Tutoriel : Activer l’authentification Microsoft Entra uniquement avec Azure SQL

S’applique à : Azure SQL Database Azure SQL Managed Instance

Cet article vous guide tout au long de l’activation de la fonctionnalité d’authentification Microsoft Entra uniquement dans Azure SQL Database et Azure SQL Managed Instance. Si vous cherchez à approvisionner une base de données SQL ou une instance gérée SQL avec l’authentification Microsoft Entra uniquement activée, consultez Créer un serveur avec l’authentification Microsoft Entra uniquement activée dans Azure SQL.

Remarque

Microsoft Entra ID était anciennement appelé Azure Active Directory (Azure AD).

Dans ce tutoriel, vous allez apprendre à :

  • Affecter un rôle pour activer l’authentification Microsoft Entra uniquement
  • Activer l’authentification Microsoft Entra uniquement à l’aide du Portail Azure, d’Azure CLI ou de PowerShell
  • Vérifier si l’authentification Microsoft Entra uniquement est activée
  • Tester la connexion à Azure SQL
  • Désactiver l’authentification Microsoft Entra uniquement à l’aide du Portail Azure, d’Azure CLI ou de PowerShell

Prérequis

Affecter un rôle pour activer l’authentification Microsoft Entra uniquement

Pour activer ou désactiver l’authentification Microsoft Entra uniquement, les rôles intégrés sélectionnés sont requis pour les utilisateurs de Microsoft Entra qui exécutent les opérations de ce tutoriel. Nous allons attribuer le rôle de gestionnaire de sécurité SQL à l’utilisateur dans ce tutoriel.

Pour plus d'informations sur l'attribution d'un rôle à un compte Microsoft Entra, consultez Attribuer des rôles d'administrateur et de non-administrateur aux utilisateurs avec Microsoft Entra ID

Pour plus d’informations sur l’autorisation requise pour activer ou désactiver l’authentification Microsoft Entra uniquement, consultez la section Autorisations de l’article sur l'authentification Microsoft Entra uniquement.

  1. Dans notre exemple, nous attribuons le rôle de gestionnaire de sécurité SQL à l’utilisateur UserSqlSecurityManager@contoso.onmicrosoft.com. À l’aide d’un utilisateur privilégié qui peut affecter des rôles de Microsoft Entra, connectez-vous au portail Azure.

  2. Accédez à la ressource de votre serveur SQL, puis sélectionnez Contrôle d’accès (IAM) dans le menu. Sélectionnez le bouton Ajouter, puis Ajouter une attribution de rôle dans le menu déroulant.

    Capture d’écran montrant la page Contrôle d’accès, dans laquelle vous pouvez ajouter une attribution de rôle.

  3. Dans le volet Ajouter une attribution de rôle, sélectionnez le rôle Gestionnaire de sécurité SQL, puis sélectionnez l’utilisateur qui pourra activer ou désactiver l’authentification Microsoft Entra uniquement.

    Volet Ajouter une attribution de rôle dans le portail Azure

  4. Cliquez sur Enregistrer.

Activer l’authentification Microsoft Entra uniquement

Activer dans SQL Database à l’aide de Portail Azure

Pour activer l’authentification Microsoft Entra uniquement dans le portail Azure, effectuez les étapes suivantes :

  1. À l’aide de l’utilisateur avec le rôle Gestionnaire de sécurité SQL, accédez au Portail Azure.

  2. Accédez à votre ressource SQL Server, puis sélectionnez Microsoft Entra ID sous le menu Paramètres.

    Capture d’écran montrant l’option pour de prendre en charge uniquement l’authentification Microsoft Entra pour le serveur.

  3. Si vous n’avez pas ajouté d’administrateur Microsoft Entra, vous devez le définir avant de pouvoir activer l’authentification Microsoft Entra uniquement.

