Configurare Multi-Factor Authentication per SQL Server Management Studio e Azure AD

Questo argomento illustra come usare Azure Active Directory Multi-Factor Authentication (MFA) con SQL Server Management Studio. È possibile usare Azure AD MFA quando si connette SSMS o SqlPackage.exe al database SQL di Azure e ad Azure SQL Data Warehouse.

Per una panoramica dell'autenticazione a più fattori per il database SQL di Azure, vedere Autenticazione universale con database SQL e SQL Data Warehouse (supporto SSMS per MFA).

Procedura di configurazione

  1. Configurare un'istanza di Azure Active Directory: per altre informazioni, vedere Amministrazione della directory di Azure AD, Integrare le directory locali con Azure Active Directory, Aggiungere un nome di dominio personalizzato ad Azure AD, Microsoft Azure now supports federation with Windows Server Active Directory (Nuovo supporto per la federazione con Active Directory di Windows Server in Microsoft Azure) e Gestire Azure AD con Windows PowerShell.
  2. Configurare MFA: per istruzioni dettagliate, vedere Informazioni su Azure Multi-Factor Authentication e Accesso condizionale (MFA) con il database SQL di Azure e Azure SQL Data Warehouse. Per l'accesso condizionale completo è necessaria l'edizione Premium di Azure Active Directory (Azure AD). Con l'edizione standard di Azure AD è disponibile l'autenticazione a più fattori limitata.
  3. Configurare un database SQL o SQL Data Warehouse per l'autenticazione di Azure AD: per istruzioni dettagliate, vedere Connessione al database SQL oppure a SQL Data Warehouse con l'autenticazione di Azure Active Directory.
  4. Scaricare SSMS: nel computer client scaricare la versione più recente di SSMS da Scaricare SQL Server Management Studio (SSMS). Per tutte le funzionalità illustrate in questo argomento, usare almeno la versione 17.2 di luglio 2017.

Connessione tramite l'autenticazione universale con SSMS

La procedura seguente illustra la modalità di connessione al database SQL o a SQL Data Warehouse tramite la versione più recente di SSMS.

  1. Per connettersi usando l'autenticazione universale, nella finestra di dialogo Connetti al server selezionare Active Directory - Universale con supporto MFA. Se viene visualizzata l'opzione Autenticazione universale di Active Directory significa che non si sta usando la versione più recente di SSMS.
    1mfa-universal-connect
  2. Nella casella Nome utente immettere le credenziali di Azure Active Directory nel formato user_name@domain.com.
    1mfa-universal-connect-user
  3. Se si esegue la connessione come utente guest, è necessario fare clic su Opzioni e nella finestra di dialogo Proprietà connessione completare la casella ID tenant o nome di dominio AD. Per altre informazioni, vedere Autenticazione universale con database SQL e SQL Data Warehouse (supporto SSMS per MFA). mfa-tenant-ssms
  4. Come di consueto per il database SQL e SQL Data Warehouse, è necessario fare clic su Opzioni e specificare il database nella finestra di dialogo Opzioni. Se l'utente connesso è un utente guest, ad esempio joe@outlook.com, è necessario selezionare la casella e aggiungere il nome di dominio AD o l'ID tenant corrente nelle opzioni. Vedere Autenticazione universale con database SQL e SQL Data Warehouse (supporto SSMS per MFA)(sql-database-ssms-mfa-authentication.md. Fare clic su Connetti.
  5. Quando appare la finestra di dialogo Accedi al tuo account , fornire l'account e la password dell'identità di Azure Active Directory. Se un utente fa parte di un dominio federato con Azure AD, non è necessario specificare la password.
    2mfa-sign-in

    Nota

    L'utente viene connesso in questa fase nel caso dell'autenticazione universale con un account che non richiede l'MFA. Per gli utenti che richiedono l'MFA, continuare con la procedura seguente:

  6. Potrebbero aprirsi due finestre di dialogo per la configurazione del metodo MFA. Questa operazione una tantum dipende l'impostazione dell'amministratore dell'MFA e potrebbe, quindi, essere facoltativa. Per un dominio abilitato per l'MFA si tratta di una procedura predefinita (ad esempio, il dominio richiede agli utenti di utilizzare una smart card con pin).
    3mfa-setup

  7. La seconda finestra di dialogo consente di selezionare i dettagli del metodo di autenticazione. Le opzioni possibili sono configurate dall'amministratore.
    4mfa-verify-1
  8. Azure Active Directory invia le informazioni di conferma all'utente. Quando si riceve il codice di verifica, immetterlo nella casella Immettere il codice di verifica e fare clic su Accedi.
    5mfa-verify-2

Al termine della procedura di verifica, di norma SSMS stabilisce la connessione se le credenziali sono valide e se il firewall lo consente.

Passaggi successivi