Créer un serveur avec l’authentification unique Microsoft Entra activée dans Azure SQL

S’applique à : Azure SQL DatabaseAzure SQL Managed Instance

Ce guide pratique décrit les étapes de création d’un serveur logique pour Azure SQL Database ou d’une instance Azure SQL Managed avec l’authentification unique Microsoft Entra activée pendant le provisionnement. La fonctionnalité d’authentification unique Microsoft Entra uniquement empêche les utilisateurs de se connecter au serveur ou à l’instance gérée à l’aide de l’authentification SQL, et autorise uniquement la connexion à l’aide de Microsoft Entra ID (anciennement Azure Active Directory).

Remarque

Microsoft Entra ID était anciennement appelé Azure Active Directory (Azure AD).

Prérequis

• L’utilisation d’Azure CLI nécessite la version 2.26.1 ou ultérieure. Pour plus d’informations sur l’installation et la dernière version, voir Installer Azure CLI.
• Le module Az 6.1.0 ou une version ultérieure est nécessaire lors de l’utilisation de PowerShell.
• Si vous approvisionnez une instance gérée à l’aide d’Azure CLI, de PowerShell ou de l’API REST, vous devez créer un réseau virtuel et un sous-réseau avant de commencer. Pour plus d’informations, voir Créer un réseau virtuel pour Azure SQL Managed Instance.

Autorisations

Pour provisionner un serveur logique ou une instance managée, vous devez disposer des autorisations appropriées pour créer ces ressources. Les utilisateurs Azure disposant d’autorisations plus élevées, telles que les propriétairesd’abonnement, les contributeurs, les administrateurs de service et les coadministrateurs, ont le privilège de créer un serveur SQL ou une instance gérée. Pour créer ces ressources avec le rôle RBAC Azure le moins privilégié, utilisez le rôle Contributeur SQL Server pour SQL Database et Contributeur SQL Managed Instance pour SQL Managed Instance.

Le rôle RBAC Azure SQL Security Manager ne dispose pas des autorisations suffisantes pour créer un serveur ou une instance sur lequel l’authentification unique Microsoft Entra est activée. Le rôle gestionnaire de sécurité SQL sera requis pour gérer la fonctionnalité d’authentification unique Microsoft Entra après la création du serveur ou de l’instance.

Approvisionner un serveur avec l’authentification unique Microsoft Entra activée

La section suivante fournit des exemples et des scripts sur la création d’un serveur logique ou d’une instance managée avec un groupe d’administration Microsoft Entra pour le serveur ou l’instance, et l’activation de l’authentification unique Microsoft Entra lors de la création du serveur. Pour plus d’informations sur la fonctionnalité, consultez Authentification unique Microsoft Entra.

Dans nos exemples, nous activons l’authentification unique Microsoft Entra lors de la création d’un serveur ou d’une instance gérée, avec un administrateur de serveur et un mot de passe affectés par le système. Cela empêchera l’accès de l’administrateur du serveur lorsque l’authentification unique Microsoft Entra est activée, et autorise uniquement l’administrateur Microsoft Entra à accéder à la ressource. Il est facultatif d’ajouter des paramètres aux API pour inclure votre propre administrateur de serveur et votre propre mot de passe lors de la création du serveur. Toutefois, le mot de passe ne peut pas être réinitialisé tant que vous n’avez pas désactivé l’authentification unique Microsoft Entra. Un exemple de l’utilisation de ces paramètres facultatifs pour spécifier le nom de connexion de l’administrateur du serveur est présenté sous l’onglet PowerShell sur cette page.

Notes

Pour modifier les propriétés existantes après la création du serveur ou de l’instance gérée, vous devez utiliser d’autres API existantes. Pour plus d’informations, consultez Gestion de l'authentification unique Microsoft Entra à l’aide d’API et Configuration et gestion de l’authentification Microsoft Entra avec Azure SQL.

Si l’authentification unique Microsoft Entra est définie sur false, ce qui est le cas par défaut, un administrateur de serveur et un mot de passe devront être inclus dans toutes les API lors de la création du serveur ou de l’instance gérée.

