Autenticazione esclusiva di Microsoft Entra-con Azure SQL

Si applica a:database SQL di Azure Istanza gestita di SQL di Azure Azure Synapse Analytics (solo pool SQL dedicati)

L'autenticazione solo Entra-only di Microsoft è una funzionalità all'interno di Azure SQL che consente al servizio di supportare solo l'autenticazione di Microsoft Entra ed è supportata per database SQL di Azure e Istanza gestita di SQL di Azure.

Nota

Microsoft Entra ID era precedentemente noto come Azure Active Directory (Azure AD).

L'autenticazione solo Entra di Microsoft è disponibile anche per i pool SQL dedicati (in precedenza SQL Data Warehouse) nei server autonomi. L'autenticazione solo Entra di Microsoft può essere abilitata per l'area di lavoro di Azure Synapse. Per altre informazioni, vedere Autenticazione solo di Microsoft Entra-only con le aree di lavoro di Azure Synapse.

L'autenticazione SQL è disabilitata quando si abilita l'autenticazione solo Entra-only nell'ambiente SQL di Azure, incluse le connessioni da amministratori di SQL Server, account di accesso e utenti. Solo gli utenti che usano l'autenticazione Microsoft Entra sono autorizzati a connettersi al server o al database.

L'autenticazione solo Entra-only di Microsoft può essere abilitata o disabilitata usando l'API REST portale di Azure, l'interfaccia della riga di comando di Azure, PowerShell o REST. L'autenticazione solo Entra-only di Microsoft può essere configurata anche durante la creazione del server con un modello di Azure Resource Manager (ARM).

Per altre informazioni sull'autenticazione SQL di Azure, vedere Autenticazione e autorizzazione.

Descrizione delle funzionalità

Quando si abilita l'autenticazione solo Microsoft Entra-only, l'autenticazione SQL viene disabilitata a livello di server o di istanza gestita e impedisce qualsiasi autenticazione basata su credenziali di autenticazione SQL. Gli utenti di autenticazione SQL non potranno connettersi al server logico per database SQL di Azure o istanza gestita, inclusi tutti i relativi database. Anche se l'autenticazione SQL è disabilitata, i nuovi account di autenticazione SQL e gli utenti possono comunque essere creati dagli account Microsoft Entra con autorizzazioni appropriate. Gli account di autenticazione SQL appena creati non potranno connettersi al server. L'abilitazione dell'autenticazione solo Microsoft Entra-only non rimuove gli account utente e l'account di accesso all'autenticazione SQL esistenti. La funzionalità impedisce solo a questi account di connettersi al server e a qualsiasi database creato per questo server.

È anche possibile forzare la creazione dei server con l'autenticazione solo Entra di Microsoft abilitata tramite Criteri di Azure. Per altre informazioni, vedere Criteri di Azure per l'autenticazione solo entra-only di Microsoft.

Autorizzazioni

L'autenticazione di Microsoft Entra-only può essere abilitata o disabilitata dagli utenti di Microsoft Entra membri di ruoli predefiniti di Microsoft Entra con privilegi elevati, ad esempio proprietari di sottoscrizioni di Azure, collaboratori e Amministrazione istrator globali. Inoltre, il ruolo Gestione sicurezza SQL può anche abilitare o disabilitare la funzionalità di autenticazione solo Entra-only di Microsoft.

I ruoli Collaboratore SQL Server e Collaboratore Istanza gestita di SQL non avranno le autorizzazioni per abilitare o disabilitare la funzionalità di autenticazione solo Entra-only di Microsoft. Questo approccio è coerente con l'approccio Separazione dei compiti , in cui gli utenti che possono creare un server SQL di Azure o creare un amministratore di Microsoft Entra, non possono abilitare o disabilitare le funzionalità di sicurezza.

Azioni richieste

Le azioni seguenti vengono aggiunte al ruolo Gestione sicurezza SQL per consentire la gestione della funzionalità di autenticazione solo Entra di Microsoft.

• Microsoft.Sql/servers/azureADOnlyAuthentications/*
• Microsoft.Sql/servers/administrators/read - Obbligatorio solo per gli utenti che accedono al menu portale di Azure MICROSOFT Entra ID
• Microsoft.Sql/managedInstances/azureADOnlyAuthentications/*
• Microsoft.Sql/managedInstances/read

Le azioni precedenti possono anche essere aggiunte a un ruolo personalizzato per gestire l'autenticazione solo Entra-only di Microsoft. Per altre informazioni, vedere Creare e assegnare un ruolo personalizzato in Microsoft Entra ID.

Gestione dell'autenticazione solo Entra di Microsoft tramite le API

Importante

L'amministratore di Microsoft Entra deve essere impostato prima di abilitare l'autenticazione solo Microsoft Entra.