  4. Cochez la case pour prendre en charge uniquement l’authentification Microsoft Entra pour ce serveur.

  5. Le menu contextuel Activer l’authentification Microsoft Entra uniquement s’affiche. Cliquez sur Oui pour activer la fonctionnalité, puis sur Enregistrer le paramètre.

Activer dans SQL Managed Instance à l’aide de Portail Azure

Pour activer l’authentification par Microsoft Entra uniquement dans le Portail Azure, consultez les étapes ci-dessous.

  1. À l’aide de l’utilisateur avec le rôle Gestionnaire de sécurité SQL, accédez au Portail Azure.

  2. Accédez à votre ressource d’instance gérée SQL et sélectionnez Administrateur Microsoft Entra dans le menu Paramètres.

  3. Si vous n’avez pas ajouté d’administrateur Microsoft Entra, vous devez le définir avant de pouvoir activer l’authentification Microsoft Entra uniquement.

  4. Cochez la case Prise en charge de l’authentification Microsoft Entra uniquement pour cette instance gérée.

  5. Le menu contextuel Activer l’authentification Microsoft Entra uniquement s’affiche. Cliquez sur Oui pour activer la fonctionnalité, puis sur Enregistrer le paramètre.

Vérifier l’état de l’authentification Microsoft Entra uniquement

Vérifiez si l’authentification Microsoft Entra uniquement est activée pour votre serveur ou instance.

Vérifier l’état dans SQL Database

Accédez à la ressource sur votre serveur SQL dans le Portail Azure. Sélectionnez Microsoft Entra ID sous le menu Paramètres.

Vérifier l’état dans SQL Managed Instance

Accédez à votre ressource d’instance gérée SQL dans le portail Azure. Sélectionnez Microsoft Entra admin sous le menu Paramètres.

Tester l’authentification SQL avec échec de connexion

Après l’activation de l’authentification Microsoft Entra uniquement, essayez avec SQL Server Management Studio (SSMS) de vous connecter à votre base de données SQL ou à votre instance gérée SQL. Utilisez l'authentification SQL pour la connexion.

Un message d’erreur similaire à celui qui suit doit s’afficher :

Cannot connect to <myserver>.database.windows.net.
Additional information:
  Login failed for user 'username'. Reason: Azure Active Directory only authentication is enabled.
  Please contact your system administrator. (Microsoft SQL Server, Error: 18456)

Désactiver l’authentification Microsoft Entra uniquement

En désactivant la fonctionnalité d’authentification Microsoft Entra uniquement, vous autorisez l’authentification SQL et l’authentification Microsoft Entra pour Azure SQL.

Désactiver dans SQL Database à l’aide de Portail Azure

  1. À l’aide de l’utilisateur avec le rôle Gestionnaire de sécurité SQL, accédez au Portail Azure.
  2. Accédez à votre ressource SQL Server, puis sélectionnez Microsoft Entra ID sous le menu Paramètres.
  3. Pour désactiver la fonctionnalité d’authentification Microsoft Entra uniquement, désactivez la case à cocher Prendre en charge l’authentification Microsoft Entra uniquement pour ce serveur et cliquez sur Enregistrer.

Désactiver dans SQL Managed Instance à l’aide de Portail Azure

  1. À l’aide de l’utilisateur avec le rôle Gestionnaire de sécurité SQL, accédez au Portail Azure.
  2. Accédez à votre ressource d’instance gérée SQL et sélectionnez Administrateur Active Directory dans le menu Paramètres.
  3. Pour désactiver la fonctionnalité d’authentification Microsoft Entra uniquement, décochez la case Prise en charge de l’authentification Microsoft Entra uniquement pour cette instance gérée et cliquez sur Enregistrer.

Tester à nouveau la connexion à Azure SQL

Après la désactivation de l’authentification Microsoft Entra uniquement, testez la connexion en vous connectant via l’authentification SQL. Vous devez maintenant être en mesure de vous connecter à votre serveur ou instance.

Étapes suivantes