Azure SQL Database

Portail

1. Accédez à la page Sélectionner l’option de déploiement SQL dans le portail Azure.

2. Si vous n’êtes pas déjà connecté au portail Azure, connectez-vous lorsque vous y êtes invité.

3. Sous Bases de données SQL, laissez Type de ressource défini sur Base de données unique, puis sélectionnez Créer.

4. Sous l’onglet De base du formulaire Créer une base de données SQL, sous Détails du projet, sélectionnez l’Abonnement Azure souhaité.

5. Pour Groupe de ressources, sélectionnez Créer, entrez un nom pour votre groupe de ressources, puis sélectionnez OK.

6. Pour Nom de base de données, entrez un nom pour votre base de données.

7. Pour Serveur, sélectionnez Créer, puis remplissez le formulaire de nouveau serveur avec les valeurs suivantes :

   • Nom du serveur : Entrez un nom de serveur unique. Les noms de serveur doivent être uniques au niveau mondial pour tous les serveurs Azure, et pas seulement au sein d'un abonnement. Entrez une valeur et le portail Azure vous indiquera si elle est disponible ou non.
   • Emplacement : sélectionnez un emplacement dans la liste déroulante
   • Méthode d’authentification : sélectionnez Utiliser l’authentification unique Microsoft Entra.
   • Sélectionnez Définir l’administrateur pour ouvrir le volet ID Microsoft Entra et sélectionner un principal Microsoft Entra en tant qu’administrateur Microsoft Entra. Lorsque vous avez terminé, utilisez le bouton Sélectionner pour définir votre administrateur.

   

8. Sélectionnez Suivant : Réseau en bas de la page.

9. Sous l’onglet Réseau, pour Méthode de connectivité, sélectionnez Point de terminaison public.

10. Pour Règles de pare-feu, affectez la valeur Oui à Ajouter l’adresse IP actuelle du client. Laissez Autoriser les services et les ressources Azure à accéder à ce serveur avec la valeur Non.

11. Laissez la Stratégie de connexion et les paramètres de Version minimale de TLS aux valeurs par défaut.

12. Sélectionnez Suivant : Sécurité en bas de la page. Configurez un des paramètres entre Microsoft Defender pour SQL, Registre, Identité et Chiffrement transparent des données pour votre environnement. Vous pouvez également ignorer ces paramètres.

    Remarque

    L’utilisation d’une identité managée affectée par l’utilisateur comme identité de serveur est prise en charge avec l’authentification Microsoft Entra uniquement. Pour vous connecter à l’instance en tant qu’identité, affectez-la à un ordinateur virtuel Azure et exécutez SSMS sur cet ordinateur virtuel. Pour les environnements de production, l’utilisation d’une identité managée pour l’administrateur Microsoft Entra est recommandée en raison des mesures de sécurité améliorées et simplifiées de l’authentification sans mot de passe pour les ressources Azure.

13. Au bas de la page, sélectionnez Examiner et créer.

14. Dans la page Vérifier + créer, après vérification, sélectionnez Créer.

L’interface de ligne de commande Microsoft Azure

La commande Azure CLI az sql server create permet de provisionner un nouveau serveur logique. La commande ci-dessous met en service un nouveau serveur avec l’authentification unique Microsoft Entra activée.

L’administrateur SQL du serveur est automatiquement créé et le mot de passe est défini sur un mot de passe aléatoire. Étant donné que la connectivité de l’authentification SQL est désactivée lors de la création de ce serveur, la connexion administrateur SQL n’est pas utilisée.

Le serveur Microsoft Entra admin est le compte que vous définissez pour <MSEntraAccount> et peut être utilisé pour gérer le serveur.

Remplacez les valeurs suivantes dans l’exemple :

• <MSEntraAccount>: peut être un utilisateur ou un groupe Microsoft Entra. Par exemple, DummyLogin
• <MSEntraAccountSID> : L’ID d’objet Microsoft Entra pour le compte d’utilisateur.
• <ResourceGroupName> : nom du groupe de ressources pour votre serveur logique
• <ServerName> : utiliser un nom de serveur logique unique

az sql server create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <ServerName>

Pour plus d’informations, voir az sql server create.

