Configurer l’identité managée et l’authentification Microsoft Entra pour SQL Server activée par Azure Arc

S'applique à : SQL Server 2025 (17.x)

SQL Server 2022
SQL Server 2025
Azure SQL Database & Azure SQL Managed Instance
SQL Server sur les machines virtuelles Azure

Cet article fournit des instructions pas à pas pour mettre en place et configurer les identités managées Microsoft Entra ID pour SQL Server, activées par Azure Arc.

Pour obtenir une vue d’ensemble de l’identité managée avec SQL Server, consultez Identité managée pour SQL Server activée par Azure Arc.

Prerequisites

Avant de pouvoir utiliser une identité managée avec SQL Server activé par Azure Arc, vérifiez que vous remplissez les conditions préalables suivantes :

Pris en charge pour SQL Server 2025 et versions ultérieures, fonctionnant sous Windows.
Connectez votre SQL Server à Azure Arc.
Dernière version de l’extension Azure pour SQL Server.

Activer l’identité managée principale

Si vous avez installé l'extension Azure pour SQL Server sur votre serveur, vous pouvez activer l'identité managée principale de votre instance de SQL Server directement à partir du portail Azure. Il est également possible d’activer manuellement l’identité managée principale en mettant à jour le Registre, mais doit être effectuée avec une prudence extrême.

portail Azure
Manuellement

Pour activer l’identité managée principale dans le portail Azure, procédez comme suit :

Accédez à votre SQL Server activé par Azure Arc ressource dans le portail Azure.
Sous Settings, sélectionnez Microsoft Entra ID et Purview pour ouvrir la page Microsoft Entra ID et Purview.

Note

Si vous ne voyez pas l'option Enable Microsoft Entra ID authentication, vérifiez que votre instance de SQL Server est connectée à Azure Arc et que vous avez installé la dernière extension SQL.
Dans la page Microsoft Entra ID et Purview, cochez la case en regard de Utilisez une identité managée principale puis utilisez Save pour appliquer votre configuration :

Il est possible d'activer manuellement l'identité managée principale pour votre instance de SQL Server en mettant à jour le Registre, mais doit être effectuée avec une prudence extrême.

Accorder l’autorisation au dossier Tokens

Accorder Lire et exécuter des autorisations du système d’exploitation sur le dossier C:\ProgramData\AzureConnectedMachineAgent\Tokens\ au compte de service de l'instance SQL Server 2025. Par défaut, le compte de service est NT Service\MSSQLSERVER, ou pour les instances nommées. NT Service\MSSQL$<instancename>

Capture d’écran de l’onglet Propriétés de sécurité du dossier Jetons.

Vous devrez peut-être accorder des autorisations d’administrateur pour le compte de service SQL Server sur le dossier AzureConnectedMachineAgent avant le dossier Tokens :

Capture d’écran de l’onglet Propriétés de sécurité du dossier AzureConnectedMachineAgent.

Ajouter le compte de service SQL Server au groupe d'applications d'extension de l'agent hybride

Ajoutez le compte de service SQL Server (par défaut : NT Service\MSSQLSERVER ou pour les instances nommées, NT Service\MSSQL$instancename) aux applications d’extension de l’agent Hybrid.

Ouvrez Windows Computer Management.
Accédez à Utilisateurs et groupes locaux , puis sélectionnez Groupes.
Ajoutez le compte de service SQL Server au groupe des applications d'extension de l'agent hybride .

Capture d’écran de la gestion des ordinateurs montrant le groupe d’applications d’extension d’agent hybride.

Capture d’écran des propriétés du groupe d’applications d’extension d’agent hybride.

Mettre à jour le registre

Avertissement

Une modification incorrecte du Registre peut sérieusement endommager votre système. Avant d’apporter des modifications au Registre, nous vous recommandons de sauvegarder toutes les données importantes qui se trouvent sur l’ordinateur.

Dans le Registre, mettez à jour le \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17. MSSQLSERVER\MSSQLServer\FederatedAuthentication sous-clé.

