Tutoriel : Activer l’authentification Microsoft Entra uniquement avec Azure SQL

S’applique à : Azure SQL Database Azure SQL Managed Instance

Cet article vous guide tout au long de l’activation de la fonctionnalité d’authentification Microsoft Entra uniquement dans Azure SQL Database et Azure SQL Managed Instance. Si vous cherchez à approvisionner une base de données SQL ou une instance gérée SQL avec l’authentification Microsoft Entra uniquement activée, consultez Créer un serveur avec l’authentification Microsoft Entra uniquement activée dans Azure SQL.

Remarque

Microsoft Entra ID était anciennement appelé Azure Active Directory (Azure AD).

Dans ce tutoriel, vous allez apprendre à :

• Affecter un rôle pour activer l’authentification Microsoft Entra uniquement
• Activer l’authentification Microsoft Entra uniquement à l’aide du Portail Azure, d’Azure CLI ou de PowerShell
• Vérifier si l’authentification Microsoft Entra uniquement est activée
• Tester la connexion à Azure SQL
• Désactiver l’authentification Microsoft Entra uniquement à l’aide du Portail Azure, d’Azure CLI ou de PowerShell

Prérequis

• Un locataire Microsoft Entra. Pour plus d’informations, consultez Configurer et gérer l’authentification Microsoft Entra avec Azure SQL.
• SQL Database ou SQL Managed Instance avec une base de données, ainsi que des connexions ou des utilisateurs. Consultez Démarrage rapide : créer une base de données unique Azure SQL Database si vous n’avez pas encore créé de base de données Azure SQL Database ou Démarrage rapide : créer une instance gérée avec SQL Azure Managed Instance.

Affecter un rôle pour activer l’authentification Microsoft Entra uniquement

Pour activer ou désactiver l’authentification Microsoft Entra uniquement, les rôles intégrés sélectionnés sont requis pour les utilisateurs de Microsoft Entra qui exécutent les opérations de ce tutoriel. Nous allons attribuer le rôle de gestionnaire de sécurité SQL à l’utilisateur dans ce tutoriel.

Pour plus d'informations sur l'attribution d'un rôle à un compte Microsoft Entra, consultez Attribuer des rôles d'administrateur et de non-administrateur aux utilisateurs avec Microsoft Entra ID

Pour plus d’informations sur l’autorisation requise pour activer ou désactiver l’authentification Microsoft Entra uniquement, consultez la section Autorisations de l’article sur l'authentification Microsoft Entra uniquement.

1. Dans notre exemple, nous attribuons le rôle de gestionnaire de sécurité SQL à l’utilisateur UserSqlSecurityManager@contoso.onmicrosoft.com. À l’aide d’un utilisateur privilégié qui peut affecter des rôles de Microsoft Entra, connectez-vous au portail Azure.

2. Accédez à la ressource de votre serveur SQL, puis sélectionnez Contrôle d’accès (IAM) dans le menu. Sélectionnez le bouton Ajouter, puis Ajouter une attribution de rôle dans le menu déroulant.

   

3. Dans le volet Ajouter une attribution de rôle, sélectionnez le rôle Gestionnaire de sécurité SQL, puis sélectionnez l’utilisateur qui pourra activer ou désactiver l’authentification Microsoft Entra uniquement.

   

4. Cliquez sur Enregistrer.

Activer l’authentification Microsoft Entra uniquement

Portail

Activer dans SQL Database à l’aide de Portail Azure

Pour activer l’authentification Microsoft Entra uniquement dans le portail Azure, effectuez les étapes suivantes :

1. À l’aide de l’utilisateur avec le rôle Gestionnaire de sécurité SQL, accédez au Portail Azure.

2. Accédez à votre ressource SQL Server, puis sélectionnez Microsoft Entra ID sous le menu Paramètres.

   

3. Si vous n’avez pas ajouté d’administrateur Microsoft Entra, vous devez le définir avant de pouvoir activer l’authentification Microsoft Entra uniquement.

