Configurare l'identità gestita e l'autenticazione di Microsoft Entra per SQL Server abilitata da Azure Arc

Si applica a: SQL Server 2025 (17.x)

• SQL Server 2022
• SQL Server 2025
• Database SQL di Azure e Istanza gestita di SQL di Azure
• SQL Server in macchine virtuali di Azure

Questo articolo fornisce istruzioni dettagliate per configurare e configurare l'identità gestita di MICROSOFT Entra ID per SQL Server abilitata da Azure Arc.

Per una panoramica dell'identità gestita con SQL Server, vedere Identità gestita per SQL Server abilitata da Azure Arc.

Prerequisiti

Prima di poter usare un'identità gestita con SQL Server abilitato da Azure Arc, assicurarsi di soddisfare i prerequisiti seguenti:

• Supportato per SQL Server 2025 e versioni successive, in esecuzione in Windows.
• Connetti il tuo SQL Server ad Azure Arc.
• Versione più recente dell'estensione di Azure per SQL Server.

Abilitare l'identità gestita primaria

Se è stata installata l'estensione di Azure per SQL Server nel server, è possibile abilitare l'identità gestita primaria per l'istanza di SQL Server direttamente dal portale di Azure. È anche possibile abilitare manualmente l'identità gestita primaria aggiornando il Registro di sistema, ma deve essere eseguita con estrema cautela.

Portale di Azure

Per abilitare l'identità gestita primaria nel portale di Azure, seguire questa procedura:

1. Vai alla risorsa SQL Server abilitata da Azure Arc nel portale di Azure.

2. In Impostazioni selezionare Microsoft Entra ID e Purview per aprire la pagina Microsoft Entra ID e Purview .

   Annotazioni

   Se non viene visualizzata l'opzione Abilita autenticazione MICROSOFT Entra ID, assicurarsi che l'istanza di SQL Server sia connessa ad Azure Arc e che sia installata l'estensione SQL più recente.

3. Nella pagina Microsoft Entra ID e Purview selezionare la casella accanto a Usa un'identità gestita primaria e quindi usare Salva per applicare la configurazione:

   

Manualmente

È possibile abilitare manualmente l'identità gestita primaria per l'istanza di SQL Server aggiornando il Registro di sistema, ma deve essere eseguita con estrema cautela.

Concedere l'autorizzazione alla cartella Tokens

Concedere le autorizzazioni di lettura e esecuzione del sistema operativo nella cartella C:\ProgramData\AzureConnectedMachineAgent\Tokens\ all'account del servizio di istanza di SQL Server 2025. Per impostazione predefinita, l'account del servizio è NT Service\MSSQLSERVER, o per le istanze denominate, NT Service\MSSQL$<instancename>.

Potrebbe essere necessario concedere autorizzazioni di amministratore per l'account del servizio SQL Server nella AzureConnectedMachineAgent cartella prima della Tokens cartella:

Aggiungere l'account del servizio SQL Server al gruppo di applicazioni dell'estensione agente ibrido

Aggiungere l'account di servizio di SQL Server (predefinita: NT Service\MSSQLSERVER o per le istanze denominate, NT Service\MSSQL$instancename) al gruppo di applicazioni di estensione dell'agente ibrido.

• Aprire Gestione computer Windows.
• Passare a Utenti e gruppi locali e selezionare Gruppi.
• Aggiungere l'account del servizio di SQL Server al gruppo Applicazioni di estensione dell'agente ibrido.

Aggiornare il Registro di sistema

Avvertimento

La modifica errata del Registro di sistema può danneggiare gravemente il sistema. Prima di modificare il Registro di sistema, è consigliabile eseguire il backup di tutti i dati importanti disponibili nel computer.

Nel Registro di sistema aggiornare la sottochiave \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17.MSSQLSERVER\MSSQLServer\FederatedAuthentication .

Crea le voci seguenti:

Ingresso	Value
ArcServerManagedIdentityClientId	Vuoto (nessun valore)
HIMDSApiVersion	2020-06-01
HIMDSEndpoint	http://localhost:40342/metadata/identity/oauth2/token
ArcServerSystemAssignedManagedIdentityTenantId	Arc-AAD-Tenant-ID
ArcServerSystemAssignedManagedIdentityClientId	Arc-Machine-Client-Id
PrimaryAADTenant	Arc-AAD-Tenant-ID
AADChannelMaxBufferedMessageSize	200000
AADGraphEndPoint	graph.windows.net
AADGroupLookupMaxRetryAttempts	10
AADGroupLookupMaxRetryDuration	30000
AADGroupLookupRetryInitialBackoff	100
AADServerAdminSid	00000000-0000-0000-0000-000000000000
AuthenticationEndpoint	login.microsoftonline.com
CacheMaxSize	300
ClientCertBlackList	Vuoto (nessun valore)
FederationMetadataEndpoint	login.windows.net
GraphAPIEndpoint	graph.windows.net
IssuerURL	https://sts.windows.net/
OnBehalfOfAuthority	https://login.windows.net/
STSURL	https://login.windows.net/
MsGraphEndPoint	graph.microsoft.com
SendX5c	false
ServicePrincipalName	https://database.windows.net/
ServicePrincipalNameForArcadia	https://sql.azuresynapse.net
ServicePrincipalNameForArcadiaDogfood	https://sql.azuresynapse-dogfood.net
ServicePrincipalNameNoSlash	https://database.windows.net
AADBecWSConnectionPoolMaxSize	500

Eseguire il backup e modificare il Registro di sistema

Le sezioni seguenti descrivono come eseguire il backup e modificare il Registro di sistema con l'editor del Registro di sistema.

