Creare utenti guest di Microsoft Entra e impostarli come amministratore di Microsoft Entra

Si applica a:database SQL di Azure Istanza gestita di SQL di Azure

Gli utenti guest con collaborazione Microsoft Entra B2B sono utenti che dispongono di account in un'organizzazione Microsoft Entra esterna o di un provider di identità esterno (ad esempio Outlook, Windows Live Mail o Gmail), che non è gestito all'interno del tenant di Microsoft Entra. Gli account utente guest vengono creati quando tali utenti vengono invitati a collaborare all'interno del tenant, pur eseguendo l'autenticazione nel provider di identità.

Questo articolo illustra come creare un utente guest di Microsoft Entra e impostare tale utente come amministratore di Microsoft Entra per Istanza gestita di SQL di Azure o il server logico in Azure usato da database SQL di Azure e Azure Synapse Analytics.

Nota

Microsoft Entra ID era precedentemente noto come Azure Active Directory (Azure AD).

Descrizione delle funzionalità

database SQL di Azure, Istanza gestita di SQL e Azure Synapse Analytics supportano la creazione di entità da account utente guest, direttamente o come membri dei gruppi di Microsoft Entra all'interno del tenant. Gli utenti guest possono anche essere impostati come amministratore di Microsoft Entra per il server logico o l'istanza gestita.

Prerequisiti

• Il modulo Az.Sql 2.9.0 o versione successiva è necessario quando si usa PowerShell per impostare un utente guest come amministratore di Microsoft Entra per il server logico o l'istanza gestita.

Creare un utente del database per l'utente guest di Microsoft Entra

Seguire questa procedura per creare un utente di database usando un utente guest di Microsoft Entra. In questa sezione sostituire <guest_user> con un indirizzo di posta elettronica valido, ad esempio guest_user@example.com.

Creare un utente guest in database SQL e Azure Synapse

1. Assicurarsi che l'utente guest sia già stato aggiunto all'ID Microsoft Entra e che sia stato impostato un amministratore di Microsoft Entra per il server di database. La presenza di un amministratore di Microsoft Entra è necessaria per l'autenticazione di Microsoft Entra.

2. Connessione al database SQL come amministratore di Microsoft Entra o un utente di Microsoft Entra con autorizzazioni SQL sufficienti per creare utenti ed eseguire il comando seguente nel database in cui è necessario aggiungere l'utente guest:

   CREATE USER [<guest_user>] FROM EXTERNAL PROVIDER;
   

3. Dovrebbe essere stato creato un utente del database per l'utente guest.

4. Eseguire il comando seguente per verificare che l'utente del database sia stato creato correttamente:

   SELECT * FROM sys.database_principals;
   

5. Disconnettere e accedere al database come utente guest usando SQL Server Management Studio (SSMS) usando il metodo di autenticazione Azure Active Directory - Universale con MFA. Per altre informazioni, vedere Uso dell'autenticazione a più fattori di Microsoft Entra.

Creare un utente guest in Istanza gestita di SQL

Nota

Istanza gestita di SQL supporta gli account di accesso per gli utenti di Microsoft Entra, nonché gli utenti di database indipendenti di Microsoft Entra ID. La procedura seguente illustra come creare un account di accesso e un utente per un utente guest di Microsoft Entra in Istanza gestita di SQL. È anche possibile scegliere di creare un utente di database indipendente in Istanza gestita di SQL usando il metodo nella sezione Creare un utente guest in database SQL e Azure Synapse.

1. Assicurarsi che l'utente guest sia già stato aggiunto al tenant di Microsoft Entra e che sia stato impostato un amministratore di Microsoft Entra per il Istanza gestita di SQL. La presenza di un amministratore di Microsoft Entra è necessaria per l'autenticazione di Microsoft Entra.

2. Connessione al Istanza gestita di SQL come amministratore di Microsoft Entra o un utente di Microsoft Entra con autorizzazioni SQL sufficienti per creare utenti ed eseguire il comando seguente nel master database per creare un account di accesso per l'utente guest:

   CREATE LOGIN [<guest_user>] FROM EXTERNAL PROVIDER;
   

3. Dovrebbe essere stato creato un account di accesso per l'utente guest nel master database.

4. Eseguire il comando seguente per verificare che l'account di accesso sia stato creato correttamente:

   SELECT * FROM sys.server_principals;
   

5. Eseguire il comando seguente nel database in cui è necessario aggiungere l'utente guest:

   CREATE USER [<guest_user>] FROM LOGIN [<guest_user>];
   

6. Dovrebbe essere stato creato un utente del database per l'utente guest.

7. Disconnettere e accedere al database come utente guest usando SQL Server Management Studio (SSMS) usando il metodo di autenticazione Azure Active Directory - Universale con MFA. Per altre informazioni, vedere Uso dell'autenticazione a più fattori di Microsoft Entra.

