Remarque
L’accès à cette page requiert une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page requiert une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à :
SQL Server 2025 (17.x)
SQL Server 2025 (17.x) inclut la prise en charge des identités managées pour SQL Server sur Windows. Utilisez une identité managée pour interagir avec les ressources dans Azure à l’aide de l’authentification Microsoft Entra.
Aperçu
SQL Server 2025 (17.x) introduit la prise en charge des identités managées Microsoft Entra. Utilisez des identités managées pour s’authentifier auprès des services Azure sans avoir à gérer les informations d’identification. Les identités managées sont automatiquement gérées par Azure et peuvent être utilisées pour s’authentifier auprès de n’importe quel service prenant en charge l’authentification Microsoft Entra. Avec SQL Server 2025 (17.x), vous pouvez utiliser des identités managées pour authentifier les connexions entrantes, ainsi que pour authentifier les connexions sortantes auprès des services Azure.
Lorsque vous connectez votre instance SQL Server à Azure Arc, une identité managée affectée par le système est automatiquement créée pour le nom d’hôte SQL Server. Une fois l’identité managée créée, vous devez associer l’identité à l’instance SQL Server et à l’ID de locataire Microsoft Entra en mettant à jour le Registre.
Pour obtenir des instructions de configuration pas à pas, consultez Configurer l’identité managée pour SQL Server activée par Azure Arc.
Lorsque vous utilisez une identité managée avec SQL Server activé par Azure Arc, tenez compte des éléments suivants :
- L’identité managée est affectée au niveau du serveur Azure Arc.
- Seules les identités managées affectées par le système sont prises en charge.
- SQL Server utilise cette identité managée au niveau du serveur Azure Arc comme identité managée principale.
- SQL Server peut utiliser cette identité managée principale dans les connexions
inboundet/ououtbound.-
Inbound connections(connexions entrantes) correspondent aux connexions et aux utilisateurs qui se connectent à SQL Server. Les connexions entrantes peuvent également être obtenues à l’aide de l’inscription d’applications, à partir de SQL Server 2022 (16.x). -
Outbound connectionssont des connexions SQL Server aux ressources Azure, telles que la sauvegarde vers une URL ou la connexion avec Azure Key Vault.
-
- L’inscription d’application ne peut pas activer un serveur SQL Server pour établir des connexions sortantes. Les connexions sortantes ont besoin d’une identité managée principale affectée à SQL Server.
- Pour SQL Server 2025 et versions ultérieures, nous vous recommandons d’utiliser l’installation de Microsoft Entra basée sur l’identité managée, comme décrit dans cet article. Vous pouvez également configurer une inscription d’application pour SQL Server 2025.
Conditions préalables
Avant de pouvoir utiliser une identité managée avec SQL Server activé par Azure Arc, vérifiez que vous remplissez les conditions préalables suivantes :
- Connectez votre serveur SQL Server à Azure Arc.
- Dernière version de l’extension Azure pour SQL Server.
Pour obtenir des instructions d’installation détaillées, consultez Configurer l’identité managée pour SQL Server activée par Azure Arc.
Limites
Tenez compte des limitations suivantes lors de l’utilisation d’une identité managée avec SQL Server 2025 :
- La configuration de l’identité managée pour l’authentification Microsoft Entra est prise en charge uniquement avec SQL Server 2025 avec Azure Arc, s’exécutant sur Windows Server.
- SQL Server a besoin d’accéder au cloud public Azure pour utiliser l’authentification Microsoft Entra.
- L’utilisation de l’authentification Microsoft Entra avec les instances de cluster de basculement n’est pas prise en charge.
- Une fois l’authentification Microsoft Entra activée, la désactivation n’est pas conseillée. La désactivation de l’authentification Microsoft Entra avec force en supprimant les entrées de Registre peut entraîner un comportement imprévisible avec SQL Server 2025.
- L’authentification auprès de SQL Server sur des machines Arc via l’authentification Microsoft Entra à l’aide de la méthode FIDO2 n’est pas prise en charge actuellement.
- Les opérations OPENROWSET BULK peuvent également lire le dossier
C:\ProgramData\AzureConnectedMachineAgent\Tokens\des jetons . L’optionBULKnécessite les autorisationsADMINISTER BULK OPERATIONSouADMINISTER DATABASE BULK OPERATIONS. Ces autorisations doivent être traitées comme équivalentes à sysadmin.