Créez les entrées suivantes :

Entrée	Valeur
`ArcServerManagedIdentityClientId`	Vide (aucune valeur)
`HIMDSApiVersion`	`2020-06-01`
`HIMDSEndpoint`	`http://localhost:40342/metadata/identity/oauth2/token`
`ArcServerSystemAssignedManagedIdentityTenantId`	`Arc-AAD-Tenant-ID`
`ArcServerSystemAssignedManagedIdentityClientId`	`Arc-Machine-Client-Id`
`PrimaryAADTenant`	`Arc-AAD-Tenant-ID`
`AADChannelMaxBufferedMessageSize`	`200000`
`AADGraphEndPoint`	`graph.windows.net`
`AADGroupLookupMaxRetryAttempts`	`10`
`AADGroupLookupMaxRetryDuration`	`30000`
`AADGroupLookupRetryInitialBackoff`	`100`
`AADServerAdminSid`	`00000000-0000-0000-0000-000000000000`
`AuthenticationEndpoint`	`login.microsoftonline.com`
`CacheMaxSize`	`300`
`ClientCertBlackList`	Vide (aucune valeur)
`FederationMetadataEndpoint`	`login.windows.net`
`GraphAPIEndpoint`	`graph.windows.net`
`IssuerURL`	`https://sts.windows.net/`
`OnBehalfOfAuthority`	`https://login.windows.net/`
`STSURL`	`https://login.windows.net/`
`MsGraphEndPoint`	`graph.microsoft.com`
`SendX5c`	`false`
`ServicePrincipalName`	`https://database.windows.net/`
`ServicePrincipalNameForArcadia`	`https://sql.azuresynapse.net`
`ServicePrincipalNameForArcadiaDogfood`	`https://sql.azuresynapse-dogfood.net`
`ServicePrincipalNameNoSlash`	`https://database.windows.net`
`AADBecWSConnectionPoolMaxSize`	`500`

Sauvegarder et modifier le Registre

Les sections suivantes décrivent comment sauvegarder et modifier le Registre avec l’Éditeur du Registre.

Ouvrez l'Éditeur du Registre

Appuyez sur touche Windows + R pour ouvrir la fenêtre Exécuter.
Tapez regedit, puis appuyez sur Entrée.
Si vous y êtes invité par le contrôle de compte d’utilisateur, sélectionnez Oui.

Sauvegarder la clé de registre

Cette étape sauvegarde le Registre avant d’apporter des modifications. Vous pouvez réimporter ce fichier dans le Registre ultérieurement si vos modifications provoquent un problème.

Sélectionnez Fichier dans le menu.
Sélectionnez Exporter.
Dans la boîte de dialogue Exporter le fichier du Registre, choisissez un emplacement pour enregistrer la sauvegarde.
Entrez un nom pour le fichier de sauvegarde dans le champ Nom de fichier .
Assurez-vous que Tout est sélectionné dans Exporter des plages.
Cliquez sur Enregistrer.

Ajouter des entrées

Dans cette étape, vous ajoutez des entrées au Registre avec l’Éditeur du Registre.

Accédez à cette sous-clé : \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17. MSSQLSERVER\MSSQLServer\FederatedAuthentication.
Cliquez avec le bouton droit sur FederatedAuthentication et sélectionnez Valeur de chaîne.
Répétez pour chaque entrée répertoriée dans Mettre à jour le Registre

Cette image illustre un registre correctement configuré :

Restaurer la clé de Registre (si nécessaire)

Si vous avez besoin de restaurer les paramètres de Registre précédents, procédez comme suit.

Ouvrez l’Éditeur du Registre comme décrit précédemment.
Sélectionnez Fichier dans le menu.
Cliquez sur Importer.
Accédez à l’emplacement de votre fichier de sauvegarde enregistré.
Sélectionnez le fichier de sauvegarde, puis sélectionnez Ouvrir.

Pour plus d’informations, consultez Comment ajouter, modifier ou supprimer des sous-clés et des valeurs de Registre à l’aide d’un fichier .reg.

