S’applique à :
Azure SQL DatabaseAzure SQL Managed Instance
Cet article vous guide tout au long de l’activation de l’authentification Microsoft Entra uniquement avec la fonctionnalité Azure SQL dans Azure SQL Database et Azure SQL Managed Instance. Si vous cherchez à approvisionner une base de données SQL ou une instance gérée SQL avec l’authentification Microsoft Entra uniquement activée, consultez Créer un serveur avec l’authentification Microsoft Entra uniquement activée dans Azure SQL.
Dans ce tutoriel, vous allez apprendre à :
- Affecter un rôle pour activer l’authentification Microsoft Entra uniquement
- Activer l’authentification Microsoft Entra uniquement à l’aide du Portail Azure, d’Azure CLI ou de PowerShell
- Vérifier si l’authentification Microsoft Entra uniquement est activée
- Tester la connexion à Azure SQL
- Désactiver l’authentification Microsoft Entra uniquement à l’aide du Portail Azure, d’Azure CLI ou de PowerShell
Prérequis
Affecter un rôle pour activer l’authentification Microsoft Entra uniquement
Pour activer ou désactiver l’authentification Microsoft Entra uniquement, les rôles intégrés sélectionnés sont requis pour les utilisateurs de Microsoft Entra qui exécutent les opérations de ce tutoriel. Nous allons attribuer le rôle de gestionnaire de sécurité SQL à l’utilisateur dans ce tutoriel.
Pour plus d'informations sur l'attribution d'un rôle à un compte Microsoft Entra, consultez Attribuer des rôles d'administrateur et de non-administrateur aux utilisateurs avec Microsoft Entra ID
Pour plus d’informations sur l’autorisation requise pour activer ou désactiver l’authentification Microsoft Entra uniquement, consultez la section Autorisations de l’article sur l'authentification Microsoft Entra uniquement.
Dans notre exemple, nous attribuons le rôle de gestionnaire de sécurité SQL à l’utilisateur UserSqlSecurityManager@contoso.onmicrosoft.com. À l’aide d’un utilisateur privilégié qui peut affecter des rôles de Microsoft Entra, connectez-vous au portail Azure.
Accédez à la ressource de votre serveur SQL, puis sélectionnez Contrôle d’accès (IAM) dans le menu. Sélectionnez le bouton Ajouter , puis ajoutez une attribution de rôle dans la liste déroulante.
Dans le volet Ajouter une attribution de rôle, sélectionnez le rôle Gestionnaire de sécurité SQL, puis sélectionnez l’utilisateur qui pourra activer ou désactiver l’authentification Microsoft Entra uniquement.
Cliquez sur Enregistrer.
Activer l’authentification Microsoft Entra uniquement
Activer dans SQL Database à l’aide de Portail Azure
Pour activer l’authentification Microsoft Entra uniquement dans le portail Azure, effectuez les étapes suivantes :
À l’aide de l’utilisateur avec le rôle Gestionnaire de sécurité SQL, accédez au Portail Azure.
Accédez à votre ressource SQL Server, puis sélectionnez Microsoft Entra ID sous le menu Paramètres.
Si vous n’avez pas ajouté d’administrateur Microsoft Entra, vous devez le définir avant de pouvoir activer l’authentification Microsoft Entra uniquement.
Cochez la case pour prendre en charge uniquement l’authentification Microsoft Entra pour ce serveur.
Le menu contextuel Activer l’authentification Microsoft Entra uniquement s’affiche. Cliquez sur Oui pour activer la fonctionnalité, puis sur Enregistrer le paramètre.
Activer dans SQL Managed Instance à l’aide de Portail Azure
Pour activer l’authentification par Microsoft Entra uniquement dans le Portail Azure, consultez les étapes ci-dessous.
À l’aide de l’utilisateur avec le rôle Gestionnaire de sécurité SQL, accédez au Portail Azure.
Accédez à votre ressource d’instance gérée SQL et sélectionnez Administrateur Microsoft Entra dans le menu Paramètres.
Si vous n’avez pas ajouté d’administrateur Microsoft Entra, vous devez le définir avant de pouvoir activer l’authentification Microsoft Entra uniquement.
Cochez la case Prise en charge de l’authentification Microsoft Entra uniquement pour cette instance gérée.
Le menu contextuel Activer l’authentification Microsoft Entra uniquement s’affiche. Cliquez sur Oui pour activer la fonctionnalité, puis sur Enregistrer le paramètre.
Activer dans SQL Database à l’aide d’Azure CLI
Pour activer l’authentification Microsoft Entra uniquement dans Azure SQL Database à l’aide d’Azure CLI, consultez les commandes ci-dessous.
