necessario assegnare il ruolo con autorizzazioni di lettura nella directory a un'identità dell'istanza gestita prima di poter configurare un amministratore di Azure AD per l'istanza gestita.

Quando si configura un amministratore di Azure AD per il server logico, non è necessario assegnare il ruolo con autorizzazioni di lettura nella directory all'identità del server per il database SQL o Azure Synapse. Tuttavia, per abilitare la creazione di un oggetto Azure AD nel database SQL o in Azure Synapse per conto di un'applicazione Azure AD, è necessario il ruolo con autorizzazioni di lettura nella directory. Se il ruolo non è assegnato all'identità del server logico SQL, la creazione degli utenti di Azure AD in Azure SQL avrà esito negativo. Per altre informazioni, vedere Entità servizio di Azure Active Directory con Azure SQL.

Concessione del ruolo Lettori directory a un gruppo di Azure AD

È ora possibile avere un amministratore globale o un amministratore dei ruoli con privilegi creare un gruppo di Azure AD e assegnare l'autorizzazione Lettori directory al gruppo. In questo modo sarà consentito l'accesso al API Graph Microsoft per i membri di questo gruppo. Inoltre, gli utenti di Azure AD proprietari di questo gruppo possono assegnare nuovi membri per questo gruppo, incluse le identità dei server logici Azure SQL.

Questa soluzione richiede comunque un utente con privilegi elevati (amministratore globale o amministratore ruolo con privilegi) per creare un gruppo e assegnare gli utenti come attività una sola volta, ma i proprietari del gruppo di Azure AD potranno assegnare membri aggiuntivi in futuro. In questo modo si elimina la necessità di coinvolgere un utente con privilegi elevati in futuro per configurare tutti i database SQL, le istanze gestite di SQL o i server Azure Synapse nel tenant di Azure AD.

Passaggi successivi