Créer des utilisateurs invités Microsoft Entra et les définir comme administrateur Microsoft Entra

S’applique à : Azure SQL DatabaseAzure SQL Managed Instance

Les utilisateurs invités avec Microsoft Entra B2B Collaboration sont des utilisateurs qui ont des comptes dans une organisation Microsoft Entra externe ou un fournisseur d’identité externe (par exemple, Outlook, Windows Live Mail ou Gmail) qui n’est pas géré dans votre locataire Microsoft Entra. Les comptes d’utilisateur invités sont créés lorsque ces personnes sont invitées à collaborer au sein de votre locataire, tout en effectuant l’authentification auprès de leur fournisseur d’identité.

Cet article explique comment créer un utilisateur invité Microsoft Entra et définir celui-ci en tant qu’administrateur Microsoft Entra pour Azure SQL Managed Instance ou le serveur logique dans Azure utilisé par Azure SQL Database et Azure Synapse Analytics.

Remarque

Microsoft Entra ID était précédemment connu sous le nom d’Azure Active Directory (Azure AD).

Description de la fonctionnalité

Azure SQL Database, SQL Managed Instance et Azure Synapse Analytics prennent en charge la création de principaux à partir de comptes d’utilisateurs invités, directement ou en tant que membres de groupes Microsoft Entra au sein de votre locataire. Les utilisateurs invités peuvent également être définis en tant qu’administrateur Microsoft Entra pour le serveur logique ou l’instance gérée.

Prérequis

• Le module Az.Sql 2.9.0 (ou version supérieure) est nécessaire quand vous utilisez PowerShell pour définir un utilisateur invité comme administrateur Microsoft Entra pour le serveur logique ou l’instance gérée.

Créer un utilisateur de base de données pour l’utilisateur invité Microsoft Entra

Suivez ces étapes pour créer un utilisateur de base de données à partir d’un utilisateur invité Microsoft Entra. Dans cette section, remplacez <guest_user> par une adresse e-mail valide, par exemple guest_user@example.com.

Créer un utilisateur invité dans SQL Database et Azure Synapse

1. Vérifiez que l’utilisateur invité est déjà ajouté à votre instance Microsoft Entra ID et qu’un administrateur Microsoft Entra a été défini pour le serveur de base de données. Disposer d’un administrateur Microsoft Entra est requis pour l’authentification Microsoft Entra.

2. Connectez-vous à la base de données SQL en tant qu’administrateur Microsoft Entra ou utilisateur Microsoft Entra doté d’autorisations SQL suffisantes pour créer des utilisateurs, puis exécutez la commande suivante sur la base de données à laquelle l’utilisateur invité doit être ajouté :

   CREATE USER [<guest_user>] FROM EXTERNAL PROVIDER;
   

3. Un utilisateur de base de données doit maintenant être créé pour l’utilisateur invité .

4. Exécutez la commande suivante pour vérifier que l’utilisateur de base de données a bien été créé :

   SELECT * FROM sys.database_principals;
   

5. Déconnectez-vous et connectez-vous à la base de données en tant qu’utilisateur invité en utilisant SQL Server Management Studio (SSMS) avec la méthode d’authentification Azure Active Directory - Authentification universelle avec MFA. Pour plus d’informations, consultez Utilisation de l’authentification multifacteur Microsoft Entra.

Créer un utilisateur invité dans SQL Managed Instance

Remarque

SQL Managed Instance prend en charge les connexions des utilisateurs Microsoft Entra ainsi que des utilisateurs de bases de données autonomes Microsoft Entra ID. Les étapes suivantes montrent comment créer une connexion et un utilisateur pour un utilisateur invité Microsoft Entra dans SQL Managed Instance. Vous pouvez aussi choisir de créer un utilisateur de base de données à relation contenant-contenu dans SQL Managed Instance en employant la méthode de la section Créer un utilisateur invité dans SQL Database et Azure Synapse.

1. Vérifiez que l’utilisateur invité est déjà ajouté à votre instance Microsoft Entra et qu’un administrateur Microsoft Entra a été défini pour le serveur SQL Managed Instance. Disposer d’un administrateur Microsoft Entra est requis pour l’authentification Microsoft Entra.

2. Connectez-vous au serveur SQL Managed Instance en tant qu’administrateur Microsoft Entra ou utilisateur Microsoft Entra doté d’autorisations SQL suffisantes pour créer des utilisateurs, puis exécutez la commande suivante sur la base de données master pour créer une connexion pour l’utilisateur invité :

   CREATE LOGIN [<guest_user>] FROM EXTERNAL PROVIDER;
   

3. Une connexion doit maintenant être créée pour l’utilisateur invité dans la base de données master.

4. Exécutez la commande suivante pour vérifier que la connexion a bien été créée :

   SELECT * FROM sys.server_principals;
   

5. Exécutez la commande suivante sur la base de données dans laquelle l’utilisateur invité doit être ajouté :

   CREATE USER [<guest_user>] FROM LOGIN [<guest_user>];
   

6. Un utilisateur de base de données doit maintenant être créé pour l’utilisateur invité .

7. Déconnectez-vous et connectez-vous à la base de données en tant qu’utilisateur invité en utilisant SQL Server Management Studio (SSMS) avec la méthode d’authentification Azure Active Directory - Authentification universelle avec MFA. Pour plus d’informations, consultez Utilisation de l’authentification multifacteur Microsoft Entra.

