Créer un serveur avec l’authentification unique Microsoft Entra activée dans Azure SQL

S’applique à : Azure SQL Database Azure SQL Managed Instance

Ce guide pratique décrit les étapes de création d’un serveur logique pour Azure SQL Database ou d’une instance Azure SQL Managed avec l’authentification unique Microsoft Entra activée pendant le provisionnement. La fonctionnalité d’authentification unique Microsoft Entra uniquement empêche les utilisateurs de se connecter au serveur ou à l’instance gérée à l’aide de l’authentification SQL, et autorise uniquement la connexion à l’aide de Microsoft Entra ID (anciennement Azure Active Directory).

Remarque

Microsoft Entra ID était anciennement appelé Azure Active Directory (Azure AD).

Prérequis

  • L’utilisation d’Azure CLI nécessite la version 2.26.1 ou ultérieure. Pour plus d’informations sur l’installation et la dernière version, voir Installer Azure CLI.
  • Le module Az 6.1.0 ou une version ultérieure est nécessaire lors de l’utilisation de PowerShell.
  • Si vous approvisionnez une instance gérée à l’aide d’Azure CLI, de PowerShell ou de l’API REST, vous devez créer un réseau virtuel et un sous-réseau avant de commencer. Pour plus d’informations, voir Créer un réseau virtuel pour Azure SQL Managed Instance.

Autorisations

Pour provisionner un serveur logique ou une instance managée, vous devez disposer des autorisations appropriées pour créer ces ressources. Les utilisateurs Azure disposant d’autorisations plus élevées, telles que les propriétairesd’abonnement, les contributeurs, les administrateurs de service et les coadministrateurs, ont le privilège de créer un serveur SQL ou une instance gérée. Pour créer ces ressources avec le rôle RBAC Azure le moins privilégié, utilisez le rôle Contributeur SQL Server pour SQL Database et Contributeur SQL Managed Instance pour SQL Managed Instance.

Le rôle RBAC Azure SQL Security Manager ne dispose pas des autorisations suffisantes pour créer un serveur ou une instance sur lequel l’authentification unique Microsoft Entra est activée. Le rôle gestionnaire de sécurité SQL sera requis pour gérer la fonctionnalité d’authentification unique Microsoft Entra après la création du serveur ou de l’instance.

Approvisionner un serveur avec l’authentification unique Microsoft Entra activée

La section suivante fournit des exemples et des scripts sur la création d’un serveur logique ou d’une instance managée avec un groupe d’administration Microsoft Entra pour le serveur ou l’instance, et l’activation de l’authentification unique Microsoft Entra lors de la création du serveur. Pour plus d’informations sur la fonctionnalité, consultez Authentification unique Microsoft Entra avec Azure SQL.

Dans nos exemples, nous activons l’authentification unique Microsoft Entra lors de la création d’un serveur ou d’une instance gérée, avec un administrateur de serveur et un mot de passe affectés par le système. Cela empêchera l’accès de l’administrateur du serveur lorsque l’authentification unique Microsoft Entra est activée, et autorise uniquement l’administrateur Microsoft Entra à accéder à la ressource. Il est facultatif d’ajouter des paramètres aux API pour inclure votre propre administrateur de serveur et votre propre mot de passe lors de la création du serveur. Toutefois, le mot de passe ne peut pas être réinitialisé tant que vous n’avez pas désactivé l’authentification unique Microsoft Entra. Un exemple de l’utilisation de ces paramètres facultatifs pour spécifier le nom de connexion de l’administrateur du serveur est présenté sous l’onglet PowerShell sur cette page.

Notes

Pour modifier les propriétés existantes après la création du serveur ou de l’instance gérée, vous devez utiliser d’autres API existantes. Pour plus d’informations, consultez Gestion de l'authentification unique Microsoft Entra à l’aide d’API et Configuration et gestion de l’authentification Microsoft Entra avec Azure SQL.

Si l’authentification unique Microsoft Entra est définie sur false, ce qui est le cas par défaut, un administrateur de serveur et un mot de passe devront être inclus dans toutes les API lors de la création du serveur ou de l’instance gérée.

Azure SQL Database

  1. Accédez à la page Sélectionner l’option de déploiement SQL dans le portail Azure.

  2. Si vous n’êtes pas déjà connecté au portail Azure, connectez-vous lorsque vous y êtes invité.

  3. Sous Bases de données SQL, laissez Type de ressource défini sur Base de données unique, puis sélectionnez Créer.

  4. Sous l’onglet De base du formulaire Créer une base de données SQL, sous Détails du projet, sélectionnez l’Abonnement Azure souhaité.