Installez la dernière version d’Azure CLI. Vous devez disposer d’Azure CLI 2.14.2 ou version ultérieure. Pour plus d’informations sur ces commandes, consultez az sql server ad-only-auth.
Pour plus d’informations sur la gestion de l’authentification Microsoft Entra uniquement à l’aide d’API, consultez Gestion de l'authentification Microsoft Entra uniquement à l’aide d’API.
Remarque
L’administrateur Microsoft Entra doit être défini pour le serveur avant d’activer l’authentification Microsoft Entra uniquement. Sinon, la commande Azure CLI échoue.
Pour obtenir les autorisations et les actions requises de l’utilisateur qui exécute ces commandes pour activer l’authentification Microsoft Entra uniquement, consultez l’article Authentification Microsoft Entra uniquement.
Connectez-vous à Azure à l’aide du compte ayant le rôle de Gestionnaire de sécurité SQL.
az login
Exécutez la commande suivante, en remplaçant <myserver> par le nom de votre serveur SQL et <myresource> par votre ressource Azure qui contient le serveur SQL.
az sql server ad-only-auth enable --resource-group <myresource> --name <myserver>
Activer dans SQL Managed Instance à l’aide de Azure CLI
Pour activer l’authentification Microsoft Entra uniquement dans Azure SQL Managed Instance à l’aide d’Azure CLI, consultez les commandes ci-dessous.
Installez la dernière version d’Azure CLI.
Connectez-vous à Azure à l’aide du compte ayant le rôle de Gestionnaire de sécurité SQL.
az login
Exécutez la commande suivante, en remplaçant <myserver> par le nom de votre serveur SQL et <myresource> par votre ressource Azure qui contient le serveur SQL.
az sql mi ad-only-auth enable --resource-group <myresource> --name <myserver>
Activer dans SQL Database à l’aide de PowerShell
Pour activer l’authentification Microsoft Entra uniquement dans Azure SQL Database à l’aide de PowerShell, consultez les commandes ci-dessous. Le module Az.Sql 2.10.0 ou une version ultérieure est requis pour exécuter ces commandes. Pour plus d’informations sur ces commandes, consultez Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication.
Pour plus d’informations sur la gestion de l’authentification Microsoft Entra uniquement à l’aide d’API, consultez Gestion de l'authentification Microsoft Entra uniquement à l’aide d’API
Remarque
L’administrateur Microsoft Entra doit être défini pour le serveur avant d’activer l’authentification Microsoft Entra uniquement. Sinon, la commande PowerShell échoue.
Pour obtenir les autorisations et les actions requises de l’utilisateur qui exécute ces commandes pour activer l’authentification Microsoft Entra uniquement, consultez l’article Authentification Microsoft Entra uniquement. Si l’utilisateur ne dispose pas des autorisations suffisantes, vous obtiendrez l’erreur suivante :
Enable-AzSqlServerActiveDirectoryOnlyAuthentication : The client
'UserSqlServerContributor@contoso.onmicrosoft.com' with object id
'<guid>' does not have authorization to perform
action 'Microsoft.Sql/servers/azureADOnlyAuthentications/write' over scope
'/subscriptions/<guid>...'
Connectez-vous à Azure à l’aide du compte ayant le rôle de Gestionnaire de sécurité SQL.
Connect-AzAccount
Exécutez la commande suivante, en remplaçant <myserver> par le nom de votre serveur SQL et <myresource> par votre ressource Azure qui contient le serveur SQL.
Enable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName <myserver> -ResourceGroupName <myresource>
Activer dans SQL Managed Instance à l’aide de PowerShell
Pour activer l’authentification Microsoft Entra uniquement dans Azure SQL Managed Instance à l’aide de PowerShell, consultez les commandes ci-dessous. Le module Az.Sql 2.10.0 ou une version ultérieure est requis pour exécuter ces commandes.
Pour plus d’informations sur la gestion de l’authentification Microsoft Entra uniquement à l’aide d’API, consultez Gestion de l'authentification Microsoft Entra uniquement à l’aide d’API.
Connectez-vous à Azure à l’aide du compte ayant le rôle de Gestionnaire de sécurité SQL.
Connect-AzAccount
Exécutez la commande suivante, en remplaçant <myinstance> par le nom de votre instance gérée SQL et <myresource> par votre ressource Azure qui contient l’instance gérée SQL.
Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
Vérifier l’état de l’authentification Microsoft Entra uniquement
Vérifiez si l’authentification Microsoft Entra uniquement est activée pour votre serveur ou instance.
Vérifier l’état dans SQL Database
Accédez à la ressource sur votre serveur SQL dans le Portail Azure. Sélectionnez Microsoft Entra ID sous le menu Paramètres.
