Configurazione di un'Istanza gestita di SQL di Azure per l'autenticazione Windows per ID Microsoft Entra

  • Articolo

Questo articolo descrive come configurare un'istanza gestita per supportare l'autenticazione di Windows per le entità in Microsoft Entra ID (in precedenza Azure Active Directory). I passaggi per configurare Istanza gestita di SQL di Azure sono gli stessi sia per il flusso di autenticazione basata su attendibilità in ingresso che per il flusso di autenticazione interattiva moderna.

Nota

Microsoft Entra ID era precedentemente noto come Azure Active Directory (Azure AD).

Prerequisiti

Per configurare un'istanza gestita con l'autenticazione Windows per le entità di Microsoft Entra, sono necessari i prerequisiti seguenti:

Prerequisito Descrizione
Modulo Az.Sql PowerShell Questo modulo di PowerShell fornisce i cmdlet di gestione per le risorse di Azure SQL.

Installare questo modulo eseguendo il comando PowerShell seguente: Install-Module -Name Az.Sql
Modulo di Microsoft Graph PowerShell Questo modulo fornisce i cmdlet di gestione per le attività amministrative di Microsoft Entra, ad esempio la gestione di utenti ed entità servizio.

Installare questo modulo eseguendo il comando PowerShell seguente: Install-Module –Name Microsoft.Graph
Istanza gestita È possibile creare una nuova istanza gestita o usarne una esistente. È necessario abilitare l'autenticazione di Microsoft Entra nell'istanza gestita.

Configurare l'autenticazione di Microsoft Entra per Istanza gestita di SQL di Azure

Per abilitare l'autenticazione di Windows per le entità di sicurezza di Microsoft Entra, è necessario abilitare un'entità servizio assegnata dal sistema in ogni istanza gestita. L'entità servizio assegnata dal sistema consente agli utenti dell'istanza gestita di eseguire l'autenticazione usando il protocollo Kerberos. È anche necessario concedere il consenso amministratore a ogni entità servizio.

Abilitare un'entità servizio assegnata dal sistema

Per abilitare un'entità servizio assegnata dal sistema per un'istanza gestita:

  1. Accedere al portale di Azure.
  2. Passare all'istanza gestita
  3. Selezionare Identità.
  4. Impostare Entità servizio assegnata dal sistema su . Screenshot of the identity pane for a managed instance in the Azure portal, with 'System assigned service principal' set to 'On'.
  5. Seleziona Salva.

  1. Accedere al portale di Azure.

  2. Aprire ID Microsoft Entra.

  3. Selezionare Registrazioni app.

  4. Selezionare Tutte le applicazioni. Screenshot of the Microsoft Entra ID resource in the Azure portal with App registrations selected in the left pane.

  5. Selezionare l'applicazione con il nome visualizzato corrispondente all'istanza gestita. Il nome sarà nel formato : <managedinstancename> principal.

  6. Selezionare Autorizzazioni API.

  7. Seleziona Concedi consenso amministratore.

    Screenshot from the Azure portal of the configured permissions for applications. The status for the example application is 'Granted for aadsqlmi'.

  8. Selezionare nella richiesta di conferma del consenso dell'amministratore.

Connessione all'istanza gestita con l'autenticazione di Windows

Se è già stato implementato il flusso di autenticazione basata su attendibilità in ingresso o il flusso di autenticazione interattiva moderna, a seconda della versione del client, è ora possibile testare la connessione all'istanza gestita con l'autenticazione di Windows.

Per testare la connessione con SQL Server Management Studio (SSMS), seguire la procedura descritta in Avvio rapido: Usare SSMS per connettersi ed eseguire query su database SQL di Azure o Istanza gestita di SQL di Azure. Selezionare Autenticazione di Windows come tipo di autenticazione.

Dialog box from SQL Server Management Studio with a managed instance name in the 'Server Name' area and 'Authentication' set to 'Windows Authentication'.

Passaggi successivi

Altre informazioni sull'implementazione dell'autenticazione di Windows per le entità di accesso Microsoft in Istanza gestita di SQL di Azure: