Ruolo Lettori directory in Microsoft Entra ID for Azure SQL

  • Articolo

Si applica a:database SQL di Azure Istanza gestita di SQL di Azure Azure Synapse Analytics

Microsoft Entra ID (in precedenza Azure Active Directory) ha introdotto l'uso dei gruppi per gestire le assegnazioni di ruolo. In questo modo i ruoli di Microsoft Entra possono essere assegnati ai gruppi.

Nota

Con il supporto di Microsoft Graph per Azure SQL, il ruolo Lettori directory può essere sostituito con usando autorizzazioni di livello inferiore. Per altre informazioni, vedere Identità gestita assegnata dall'utente in Microsoft Entra for Azure SQL.

Quando si abilita un'identità gestita per database SQL di Azure, Istanza gestita di SQL di Azure o Azure Synapse Analytics, è possibile assegnare il ruolo Lettore directory ID Microsoft Entra all'identità per consentire l'accesso in lettura all'API Microsoft Graph. L'identità gestita di database SQL e Azure Synapse viene definita identità del server. L'identità gestita di Istanza gestita di SQL viene definita identità dell'istanza gestita e viene assegnata automaticamente al momento della creazione dell'istanza. Per altre informazioni sull'assegnazione di un'identità server a database SQL o Azure Synapse, vedere Abilitare le entità servizio per creare utenti di Microsoft Entra.

Il ruolo Lettori directory può essere usato come identità del server o dell'istanza per facilitare le operazioni seguenti:

  • Creare account di accesso di Microsoft Entra per Istanza gestita di SQL
  • Rappresentare gli utenti di Microsoft Entra in Azure SQL
  • Eseguire la migrazione di utenti di SQL Server che usano autenticazione di Windows per Istanza gestita di SQL con l'autenticazione Microsoft Entra (tramite il comando ALTER U edizione Standard R (Transact-SQL)
  • Modificare l'amministratore di Microsoft Entra per Istanza gestita di SQL
  • Consentire alle entità servizio (applicazioni) di creare utenti di Microsoft Entra in Azure SQL

Nota

Microsoft Entra ID era precedentemente noto come Azure Active Directory (Azure AD).

Assegnazione del ruolo Lettori directory

Per assegnare il ruolo Lettori directory a un'identità, è necessario un utente con autorizzazioni di Amministrazione istrator globale o ruolo con privilegi Amministrazione istrator. Gli utenti che spesso gestiscono o distribuiscono database SQL, Istanza gestita di SQL o Azure Synapse potrebbero non avere accesso a questi ruoli con privilegi elevati. Ciò può spesso causare complicazioni per gli utenti che creano risorse SQL di Azure non pianificate o necessitano di assistenza da membri di ruoli con privilegi elevati che sono spesso inaccessibili nelle organizzazioni di grandi dimensioni.

Per Istanza gestita di SQL, il ruolo Lettori directory deve essere assegnato all'identità dell'istanza gestita prima di poter configurare un amministratore di Microsoft Entra per l'istanza gestita.

L'assegnazione del ruolo Lettori directory all'identità del server non è necessaria per database SQL o Azure Synapse durante la configurazione di un amministratore di Microsoft Entra per il server logico. Tuttavia, per abilitare la creazione di oggetti Microsoft Entra in database SQL o Azure Synapse per conto di un'applicazione Microsoft Entra, è necessario il ruolo Lettori directory. Se il ruolo non è assegnato all'identità del server logico, la creazione di utenti di Microsoft Entra in Azure SQL avrà esito negativo. Per altre informazioni, vedere Entità servizio Microsoft Entra con Azure SQL.

Concessione del ruolo Lettori directory a un gruppo Microsoft Entra

È ora possibile avere un Amministrazione istrator globale o un ruolo con privilegi Amministrazione istrator creare un gruppo Microsoft Entra e assegnare l'autorizzazione Lettori directory al gruppo. Ciò consentirà l'accesso all'API Microsoft Graph per i membri di questo gruppo. Inoltre, gli utenti di Microsoft Entra che sono proprietari di questo gruppo possono assegnare nuovi membri per questo gruppo, incluse le identità dei server logici.

Questa soluzione richiede comunque un utente con privilegi elevati (Global Amministrazione istrator o Privileged Role Amministrazione istrator) per creare un gruppo e assegnare gli utenti come attività una sola volta, ma i proprietari del gruppo Microsoft Entra potranno assegnare altri membri in futuro. In questo modo si elimina la necessità di coinvolgere un utente con privilegi elevati in futuro per configurare tutti i database SQL, i Istanza gestita di SQL o i server Azure Synapse nel tenant di Microsoft Entra.

Passaggi successivi

Esercitazione: Assegnare il ruolo Lettori directory a un gruppo Microsoft Entra e gestire le assegnazioni di ruolo