Pour vérifier l’état du serveur après sa création, consultez la commande suivante :

az sql server show --name <ServerName> --resource-group <ResourceGroupName> --expand-ad-admin

PowerShell

La commande PowerShell New-AzSqlServer permet de configurer un nouveau serveur logique. La commande ci-dessous met en service un nouveau serveur avec l’authentification unique Microsoft Entra activée.

L’administrateur SQL du serveur est automatiquement créé et le mot de passe est défini sur un mot de passe aléatoire. Étant donné que la connectivité de l’authentification SQL est désactivée lors de la création de ce serveur, la connexion administrateur SQL n’est pas utilisée.

Le serveur Microsoft Entra admin est le compte que vous définissez pour <MSEntraAccount> et peut être utilisé pour gérer le serveur.

Remplacez les valeurs suivantes dans l’exemple :

• <ResourceGroupName> : nom du groupe de ressources pour votre serveur logique
• <Location> : emplacement du serveur, tel que West US ou Central US
• <ServerName> : utiliser un nom de serveur logique unique
• <MSEntraAccount>: peut être un utilisateur ou un groupe Microsoft Entra. Par exemple, DummyLogin

$server = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
}

New-AzSqlServer @server

Voici un exemple de spécification du nom d’administrateur du serveur (au lieu de laisser le nom de l’administrateur du serveur être créé automatiquement) au moment de la création du serveur logique. Comme indiqué précédemment, cette connexion n’est pas utilisable quand l’authentification unique Microsoft Entra est activée.

$cred = Get-Credential
New-AzSqlServer -ResourceGroupName "<ResourceGroupName>" -Location "<Location>" -ServerName "<ServerName>" -ServerVersion "12.0" -ExternalAdminName "<MSEntraAccount>" -EnableActiveDirectoryOnlyAuthentication -SqlAdministratorCredentials $cred

Pour plus d’informations, consultez New-AzSqlServer.

REST API

L’API REST Serveurs - Créer ou mettre à jour peut être utilisée pour créer un serveur logique à l’aide de l’authentification unique Microsoft Entra activée pendant l’approvisionnement.

Le script ci-dessous configure un serveur logique, définit l’administrateur Microsoft Entra en tant que <MSEntraAccount>, et active l’authentification unique Microsoft Entra. L’administrateur SQL du serveur est aussi automatiquement créé et le mot de passe est défini sur un mot de passe aléatoire. Étant donné que la connectivité de l’authentification SQL est désactivée lors de cet approvisionnement, la connexion administrateur SQL n’est pas utilisée.

L’administrateur Microsoft Entra <MSEntraAccount> peut être utilisé pour gérer le serveur lorsque l’approvisionnement est terminé.

Remplacez les valeurs suivantes dans l’exemple :

• <tenantId> : Disponible en accédant à votre ressource Microsoft Entra ID dans le portail Azure. Dans le volet Vue d’ensemble, vous devez voir votre ID de locataire.
• <subscriptionId> : votre ID d’abonnement, disponible dans le Portail Azure
• <ServerName> : utiliser un nom de serveur logique unique
• <ResourceGroupName> : nom du groupe de ressources pour votre serveur logique
• <MicrosoftEntraAccount>: peut être un utilisateur, un groupe ou une application Microsoft Entra. Par exemple, DummyLogin
• <Location> : emplacement du serveur, tel que westus2 ou centralus
• <objectId> : Disponible sur le portail Azure et en accédant à votre ressource Microsoft Entra ID. Dans le volet utilisateur, recherchez l’utilisateur Microsoft Entra ainsi que son ID d’objet. Si vous utilisez une application (principal de service) en tant qu’administrateur Microsoft Entra, remplacez cette valeur par l’ID d’application. Vous devrez également mettre à jour principalType.
• <principalType>: l’une des trois options suivantes : Utilisateur, Groupe, Application. Type de l’objet Microsoft Entra utilisé comme administrateur. Les identités managées et les principaux de service sont des applications.

