Condividi tramite


Esercitazione: assegnare il ruolo amministratori che leggono la directory a un gruppo Microsoft Entra e gestire le assegnazioni di ruolo

Si applica a: Database SQL di Azure Istanza gestita di SQL di Azure Azure Synapse Analytics

Questo articolo illustra come creare un gruppo in Microsoft Entra (precedentemente Azure Active Directory) e come assegnare a tale gruppo il ruolo amministratori che leggono la directory. Le autorizzazioni del ruolo con autorizzazioni di lettura nella directory consentono ai proprietari del gruppo di aggiungere altri membri al gruppo, ad esempio un'identità gestita di database SQL di Azure, Istanza gestita di SQL di Azure e Azure Synapse Analytics. In questo modo si evita che un amministratore globale o un amministratore ruolo con privilegi debba assegnare il ruolo amministratori che leggono la directory direttamente per ogni identità del server logico nel tenant.

Nota

Microsoft Entra ID era precedentemente conosciuto come Azure Active Directory (Azure AD).

Questa esercitazione usa la funzionalità introdotta in Usare i gruppi di Microsoft Entra per gestire le assegnazioni di ruolo.

Per altre informazioni sui vantaggi derivanti dall'assegnazione del ruolo amministratori che leggono la directory a un gruppo di Microsoft Entra per Azure SQL, vedere Ruolo amministratori che leggono la directory in Microsoft Entra ID per Azure SQL.

Nota

Con il supporto di Microsoft Graph per Azure SQL, il ruolo amministratori che leggono la directory può essere sostituito usando autorizzazioni di livello inferiore. Per altre informazioni, vedere Identità gestita assegnata dall'utente in Microsoft Entra ID per Azure SQL.

Prerequisiti

Assegnazione del ruolo con autorizzazioni di lettura nella directory con il portale di Azure

Creare un nuovo gruppo e assegnare i proprietari e i ruoli

  1. Per questa configurazione iniziale è necessario un utente con autorizzazioni di amministratore globale o amministratore ruolo con privilegi.

  2. L'utente con privilegi dovrà accedere al portale di Azure.

  3. Passare alla risorsa Microsoft Entra ID. In Gestita passare a Gruppi. Selezionare Nuovo gruppo per creare un nuovo gruppo.

  4. Selezionare Sicurezza come tipo di gruppo e compilare gli altri campi. Assicurarsi che l'impostazione I ruoli di Microsoft Entra possono essere assegnati al gruppo sia impostata su . Assegnare quindi al gruppo il ruolo amministratori che leggono la directory di Microsoft Entra ID.

  5. Assegnare gli utenti di Microsoft Entra come proprietari al gruppo che è stato creato. Il proprietario del gruppo può essere un utente di Active Directory normale a cui non è assegnato alcun ruolo amministrativo di Microsoft Entra. Il proprietario deve essere un utente che gestisce il database SQL, l'Istanza gestita di SQL o Azure Synapse.

    Nuovo gruppo Microsoft Entra ID

  6. Selezionare Crea.

Verifica del gruppo creato

Nota

Assicurarsi che il Tipo di gruppo sia Sicurezza. I gruppi di Microsoft 365 non sono supportati per Azure SQL.

Per verificare e gestire il gruppo che è stato creato, tornare al riquadro Gruppi nel portale di Azure e cercare il nome del gruppo. È possibile aggiungere altri proprietari e membri nel menu Proprietari e Membri dell'impostazione Gestisci dopo aver selezionato il gruppo. È anche possibile esaminare i Ruoli assegnati per il gruppo.

Screenshot di un riquadro Gruppo con i collegamenti per aprire i menu delle impostazioni per Membri, Proprietari e Ruoli assegnati evidenziati.

Aggiungere l'identità gestita di SQL di Azure al gruppo

Nota

Per questo esempio si userà un'Istanza gestita di SQL, ma è possibile applicare procedure simili per ottenere lo stesso risultato per il database SQL o Azure Synapse.

Per i passaggi successivi, l'amministratore globale o l'utente amministratore ruolo con privilegi non è più necessario.

  1. Accedere al portale di Azure come l'utente che gestisce l'istanza gestita di SQL, che è anche un proprietario del gruppo creato in precedenza.

  2. Trovare il nome della risorsa Istanza gestita di SQL nel portale di Azure.

    Screenshot della schermata delle istanze gestite di SQL con il nome dell'istanza ssomitest e il nome della subnet ManagedInstance evidenziati.

    Durante il provisioning di Istanza gestita di SQL, viene creata un'identità di Microsoft Entra per l'istanza, registrandola come applicazione Microsoft Entra. L'identità ha lo stesso nome del prefisso del nome dell'istanza gestita di SQL. Per trovare l'identità (nota anche come entità servizio) per l'istanza gestita di SQL, seguire questa procedura:

    • Passare alla risorsa Microsoft Entra ID. Nell'impostazione Gestisci selezionare Applicazioni aziendali. L'ID oggetto è l'identità dell'istanza.

    Screenshot della pagina Applicazioni aziendali per una risorsa di Microsoft Entra ID con l'ID oggetto dell'istanza gestita di SQL evidenziato.