Accorder à l'application des autorisations d'accès à l'identité

Important

Seul un administrateur de rôle privilégié ou un rôle supérieur peut accorder ces autorisations.

Pour activer l’authentification Microsoft Entra pour SQL Server instances, chaque identité managée affectée par le système nécessite des autorisations User.Read.All, GroupMember.Read.All et Application.Read.All pour interroger Microsoft Graph. Pour plus d’informations sur ces autorisations, consultez :

User.Read.All : permet d’accéder à Microsoft Entra informations utilisateur.
GroupMember.Read.All : autorise l’accès aux informations de groupe Microsoft Entra.
Application.Read.All : autorise l’accès aux informations de Microsoft Entra principal de service (application).

Ces autorisations sont des autorisations au niveau de l’application (rôles d’application) et doivent être affectées directement à chaque identité managée. Ils ne peuvent pas être attribués manuellement à un groupe de sécurité Microsoft Entra et accordés aux membres par le biais de l'appartenance au groupe. Pour les environnements avec de nombreuses machines, une alternative consiste à affecter le rôle Directory Readers à un groupe de sécurité assignable par rôle Microsoft Entra et à ajouter les identités gérées en tant que membres. Contrairement aux autorisations de rôle d’application, ce rôle Microsoft Entra peut être accordé au niveau du groupe, ce qui simplifie la gestion à grande échelle. Toutefois, Directory Reader accorde un accès en lecture étendu à tous les objets d’annuaire, dépassant considérablement les trois autorisations de API Graph ciblées. Le rôle Lecteurs d’annuaire n’est pas recommandé pour les environnements de production où un accès avec le moins de privilèges possible est requis.

Le script PowerShell suivant accorde les autorisations requises à l’identité managée. Vérifiez que ce script est exécuté sur PowerShell 7.5 ou une version ultérieure et que le module Microsoft.Graph 2.28 ou version ultérieure est installé.

# Set your Azure tenant and managed identity name
$tenantID = '<Enter-Your-Azure-Tenant-Id>'
$managedIdentityName = '<Enter-Your-Arc-HostMachine-Name>'

# Connect to Microsoft Graph
try {
    Connect-MgGraph -TenantId $tenantID -ErrorAction Stop
    Write-Output "Connected to Microsoft Graph successfully."
}
catch {
    Write-Error "Failed to connect to Microsoft Graph: $_"
    return
}

# Get Microsoft Graph service principal
$graphAppId = '00000003-0000-0000-c000-000000000000'
$graphSP = Get-MgServicePrincipal -Filter "appId eq '$graphAppId'"
if (-not $graphSP) {
    Write-Error "Microsoft Graph service principal not found."
    return
}

# Get the managed identity service principal
$managedIdentity = Get-MgServicePrincipal -Filter "displayName eq '$managedIdentityName'"
if (-not $managedIdentity) {
    Write-Error "Managed identity '$managedIdentityName' not found."
    return
}

# Define roles to assign
$requiredRoles = @(
    "User.Read.All",
    "GroupMember.Read.All",
    "Application.Read.All"
)

# Assign roles using scoped syntax
foreach ($roleValue in $requiredRoles) {
    $appRole = $graphSP.AppRoles | Where-Object {
        $_.Value -eq $roleValue -and $_.AllowedMemberTypes -contains "Application"
    }

    if ($appRole) {
        try {
            New-MgServicePrincipalAppRoleAssignment   -ServicePrincipalId $managedIdentity.Id `
                -PrincipalId $managedIdentity.Id `
                -ResourceId $graphSP.Id `
                -AppRoleId $appRole.Id `
                -ErrorAction Stop

            Write-Output "Successfully assigned role '$roleValue' to '$managedIdentityName'."
        }
        catch {
            Write-Warning "Failed to assign role '$roleValue': $_"
        }
    }
    else {
        Write-Warning "Role '$roleValue' not found in Microsoft Graph AppRoles."
    }
}

Créer des connexions et des utilisateurs

Suivez les étapes du didacticiel Microsoft Entra pour créer des connexions et des utilisateurs pour l’identité managée.

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2026-04-17