Configurer l’identité managée pour les serveurs liés

S’applique à : S’applique à : SQL Server 2025 (17.x)

SQL Server 2025 introduit la prise en charge des identités managées pour les serveurs liés, ce qui permet l’authentification sécurisée et sans informations d’identification entre les instances SQL Server. Cette fonctionnalité est disponible pour SQL Server sur des machines virtuelles Azure et SQL Server activées par Azure Arc. Avec l’authentification par identité managée, vous pouvez établir des connexions de serveur liées sans gérer les mots de passe ou stocker les informations d’identification, ce qui améliore votre posture de sécurité et simplifie la gestion des informations d’identification.

Cet article explique comment configurer des connexions de serveurs liées à l’aide de l’authentification d’identité gérée. Vous allez configurer le serveur source pour lancer des connexions et le serveur de destination pour accepter l’authentification basée sur l’identité managée.

Prerequisites

Avant de commencer, vérifiez que vous disposez des éléments suivants :

SQL Server 2025 s’exécutant sur :
- Machine virtuelle Azure avec l’extension SQL Server IaaS Agent installée ou
- Machine virtuelle ou locale avec Azure Arc activé
Authentification Microsoft Entra configurée sur les serveurs source et de destination
Connectivité réseau entre les serveurs source et de destination avec des règles de pare-feu appropriées
Autorisations appropriées pour créer des connexions et configurer des serveurs liés sur les deux instances
Pour les machines virtuelles Azure : Les extensions SqlIaasExtension et AADLogin activées
Pour les instances avec Azure Arc : l’agent Azure Arc installé et configuré

Configuration requise pour les machines virtuelles Azure

Lors de l’utilisation de SQL Server sur des machines virtuelles Azure :

Vérifiez que les extensions SqlIaasExtension et AADLogin sont installées. Ces extensions sont incluses par défaut lors du déploiement à partir du modèle SQL Server de la Place de marché Azure.
Configurez l’authentification Microsoft Entra en suivant les instructions fournies dans Activer l’authentification Microsoft Entra pour SQL Server sur des machines virtuelles Azure.
Vérifiez que les deux machines virtuelles autorisent le trafic réseau entrant et sortant pour la communication SQL Server.
Configurez des règles de pare-feu sur chaque machine virtuelle pour autoriser le trafic SQL Server.

Configuration requise pour Azure Arc

Lors de l’utilisation de SQL Server activée par Azure Arc :

Installez et configurez Azure Arc sur vos instances SQL Server 2025 en suivant les prérequis pour SQL Server activés par Azure Arc.
Configurez l’authentification Microsoft Entra à l’aide des instructions fournies dans Configurer l’authentification Microsoft Entra avec l’inscription d’application.
Vérifiez la connectivité réseau entre les serveurs source et de destination.

Le serveur de destination doit avoir une connexion qui correspond au nom du serveur source. Lorsque le serveur source se connecte à l’aide de l’identité managée, il s’authentifie à l’aide de l’identité managée de l’ordinateur. Le serveur de destination valide cette identité en la faisant correspondre à une connexion créée à partir d’un fournisseur externe.

Connectez-vous à l’instance SQL Server de destination.

Créez une connexion à l’aide du nom du serveur source :

USE [master];
GO

CREATE LOGIN [AzureSQLVMSource]
FROM EXTERNAL PROVIDER
WITH DEFAULT_DATABASE = [master],
     DEFAULT_LANGUAGE = [us_english];
GO

Accordez à la connexion les autorisations appropriées au niveau du serveur. Par exemple, pour accorder sysadmin un rôle :
```
ALTER SERVER ROLE [sysadmin] ADD MEMBER [AzureSQLVMSource];
GO
```
Conseil / Astuce

Appliquez le principe du privilège minimum en accordant uniquement les autorisations requises pour votre cas d’usage spécifique plutôt que d’utiliser sysadmin.

Configurer le serveur lié sur le serveur source

Après avoir créé la connexion sur le serveur de destination, configurez la connexion du serveur lié sur le serveur source. Cette configuration utilise le fournisseur MSOLEDBSQL avec l’authentification par identité gérée.

Connectez-vous à l’instance SQL Server source.

Créez le serveur lié à l’aide de sp_addlinkedserver:

USE [master];
GO

EXEC master.dbo.sp_addlinkedserver
    @server = N'AzureSQLVMDestination',
    @srvproduct = N'',
    @provider = N'MSOLEDBSQL',
    @datasrc = N'AzureSQLVMDestination',
    @provstr = N'Authentication=ActiveDirectoryMSI;';
GO

Le @provstr paramètre spécifie l’authentification ActiveDirectoryMSI , qui indique au serveur lié d’utiliser l’identité managée.

Configurez la correspondance de connexion du serveur lié :
```
EXEC master.dbo.sp_addlinkedsrvlogin
    @rmtsrvname = N'AzureSQLVMDestination',
    @useself = N'False',
    @locallogin = NULL,
    @rmtuser = NULL,
    @rmtpassword = NULL;
GO
```
Cette configuration configure le serveur lié pour utiliser l’identité managée sans nécessiter d’informations d’identification utilisateur explicites.

Tester la connexion du serveur lié

Après la configuration, vérifiez que la connexion au serveur lié fonctionne correctement.

Testez la connexion à l’aide de sp_testlinkedserver:

EXECUTE master.dbo.sp_testlinkedserver AzureSQLVMDestination;
GO

Si le test réussit, vous pouvez interroger le serveur distant. Par exemple:
```
SELECT * FROM [AzureSQLVMDestination].[master].[sys].[databases];
GO
```

Si le test échoue, vérifiez :

L’authentification Microsoft Entra est correctement configurée sur les deux serveurs
La connexion sur le serveur de destination correspond exactement au nom du serveur source
La connectivité réseau existe entre les serveurs
Les règles de pare-feu autorisent le trafic SQL Server
Les extensions requises (SqlIaasExtension et AADLogin) sont activées pour les machines virtuelles Azure

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2025-12-16

Partager via