  3. Passare alla risorsa Microsoft Entra ID. In Gestita passare a Gruppi. Selezionare il gruppo creato. Nell'impostazione Gestisci del gruppo selezionare Membri. Selezionare Aggiungi membri e aggiungere l'entità servizio dell'istanza gestita di SQL come membro del gruppo cercando il nome trovato sopra.

    Screenshot della pagina Membri per una risorsa Microsoft Entra con le opzioni evidenziate per l'aggiunta di un'istanza gestita di SQL come nuovo membro.

Nota

Potrebbero essere necessari alcuni minuti per propagare le autorizzazioni dell'entità servizio attraverso il sistema di Azure e consentire l'accesso all'API Microsoft Graph. Potrebbe essere necessario attendere alcuni minuti prima di effettuare il provisioning di un amministratore di Microsoft Entra per l'istanza gestita di SQL.

Osservazioni:

Per il database SQL e Azure Synapse, è possibile creare l'identità del server durante la creazione del server logico o dopo la creazione del server. Per altre informazioni su come creare o impostare l'identità del server nel database SQL o in Azure Synapse, vedere Abilitare le entità servizio per creare gli utenti di Microsoft Entra.

Per l'istanza gestita di SQL, è necessario assegnare il ruoloamministratori che leggono la directory a un'identità dell'istanza gestita prima di poter configurare un amministratore di Microsoft Entra per l'istanza gestita.

Quando si configura un amministratore di Microsoft Entra per il server logico, non è necessario assegnare il ruolo amministratori che leggono la directory all'identità del server per il database SQL o Azure Synapse. Tuttavia, per abilitare la creazione di un oggetto Microsoft Entra nel database SQL o in Azure Synapse per conto di un'applicazione Microsoft Entra, è necessario il ruolo amministratori che leggono la directory. Se il ruolo non è assegnato all'identità del server logico, la creazione degli utenti di Microsoft Entra in Azure SQL avrà esito negativo. Per altre informazioni, vedere Entità servizio di Microsoft Entra con Azure SQL.

Assegnazione del ruolo con autorizzazioni di lettura nella directory con PowerShell

Importante

Queste procedure iniziali dovranno essere eseguite da un amministratore globale o amministratore ruolo con privilegi. Oltre a PowerShell, Microsoft Entra ID offre l'API Microsoft Graph per Creare un gruppo a cui è possibile assegnare ruoli in Microsoft Entra ID.

  1. Scaricare il modulo di Microsoft Graph PowerShell usando i seguenti comandi. Potrebbe essere necessario eseguire PowerShell come amministratore.

    Install-Module Microsoft.Graph.Authentication
    Import-Module Microsoft.Graph.Authentication
    # To verify that the module is ready to use, run the following command:
    Get-Module Microsoft.Graph.Authentication
    
  2. Connettersi al tenant di Microsoft Entra.

    Connect-MgGraph
    
  3. Creare un gruppo di sicurezza per assegnare il ruolo con autorizzazioni di lettura nella directory.

    • È possibile modificare DirectoryReaderGroup, Directory Reader Group e DirRead in base alle preferenze.
    $group = New-MgGroup -DisplayName "DirectoryReaderGroup" -Description "Directory Reader Group" -SecurityEnabled:$true -IsAssignableToRole:$true -MailEnabled:$false -MailNickname "DirRead"
    $group
    
  4. Assegnare il ruolo con autorizzazioni di lettura nella directory al gruppo.

    # Displays the Directory Readers role information
    $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Directory Readers'"
    $roleDefinition
    
    # Assigns the Directory Readers role to the group
    $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id
    $roleAssignment
    
  5. Assegnare i proprietari al gruppo.

    • Sostituire <username> con l'utente che sarà il proprietario del gruppo. Per aggiungere più proprietari ripetere questa procedura.
    $newGroupOwner = Get-MgUser -UserId "<username>"
    $newGroupOwner
    
    $GrOwner = New-MgGroupOwnerByRef -GroupId $group.Id -DirectoryObjectId $newGroupOwner.Id
    

    Controllare i proprietari del gruppo:

    Get-MgGroupOwner -GroupId $group.Id
    

    È anche possibile verificare i proprietari del gruppo nel portale di Azure. Seguire la procedura illustrata in Verifica del gruppo creato.

Assegnazione dell'entità servizio come membro del gruppo

Per i passaggi successivi, l'amministratore globale o l'utente amministratore ruolo con privilegi non è più necessario.

  1. Usando un proprietario del gruppo che gestisce anche la risorsa Azure SQL, eseguire il seguente comando per connettersi a Microsoft Entra ID.

    Connect-MgGraph
    
  2. Assegnare l'entità servizio come membro del gruppo che è stato creato.

    # Returns the service principal of your Azure SQL resource
    $managedIdentity = Get-MgServicePrincipal -Filter "displayName eq '<ServerName>'"
    $managedIdentity
    
    # Adds the service principal to the group
    New-MgGroupMember -GroupId $group.Id -DirectoryObjectId $managedIdentity.Id
    

    Il comando seguente restituisce l'ID oggetto dell'entità servizio che indica che l'aggiunta al gruppo è riuscita:

    Get-MgGroupMember -GroupId $group.Id -Filter "Id eq '$($managedIdentity.Id)'"
    

Passaggi successivi