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$authUrl = "https://login.windows.net/$tenantId"
$serverName = "<ServerName>"
$resourceGroupName = "<ResourceGroupName>"

Login-AzAccount -tenantId $tenantId

# login as a user with SQL Server Contributor role or higher 

# Get a token

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes "https://management.core.windows.net/.default"

#Authetication header
$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

# Enable Microsoft Entra-only auth 
# No server admin is specified, Microsoft Entra admin is configured, and Microsoft Entra-only authentication is set to true
# Server admin (login and password) is randomly generated by the system

# Authentication body
# The sid is the Microsoft Entra Object ID for the user or group, and Application ID for applications. Update the principalType as well

$body = '{ 
"location": "<Location>",
"properties": { "administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true }
  }
}'

# Provision the server

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Pour vérifier l’état du serveur, vous pouvez utiliser le script suivant :

$uri = 'https://management.azure.com/subscriptions/'+$subscriptionId+'/resourceGroups/'+$resourceGroupName+'/providers/Microsoft.Sql/servers/'+$serverName+'?api-version=2020-11-01-preview&$expand=administrators/activedirectory'

$responce=Invoke-WebRequest -Uri $uri -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

$responce.statuscode

$responce.content

Modèle ARM

Pour plus d’informations et découvrir les modèles ARM, consultez Modèles Azure Resource Manager pour Azure SQL Database et Azure SQL Managed Instance.

Pour configurer un serveur logique avec un groupe d’administration Microsoft Entra pour le serveur et l’authentification unique Microsoft Entra activée à l’aide d’un modèle ARM, consultez notre modèle de démarrage rapide Serveur logique Azure SQL avec authentification unique Microsoft Entra.

Vous pouvez également utiliser le modèle suivant. Utilisez un déploiement personnalisé dans le portail Azure et créez votre propre modèle dans l’éditeur. Ensuite, enregistrez la configuration une fois que vous avez collé l’exemple.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "string",
            "defaultValue": "[uniqueString('sql', resourceGroup().id)]",
            "metadata": {
                "description": "The name of the logical server."
            }
        },
        "location": {
            "type": "string",
            "defaultValue": "[resourceGroup().location]",
            "metadata": {
                "description": "Location for all resources."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "properties": {
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Azure SQL Managed Instance

Portail

1. Accédez à la page Sélectionner l’option de déploiement SQL dans le portail Azure.

2. Si vous n’êtes pas déjà connecté au portail Azure, connectez-vous lorsque vous y êtes invité.

3. Sous SQL managed instances, laissez Type de ressource défini sur Instance unique, puis sélectionnez Créer.

4. Renseignez les informations obligatoires requises sous l’onglet Informations de base pour Détails du projet et Détails de l’instance gérée. Il s’agit d’informations de base qui sont obligatoires pour provisionner une instance managée SQL.

   

   Pour plus d’informations sur les options de configuration, consultez Démarrage rapide : Créer une instance gérée Azure SQL Managed Instance.

5. Sous Authentification, sélectionnez Utiliser uniquement l’authentification unique Microsoft Entra comme méthode d’authentification.

6. Sélectionnez Définir l’administrateur pour ouvrir le volet ID Microsoft Entra et sélectionner un principal Microsoft Entra en tant qu’administrateur Microsoft Entra de votre instance managée. Lorsque vous avez terminé, utilisez le bouton Sélectionner pour définir votre administrateur.

   

7. Vous pouvez laisser le reste des paramètres par défaut. Pour plus d’informations sur la Mise en réseau, la Sécurité ou d’autres onglets et paramètres, suivez le guide de Démarrage rapide : Créer une instance gérée Azure SQL.

8. Une fois que vous avez fini de configurer vos paramètres, sélectionnez Vérifier + créer pour continuer. Sélectionnez Créer pour commencer le provisionnement de l’instance managée.

L’interface de ligne de commande Microsoft Azure

La commande Azure CLI az sql mi create permet de configurer une nouvelle instance Azure SQL Managed Instance. La commande ci-dessous met en service une nouvelle instance gérée avec l’authentification unique Microsoft Entra activée.

Remarque

Le script requiert la création d’un réseau virtuel et d’un sous-réseau comme condition préalable.

L’administrateur SQL de l’instance gérée est automatiquement créé et le mot de passe est défini sur un mot de passe aléatoire. Étant donné que l’authentification SQL est désactivée lors de cet approvisionnement, la connexion administrateur SQL n’est pas utilisée.