4. Cochez la case pour prendre en charge uniquement l’authentification Microsoft Entra pour ce serveur.

5. Le menu contextuel Activer l’authentification Microsoft Entra uniquement s’affiche. Cliquez sur Oui pour activer la fonctionnalité, puis sur Enregistrer le paramètre.

Activer dans SQL Managed Instance à l’aide de Portail Azure

Pour activer l’authentification par Microsoft Entra uniquement dans le Portail Azure, consultez les étapes ci-dessous.

1. À l’aide de l’utilisateur avec le rôle Gestionnaire de sécurité SQL, accédez au Portail Azure.

2. Accédez à votre ressource d’instance gérée SQL et sélectionnez Administrateur Microsoft Entra dans le menu Paramètres.

3. Si vous n’avez pas ajouté d’administrateur Microsoft Entra, vous devez le définir avant de pouvoir activer l’authentification Microsoft Entra uniquement.

4. Cochez la case Prise en charge de l’authentification Microsoft Entra uniquement pour cette instance gérée.

5. Le menu contextuel Activer l’authentification Microsoft Entra uniquement s’affiche. Cliquez sur Oui pour activer la fonctionnalité, puis sur Enregistrer le paramètre.

L’interface de ligne de commande Microsoft Azure

Activer dans SQL Database à l’aide d’Azure CLI

Pour activer l’authentification Microsoft Entra uniquement dans Azure SQL Database à l’aide d’Azure CLI, consultez les commandes ci-dessous. Installez la dernière version d’Azure CLI. Vous devez disposer d’Azure CLI 2.14.2 ou version ultérieure. Pour plus d’informations sur ces commandes, consultez az sql server ad-only-auth.

Pour plus d’informations sur la gestion de l’authentification Microsoft Entra uniquement à l’aide d’API, consultez Gestion de l'authentification Microsoft Entra uniquement à l’aide d’API.

Remarque

L’administrateur Microsoft Entra doit être défini pour le serveur avant d’activer l’authentification Microsoft Entra uniquement. Sinon, la commande Azure CLI échoue.

Pour obtenir les autorisations et les actions requises de l’utilisateur qui exécute ces commandes pour activer l’authentification Microsoft Entra uniquement, consultez l’article Authentification Microsoft Entra uniquement.

1. Connectez-vous à Azure à l’aide du compte ayant le rôle de Gestionnaire de sécurité SQL.

   az login
   

2. Exécutez la commande suivante, en remplaçant <myserver> par le nom de votre serveur SQL et <myresource> par votre ressource Azure qui contient le serveur SQL.

   az sql server ad-only-auth enable --resource-group <myresource> --name <myserver>
   

Activer dans SQL Managed Instance à l’aide de Azure CLI

Pour activer l’authentification Microsoft Entra uniquement dans Azure SQL Managed Instance à l’aide d’Azure CLI, consultez les commandes ci-dessous. Installez la dernière version d’Azure CLI.

1. Connectez-vous à Azure à l’aide du compte ayant le rôle de Gestionnaire de sécurité SQL.

   az login
   

2. Exécutez la commande suivante, en remplaçant <myserver> par le nom de votre serveur SQL et <myresource> par votre ressource Azure qui contient le serveur SQL.

   az sql mi ad-only-auth enable --resource-group <myresource> --name <myserver>
   

PowerShell

Activer dans SQL Database à l’aide de PowerShell

Pour activer l’authentification Microsoft Entra uniquement dans Azure SQL Database à l’aide de PowerShell, consultez les commandes ci-dessous. Le module Az.Sql 2.10.0 ou une version ultérieure est requis pour exécuter ces commandes. Pour plus d’informations sur ces commandes, consultez Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication.

Pour plus d’informations sur la gestion de l’authentification Microsoft Entra uniquement à l’aide d’API, consultez Gestion de l'authentification Microsoft Entra uniquement à l’aide d’API

Remarque

L’administrateur Microsoft Entra doit être défini pour le serveur avant d’activer l’authentification Microsoft Entra uniquement. Sinon, la commande PowerShell échoue.

