Entità windows native
Si applica a: 
Istanza gestita di SQL di Azure SQL
La modalità dei metadati di autenticazione di Windows è una nuova modalità che consente agli utenti di usare autenticazione di Windows o l'autenticazione di Microsoft Entra (usando i metadati dell'entità di Windows) con Istanza gestita di SQL di Azure. Questa modalità è disponibile solo per Istanza gestita di SQL. La modalità metadati di autenticazione di Windows non è disponibile per database SQL di Azure.
Quando l'ambiente viene sincronizzato tra Active Directory (AD) e Microsoft Entra ID, gli account utente di Windows in AD vengono sincronizzati con gli account utente microsoft Entra in Microsoft Entra ID.
L'autenticazione per Istanza gestita di SQL e SQL Server si basa sui metadati associati agli account di accesso. Per autenticazione di Windows account di accesso, i metadati vengono creati quando viene creato l'account di accesso dal comando CREATE LOGIN FROM WINDOWS. Per gli account di accesso di Microsoft Entra, i metadati vengono creati al momento della creazione dell'account di accesso dal comando CREATE LOGIN FROM EXTERNAL PROVIDER. Per gli account di accesso con autenticazione SQL, i metadati vengono creati quando viene eseguito il comando CREATE LOGIN WITH PASSWORD. Il processo di autenticazione è strettamente associato ai metadati archiviati in Istanza gestita di SQL o SQL Server.
Per un video che illustra le entità di sicurezza native di Windows, è anche possibile fare riferimento a questo episodio relativo all'esposizione dei dati.
Nota
L'uso di entità windows native con la modalità dei metadati di autenticazione di Windows in Istanza gestita di SQL è attualmente in anteprima.
Modalità dei metadati di autenticazione
Le seguenti modalità dei metadati di autenticazione sono disponibili per Istanza gestita di SQL e le diverse modalità determinano quali metadati di autenticazione vengono usati per l'autenticazione, insieme alla modalità di creazione dell'account di accesso:
- Microsoft Entra (impostazione predefinita): questa modalità consente di autenticare gli utenti di Microsoft Entra usando i metadati utente di Microsoft Entra. Per usare autenticazione di Windows in questa modalità, si veda Autenticazione di Windows per le entità di sicurezza di Microsoft Entra in Istanza gestita di SQL di Azure.
- Abbinata (impostazione predefinita di SQL Server): modalità predefinita per l'autenticazione di SQL Server.
- Windows (nuova modalità): questa modalità consente di autenticare gli utenti di Microsoft Entra usando i metadati utente di Windows all'interno di Istanza gestita di SQL.
La sintassi CREATE LOGIN FROM WINDOWS e CREATE USER FROM WINDOWS può essere usata per creare un account di accesso o un utente in Istanza gestita di SQL, rispettivamente per un'entità di Windows in modalità metadati di autenticazione di Windows. L’entità Windows può essere un utente o un gruppo di Windows.
Per usare la modalità metadati di autenticazione di Windows, l'ambiente utente deve sincronizzare Active Directory (AD) con Microsoft Entra ID.
Configurare le modalità dei metadati di autenticazione
- Andare sul portale di Azure e passare alla risorsa Istanza gestita di SQL.
- Passare a Impostazioni > Microsoft Entra ID.
- Scegliere la modalità di metadati di autenticazione preferita dall'elenco a discesa.
- Selezionare Salva configurazione dei metadati di autenticazione.
Affrontare le problematiche di migrazione utilizzando la modalità metadati di autenticazione di Windows
La modalità metadati di autenticazione di Windows consente di modernizzare l'autenticazione per l'applicazione e di sbloccare i problemi di migrazione ai Istanza gestita di SQL. Ecco alcuni scenari comuni in cui è possibile usare la modalità metadati di autenticazione di Windows per risolvere problematiche dei clienti:
- Le complessità della configurazione dell'autenticazione Windows per Istanza gestita di SQL di Azure tramite Microsoft Entra ID e Kerberos.
- Failover di replica di sola lettura nel collegamento Istanza gestita.
- Sincronizzazione dell'autenticazione di Microsoft Entra per SQL Server.
Autenticazione di Windows per le entità di Microsoft Entra
Se l'ambiente è sincronizzato tra AD e Microsoft Entra ID, è possibile usare la modalità metadati di autenticazione di Windows per autenticare gli utenti per Istanza gestita di SQL utilizzando un account di accesso di Windows o un account di accesso di Microsoft Entra, se l'account di accesso viene creato da un'entità di windows (CREATE LOGIN FROM WINDOWS).