L’administrateur Microsoft Entra est le compte que vous définissez pour <MSEntraAccount> et peut être utilisé pour gérer l’instance lorsque l’approvisionnement est terminé.

Remplacez les valeurs suivantes dans l’exemple :

• <MSEntraAccount>: peut être un utilisateur ou un groupe Microsoft Entra. Par exemple, DummyLogin
• <MSEntraAccountSID> : ID d’objet Microsoft Entra pour l’utilisateur
• <managedinstancename> : Nommer l’instance gérée que vous souhaitez créer
• <ResourceGroupName> : Nom du groupe de ressources de votre instance managée Le groupe de ressources doit également inclure le réseau virtuel et le sous-réseau créés.
• Le paramètre subnet doit être mis à jour avec les paramètres <Subscription ID>, <ResourceGroupName>, <VNetName> et <SubnetName>. Votre ID d’abonnement est disponible dans le portail Azure.

az sql mi create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <managedinstancename> \
    --subnet /subscriptions/<Subscription ID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>

Pour plus d’informations, voir az sql mi create.

PowerShell

La commande PowerShell New-AzSqlInstance permet de configurer une nouvelle instance Azure SQL Managed Instance. La commande ci-dessous met en service une nouvelle instance gérée avec l’authentification unique Microsoft Entra activée.

Remarque

Le script requiert la création d’un réseau virtuel et d’un sous-réseau comme condition préalable.

L’administrateur SQL de l’instance gérée est automatiquement créé et le mot de passe est défini sur un mot de passe aléatoire. Étant donné que la connectivité de l’authentification SQL est désactivée lors de cet approvisionnement, la connexion administrateur SQL n’est pas utilisée.

L’administrateur Microsoft Entra est le compte que vous définissez pour <MSEntraAccount> et peut être utilisé pour gérer l’instance lorsque l’approvisionnement est terminé.

Remplacez les valeurs suivantes dans l’exemple :

• <managedinstancename> : Nommer l’instance gérée que vous souhaitez créer
• <ResourceGroupName> : Nom du groupe de ressources de votre instance managée Le groupe de ressources doit également inclure le réseau virtuel et le sous-réseau créés.
• <MSEntraAccount>: peut être un utilisateur ou un groupe Microsoft Entra. Par exemple, DummyLogin
• <Location> : emplacement du serveur, tel que West US ou Central US
• Le paramètre SubnetId doit être mis à jour avec les paramètres <Subscription ID>, <ResourceGroupName>, <VNetName> et <SubnetName>. Votre ID d’abonnement est disponible dans le portail Azure.

$instanceName = @{
    Name = "<managedinstancename>"
    ResourceGroupName = "<ResourceGroupName>"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
    Location = "<Location>"
    SubnetId = "/subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>"
    LicenseType = "LicenseIncluded"
    StorageSizeInGB = 128
    VCore = 4
    Edition = "GeneralPurpose"
    ComputeGeneration = "Gen5"
}

New-AzSqlInstance $instanceName

Pour plus d’informations, consultez New-AzSqlInstance.

REST API

L’API RESTSQL Managed Instances - Créer ou mettre à jour peut être utilisée pour créer une instance gérée à l’aide de l’authentification unique Microsoft Entra uniquement activée pendant l’approvisionnement.

Remarque

Le script requiert la création d’un réseau virtuel et d’un sous-réseau comme condition préalable.

Le script ci-dessous configure une instance gérée, définit l’administrateur Microsoft Entra en tant que <MSEntraAccount> et active l’authentification unique Microsoft Entra. L’administrateur SQL de l’instance est aussi automatiquement créé et le mot de passe est défini sur un mot de passe aléatoire. Étant donné que la connectivité de l’authentification SQL est désactivée lors de cet approvisionnement, la connexion administrateur SQL n’est pas utilisée.

L’administrateur Microsoft Entra <MSEntraAccount> peut être utilisé pour gérer l’instance lorsque l’approvisionnement est terminé.