Pour obtenir les autorisations et les actions requises de l’utilisateur qui exécute ces commandes pour activer l’authentification Microsoft Entra uniquement, consultez l’article Authentification Microsoft Entra uniquement. Si l’utilisateur ne dispose pas des autorisations suffisantes, vous obtiendrez l’erreur suivante :

Enable-AzSqlServerActiveDirectoryOnlyAuthentication : The client
'UserSqlServerContributor@contoso.onmicrosoft.com' with object id
'<guid>' does not have authorization to perform
action 'Microsoft.Sql/servers/azureADOnlyAuthentications/write' over scope
'/subscriptions/<guid>...'

1. Connectez-vous à Azure à l’aide du compte ayant le rôle de Gestionnaire de sécurité SQL.

   Connect-AzAccount
   

2. Exécutez la commande suivante, en remplaçant <myserver> par le nom de votre serveur SQL et <myresource> par votre ressource Azure qui contient le serveur SQL.

   Enable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName <myserver>  -ResourceGroupName <myresource>
   

Activer dans SQL Managed Instance à l’aide de PowerShell

Pour activer l’authentification Microsoft Entra uniquement dans Azure SQL Managed Instance à l’aide de PowerShell, consultez les commandes ci-dessous. Le module Az.Sql 2.10.0 ou une version ultérieure est requis pour exécuter ces commandes.

Pour plus d’informations sur la gestion de l’authentification Microsoft Entra uniquement à l’aide d’API, consultez Gestion de l'authentification Microsoft Entra uniquement à l’aide d’API.

1. Connectez-vous à Azure à l’aide du compte ayant le rôle de Gestionnaire de sécurité SQL.

   Connect-AzAccount
   

2. Exécutez la commande suivante, en remplaçant <myinstance> par le nom de votre instance gérée SQL et <myresource> par votre ressource Azure qui contient l’instance gérée SQL.

   Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
   

Vérifier l’état de l’authentification Microsoft Entra uniquement

Vérifiez si l’authentification Microsoft Entra uniquement est activée pour votre serveur ou instance.

Portail

Vérifier l’état dans SQL Database

Accédez à la ressource sur votre serveur SQL dans le Portail Azure. Sélectionnez Microsoft Entra ID sous le menu Paramètres.

Vérifier l’état dans SQL Managed Instance

Accédez à votre ressource d’instance gérée SQL dans le portail Azure. Sélectionnez Microsoft Entra admin sous le menu Paramètres.

L’interface de ligne de commande Microsoft Azure

Ces commandes peuvent être utilisées pour vérifier si l’authentification Microsoft Entra uniquement est activée pour votre serveur logique pour Azure SQL Database ou SQL Managed Instance. Les membres des rôles Contributeur SQL Server et Contributeur SQL Managed Instance peuvent utiliser ces commandes pour vérifier l’état de l’authentification Microsoft Entra uniquement, mais ne peuvent pas activer ou désactiver la fonctionnalité.

Vérifier l’état dans SQL Database

1. Connectez-vous à Azure à l’aide du compte ayant le rôle de Gestionnaire de sécurité SQL. Pour plus d’informations sur la gestion de l’authentification Microsoft Entra uniquement à l’aide d’API, consultez Gestion de l'authentification Microsoft Entra uniquement à l’aide d’API

   az login
   

2. Exécutez la commande suivante, en remplaçant <myserver> par le nom de votre serveur SQL et <myresource> par votre ressource Azure qui contient le serveur SQL.

   az sql server ad-only-auth get --resource-group <myresource> --name <myserver>
   

3. Vous devez normalement voir la sortie suivante.

   {
    "azureAdOnlyAuthentication": true,
    "/subscriptions/<guid>/resourceGroups/mygroup/providers/Microsoft.Sql/servers/myserver/azureADOnlyAuthentications/Default",
    "name": "Default",
    "resourceGroup": "myresource",
    "type": "Microsoft.Sql/servers"
   }
   

Vérifier l’état dans SQL Managed Instance

1. Connectez-vous à Azure à l’aide du compte ayant le rôle de Gestionnaire de sécurité SQL.

   az login
   

2. Exécutez la commande suivante, en remplaçant <myserver> par le nom de votre serveur SQL et <myresource> par votre ressource Azure qui contient le serveur SQL.

