Partager via


Tutoriel : Utilisation de l'automatisation pour configurer l'administrateur Microsoft Entra pour SQL Server

S’applique à : SQL Server 2022 (16.x)

Remarque

Cette fonctionnalité est disponible dans SQL Server 2022 (16.x) ou versions ultérieures et est prise en charge uniquement pour une instance locale de SQL Server sur les hôtes Windows et Linux et SQL Server 2022 sur les VM Windows Azure.

Dans cet article, nous allons découvrir comment configurer l’administrateur Microsoft Entra pour autoriser l’authentification avec Microsoft Entra ID (anciennement Azure Active Directory) pour SQL Server à l’aide du Portail Azure et des API telles que :

  • PowerShell
  • L’interface de ligne de commande Microsoft Azure
  • Modèle ARM

Nous allons également passer en revue les fonctionnalités mises à jour pour configurer un administrateur Microsoft Entra pour SQL Server dans le Portail Azure qui permettrait de créer et d’inscrire automatiquement des certificats. Auparavant, la configuration de l’authentification Microsoft Entra pour SQL Server nécessitait une configuration manuelle de l’administrateur Microsoft Entra avec un certificat Azure et une inscription d’application.

Remarque

Bien que Microsoft Entra ID soit le nouveau nom d’Azure Active Directory (Azure AD) pour empêcher l’interruption des environnements existants, Azure AD reste toujours dans certains éléments codés en dur, tels que les champs d’interface utilisateur, les fournisseurs de connexions, les codes d’erreur et cmdlets. Dans cet article, ces deux noms sont interchangeables.

Prérequis

  • SQL Server 2022 (16.x) ou version ultérieure est installé.
  • SQL Server est connecté au cloud Azure. Pour plus d’informations, consultez Connecter votre SQL Server à Azure Arc.
  • Microsoft Entra ID est configuré pour l’authentification dans le même client que l’instance Azure Arc.
  • Un Azure Key Vault est nécessaire :

Préparation avant de définir l’administrateur Microsoft Entra

Les autorisations suivantes sont nécessaires pour configurer l’administrateur Microsoft Entra dans les ressources SQL Server – Azure Arc et Coffre de clés.

Configurer des autorisations pour Azure Arc

Suivez le guide pour vous assurer que votre serveur SQL Server est connecté à Azure Arc. L’utilisateur qui configure l’administrateur Microsoft Entra pour la ressource SQL Server – Azure Arc doit avoir le rôle Contributeur pour le serveur.

  1. Accédez au Portail Azure.
  2. Sélectionnez SQL Server – Azure Arc et sélectionnez l’instance de votre hôte SQL Server.
  3. Sélectionnez Contrôle d’accès (IAM) .
  4. Sélectionnez Ajouter>Ajouter une attribution de rôle pour ajouter le rôle Contributeur à l’utilisateur qui configure l’administrateur Microsoft Entra.

Configurer les autorisations pour Azure Key Vault

Si ce n’est déjà fait, créez un compte Azure Key Vault. L’utilisateur qui configure l’administrateur Microsoft Entra doit avoir le rôle Contributeur pour votre Azure Key Vault. Pour ajouter un rôle à un utilisateur dans Azure Key Vault :

  1. Accédez au Portail Azure.
  2. Accédez à votre ressource de coffre de clés.
  3. Sélectionnez Contrôle d’accès (IAM).
  4. Sélectionnez Ajouter>Ajouter une attribution de rôle pour ajouter le rôle Contributeur à l’utilisateur qui configure l’administrateur Microsoft Entra.

Définir des stratégies d’accès pour l’hôte SQL Server

  1. Dans le portail Azure, accédez à votre instance Azure Key Vault et sélectionnez Stratégies d’accès.

  2. Sélectionnez Ajouter une stratégie d’accès.

  3. Pour les autorisations de clé, utilisez Sign.

  4. Pour les autorisations de secret, sélectionnez Obtenir et Liste.

  5. Pour Autorisations du certificat, sélectionnez Obtenir et Liste.

  6. Cliquez sur Suivant.

  7. Sur la page Principal, recherchez le nom de votre instance Machine – Azure Arc, qui est le nom de l'hôte du serveur SQL.

    Capture d’écran des ressources serveur Azure Arc dans le portail.

  8. Ignorez la page Application (facultative) en sélectionnant Suivant deux fois ou en sélectionnant Vérifier + créer.

    Capture d’écran du portail Azure pour passer en revue et créer une stratégie d’accès.

    Vérifiez que l'« ID d'objet » du Principal correspond à l'ID de principal de l'identité managée attribué à l'instance.

    Capture d’écran du contrôle de portail de la vue JSON de la définition de machine.

    Pour confirmer, accédez à la page de ressources et sélectionnez Affichage JSON en haut à droite de la zone Essentials de la page Vue d'ensemble. Sous identité, vous trouverez le principalId.

  9. Sélectionnez Créer.

Vous devez sélectionner Créer pour que les autorisations soient appliquées. Pour vous assurer que les autorisations ont bien été stockées, actualisez la fenêtre du navigateur et vérifiez que la ligne correspondant à votre instance Azure Arc est toujours présente.

Définir des stratégies d’accès pour les utilisateurs Microsoft Entra

  1. Dans le portail Azure, accédez à votre instance Azure Key Vault et sélectionnez Stratégies d’accès.
  2. Sélectionnez Ajouter une stratégie d’accès.
  3. Pour Autorisations de clé, sélectionnez Obtenir, Liste et Créer.
  4. Pour Autorisations de secret, sélectionnez Obtenir, Liste et Définir.
  5. Pour Autorisations du certificat, sélectionnez Obtenir, Liste et Créer.
  6. Pour Sélectionner un principal, ajoutez l’utilisateur Microsoft Entra que vous souhaitez utiliser pour vous connecter à SQL Server.
  7. Sélectionnez Ajouter, puis sélectionnez Enregistrer.

