Che cos'è l'autenticazione Windows per le entità di Microsoft Entra in Istanza gestita di SQL di Azure?

Si applica a: Istanza gestita di SQL di Azure SQL

Istanza gestita di SQL di Azure è il servizio di database cloud intelligente e scalabile che combina la massima compatibilità del motore di database di SQL Server con tutti i vantaggi di una classica piattaforma distribuita as-a-service completamente gestita. L'autenticazione Kerberos per Microsoft Entra ID (in precedenza Azure Active Directory) abilita l'autenticazione di Windows per Istanza gestita di SQL di Azure. L'autenticazione di Windows per le istanze gestite consente ai clienti di spostare i servizi esistenti nel cloud mantenendo al tempo stesso un'esperienza utente senza problemi e fornisce la base per la modernizzazione dell'infrastruttura.

Nota

Microsoft Entra ID era precedentemente conosciuto come Azure Active Directory (Azure AD).

Scenari e funzionalità chiave

Man mano che i clienti modernizzano l'infrastruttura, l'applicazione e i livelli dati, modernizzano anche le funzionalità di gestione delle identità passando a Microsoft Entra ID. Azure SQL offre più opzioni di autenticazione di Microsoft Entra:

• Password offre l'autenticazione con le credenziali di Microsoft Entra
• Universal con MFA aggiunge l'autenticazione a più fattori
• L'integrazione usa provider federatici come Active Directory Federation Services (ADFS) per abilitare le esperienze di Single Sign-On (SSO)
• Entità servizio abilita l'autenticazione con le applicazioni Azure
• Identità gestita abilita l'autenticazione dalle applicazioni assegnate alle identità di Microsoft Entra

Tuttavia, alcune app legacy non possono modificare l'autenticazione in Microsoft Entra ID: il codice dell'applicazione legacy potrebbe essere più disponibile, potrebbe esservi una dipendenza dai driver legacy, i client potrebbero non essere in grado di essere modificati e così via. L'autenticazione di Windows per le entità di Microsoft Entra rimuove questo blocco di migrazione e fornisce supporto per un'ampia gamma di applicazioni dei clienti.

L'autenticazione di Windows per le entità microsoft Entra in istanze gestite è disponibile per dispositivi o macchine virtuali (VM) aggiunte ad Active Directory, Microsoft Entra ID o Microsoft Entra ID hybrid. Esiste un'identità utente ibrida di Microsoft Entra sia in Microsoft Entra ID sia in Active Directory che può accedere a un'istanza gestita in Azure tramite Microsoft Entra Kerberos.

L'abilitazione dell'autenticazione di Windows per un'istanza gestita non richiede ai clienti di distribuire una nuova infrastruttura locale o di gestire il sovraccarico di configurazione di Servizi di dominio.

L'autenticazione di Windows per le entità di sicurezza di Microsoft Entra in Istanza gestita di SQL di Azure consente due scenari chiave: la migrazione di server SQL locali ad Azure con modifiche minime e la modernizzazione dell'infrastruttura di sicurezza.

Trasferimento in modalità lift-and-shift di SQL Server locali in Azure con modifiche minime

Abilitando l'autenticazione di Windows per le entità di sicurezza di Microsoft Entra, i clienti possono eseguire la migrazione a Istanza gestita di SQL di Azure senza implementare modifiche agli stack di autenticazione dell'applicazione o distribuire Microsoft Entra Domain Services. I clienti possono anche usare l'autenticazione di Windows per accedere a un'istanza gestita dai dispositivi aggiunti ad Active Directory o Microsoft Entra.

L'autenticazione di Windows per le entità di sicurezza di Microsoft Entra offre anche i modelli seguenti nelle istanze gestite. Questi modelli vengono usati di frequente nei server SQL locali tradizionali:

• Autenticazione "double hop": le applicazioni Web usano la rappresentazione dell'identità IIS per eseguire query su un'istanza nel contesto di sicurezza dell'utente finale.
• Le tracce che usano eventi estesi e SQL Server Profiler possono essere avviate usando l'autenticazione di Windows, offrendo facilità d'uso per amministratori di database e sviluppatori abituati a questo flusso di lavoro. Informazioni su come Eseguire una traccia su Istanza gestita di SQL di Azure tramite l'autenticazione Windows per le entità di sicurezza di Microsoft Entra.

Modernizzare la sicurezza dell'infrastruttura

L'abilitazione dell'autenticazione di Windows per le entità di sicurezza di Microsoft Entra in Istanza gestita di SQL di Azure fornisce ai clienti la modernizzazione delle procedure di sicurezza.

Ad esempio, un cliente può abilitare un analista di dispositivi mobili, usando strumenti collaudati che si basano sull'autenticazione di Windows, per eseguire l'autenticazione a un'istanza gestita usando credenziali biometriche. Questa operazione può essere eseguita anche se l'analista di dispositivi mobili lavora da un portatile aggiunto a Microsoft Entra ID.

Passaggi successivi

Scopri di più sull’implementazione delll'autenticazione Windows per le entità di Microsoft Entra sull’istanza gestita di SQL di Azure:

• Com'è implementata l'autenticazione Windows per Istanza gestita di SQL di Azure con ID Microsoft Entra e Kerberos
• Informazioni su come configurare l'autenticazione Windows per Istanza gestita di SQL di Azure tramite ID Microsoft Entra e Kerberos