Aprire l’Editor del Registro di sistema

1. Premere Tasto Windows + R per aprire la finestra di dialogo Esegui.
2. Digitare regedit e premere INVIO.
3. Se richiesto dal controllo dell'account utente, selezionare Sì.

Eseguire il backup della chiave del Registro di sistema

Questo passaggio esegue il backup del Registro di sistema prima di apportare modifiche. È possibile importare nuovamente il file nel Registro di sistema in un secondo momento se le modifiche causano un problema.

1. Selezionare File dal menu.
2. Selezionare Esporta.
3. Nella finestra di dialogo Esporta file del Registro di sistema scegliere un percorso per salvare il backup.
4. Immettere un nome per il file di backup nel campo Nome file .
5. Verificare che l'opzione All (Tutti ) sia selezionata nell'intervallo Export (Esporta).
6. Seleziona Salva.

Aggiungere voci

In questo passaggio, si aggiungono voci al Registro di sistema utilizzando l'Editor del Registro di sistema.

1. Esplorare questa sottochiave: \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17.MSSQLSERVER\MSSQLServer\FederatedAuthentication.

2. Fare clic con il pulsante destro del mouse su FederatedAuthentication e selezionare Valore di tipo stringa.

   

3. Ripetere per ogni voce elencata in Aggiornare il Registro di sistema

   Questa immagine illustra un registro configurato correttamente:

   

Ripristinare la chiave del Registro di sistema (se necessario)

Se è necessario ripristinare le impostazioni precedenti del Registro di sistema, seguire questa procedura.

1. Aprire l'editor del Registro di sistema come descritto in precedenza.
2. Selezionare File dal menu.
3. Selezionare Importa.
4. Naviga alla posizione del tuo file di backup salvato.
5. Selezionare il file di backup e selezionare Apri.

Per informazioni dettagliate, vedere Come aggiungere, modificare o eliminare sottochiavi e valori del Registro di sistema usando un file di .reg.

Concedere all'identità le autorizzazioni per l'uso dell'applicazione

Importante

Solo un Amministratore di Ruolo con Privilegi o un ruolo più alto può concedere queste autorizzazioni.

L'identità gestita assegnata dal sistema, che usa il nome del computer abilitato per Arc, deve disporre delle autorizzazioni dell'applicazione Microsoft Graph seguenti (ruoli dell'app):

• User.Read.All: consente l'accesso alle informazioni utente di Microsoft Entra.

• GroupMember.Read.All: consente l'accesso alle informazioni del gruppo di Microsoft Entra.

• Application.Read.ALL: consente l'accesso alle informazioni dell'entità servizio (applicazione) di Microsoft Entra.

È possibile usare PowerShell per concedere le autorizzazioni necessarie all'identità gestita. In alternativa, è possibile creare un gruppo assegnabile a ruoli. Dopo aver creato il gruppo, assegnare il ruolo Directory Readers o le autorizzazioni User.Read.All, GroupMember.Read.All e Application.Read.All al gruppo e aggiungere tutte le identità gestite assegnate dal sistema per le macchine abilitate per Azure Arc al gruppo. È sconsigliato usare il ruolo Lettori directory nell'ambiente di produzione.

Lo script di PowerShell seguente concede le autorizzazioni necessarie all'identità gestita. Assicurarsi che questo script venga eseguito in PowerShell 7.5 o versione successiva e che il Microsoft.Graph modulo 2.28 o versione successiva sia installato.

# Set your Azure tenant and managed identity name
$tenantID = '<Enter-Your-Azure-Tenant-Id>'
$managedIdentityName = '<Enter-Your-Arc-HostMachine-Name>'

# Connect to Microsoft Graph
try {
    Connect-MgGraph -TenantId $tenantID -ErrorAction Stop
    Write-Output "Connected to Microsoft Graph successfully."
}
catch {
    Write-Error "Failed to connect to Microsoft Graph: $_"
    return
}

# Get Microsoft Graph service principal
$graphAppId = '00000003-0000-0000-c000-000000000000'
$graphSP = Get-MgServicePrincipal -Filter "appId eq '$graphAppId'"
if (-not $graphSP) {
    Write-Error "Microsoft Graph service principal not found."
    return
}

# Get the managed identity service principal
$managedIdentity = Get-MgServicePrincipal -Filter "displayName eq '$managedIdentityName'"
if (-not $managedIdentity) {
    Write-Error "Managed identity '$managedIdentityName' not found."
    return
}

# Define roles to assign
$requiredRoles = @(
    "User.Read.All",
    "GroupMember.Read.All",
    "Application.Read.All"
)

# Assign roles using scoped syntax
foreach ($roleValue in $requiredRoles) {
    $appRole = $graphSP.AppRoles | Where-Object {
        $_.Value -eq $roleValue -and $_.AllowedMemberTypes -contains "Application"
    }

    if ($appRole) {
        try {
            New-MgServicePrincipalAppRoleAssignment   -ServicePrincipalId $managedIdentity.Id `
                -PrincipalId $managedIdentity.Id `
                -ResourceId $graphSP.Id `
                -AppRoleId $appRole.Id `
                -ErrorAction Stop

            Write-Output "Successfully assigned role '$roleValue' to '$managedIdentityName'."
        }
        catch {
            Write-Warning "Failed to assign role '$roleValue': $_"
        }
    }
    else {
        Write-Warning "Role '$roleValue' not found in Microsoft Graph AppRoles."
    }
}

Creare credenziali di accesso e utenti

Seguire la procedura descritta nell'esercitazione su Microsoft Entra per creare account di accesso e utenti per l'identità gestita.

Contenuti correlati

• Identità gestita per SQL Server abilitata da Azure Arc
• Autenticazione di Microsoft Entra per SQL Server
• Informazioni sulle identità gestite per le risorse di Azure