Définir un utilisateur invité en tant qu’administrateur Microsoft Entra

Définissez l’administrateur Microsoft Entra à l’aide du portail Azure, Azure PowerShell ou Azure CLI. Dans cette section, remplacez <guest_user> par une adresse e-mail valide, par exemple guest_user@example.com.

Remarque

Si vous souhaitez que les utilisateurs invités puissent créer d’autres connexions ou utilisateurs Microsoft Entra, ils doivent disposer des autorisations nécessaires pour lire d’autres identités dans l’annuaire Microsoft Entra. Cette autorisation est configurée au niveau du répertoire. Pour plus d’informations, consultez autorisations d'accès invités dans Microsoft Entra ID.

Portail Azure

Pour configurer un administrateur Microsoft Entra pour un serveur logique ou une instance gérée à l’aide du portail Azure, procédez comme suit :

1. Ouvrez le portail Azure.
2. Accédez à votre page Microsoft Entra de votre serveur SQL ou de votre ressource d’instance managée dans les Paramètres.
3. Sélectionnez Définir l’administrateur pour ouvrir le volet Microsoft Entra ID.
4. Dans le volet Microsoft Entra ID, tapez le nom du compte d’utilisateur invité.
5. Sélectionnez ce nouvel utilisateur, puis enregistrez l’opération.

Si vous souhaitez obtenir plus d’informations, consultez Définir l’administrateur Microsoft Entra.

Azure PowerShell (SQL Database et Azure Synapse)

Pour configurer un utilisateur invité Microsoft Entra pour un serveur logique, procédez comme suit :

1. Vérifiez que l’utilisateur invité est déjà ajouté à votre instance Microsoft Entra.

2. Exécutez la commande PowerShell suivante pour ajouter l’utilisateur invité comme administrateur Microsoft Entra pour votre serveur logique :

   • Remplacez <ResourceGroupName> par le nom de votre groupe de ressources Azure contenant le serveur logique.
   • Remplacez <ServerName> par le nom de votre serveur logique. Si le nom de votre serveur est myserver.database.windows.net, remplacez <Server Name> par myserver.
   • Remplacez <DisplayNameOfGuestUser> par le nom de votre utilisateur invité.

   Set-AzSqlServerActiveDirectoryAdministrator -ResourceGroupName <ResourceGroupName> -ServerName <ServerName> -DisplayName <DisplayNameOfGuestUser>
   

Vous pouvez aussi utiliser la commande Azure CLI az sql server ad-admin pour définir l’utilisateur invité comme administrateur Microsoft Entra pour votre serveur logique.

Azure PowerShell (SQL Managed Instance)

Pour configurer un utilisateur invité Microsoft Entra pour une instance gérée, procédez comme suit :

1. Vérifiez que l’utilisateur invité est déjà ajouté à votre instance Microsoft Entra.

2. Accédez au Portail Azure, puis accédez à votre ressource Microsoft Entra ID. Sous Gérer, accédez au volet Utilisateurs. Sélectionnez votre utilisateur invité et inscrivez Object ID.

3. Exécutez la commande PowerShell suivante pour ajouter l’utilisateur invité comme administrateur Microsoft Entra pour votre SQL Managed Instance :

   • Remplacez <ResourceGroupName> par le nom de votre groupe de ressources Azure qui contient SQL Managed Instance.
   • Remplacez <ManagedInstanceName> par le nom de votre SQL Managed Instance.
   • Remplacez <DisplayNameOfGuestUser> par le nom de votre utilisateur invité.
   • Remplacez <AADObjectIDOfGuestUser> par le Object ID récupéré précédemment.

   Set-AzSqlInstanceActiveDirectoryAdministrator -ResourceGroupName <ResourceGroupName> -InstanceName "<ManagedInstanceName>" -DisplayName <DisplayNameOfGuestUser> -ObjectId <AADObjectIDOfGuestUser>
   

Vous pouvez aussi utiliser la commande Azure CLI az sql mi ad-admin pour définir l’utilisateur invité comme administrateur Microsoft Entra pour votre instance gérée.

Contenu connexe

• Configurer et gérer l’authentification Microsoft Entra avec Azure SQL
• Utilisation de l’authentification multifacteur Microsoft Entra
• CRÉER UN UTILISATEUR (Transact-SQL)