Questa funzionalità è particolarmente utile per i clienti che dispongono di applicazioni che usano autenticazione di Windows e che eseguono la migrazione a Istanza gestita di SQL. La modalità dei metadati di autenticazione di Windows consente ai clienti di continuare a usare autenticazione di Windows per le applicazioni senza dover apportare modifiche al codice dell'applicazione. Ad esempio, le applicazioni come BizTalk Server, che eseguono i comandi CREATE LOGIN FROM WINDOWS e CREATE USER FROM WINDOWS, possono continuare a funzionare senza modifiche durante la migrazione a Istanza gestita di SQL. Altri utenti possono usare un account di accesso di Microsoft Entra sincronizzato con AD per eseguire l'autenticazione a Istanza gestita di SQL.
Collegamento a Istanza gestita
Anche se Istanza gestita collegamento abilita la replica dei dati quasi in tempo reale tra SQL Server e Istanza gestita di SQL, la replica di sola lettura nel cloud impedisce la creazione di entità di Microsoft Entra. La modalità dei metadati di autenticazione di Windows consente ai clienti di usare un account di accesso di Windows esistente per l'autenticazione nella replica in caso di failover.
Autenticazione Microsoft Entra per SQL Server 2022 e versioni successive
SQL Server 2022 introduce anche il supporto per l'autenticazione Microsoft Entra per SQL Server. Molti utenti vogliono limitare le modalità di autenticazione per utilizzare solo l'autenticazione moderna ed eseguire la migrazione di tutte le entità di windows all'ID Microsoft Entra. Tuttavia, esistono scenari in cui autenticazione di Windows è ancora necessario, ad esempio il codice dell'applicazione associato alle entità di sicurezza di Windows. La modalità dei metadati di autenticazione di Windows consente ai clienti di continuare a usare le entità di sicurezza di Windows per l'autorizzazione all'interno di SQL Server, usando le entità Di sicurezza di Microsoft Entra sincronizzate per l'autenticazione.
SQL Server non riconosce la sincronizzazione tra Active Directory e Microsoft Entra ID. Sebbene gli utenti e i gruppi siano sincronizzati tra AD e Microsoft Entra ID, è comunque necessario creare un account di accesso usando la sintassi CREATE LOGIN FROM EXTERNAL PROVIDER e aggiungere autorizzazioni all'account di accesso. La modalità dei metadati di autenticazione di Windows riduce la necessità di eseguire manualmente la migrazione degli account di accesso a Microsoft Entra ID.
Confronto tra modalità metadati di autenticazione
Ecco il grafico di flusso che spiega come funziona la modalità dei metadati di autenticazione con Istanza gestita di SQL:
In precedenza, i clienti che sincronizzano gli utenti tra AD e Microsoft Entra ID non sarebbero in grado di eseguire l'autenticazione con un account di accesso creato da un'entità di Windows, indipendentemente dal fatto che usassero l'autenticazione di autenticazione di Windows o Microsoft Entra sincronizzata da AD. Con la modalità dei metadati di autenticazione di Windows, i clienti possono ora eseguire l'autenticazione con un account di accesso creato da un'entità di Windows usando autenticazione di Windows o l'entità microsoft Entra sincronizzata.
Per gli utenti sincronizzati, l'autenticazione ha esito positivo o negativo in base alle configurazioni e al tipo di accesso seguenti:
| Modalità metadati di autenticazione | DA WINDOWS | FROM EXTERNAL PROVIDER |
|---|---|---|
| Modalità Windows | ||
| Autenticazione Microsoft Entra | Ha esito positivo | Ha esito negativo |
| Autenticazione di Windows | Ha esito positivo | Ha esito negativo |
| Modalità Microsoft Entra ID | ||
| Autenticazione Microsoft Entra | Ha esito negativo | Ha esito positivo |
| Autenticazione di Windows | Ha esito negativo | Ha esito positivo |
| Modalità abbinata | ||
| Autenticazione Microsoft Entra | Ha esito negativo | Ha esito positivo |
| Autenticazione di Windows | Ha esito positivo | Ha esito negativo |
Contenuto correlato
Scopri di più sull’implementazione dell'autenticazione Windows per le entità di Microsoft Entra sull’istanza gestita di SQL:
- Che cos'è l'autenticazione Windows per le entità di Microsoft Entra in Istanza gestita di SQL di Azure?
- Com'è implementata l'autenticazione Windows per Istanza gestita di SQL di Azure con ID Microsoft Entra e Kerberos.
- Come configurare l'autenticazione Windows per ID Microsoft Entra con il flusso interattivo moderno.
- Come configurare l'autenticazione Windows per ID Microsoft Entra con il flusso basato sull'attendibilità in ingresso.
- Configurazione di un'Istanza gestita di SQL di Azure per l'autenticazione Windows per ID Microsoft Entra.