Rôle de Lecteurs de répertoire dans Microsoft Entra ID pour Azure SQL

S’applique à : Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics

Microsoft Entra ID (anciennement Azure Active Directory) a introduit l’utilisation de groupes pour gérer les attributions de rôles. Cela permet d’affecter des rôles Microsoft Entra à des groupes.

Remarque

Avec la prise en charge Microsoft Graph d’Azure SQL, le rôle Lecteurs d’annuaire peut être remplacé par l’utilisation d’autorisations de niveau inférieur. Pour plus d’informations, consultez Identité managée affectée par l’utilisateur dans Microsoft Entra pour Azure SQL.

Lors de l’activation d’une identité managée pour Azure SQL Database, Azure SQL Managed Instance ou Azure Synapse Analytics, le rôle de Lecteurs de répertoire Microsoft Entra ID peut être attribué à l’identité pour permettre l’accès en lecture à l’API Microsoft Graph. L’identité managée de SQL Database et Azure Synapse est appelée identité du serveur. L’identité managée de SQL Managed Instance est appelée « identité de l’instance gérée » et est automatiquement affectée lors de la création de l’instance. Pour plus d’informations sur l’affectation d’une identité de serveur à une instance SQL Database ou Azure Synapse, consultez Permettre aux principaux de service de créer des utilisateurs Microsoft Entra.

Le rôle Lecteurs de répertoire peut être utilisé comme identité de serveur ou d’instance pour :

  • Créer des connexions Microsoft Entra pour SQL Managed Instance
  • Emprunter l’identité des utilisateurs De Microsoft Entra dans Azure SQL
  • Migrer les utilisateurs SQL Server qui utilisent l’authentification Windows vers SQL Managed Instance avec l’authentification Microsoft Entra (à l’aide de la commande ALTER USER (Transact-SQL))
  • Modifier l’administrateur Microsoft Entra pour SQL Managed Instance
  • Autoriser les principaux de service (applications) à créer des utilisateurs Microsoft Entra dans Azure SQL

Remarque

Microsoft Entra ID était précédemment connu sous le nom d’Azure Active Directory (Azure AD).

Attribution du rôle Lecteurs de répertoire

Pour affecter le rôle Lecteurs de répertoire à une identité, un utilisateur disposant des autorisations Administrateur général ou Administrateur de rôle privilégié est nécessaire. Les utilisateurs qui gèrent ou déploient souvent SQL Database, SQL Managed Instance ou Azure Synapse n’ont peut-être pas accès à ces rôles à privilèges élevés. Cela peut souvent causer des complications pour les utilisateurs qui créent des ressources Azure SQL non planifiées ou qui ont besoin de l’aide de membres à rôle hautement privilégié qui sont souvent inaccessibles dans les grandes organisations.

Pour SQL Managed Instance, vous devez affecter le rôle Lecteurs de répertoire à l’identité de l’instance managée avant de pouvoir configurer un administrateur Microsoft Entra pour l’instance managée.

L’attribution du rôle Lecteurs de répertoire à l’identité du serveur n’est pas nécessaire pour SQL Database ou Azure Synapse lors de la configuration d’un administrateur Microsoft Entra pour le serveur logique. Cependant, pour permettre la création d’un objet Microsoft Entra dans SQL Database ou Azure Synapse pour le compte d’une application Microsoft Entra, le rôle Lecteurs de répertoire est requis. Si le rôle n’est pas attribué à l’identité du serveur logique, la création d’utilisateurs Microsoft Entra dans Azure SQL échouera. Pour plus d’informations, consultez Principal de service Microsoft Entra avec Azure SQL.

Octroi du rôle Lecteurs de répertoire à un groupe Microsoft Entra

Vous pouvez désormais demander à un administrateur général ou administrateur de rôle privilégié de créer un groupe Microsoft Entra et d’attribuer l’autorisation Lecteurs de répertoire au groupe. Cela permettra l’accès à l’API Microsoft Graph pour les membres de ce groupe. En outre, les utilisateurs Microsoft Entra qui sont propriétaires de ce groupe sont autorisés à lui assigner de nouveaux membres, y compris les identités des serveurs logiques.

Cette solution nécessite toujours un utilisateur doté de privilèges élevés (administrateur général ou administrateur de rôle privilégié) pour créer un groupe et affecter des utilisateurs en tant qu’activité ponctuelle, mais les propriétaires du groupe Microsoft Entra pourront ensuite nommer des membres supplémentaires à l’avenir. Cela élimine le besoin d’impliquer un utilisateur à privilèges élevés pour configurer chaque base de données SQL Database, instance SQL Managed Instance ou serveur Azure Synapse dans son locataire Microsoft Entra.

Étapes suivantes