   az sql mi ad-only-auth get --resource-group <myresource> --name <myserver>
   

3. Vous devez normalement voir la sortie suivante.

   {
    "azureAdOnlyAuthentication": true,
    "id": "/subscriptions/<guid>/resourceGroups/myresource/providers/Microsoft.Sql/managedInstances/myinstance/azureADOnlyAuthentications/Default",
    "name": "Default",
    "resourceGroup": "myresource",
    "type": "Microsoft.Sql/managedInstances"
   }
   

PowerShell

Ces commandes peuvent être utilisées pour vérifier si l’authentification Microsoft Entra uniquement est activée pour votre serveur logique pour Azure SQL Database ou SQL Managed Instance. Les membres des rôles Contributeur SQL Server et Contributeur SQL Managed Instance peuvent utiliser ces commandes pour vérifier l’état de l’authentification Microsoft Entra uniquement, mais ne peuvent pas activer ou désactiver la fonctionnalité.

L’état retourne la valeur True si la fonctionnalité est activée, et la valeur False si elle est désactivée.

Vérifier l’état dans SQL Database

1. Connectez-vous à Azure à l’aide du compte ayant le rôle de Gestionnaire de sécurité SQL. Pour plus d’informations sur la gestion de l’authentification Microsoft Entra uniquement à l’aide d’API, consultez Gestion de l'authentification Microsoft Entra uniquement à l’aide d’API

   Connect-AzAccount
   

2. Exécutez la commande suivante, en remplaçant <myserver> par le nom de votre serveur SQL et <myresource> par votre ressource Azure qui contient le serveur SQL.

   Get-AzSqlServerActiveDirectoryOnlyAuthentication  -ServerName <myserver> -ResourceGroupName <myresource>
   

Vérifier l’état dans SQL Managed Instance

1. Connectez-vous à Azure à l’aide du compte ayant le rôle de Gestionnaire de sécurité SQL.

   Connect-AzAccount
   

2. Exécutez la commande suivante, en remplaçant <myinstance> par le nom de votre instance gérée SQL et <myresource> par votre ressource Azure qui contient l’instance gérée SQL.

   Get-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
   

Tester l’authentification SQL avec échec de connexion

Après l’activation de l’authentification Microsoft Entra uniquement, essayez avec SQL Server Management Studio (SSMS) de vous connecter à votre base de données SQL ou à votre instance gérée SQL. Utilisez l'authentification SQL pour la connexion.

Un message d’erreur similaire à celui qui suit doit s’afficher :

Cannot connect to <myserver>.database.windows.net.
Additional information:
  Login failed for user 'username'. Reason: Azure Active Directory only authentication is enabled.
  Please contact your system administrator. (Microsoft SQL Server, Error: 18456)

Désactiver l’authentification Microsoft Entra uniquement

En désactivant la fonctionnalité d’authentification Microsoft Entra uniquement, vous autorisez l’authentification SQL et l’authentification Microsoft Entra pour Azure SQL.

Portail

Désactiver dans SQL Database à l’aide de Portail Azure

1. À l’aide de l’utilisateur avec le rôle Gestionnaire de sécurité SQL, accédez au Portail Azure.
2. Accédez à votre ressource SQL Server, puis sélectionnez Microsoft Entra ID sous le menu Paramètres.
3. Pour désactiver la fonctionnalité d’authentification Microsoft Entra uniquement, désactivez la case à cocher Prendre en charge l’authentification Microsoft Entra uniquement pour ce serveur et cliquez sur Enregistrer.

Désactiver dans SQL Managed Instance à l’aide de Portail Azure

1. À l’aide de l’utilisateur avec le rôle Gestionnaire de sécurité SQL, accédez au Portail Azure.
2. Accédez à votre ressource d’instance gérée SQL et sélectionnez Administrateur Active Directory dans le menu Paramètres.
3. Pour désactiver la fonctionnalité d’authentification Microsoft Entra uniquement, décochez la case Prise en charge de l’authentification Microsoft Entra uniquement pour cette instance gérée et cliquez sur Enregistrer.