Impostare un utente guest come amministratore di Microsoft Entra

Impostare l'amministratore di Microsoft Entra usando il portale di Azure, Azure PowerShell o l'interfaccia della riga di comando di Azure. In questa sezione sostituire <guest_user> con un indirizzo di posta elettronica valido, ad esempio guest_user@example.com.

Nota

Se si vuole che gli utenti guest possano creare altri account di accesso o utenti di Microsoft Entra, devono avere le autorizzazioni per leggere altre identità nella directory Microsoft Entra. Questa autorizzazione è configurata a livello di directory. Per altre informazioni, vedere Autorizzazioni di accesso guest in Microsoft Entra ID.

Azure portal

Per configurare un amministratore di Microsoft Entra per un server logico o un'istanza gestita usando il portale di Azure, seguire questa procedura:

1. Apri il portale di Azure.
2. Passare alla pagina Della risorsa di SQL Server o dell'istanza gestita di Microsoft Entra in Impostazioni.
3. Selezionare Imposta amministratore per aprire il riquadro Microsoft Entra ID.
4. Nel riquadro Microsoft Entra ID digitare il nome dell'account utente guest.
5. Selezionare questo nuovo utente e quindi salvare l'operazione.

Per altre informazioni, vedere Impostazione dell'amministratore di Microsoft Entra.

Azure PowerShell (database SQL e Azure Synapse)

Per configurare un utente guest di Microsoft Entra per un server logico, seguire questa procedura:

1. Assicurarsi che l'utente guest sia già stato aggiunto al tenant di Microsoft Entra.

2. Eseguire il comando di PowerShell seguente per aggiungere l'utente guest come amministratore di Microsoft Entra per il server logico:

   • Sostituire <ResourceGroupName> con il nome del gruppo di risorse di Azure che contiene il server logico.
   • Sostituire <ServerName> con il nome del server logico. Se il nome del server è myserver.database.windows.net, sostituire <Server Name> con myserver.
   • Sostituire <DisplayNameOfGuestUser> con il nome utente guest.

   Set-AzSqlServerActiveDirectoryAdministrator -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DisplayName <DisplayNameOfGuestUser>
   

È anche possibile usare il comando dell'interfaccia della riga di comando di Azure az sql server ad-admin per impostare l'utente guest come amministratore di Microsoft Entra per il server logico.

Azure PowerShell (Istanza gestita di SQL)

Per configurare un utente guest di Microsoft Entra per un'istanza gestita, seguire questa procedura:

1. Assicurarsi che l'utente guest sia già stato aggiunto al tenant di Microsoft Entra.

2. Passare al portale di Azure e passare alla risorsa MICROSOFT Entra ID. In Gestisci passare al riquadro Utenti . Selezionare l'utente guest e registrare .Object ID

3. Eseguire il comando di PowerShell seguente per aggiungere l'utente guest come amministratore di Microsoft Entra per il Istanza gestita di SQL:

   • Sostituire <ResourceGroupName> con il nome del gruppo di risorse di Azure che contiene il Istanza gestita di SQL.
   • Sostituire <ManagedInstanceName> con il nome Istanza gestita di SQL.
   • Sostituire <DisplayNameOfGuestUser> con il nome utente guest.
   • Sostituire <AADObjectIDOfGuestUser> con l'oggetto Object ID raccolto in precedenza.

   Set-AzSqlInstanceActiveDirectoryAdministrator -ResourceGroupName <ResourceGroupName> -InstanceName "<ManagedInstanceName>" -DisplayName <DisplayNameOfGuestUser> -ObjectId <AADObjectIDOfGuestUser>
   

È anche possibile usare il comando dell'interfaccia della riga di comando di Azure az sql mi ad-admin per impostare l'utente guest come amministratore di Microsoft Entra per l'istanza gestita.

Contenuto correlato

• Configurare e gestire l'autenticazione a Microsoft Entra con Azure SQL
• Uso dell'autenticazione a più fattori Di Microsoft Entra
• CREATE USER (Transact-SQL)