  5. Pour Groupe de ressources, sélectionnez Créer, entrez un nom pour votre groupe de ressources, puis sélectionnez OK.

  6. Pour Nom de base de données, entrez un nom pour votre base de données.

  7. Pour Serveur, sélectionnez Créer, puis remplissez le formulaire de nouveau serveur avec les valeurs suivantes :

    • Nom du serveur : Entrez un nom de serveur unique. Les noms de serveur doivent être uniques au niveau mondial pour tous les serveurs Azure, et pas seulement au sein d'un abonnement. Entrez une valeur et le portail Azure vous indiquera si elle est disponible ou non.
    • Emplacement : sélectionnez un emplacement dans la liste déroulante
    • Méthode d’authentification : sélectionnez Utiliser l’authentification unique Microsoft Entra.
    • Sélectionnez Définir l’administrateur pour ouvrir le volet ID Microsoft Entra et sélectionner un principal Microsoft Entra en tant qu’administrateur Microsoft Entra. Lorsque vous avez terminé, utilisez le bouton Sélectionner pour définir votre administrateur.

    Capture d’écran de la création d’un serveur avec l’authentification Microsoft Entra uniquement activée.

  8. Sélectionnez Suivant : Réseau en bas de la page.

  9. Sous l’onglet Réseau, pour Méthode de connectivité, sélectionnez Point de terminaison public.

  10. Pour Règles de pare-feu, affectez la valeur Oui à Ajouter l’adresse IP actuelle du client. Laissez Autoriser les services et les ressources Azure à accéder à ce serveur avec la valeur Non.

  11. Laissez la Stratégie de connexion et les paramètres de Version minimale de TLS aux valeurs par défaut.

  12. Sélectionnez Suivant : Sécurité en bas de la page. Configurez un des paramètres entre Microsoft Defender pour SQL, Registre, Identité et Chiffrement transparent des données pour votre environnement. Vous pouvez également ignorer ces paramètres.

    Remarque

    L’utilisation d’une identité managée affectée par l’utilisateur comme identité de serveur est prise en charge avec l’authentification Microsoft Entra uniquement. Pour vous connecter à l’instance en tant qu’identité, affectez-la à un ordinateur virtuel Azure et exécutez SSMS sur cet ordinateur virtuel. Pour les environnements de production, l’utilisation d’une identité managée pour l’administrateur Microsoft Entra est recommandée en raison des mesures de sécurité améliorées et simplifiées de l’authentification sans mot de passe pour les ressources Azure.

  13. Au bas de la page, sélectionnez Examiner et créer.

  14. Dans la page Vérifier + créer, après vérification, sélectionnez Créer.

Azure SQL Managed Instance

  1. Accédez à la page Sélectionner l’option de déploiement SQL dans le portail Azure.

  2. Si vous n’êtes pas déjà connecté au portail Azure, connectez-vous lorsque vous y êtes invité.

  3. Sous SQL managed instances, laissez Type de ressource défini sur Instance unique, puis sélectionnez Créer.

  4. Renseignez les informations obligatoires requises sous l’onglet Informations de base pour Détails du projet et Détails de l’instance gérée. Il s’agit d’informations de base qui sont obligatoires pour provisionner une instance managée SQL.

    Capture d’écran du Portail Azure montrant l’onglet de base Créer une instance gérée SQL.

    Pour plus d’informations sur les options de configuration, consultez Démarrage rapide : Créer une instance gérée Azure SQL Managed Instance.

  5. Sous Authentification, sélectionnez Utiliser uniquement l’authentification unique Microsoft Entra comme méthode d’authentification.

  6. Sélectionnez Définir l’administrateur pour ouvrir le volet ID Microsoft Entra et sélectionner un principal Microsoft Entra en tant qu’administrateur Microsoft Entra de votre instance managée. Lorsque vous avez terminé, utilisez le bouton Sélectionner pour définir votre administrateur.

    Capture d’écran de l’onglet De base de la création de SQL Managed Instance dans le portail Azure avec l’authentification Microsoft Entra uniquement sélectionnée.

  7. Vous pouvez laisser le reste des paramètres par défaut. Pour plus d’informations sur la Mise en réseau, la Sécurité ou d’autres onglets et paramètres, suivez le guide de Démarrage rapide : Créer une instance gérée Azure SQL.

  8. Une fois que vous avez fini de configurer vos paramètres, sélectionnez Vérifier + créer pour continuer. Sélectionnez Créer pour commencer le provisionnement de l’instance managée.

Accorder des autorisations de lecteur de répertoire

Une fois le déploiement terminé pour votre instance gérée, vous pouvez remarquer que le SQL Managed Instance a besoin d’autorisations de lecture pour accéder à l’ID de Microsoft Entra. Les autorisations de lecture peuvent être accordées par une personne disposant de privilèges suffisants en selectionnant le message affiché dans le portail Azure. Pour plus d’informations, consultez Rôle Lecteurs de répertoire dans Microsoft Entra ID pour Azure SQL.

Capture d’écran du menu d’administration Microsoft Entra dans le portail Azure montrant les autorisations de lecture nécessaires.

Limites

  • Pour réinitialiser le mot de passe de l’administrateur du serveur, l’authentification unique Microsoft Entra doit être désactivée.
  • Si l’authentification unique Microsoft Entra est désactivée, vous devez créer un serveur avec un mot de passe et un administrateur de serveur lors de l’utilisation de toutes les API.