Configurer l’administrateur Microsoft Entra pour SQL Server

Les nouvelles API et fonctionnalités du portail permettent aux utilisateurs de configurer un administrateur Microsoft Entra pour SQL Server sans avoir à créer séparément un certificat Azure et une application Microsoft Entra. Sélectionnez un onglet pour savoir comment configurer un administrateur Microsoft Entra pour votre SQL Server connecté à Azure Arc avec la création automatique du certificat et de l’application.

Remarque

Le modèle ARM nécessite toujours la création d’un certificat Azure Key Vault et d’une application Microsoft Entra avant de configurer un administrateur Microsoft Entra. Pour plus d’informations sur ce processus, consultez Didacticiel: Configurer l’authentification Microsoft Entra pour SQL Server.

Utilisez le Portail Azure pour configurer un administrateur Microsoft Entra, créer un certificat Azure Key Vault et une application Microsoft Entra dans le même processus. Il est nécessaire d’utiliser l’authentification Microsoft Entra avec SQL Server.

Remarque

Auparavant, avant de configurer un administrateur Microsoft Entra, un certificat Azure Key Vault et l’inscription d’application Microsoft Entra étaient nécessaires. Cela n’est plus nécessaire, mais les utilisateurs peuvent toujours choisir de fournir leurs propres certificat et application pour configurer l’administrateur Microsoft Entra.

Configuration de l’administrateur Microsoft Entra à l’aide du Portail Azure

  1. Accédez au portail Azure, puis sélectionnez SQL Server – Azure Arc. Sélectionnez l’instance de votre hôte SQL Server.

  2. Vérifiez l’état de votre ressource SQL Server - Azure Arc et vérifiez qu’elle est connectée en accédant au menu Propriétés. Pour plus d’informations, consultez Valider les ressources SQL Server compatible Azure Arc.

  3. Sélectionnez Microsoft Entra ID et Purview sous Paramètres dans le menu des ressources.

  4. Sélectionnez Définir Administration pour ouvrir le volet Microsoft Entra ID, puis choisissez un compte qui sera ajouté en tant que connexion administrateur pour SQL Server.

  5. Sélectionnez Certificat managé par le service.

  6. Sélectionnez Modifier le coffre de clés et sélectionnez votre ressource Azure Key Vault existante.

  7. Sélectionnez Inscription d’application managée par le service.

  8. Cliquez sur Enregistrer. Cela envoie une demande à l'agent de serveur Arc qui configure l'authentification Microsoft Entra pour cette instance SQL Server. L’opération peut prendre plusieurs minutes ; attendez que le processus d’enregistrement soit confirmé avec Saved successfully avant de tenter une connexion Microsoft Entra.

    L’inscription d’application gérée par le service effectue les opérations suivantes pour vous :

    • Crée un certificat dans votre coffre de clés avec un nom sous le forme <hostname>-<instanceName><uniqueNumber>.
    • Crée une application Microsoft Entra avec un nom tel que <hostname>-<instanceName><uniqueNumber> et attribue les autorisations nécessaires à cette application. Pour plus d’informations, consultez Accorder des autorisations d’application
    • Affecte le nouveau certificat dans Azure Key Vault à l’application.
    • Enregistre ces paramètres dans Azure Arc.

    Capture d’écran de la configuration de l’authentification Microsoft Entra avec la génération automatique de certificat et d’application dans le Portail Azure.

Remarque

Il n’y a pas de rotation automatique pour les certificats créés pour Microsoft Entra. Les clients peuvent choisir de fournir leurs propres certificat et application pour la configuration de l’administrateur Microsoft Entra. Pour plus d'informations, consultez Didacticiel : Configurer l’authentification Microsoft Entra pour SQL Server.

Une fois l’administrateur Microsoft Entra configuré, l’utilisation des informations d’identification de l’administrateur Microsoft Entra vous permet de vous connecter à SQL Server. Toutefois, toutes les autres activités de base de données impliquant la création de connexions et d’utilisateurs Microsoft Entra échouent jusqu’à ce que le consentement de l’administrateur soit accordé à l’application Microsoft Entra.

Remarque

Pour octroyer le consentement administrateur pour l’application, le compte qui octroie nécessite un rôle d'administrateur général ou d'administrateur de rôle privilégié Microsoft Entra ID. Ces rôles sont nécessaires pour accorder le consentement de l’administrateur pour l’application, mais il n’est pas nécessaire de configurer l’administrateur Microsoft Entra.

  1. Dans le Portail Azure, sélectionnez Microsoft Entra ID>Inscriptions d’applications, puis l’application nouvellement créée. L’application doit avoir un nom tel que <hostname>-<instanceName><uniqueNumber>.

  2. Sélectionnez le menu Autorisations d’API.

  3. Sélectionner Accorder le consentement administrateur.

    Capture d’écran des autorisations d’application dans le Portail Azure.

Sans accorder le consentement administrateur à l’application, la création d’une connexion ou d’un utilisateur Microsoft Entra dans SQL Server entraîne l’erreur suivante :

Msg 37455, Level 16, State 1, Line 2
Server identity does not have permissions to access MS Graph.

Utiliser l’authentification Microsoft Entra pour se connecter à SQL Server

L’authentification Microsoft Entra est désormais configurée pour votre serveur SQL Server connecté à Azure Arc. Suivez les sections après avoir configuré l’administrateur Microsoft Entra dans l’article, Didacticiel : Configurer l’authentification Microsoft Entra pour SQL Server pour se connecter à SQL Server à l’aide de l’authentification Microsoft Entra.

Voir aussi