Remplacez les valeurs suivantes dans l’exemple :

• <tenantId> : Disponible en accédant à votre ressource Microsoft Entra ID dans le portail Azure. Dans le volet Vue d’ensemble, vous devez voir votre ID de locataire.
• <subscriptionId> : votre ID d’abonnement, disponible dans le Portail Azure
• <instanceName> : Utiliser un nom d’instance gérée unique
• <ResourceGroupName> : nom du groupe de ressources pour votre serveur logique
• <MSEntraAccount> : peut être un utilisateur ou un groupe Microsoft Entra. Par exemple, DummyLogin
• <Location> : emplacement du serveur, tel que westus2 ou centralus
• <objectId> : Disponible sur le portail Azure et en accédant à votre ressource Microsoft Entra ID. Dans le volet utilisateur, recherchez l’utilisateur Microsoft Entra ainsi que son ID d’objet. Si vous utilisez une application (principal de service) en tant qu’administrateur Microsoft Entra, remplacez cette valeur par l’ID d’application. Vous devrez également mettre à jour principalType.
• Le paramètre subnetId doit être mis à jour avec les paramètres <ResourceGroupName>, Subscription ID, <VNetName> et <SubnetName>.

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$instanceName = "<instanceName>"
$resourceGroupName = "<ResourceGroupName>"
$scopes ="https://management.core.windows.net/.default"

Login-AzAccount -tenantId $tenantId

# Login as an Microsoft Entra user with permission to provision a managed instance

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes $scopes

$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

$body = '{
"name": "<instanceName>", "type": "Microsoft.Sql/managedInstances", "identity": { "type": "SystemAssigned"},"location": "<Location>", "sku": {"name": "GP_Gen5", "tier": "GeneralPurpose", "family":"Gen5","capacity": 8},
"properties": {"administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true },
"subnetId": "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>",
"licenseType": "LicenseIncluded", "vCores": 8, "storageSizeInGB": 2048, "collation": "SQL_Latin1_General_CP1_CI_AS", "proxyOverride": "Proxy", "timezoneId": "UTC", "privateEndpointConnections": [], "storageAccountType": "GRS", "zoneRedundant": false 
  }
}'

# To provision the instance, execute the `PUT` command

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Pour vérifier les résultats, exécutez la commande GET :

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method GET -Headers $authHeader  | Format-List

Modèle ARM

Pour approvisionner une nouvelle instance gérée, un réseau virtuel et un sous-réseau, avec un groupe d’administration Microsoft Entra pour l’instance et l’authentification unique Microsoft Entra activée, utilisez le modèle suivant.