Interfaccia della riga di comando di Azure

È necessario avere l'interfaccia della riga di comando di Azure versione 2.14.2 o successiva.

name corrisponde al prefisso del nome del server o dell'istanza (ad esempio, myserver) e resource-group corrisponde alla risorsa a cui appartiene il server , ad esempio myresource.

Database SQL di Azure

Per altre informazioni, vedere az sql server ad-only-auth.

Abilitare o disabilitare in database SQL

Abilitazione

az sql server ad-only-auth enable --resource-group myresource --name myserver

Disabilita

az sql server ad-only-auth disable --resource-group myresource --name myserver

Controllare lo stato in database SQL

az sql server ad-only-auth get --resource-group myresource --name myserver

Istanza gestita di SQL di Azure

Per altre informazioni, vedere az sql mi ad-only-auth.

Abilitazione

az sql mi ad-only-auth enable --resource-group myresource --name myserver

Disabilita

az sql mi ad-only-auth disable --resource-group myresource --name myserver

Controllare lo stato in Istanza gestita di SQL

az sql mi ad-only-auth get --resource-group myresource --name myserver

PowerShell

È necessario il modulo Az.Sql 2.10.0 o versione successiva.

ServerName o InstanceName corrispondono al prefisso del nome del server (ad esempio, myserver o myinstance) e ResourceGroupName corrisponde alla risorsa a cui appartiene il server , ad esempio myresource.

Database SQL di Azure

Abilitare o disabilitare in database SQL

Abilitazione

Per altre informazioni, vedere Enable-AzSqlServerActiveDirectoryOnlyAuthentication. È anche possibile eseguire get-help Enable-AzSqlServerActiveDirectoryOnlyAuthentication -full.

Enable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName myserver -ResourceGroupName myresource

È anche possibile usare il comando seguente:

Get-AzSqlServer -ServerName myserver | Enable-AzSqlServerActiveDirectoryOnlyAuthentication

Disabilita

Per altre informazioni, vedere Disable-AzSqlServerActiveDirectoryOnlyAuthentication.

Disable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName myserver -ResourceGroupName myresource

Controllare lo stato in database SQL

Get-AzSqlServerActiveDirectoryOnlyAuthentication  -ServerName myserver -ResourceGroupName myresource

È anche possibile usare il comando seguente:

Get-AzSqlServer -ServerName myserver | Get-AzSqlServerActiveDirectoryOnlyAuthentication

Istanza gestita di SQL di Azure

Abilitare o disabilitare in Istanza gestita di SQL

Abilitazione

Per altre informazioni, vedere Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication.

Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName myinstance -ResourceGroupName myresource

È anche possibile usare il comando seguente:

Get-AzSqlInstance -InstanceName myinstance | Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication

Per altre informazioni su questi comandi di PowerShell, eseguire get-help Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -full.

Disabilita

Per altre informazioni, vedere Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication.

Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName myinstance -ResourceGroupName myresource

Controllare lo stato in Istanza gestita di SQL

Get-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName myinstance -ResourceGroupName myresource

È anche possibile usare il comando seguente:

Get-AzSqlInstance -InstanceName myinstance | Get-AzSqlInstanceActiveDirectoryOnlyAuthentication

REST API

È necessario definire i parametri seguenti:

• <subscriptionId>Per trovare le informazioni, passare a Sottoscrizioni nel portale di Azure.
• <myserver> corrispondono al prefisso del nome del server o dell'istanza , ad esempio myserver.
• <myresource> corrisponde alla risorsa a cui appartiene il server (ad esempio, myresource)

Per usare la versione più recente di MSAL, scaricarla da https://www.powershellgallery.com/packages/MSAL.PS.

$subscriptionId = '<subscriptionId>'
$serverName = "<myserver>"
$resourceGroupName = "<myresource>"

Database SQL di Azure

Per altre informazioni, vedere la documentazione dell'API REST Solo autenticazione di Azure AD server.

Abilitare o disabilitare in database SQL

Abilitazione

$body = @{ properties = @{ azureADOnlyAuthentication = 1 } } | ConvertTo-Json
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Disabilita

$body = @{ properties = @{ azureADOnlyAuthentication = 0 } } | ConvertTo-Json
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Controllare lo stato in database SQL

Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method GET -Headers $authHeader  | Format-List

Istanza gestita di SQL di Azure

Per altre informazioni, vedere la documentazione dell'API REST Istanza gestita azure AD Only Authentications.