Vérifier l’état dans SQL Managed Instance
Accédez à votre ressource d’instance gérée SQL dans le portail Azure. Sélectionnez Microsoft Entra admin sous le menu Paramètres.
Ces commandes peuvent être utilisées pour vérifier si l’authentification Microsoft Entra uniquement est activée pour votre serveur logique pour Azure SQL Database ou SQL Managed Instance. Les membres des rôles Contributeur SQL Server et Contributeur SQL Managed Instance peuvent utiliser ces commandes pour vérifier l’état de l’authentification Microsoft Entra uniquement, mais ne peuvent pas activer ou désactiver la fonctionnalité.
Vérifier l’état dans SQL Database
Connectez-vous à Azure à l’aide du compte ayant le rôle de Gestionnaire de sécurité SQL. Pour plus d’informations sur la gestion de l’authentification Microsoft Entra uniquement à l’aide d’API, consultez Gestion de l'authentification Microsoft Entra uniquement à l’aide d’API
az login
Exécutez la commande suivante, en remplaçant <myserver> par le nom de votre serveur SQL et <myresource> par votre ressource Azure qui contient le serveur SQL.
az sql server ad-only-auth get --resource-group <myresource> --name <myserver>
Vous devez normalement voir la sortie suivante.
{
"azureAdOnlyAuthentication": true,
"/subscriptions/<guid>/resourceGroups/mygroup/providers/Microsoft.Sql/servers/myserver/azureADOnlyAuthentications/Default",
"name": "Default",
"resourceGroup": "myresource",
"type": "Microsoft.Sql/servers"
}
Vérifier l’état dans SQL Managed Instance
Connectez-vous à Azure à l’aide du compte ayant le rôle de Gestionnaire de sécurité SQL.
az login
Exécutez la commande suivante, en remplaçant <myserver> par le nom de votre serveur SQL et <myresource> par votre ressource Azure qui contient le serveur SQL.
az sql mi ad-only-auth get --resource-group <myresource> --name <myserver>
Vous devez normalement voir la sortie suivante.
{
"azureAdOnlyAuthentication": true,
"id": "/subscriptions/<guid>/resourceGroups/myresource/providers/Microsoft.Sql/managedInstances/myinstance/azureADOnlyAuthentications/Default",
"name": "Default",
"resourceGroup": "myresource",
"type": "Microsoft.Sql/managedInstances"
}
Ces commandes peuvent être utilisées pour vérifier si l’authentification Microsoft Entra uniquement est activée pour votre serveur logique pour Azure SQL Database ou SQL Managed Instance. Les membres des rôles Contributeur SQL Server et Contributeur SQL Managed Instance peuvent utiliser ces commandes pour vérifier l’état de l’authentification Microsoft Entra uniquement, mais ne peuvent pas activer ou désactiver la fonctionnalité.
L’état retourne la valeur True si la fonctionnalité est activée, et la valeur False si elle est désactivée.
Vérifier l’état dans SQL Database
Connectez-vous à Azure à l’aide du compte ayant le rôle de Gestionnaire de sécurité SQL. Pour plus d’informations sur la gestion de l’authentification Microsoft Entra uniquement à l’aide d’API, consultez Gestion de l'authentification Microsoft Entra uniquement à l’aide d’API
Connect-AzAccount
Exécutez la commande suivante, en remplaçant <myserver> par le nom de votre serveur SQL et <myresource> par votre ressource Azure qui contient le serveur SQL.
Get-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName <myserver> -ResourceGroupName <myresource>
Vérifier l’état dans SQL Managed Instance
Connectez-vous à Azure à l’aide du compte ayant le rôle de Gestionnaire de sécurité SQL.
Connect-AzAccount
Exécutez la commande suivante, en remplaçant <myinstance> par le nom de votre instance gérée SQL et <myresource> par votre ressource Azure qui contient l’instance gérée SQL.
Get-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
Tester l’authentification SQL avec échec de connexion
Après l’activation de l’authentification Microsoft Entra uniquement, essayez avec SQL Server Management Studio (SSMS) de vous connecter à votre base de données SQL ou à votre instance gérée SQL. Utilisez l'authentification SQL pour la connexion.
Un message d’erreur similaire à celui qui suit doit s’afficher :
Cannot connect to <myserver>.database.windows.net.
Additional information:
Login failed for user 'username'. Reason: Azure Active Directory only authentication is enabled.
Please contact your system administrator. (Microsoft SQL Server, Error: 18456)
Désactiver l’authentification Microsoft Entra uniquement
En désactivant la fonctionnalité d’authentification Microsoft Entra uniquement, vous autorisez l’authentification SQL et l’authentification Microsoft Entra pour Azure SQL.
