Configurer l’identité managée et l’authentification Microsoft Entra pour SQL Server activée par Azure Arc

S’applique à : SQL Server 2025 (17.x)

• SQL Server 2022
• SQL Server 2025
• Azure SQL Database &Azure SQL Managed Instance
• SQL Server sur machines virtuelles Azure

Cet article fournit des instructions étape par étape pour l'installation et la configuration de l'identité managée Microsoft Entra ID pour SQL Server, activée par Azure Arc.

Pour obtenir une vue d’ensemble de l’identité managée avec SQL Server, consultez l’identité managée pour SQL Server activée par Azure Arc.

Prerequisites

Avant de pouvoir utiliser une identité managée avec SQL Server activé par Azure Arc, veillez à respecter les conditions préalables suivantes :

• Pris en charge pour SQL Server 2025 et versions ultérieures, s’exécutant sur Windows.
• Connectez votre serveur SQL Server à Azure Arc.
• Dernière version de l’extension Azure pour SQL Server.

Activer l’identité managée principale

Si vous avez installé l’extension Azure pour SQL Server sur votre serveur, vous pouvez activer l’identité managée principale pour votre instance SQL Server directement à partir du portail Azure. Il est également possible d’activer manuellement l’identité managée principale en mettant à jour le Registre, mais doit être effectuée avec une prudence extrême.

portail Azure

Pour activer l’identité managée principale dans le portail Azure, procédez comme suit :

1. Accédez à votre serveur SQL Server activé par la ressource Azure Arc dans le portail Azure.

2. Sous Paramètres, sélectionnez Microsoft Entra ID et Purview pour ouvrir l’ID Microsoft Entra et la page Purview .

   Note

   Si vous ne voyez pas l’option Activer l’authentification Microsoft Entra ID , vérifiez que votre instance SQL Server est connectée à Azure Arc et que vous disposez de la dernière extension SQL installée.

3. Dans la page Microsoft Entra ID et Purview , cochez la case en regard d’Utiliser une identité managée principale , puis utilisez Enregistrer pour appliquer votre configuration :

   

Manuellement

Il est possible d’activer manuellement l’identité managée principale pour votre instance SQL Server en mettant à jour le Registre, mais doit être effectuée avec une prudence extrême.

Accorder l’autorisation au dossier Tokens

Accordez des autorisations de lecture et d’exécution du système d’exploitation sur le dossier C:\ProgramData\AzureConnectedMachineAgent\Tokens\ au compte de service d’instance SQL Server 2025. Par défaut, le compte de service est NT Service\MSSQLSERVER, ou pour les instances nommées. NT Service\MSSQL$<instancename>

Vous devrez peut-être accorder des autorisations d’administrateur pour le compte de service SQL Server sur le AzureConnectedMachineAgent dossier avant le Tokens dossier :

Ajouter un compte de service SQL Server au groupe d’applications d’extension d’agent hybride

Ajoutez le compte de service SQL Server (par défaut : NT Service\MSSQLSERVER ou pour les instances nommées) NT Service\MSSQL$instancenameau groupe d’applications d’extension de l’agent hybride .

• Ouvrez Windows Gestion de l'ordinateur.
• Accédez à Utilisateurs et groupes locaux , puis sélectionnez Groupes.
• Ajoutez le compte de service SQL Server au groupe d’applications d’extension de l’agent hybride .

Mettre à jour le registre

Avertissement

Une modification incorrecte du Registre peut sérieusement endommager votre système. Avant d’apporter des modifications au Registre, nous vous recommandons de sauvegarder toutes les données importantes qui se trouvent sur l’ordinateur.

Dans le Registre, mettez à jour la sous-clé \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17.MSSQLSERVER\MSSQLServer\FederatedAuthentication .

Créez les entrées suivantes :

Entrée	Valeur
ArcServerManagedIdentityClientId	Vide (aucune valeur)
HIMDSApiVersion	2020-06-01
HIMDSEndpoint	http://localhost:40342/metadata/identity/oauth2/token
ArcServerSystemAssignedManagedIdentityTenantId	Arc-AAD-Tenant-ID
ArcServerSystemAssignedManagedIdentityClientId	Arc-Machine-Client-Id
PrimaryAADTenant	Arc-AAD-Tenant-ID
AADChannelMaxBufferedMessageSize	200000
AADGraphEndPoint	graph.windows.net
AADGroupLookupMaxRetryAttempts	10
AADGroupLookupMaxRetryDuration	30000
AADGroupLookupRetryInitialBackoff	100
AADServerAdminSid	00000000-0000-0000-0000-000000000000
AuthenticationEndpoint	login.microsoftonline.com
CacheMaxSize	300
ClientCertBlackList	Vide (aucune valeur)
FederationMetadataEndpoint	login.windows.net
GraphAPIEndpoint	graph.windows.net
IssuerURL	https://sts.windows.net/
OnBehalfOfAuthority	https://login.windows.net/
STSURL	https://login.windows.net/
MsGraphEndPoint	graph.microsoft.com
SendX5c	false
ServicePrincipalName	https://database.windows.net/
ServicePrincipalNameForArcadia	https://sql.azuresynapse.net
ServicePrincipalNameForArcadiaDogfood	https://sql.azuresynapse-dogfood.net
ServicePrincipalNameNoSlash	https://database.windows.net
AADBecWSConnectionPoolMaxSize	500

Sauvegarder et modifier le Registre

Les sections suivantes décrivent comment sauvegarder et modifier le Registre avec l’Éditeur du Registre.