Abilitare o disabilitare in Istanza gestita di SQL

Abilitazione

$body = @{   properties = @{  azureADOnlyAuthentication = 1 }  } | ConvertTo-Json 
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Disabilita

$body = @{   properties = @{  azureADOnlyAuthentication = 0 }  } | ConvertTo-Json 
Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Controllare lo stato in Istanza gestita di SQL

Invoke-RestMethod -Uri "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$serverName/azureADOnlyAuthentications/default?api-version=2020-02-02-preview" -Method GET -Headers $authHeader  | Format-List

Modello ARM

• Immettere l'amministratore di Microsoft Entra per la distribuzione. Per trovare l'ID oggetto utente, passare al portale di Azure e passare alla risorsa ID Microsoft Entra. In Gestisci, seleziona Utenti. Cercare l'utente che si vuole impostare come amministratore di Microsoft Entra per il server SQL di Azure. Selezionare l'utente e nella pagina Profilo verrà visualizzato l'ID oggetto.
• L'ID tenant è disponibile nella pagina Panoramica della risorsa MICROSOFT Entra ID .

Database SQL di Azure

Abilitare

Il modello arm seguente abilita l'autenticazione solo Entra-only in Microsoft nel database SQL di Azure. Per disabilitare l'autenticazione solo Entra di Microsoft, impostare la azureADOnlyAuthentication proprietà su false.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "sqlServer_name": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String"
        },
        "aad_admin_objectid": {
            "type": "String"
        },
        "aad_admin_tenantid": {
            "type": "String"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers/administrators",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('sqlServer_name'), '/ActiveDirectory')]",
            "properties": {
                "administratorType": "ActiveDirectory",
                "login": "[parameters('aad_admin_name')]",
                "sid": "[parameters('aad_admin_objectid')]",
                "tenantId": "[parameters('aad_admin_tenantId')]"
            }
        },        
        {
            "type": "Microsoft.Sql/servers/azureADOnlyAuthentications",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('sqlServer_name'), '/Default')]",
            "dependsOn": [
                "[resourceId('Microsoft.Sql/servers/administrators', parameters('sqlServer_name'), 'ActiveDirectory')]"
            ],
            "properties": {
                "azureADOnlyAuthentication": true
            }
        }
    ]
}

Per altre informazioni, vedere Microsoft.Sql servers/azureADOnlyAuthentications.

Istanza gestita di SQL di Azure

Abilitare

Il modello di Azure Resource Manager seguente abilita l'autenticazione solo Microsoft Entra-only nel Istanza gestita di SQL di Azure. Per disabilitare l'autenticazione solo Entra di Microsoft, impostare la azureADOnlyAuthentication proprietà su false.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "instance": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String"
        },
        "aad_admin_objectid": {
            "type": "String"
        },
        "aad_admin_tenantid": {
            "type": "String"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/managedInstances/administrators",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('instance'), '/ActiveDirectory')]",
            "properties": {
                "administratorType": "ActiveDirectory",
                "login": "[parameters('aad_admin_name')]",
                "sid": "[parameters('aad_admin_objectid')]",
                "tenantId": "[parameters('aad_admin_tenantId')]"
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances/azureADOnlyAuthentications",
            "apiVersion": "2020-02-02-preview",
            "name": "[concat(parameters('instance'), '/Default')]",
            "dependsOn": [
                "[resourceId('Microsoft.Sql/managedInstances/administrators', parameters('instance'), 'ActiveDirectory')]"
            ],
            "properties": {
                "azureADOnlyAuthentication": true
            }
        }
    ]
}

Per altre informazioni, vedere Microsoft.Sql managedInstances/azureADOnlyAuthentications.

Controllo dell'autenticazione solo Di Microsoft Entra con T-SQL

Il edizione Standard RVERPROPERTYIsExternalAuthenticationOnly è stato aggiunto per verificare se l'autenticazione solo Entra di Microsoft è abilitata per il server o l'istanza gestita. 1 indica che la funzionalità è abilitata e 0 rappresenta la funzionalità disabilitata.

SELECT SERVERPROPERTY('IsExternalAuthenticationOnly') 

Osservazioni:

• Un collaboratore di SQL Server può impostare o rimuovere un amministratore di Microsoft Entra, ma non può impostare solo l'impostazione di autenticazione di Microsoft Entra. Gestione sicurezza SQL non può impostare o rimuovere un amministratore di Microsoft Entra, ma può impostare solo l'impostazione di autenticazione di Microsoft Entra. Solo gli account con ruoli controllo degli accessi in base al ruolo di Azure superiori o ruoli personalizzati che contengono entrambe le autorizzazioni possono impostare o rimuovere un amministratore di Microsoft Entra e impostare solo l'impostazione di autenticazione di Microsoft Entra. Un ruolo di questo tipo è il ruolo Collaboratore .
• Dopo aver abilitato o disabilitato l'autenticazione di Microsoft Entra solo nella portale di Azure, è possibile visualizzare una voce del log attività nel menu di SQL Server.
• L'impostazione di autenticazione di Microsoft Entra può essere abilitata o disabilitata solo dagli utenti con le autorizzazioni appropriate se è specificato l'amministratore di Microsoft Entra. Se l'amministratore di Microsoft Entra non è impostato, l'impostazione di autenticazione di Microsoft Entra rimane inattiva e non può essere abilitata o disabilitata. L'uso delle API per abilitare l'autenticazione solo Entra di Microsoft avrà esito negativo anche se l'amministratore di Microsoft Entra non è stato impostato.
• La modifica di un amministratore di Microsoft Entra quando è abilitata l'autenticazione solo Entra-only per gli utenti con le autorizzazioni appropriate.
• La modifica di un amministratore di Microsoft Entra e l'abilitazione o la disabilitazione dell'autenticazione di Microsoft Entra-only è consentita nel portale di Azure per gli utenti con le autorizzazioni appropriate. Entrambe le operazioni possono essere completate con una salva nella portale di Azure. L'amministratore di Microsoft Entra deve essere impostato per abilitare l'autenticazione solo Entra di Microsoft.
• La rimozione di un amministratore di Microsoft Entra quando la funzionalità di autenticazione solo Entra di Microsoft è abilitata non è supportata. Se l'autenticazione solo Entra di Microsoft è abilitata, l'uso di un'API per rimuovere un amministratore di Microsoft Entra avrà esito negativo.
  • Se l'impostazione di autenticazione di Microsoft Entra è abilitata, il pulsante Rimuovi amministratore è inattivo nella portale di Azure.
• La rimozione di un amministratore di Microsoft Entra e la disabilitazione dell'impostazione di autenticazione di Microsoft Entra è consentita, ma richiede l'autorizzazione utente corretta per completare le operazioni. Entrambe le operazioni possono essere completate con una salva nella portale di Azure.
• Gli utenti di Microsoft Entra con autorizzazioni appropriate possono rappresentare gli utenti SQL esistenti.
  • La rappresentazione continua a funzionare tra gli utenti di autenticazione SQL anche quando è abilitata la funzionalità di autenticazione solo Entra-only.

Limitazioni per l'autenticazione solo Entra di Microsoft in database SQL

Quando l'autenticazione solo Entra di Microsoft è abilitata per database SQL, le funzionalità seguenti non sono supportate:

• database SQL di Azure i ruoli del server sono supportati per le entità server Microsoft Entra, ma non se l'account di accesso di Microsoft Entra è un gruppo.
• Processi elastici
• Sincronizzazione dati SQL
• Change Data Capture (CDC): se si crea un database in database SQL di Azure come utente di Microsoft Entra e si abilita Change Data Capture, un utente SQL non sarà in grado di disabilitare o apportare modifiche agli artefatti CDC. Tuttavia, un altro utente di Microsoft Entra sarà in grado di abilitare o disabilitare CDC nello stesso database. Analogamente, se si crea un database SQL di Azure come utente SQL, l'abilitazione o la disabilitazione di CDC come utente di Microsoft Entra non funzionerà
• Replica transazionale: poiché l'autenticazione SQL è necessaria per la connettività tra i partecipanti alla replica, quando è abilitata l'autenticazione solo Entra di Microsoft, la replica transazionale non è supportata per database SQL per scenari in cui viene usata la replica transazionale per eseguire il push delle modifiche apportate in un Istanza gestita di SQL di Azure, SQL Server locale o un'istanza di SQL Server della macchina virtuale di Azure in un database in database SQL di Azure
• SQL Insights (anteprima)
• Istruzione EXEC AS per gli account membro del gruppo Microsoft Entra

Limitazioni per l'autenticazione solo Entra di Microsoft in Istanza gestita

Quando l'autenticazione solo Entra di Microsoft è abilitata per Istanza gestita, le funzionalità seguenti non sono supportate:

• Replica transazionale
• I processi di SQL Agent in Istanza gestita supportano l'autenticazione solo Entra di Microsoft. Tuttavia, l'utente di Microsoft Entra membro di un gruppo Microsoft Entra che ha accesso all'istanza gestita non può possedere processi di SQL Agent
• SQL Insights (anteprima)
• Istruzione EXEC AS per gli account membro del gruppo Microsoft Entra

Per altre limitazioni, vedere Differenze T-SQL tra SQL Server e Istanza gestita di SQL di Azure.

Passaggi successivi

Esercitazione: Abilitare l'autenticazione solo Microsoft Entra-only con Azure SQL

Creare un server con l'autenticazione solo Entra-only abilitata in Azure SQL