Utilisez un déploiement personnalisé dans le portail Azure et créez votre propre modèle dans l’éditeur. Ensuite, enregistrez la configuration une fois que vous avez collé l’exemple.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "managedInstanceName": {
            "type": "String",
            "metadata": {
                "description": "Enter managed instance name."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL managed instance."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin. The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "location": {
            "defaultValue": "[resourceGroup().location]",
            "type": "String",
            "metadata": {
                "description": "Enter location. If you leave this field blank resource group location would be used."
            }
        },
        "virtualNetworkName": {
            "type": "String",
            "defaultValue": "SQLMI-VNET",
            "metadata": {
                "description": "Enter virtual network name. If you leave this field blank name will be created by the template."
            }
        },
        "addressPrefix": {
            "defaultValue": "10.0.0.0/16",
            "type": "String",
            "metadata": {
                "description": "Enter virtual network address prefix."
            }
        },
        "subnetName": {
            "type": "String",
            "defaultValue": "ManagedInstances",
            "metadata": {
                "description": "Enter subnet name. If you leave this field blank name will be created by the template."
            }
        },
        "subnetPrefix": {
            "defaultValue": "10.0.0.0/24",
            "type": "String",
            "metadata": {
                "description": "Enter subnet address prefix."
            }
        },
        "skuName": {
            "defaultValue": "GP_Gen5",
            "allowedValues": [
                "GP_Gen5",
                "BC_Gen5"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter sku name."
            }
        },
        "vCores": {
            "defaultValue": 16,
            "allowedValues": [
                8,
                16,
                24,
                32,
                40,
                64,
                80
            ],
            "type": "Int",
            "metadata": {
                "description": "Enter number of vCores."
            }
        },
        "storageSizeInGB": {
            "defaultValue": 256,
            "minValue": 32,
            "maxValue": 8192,
            "type": "Int",
            "metadata": {
                "description": "Enter storage size."
            }
        },
        "licenseType": {
            "defaultValue": "LicenseIncluded",
            "allowedValues": [
                "BasePrice",
                "LicenseIncluded"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter license type."
            }
        }
    },
    "variables": {
        "networkSecurityGroupName": "[concat('SQLMI-', parameters('managedInstanceName'), '-NSG')]",
        "routeTableName": "[concat('SQLMI-', parameters('managedInstanceName'), '-Route-Table')]"
    },
    "resources": [
        {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2020-06-01",
            "name": "[variables('networkSecurityGroupName')]",
            "location": "[parameters('location')]",
            "properties": {
                "securityRules": [
                    {
                        "name": "allow_tds_inbound",
                        "properties": {
                            "description": "Allow access to data",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "1433",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1000,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "allow_redirect_inbound",
                        "properties": {
                            "description": "Allow inbound redirect traffic to SQL Managed Instance inside the virtual network",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "11000-11999",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1100,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_inbound",
                        "properties": {
                            "description": "Deny all other inbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_outbound",
                        "properties": {
                            "description": "Deny all other outbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Outbound"
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Network/routeTables",
            "apiVersion": "2020-06-01",
            "name": "[variables('routeTableName')]",
            "location": "[parameters('location')]",
            "properties": {
                "disableBgpRoutePropagation": false
            }
        },
        {
            "type": "Microsoft.Network/virtualNetworks",
            "apiVersion": "2020-06-01",
            "name": "[parameters('virtualNetworkName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[variables('routeTableName')]",
                "[variables('networkSecurityGroupName')]"
            ],
            "properties": {
                "addressSpace": {
                    "addressPrefixes": [
                        "[parameters('addressPrefix')]"
                    ]
                },
                "subnets": [
                    {
                        "name": "[parameters('subnetName')]",
                        "properties": {
                            "addressPrefix": "[parameters('subnetPrefix')]",
                            "routeTable": {
                                "id": "[resourceId('Microsoft.Network/routeTables', variables('routeTableName'))]"
                            },
                            "networkSecurityGroup": {
                                "id": "[resourceId('Microsoft.Network/networkSecurityGroups', variables('networkSecurityGroupName'))]"
                            },
                            "delegations": [
                                {
                                    "name": "miDelegation",
                                    "properties": {
                                        "serviceName": "Microsoft.Sql/managedInstances"
                                    }
                                }
                            ]
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('managedInstanceName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[parameters('virtualNetworkName')]"
            ],
            "sku": {
                "name": "[parameters('skuName')]"
            },
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "subnetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('virtualNetworkName'), parameters('subnetName'))]",
                "storageSizeInGB": "[parameters('storageSizeInGB')]",
                "vCores": "[parameters('vCores')]",
                "licenseType": "[parameters('licenseType')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Accorder des autorisations de lecteur de répertoire

Une fois le déploiement terminé pour votre instance gérée, vous pouvez remarquer que le SQL Managed Instance a besoin d’autorisations de lecture pour accéder à l’ID de Microsoft Entra. Les autorisations de lecture peuvent être accordées par une personne disposant de privilèges suffisants en cliquant sur le message affiché dans le portail Azure. Pour plus d’informations, consultez Rôle Lecteurs d’annuaires dans Microsoft Entra pour Azure SQL.

Limites

• Pour réinitialiser le mot de passe de l’administrateur du serveur, l’authentification unique Microsoft Entra doit être désactivée.
• Si l’authentification unique Microsoft Entra est désactivée, vous devez créer un serveur avec un mot de passe et un administrateur de serveur lors de l’utilisation de toutes les API.

Contenu connexe

• Si vous disposez déjà d’un serveur logique ou de SQL managed instance et que vous souhaitez simplement activer l’authentification unique Microsoft Entra, consultez Didacticiel : activer l’authentification unique Microsoft Entra uniquement avec Azure SQL.
• Pour plus d’informations sur la fonctionnalité d’authentification unique Microsoft Entra, consultez Authentification unique Microsoft Entra avec Azure SQL.
• Si vous souhaitez appliquer la création du serveur avec l’authentification unique Microsoft Entra activée, consultez Azure Policy pour l’authentification unique Microsoft Entra pour Azure SQL