Ouvrez l'Éditeur du Registre

1. Appuyez sur Windows + R pour ouvrir la boîte de dialogue Exécuter.
2. Tapez regedit, puis appuyez sur Entrée.
3. Si vous y êtes invité par le contrôle de compte d’utilisateur, sélectionnez Oui.

Sauvegarder la clé de registre

Cette étape sauvegarde le Registre avant d’apporter des modifications. Vous pouvez réimporter ce fichier dans le Registre ultérieurement si vos modifications provoquent un problème.

1. Sélectionnez Fichier dans le menu.
2. Sélectionnez Exporter.
3. Dans la boîte de dialogue Exporter le fichier du Registre, choisissez un emplacement pour enregistrer la sauvegarde.
4. Entrez un nom pour le fichier de sauvegarde dans le champ Nom de fichier .
5. Assurez-vous que Tout est sélectionné dans Exporter des plages.
6. Cliquez sur Enregistrer.

Ajouter des entrées

Dans cette étape, vous ajoutez des entrées au Registre avec l’Éditeur du Registre.

1. Accédez à cette sous-clé : \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17.MSSQLSERVER\MSSQLServer\FederatedAuthentication.

2. Cliquez avec le bouton droit sur FederatedAuthentication et sélectionnez Valeur de chaîne.

   

3. Répétez pour chaque entrée répertoriée dans Mettre à jour le Registre

   Cette image illustre un registre correctement configuré :

   

Restaurer la clé de Registre (si nécessaire)

Si vous avez besoin de restaurer les paramètres de Registre précédents, procédez comme suit.

1. Ouvrez l’Éditeur du Registre comme décrit précédemment.
2. Sélectionnez Fichier dans le menu.
3. Cliquez sur Importer.
4. Accédez à l’emplacement de votre fichier de sauvegarde enregistré.
5. Sélectionnez le fichier de sauvegarde, puis sélectionnez Ouvrir.

Pour plus d’informations, consultez Comment ajouter, modifier ou supprimer des sous-clés et des valeurs de Registre à l’aide d’un fichier .reg.

Accorder à l'application des autorisations d'accès à l'identité

Important

Seul un administrateur de rôle privilégié ou un rôle supérieur peut accorder ces autorisations.

L’identité managée affectée par le système, qui utilise le nom de l’ordinateur avec Arc, doit disposer des autorisations d’application Microsoft Graph suivantes (rôles d’application) :

• User.Read.All : permet d’accéder aux informations utilisateur Microsoft Entra.

• GroupMember.Read.All : permet d’accéder aux informations de groupe Microsoft Entra.

• Application.Read.ALL : permet d’accéder aux informations sur le principal de service Microsoft Entra (application).

Vous pouvez utiliser PowerShell pour accorder des autorisations requises à l’identité managée. Vous pouvez également créer un groupe assignable à un rôle. Une fois le groupe créé, affectez le rôle Lecteurs d’annuaire ou les autorisations User.Read.All, GroupMember.Read.All, et Application.Read.All au groupe, puis ajoutez toutes les identités managées affectées par le système pour vos machines Azure Arc au groupe. Nous vous déconseillons d’utiliser le rôle Lecteurs d’annuaire dans votre environnement de production.

Le script PowerShell suivant accorde les autorisations requises à l’identité managée. Vérifiez que ce script est exécuté sur PowerShell 7.5 ou une version ultérieure et que le Microsoft.Graph module 2.28 ou version ultérieure est installé.

# Set your Azure tenant and managed identity name
$tenantID = '<Enter-Your-Azure-Tenant-Id>'
$managedIdentityName = '<Enter-Your-Arc-HostMachine-Name>'

# Connect to Microsoft Graph
try {
    Connect-MgGraph -TenantId $tenantID -ErrorAction Stop
    Write-Output "Connected to Microsoft Graph successfully."
}
catch {
    Write-Error "Failed to connect to Microsoft Graph: $_"
    return
}

# Get Microsoft Graph service principal
$graphAppId = '00000003-0000-0000-c000-000000000000'
$graphSP = Get-MgServicePrincipal -Filter "appId eq '$graphAppId'"
if (-not $graphSP) {
    Write-Error "Microsoft Graph service principal not found."
    return
}

# Get the managed identity service principal
$managedIdentity = Get-MgServicePrincipal -Filter "displayName eq '$managedIdentityName'"
if (-not $managedIdentity) {
    Write-Error "Managed identity '$managedIdentityName' not found."
    return
}

# Define roles to assign
$requiredRoles = @(
    "User.Read.All",
    "GroupMember.Read.All",
    "Application.Read.All"
)

# Assign roles using scoped syntax
foreach ($roleValue in $requiredRoles) {
    $appRole = $graphSP.AppRoles | Where-Object {
        $_.Value -eq $roleValue -and $_.AllowedMemberTypes -contains "Application"
    }

    if ($appRole) {
        try {
            New-MgServicePrincipalAppRoleAssignment   -ServicePrincipalId $managedIdentity.Id `
                -PrincipalId $managedIdentity.Id `
                -ResourceId $graphSP.Id `
                -AppRoleId $appRole.Id `
                -ErrorAction Stop

            Write-Output "Successfully assigned role '$roleValue' to '$managedIdentityName'."
        }
        catch {
            Write-Warning "Failed to assign role '$roleValue': $_"
        }
    }
    else {
        Write-Warning "Role '$roleValue' not found in Microsoft Graph AppRoles."
    }
}

Créer des connexions et des utilisateurs

Suivez les étapes du didacticiel Microsoft Entra pour créer des connexions et des utilisateurs pour l’identité managée.

Contenu connexe

• Identité managée pour SQL Server activée par Azure Arc
• Authentification Microsoft Entra pour SQL Server
• Que sont les identités managées pour les ressources Azure ?