Désactiver dans SQL Database à l’aide de Portail Azure
- À l’aide de l’utilisateur avec le rôle Gestionnaire de sécurité SQL, accédez au Portail Azure.
- Accédez à votre ressource SQL Server, puis sélectionnez Microsoft Entra ID sous le menu Paramètres.
- Pour désactiver la fonctionnalité d’authentification Microsoft Entra uniquement, désactivez la case à cocher Prendre en charge l’authentification Microsoft Entra uniquement pour ce serveur et cliquez sur Enregistrer.
Désactiver dans SQL Managed Instance à l’aide de Portail Azure
- À l’aide de l’utilisateur avec le rôle Gestionnaire de sécurité SQL, accédez au Portail Azure.
- Accédez à votre ressource d’instance gérée SQL et sélectionnez Administrateur Active Directory dans le menu Paramètres.
- Pour désactiver la fonctionnalité d’authentification Microsoft Entra uniquement, décochez la case Prise en charge de l’authentification Microsoft Entra uniquement pour cette instance gérée et cliquez sur Enregistrer.
Désactiver dans SQL Database à l’aide d’Azure CLI
Pour désactiver l’authentification Microsoft Entra uniquement dans Azure SQL Database à l’aide d’Azure CLI, consultez les commandes ci-dessous.
Connectez-vous à Azure à l’aide du compte ayant le rôle de Gestionnaire de sécurité SQL.
az login
Exécutez la commande suivante, en remplaçant <myserver> par le nom de votre serveur SQL et <myresource> par votre ressource Azure qui contient le serveur SQL.
az sql server ad-only-auth disable --resource-group <myresource> --name <myserver>
Après la désactivation de l’authentification Microsoft Entra uniquement, vous devez obtenir ses résultats lorsque vous vérifiez l’état :
{
"azureAdOnlyAuthentication": false,
"/subscriptions/<guid>/resourceGroups/mygroup/providers/Microsoft.Sql/servers/myserver/azureADOnlyAuthentications/Default",
"name": "Default",
"resourceGroup": "myresource",
"type": "Microsoft.Sql/servers"
}
Désactiver dans SQL Managed Instance à l’aide de Azure CLI
Pour désactiver l’authentification Microsoft Entra uniquement dans Azure SQL Managed Instance à l’aide d’Azure CLI, consultez les commandes ci-dessous.
Connectez-vous à Azure à l’aide du compte ayant le rôle de Gestionnaire de sécurité SQL.
az login
Exécutez la commande suivante, en remplaçant <myserver> par le nom de votre serveur SQL et <myresource> par votre ressource Azure qui contient le serveur SQL.
az sql mi ad-only-auth disable --resource-group <myresource> --name <myserver>
Après la désactivation de l’authentification Microsoft Entra uniquement, vous devez obtenir ses résultats lorsque vous vérifiez l’état :
{
"azureAdOnlyAuthentication": false,
"id": "/subscriptions/<guid>/resourceGroups/myresource/providers/Microsoft.Sql/managedInstances/myinstance/azureADOnlyAuthentications/Default",
"name": "Default",
"resourceGroup": "myresource",
"type": "Microsoft.Sql/managedInstances"
}
Désactiver dans SQL Database à l’aide de PowerShell
Pour désactiver l’authentification Microsoft Entra uniquement dans Azure SQL Database à l’aide de PowerShell, consultez les commandes ci-dessous.
Connectez-vous à Azure à l’aide du compte ayant le rôle de Gestionnaire de sécurité SQL.
Connect-AzAccount
Exécutez la commande suivante, en remplaçant <myserver> par le nom de votre serveur SQL et <myresource> par votre ressource Azure qui contient le serveur SQL.
Disable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName <myserver> -ResourceGroupName <myresource>
Désactiver dans SQL Managed Instance à l’aide de PowerShell
Pour désactiver l’authentification Microsoft Entra uniquement dans Azure SQL Managed Instance à l’aide de PowerShell, consultez les commandes ci-dessous.
Connectez-vous à Azure à l’aide du compte ayant le rôle de Gestionnaire de sécurité SQL.
Connect-AzAccount
Exécutez la commande suivante, en remplaçant <myinstance> par le nom de votre instance gérée SQL et <myresource> par votre ressource Azure qui contient l’instance gérée.
Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
Tester à nouveau la connexion à Azure SQL
Après la désactivation de l’authentification Microsoft Entra uniquement, testez la connexion en vous connectant via l’authentification SQL. Vous devez maintenant être en mesure de vous connecter à votre serveur ou instance.
Contenu connexe