L’interface de ligne de commande Microsoft Azure

Désactiver dans SQL Database à l’aide d’Azure CLI

Pour désactiver l’authentification Microsoft Entra uniquement dans Azure SQL Database à l’aide d’Azure CLI, consultez les commandes ci-dessous.

1. Connectez-vous à Azure à l’aide du compte ayant le rôle de Gestionnaire de sécurité SQL.

   az login
   

2. Exécutez la commande suivante, en remplaçant <myserver> par le nom de votre serveur SQL et <myresource> par votre ressource Azure qui contient le serveur SQL.

   az sql server ad-only-auth disable --resource-group <myresource> --name <myserver>
   

3. Après la désactivation de l’authentification Microsoft Entra uniquement, vous devez obtenir ses résultats lorsque vous vérifiez l’état :

   {
    "azureAdOnlyAuthentication": false,
    "/subscriptions/<guid>/resourceGroups/mygroup/providers/Microsoft.Sql/servers/myserver/azureADOnlyAuthentications/Default",
    "name": "Default",
    "resourceGroup": "myresource",
    "type": "Microsoft.Sql/servers"
   }
   

Désactiver dans SQL Managed Instance à l’aide de Azure CLI

Pour désactiver l’authentification Microsoft Entra uniquement dans Azure SQL Managed Instance à l’aide d’Azure CLI, consultez les commandes ci-dessous.

1. Connectez-vous à Azure à l’aide du compte ayant le rôle de Gestionnaire de sécurité SQL.

   az login
   

2. Exécutez la commande suivante, en remplaçant <myserver> par le nom de votre serveur SQL et <myresource> par votre ressource Azure qui contient le serveur SQL.

   az sql mi ad-only-auth disable --resource-group <myresource> --name <myserver>
   

3. Après la désactivation de l’authentification Microsoft Entra uniquement, vous devez obtenir ses résultats lorsque vous vérifiez l’état :

   {
    "azureAdOnlyAuthentication": false,
    "id": "/subscriptions/<guid>/resourceGroups/myresource/providers/Microsoft.Sql/managedInstances/myinstance/azureADOnlyAuthentications/Default",
    "name": "Default",
    "resourceGroup": "myresource",
    "type": "Microsoft.Sql/managedInstances"
   }
   

PowerShell

Désactiver dans SQL Database à l’aide de PowerShell

Pour désactiver l’authentification Microsoft Entra uniquement dans Azure SQL Database à l’aide de PowerShell, consultez les commandes ci-dessous.

1. Connectez-vous à Azure à l’aide du compte ayant le rôle de Gestionnaire de sécurité SQL.

   Connect-AzAccount
   

2. Exécutez la commande suivante, en remplaçant <myserver> par le nom de votre serveur SQL et <myresource> par votre ressource Azure qui contient le serveur SQL.

   Disable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName <myserver>  -ResourceGroupName <myresource>
   

Désactiver dans SQL Managed Instance à l’aide de PowerShell

Pour désactiver l’authentification Microsoft Entra uniquement dans Azure SQL Managed Instance à l’aide de PowerShell, consultez les commandes ci-dessous.

1. Connectez-vous à Azure à l’aide du compte ayant le rôle de Gestionnaire de sécurité SQL.

   Connect-AzAccount
   

2. Exécutez la commande suivante, en remplaçant <myinstance> par le nom de votre instance gérée SQL et <myresource> par votre ressource Azure qui contient l’instance gérée.

   Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
   

Tester à nouveau la connexion à Azure SQL

Après la désactivation de l’authentification Microsoft Entra uniquement, testez la connexion en vous connectant via l’authentification SQL. Vous devez maintenant être en mesure de vous connecter à votre serveur ou instance.

Étapes suivantes

• Seule authentification Microsoft Entra avec Azure SQL
• Créer un serveur avec l’authentification Microsoft Entra uniquement activée dans Azure SQL
• Utiliser Azure Policy pour appliquer l’authentification Microsoft Entra uniquement avec Azure SQL