Configurer et gérer l’authentification Azure Active Directory avec SQLConfigure and manage Azure Active Directory authentication with SQL

Cet article montre comment créer et renseigner Azure AD, puis comment utiliser Azure AD avec Azure SQL Database, Managed Instance et SQL Data Warehouse.This article shows you how to create and populate Azure AD, and then use Azure AD with Azure SQL Database, Managed Instance, and SQL Data Warehouse. Pour obtenir une vue d’ensemble, consultez Authentification Azure Active Directory.For an overview, see Azure Active Directory Authentication.

Notes

Cet article s’applique à un serveur SQL Azure et aux bases de données SQL Database et SQL Data Warehouse créées sur le serveur SQL Azure.This article applies to Azure SQL server, and to both SQL Database and SQL Data Warehouse databases that are created on the Azure SQL server. Par souci de simplicité, la base de données SQL est utilisée pour faire référence à SQL Database et SQL Data Warehouse.For simplicity, SQL Database is used when referring to both SQL Database and SQL Data Warehouse.

Important

La connexion à SQL Server s’exécutant sur une machine virtuelle Azure n’est pas prise en charge à l’aide d’un compte Azure Active Directory.Connecting to SQL Server running on an Azure VM is not supported using an Azure Active Directory account. Utilisez plutôt un compte Active Directory du domaine.Use a domain Active Directory account instead.

Notes

Cet article a été mis à jour pour tenir compte de l’utilisation du nouveau module Az d’Azure PowerShell.This article has been updated to use the new Azure PowerShell Az module. Vous pouvez toujours utiliser le module AzureRM, qui continue à recevoir des correctifs de bogues jusqu’à au moins décembre 2020.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Pour en savoir plus sur le nouveau module Az et la compatibilité avec AzureRM, consultez Présentation du nouveau module Az d’Azure PowerShell.To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Pour des instructions d’installation du module Az, consultez Installer Azure PowerShell.For Az module installation instructions, see Install Azure PowerShell.

Important

Le module PowerShell Azure Resource Manager est toujours pris en charge par Azure SQL Database, mais tous les développements futurs sont pour le module Az.Sql.The PowerShell Azure Resource Manager module is still supported by Azure SQL Database, but all future development is for the Az.Sql module. Pour ces applets de commande, consultez AzureRM.Sql.For these cmdlets, see AzureRM.Sql. Les arguments pour les commandes dans le module Az et dans les modules AzureRm sont sensiblement identiques.The arguments for the commands in the Az module and in the AzureRm modules are substantially identical.

Créer et renseigner un répertoire Azure ADCreate and populate an Azure AD

Créez un annuaire Azure AD et renseignez-le avec les utilisateurs et les groupes.Create an Azure AD and populate it with users and groups. Azure AD peut être le domaine managé Azure AD initial.Azure AD can be the initial Azure AD managed domain. Azure AD peut également être une instance locale de services de domaine Active Directory, fédérée avec l’annuaire Azure AD.Azure AD can also be an on-premises Active Directory Domain Services that is federated with the Azure AD.

Pour plus d’informations, consultez Intégration des identités locales avec Azure Active Directory, Ajout de votre propre nom de domaine à Azure AD, Microsoft Azure prend désormais en charge la fédération avec Windows Server Active Directory, Administration de votre annuaire Azure AD, Gestion d’Azure AD à l’aide de Windows PowerShell et Ports et protocoles nécessaires à l’identité hybride.For more information, see Integrating your on-premises identities with Azure Active Directory, Add your own domain name to Azure AD, Microsoft Azure now supports federation with Windows Server Active Directory, Administering your Azure AD directory, Manage Azure AD using Windows PowerShell, and Hybrid Identity Required Ports and Protocols.

Associer ou ajouter un abonnement Azure à Azure Active DirectoryAssociate or add an Azure subscription to Azure Active Directory

  1. Pour associer votre abonnement Azure à Azure Active Directory, faites de l’annuaire un annuaire approuvé pour l’abonnement Azure qui héberge la base de données.Associate your Azure subscription to Azure Active Directory by making the directory a trusted directory for the Azure subscription hosting the database. Pour plus d’informations, consultez Association des abonnements Azure avec Azure AD.For details, see How Azure subscriptions are associated with Azure AD.

  2. Utilisez le sélecteur de répertoire dans le portail Azure pour basculer vers l’abonnement associé au domaine.Use the directory switcher in the Azure portal to switch to the subscription associated with domain.

    Informations supplémentaires : Chaque abonnement Azure dispose d’une relation d’approbation avec une instance Azure AD.Additional information: Every Azure subscription has a trust relationship with an Azure AD instance. Cela signifie qu'il approuve ce répertoire pour authentifier les utilisateurs, les services et les appareils.This means that it trusts that directory to authenticate users, services, and devices. Plusieurs abonnements peuvent approuver le même annuaire, mais un abonnement n’approuve qu’un seul annuaire.Multiple subscriptions can trust the same directory, but a subscription trusts only one directory. Cette relation de confiance qu’un abonnement possède avec un répertoire est contraire à celle établie entre un abonnement et toutes les autres ressources Azure (sites Web, bases de données, etc.), qui se rapprochent plus des ressources enfants d'un abonnement.This trust relationship that a subscription has with a directory is unlike the relationship that a subscription has with all other resources in Azure (websites, databases, and so on), which are more like child resources of a subscription. Lorsqu’un abonnement expire, les autres ressources associées à l'abonnement deviennent également inaccessibles.If a subscription expires, then access to those other resources associated with the subscription also stops. Mais le répertoire reste dans Azure, et vous pouvez associer un autre abonnement à ce répertoire et continuer à gérer les utilisateurs du répertoire.But the directory remains in Azure, and you can associate another subscription with that directory and continue to manage the directory users. Pour plus d’informations sur les ressources, consultez Comprendre l’accès aux ressources dans Azure.For more information about resources, see Understanding resource access in Azure. Pour en savoir plus sur cette relation approuvée, consultez Comment associer ou ajouter un abonnement Azure à Azure Active Directory.To learn more about this trusted relationship see How to associate or add an Azure subscription to Azure Active Directory.

Créer un administrateur d’Azure AD pour le serveur SQL AzureCreate an Azure AD administrator for Azure SQL server

Chaque serveur Azure SQL Server (qui héberge une base de données SQL ou un entrepôt SQL Data Warehouse) démarre avec un compte d’administrateur de serveur unique, qui est l’administrateur du serveur Azure SQL Server entier.Each Azure SQL server (which hosts a SQL Database or SQL Data Warehouse) starts with a single server administrator account that is the administrator of the entire Azure SQL server. Un deuxième administrateur SQL Server doit être créé. Il s’agit d’un compte Azure AD.A second SQL Server administrator must be created, that is an Azure AD account. Cet utilisateur principal est créé en tant qu’utilisateur de base de données autonome dans la base de données master.This principal is created as a contained database user in the master database. En tant qu’administrateurs, les comptes d’administrateur de serveur sont des membres du rôle db_owner de chaque base de données utilisateur, puis saisissez chaque base de données utilisateur en tant utilisateur dbo.As administrators, the server administrator accounts are members of the db_owner role in every user database, and enter each user database as the dbo user. Pour plus d’informations sur les comptes d’administrateur de serveur, consultez Gestion des bases de données et des connexions dans Azure SQL Database.For more information about the server administrator accounts, see Managing Databases and Logins in Azure SQL Database.

Lorsque vous utilisez Azure Active Directory avec la géo-réplication, le compte administrateur de Microsoft Azure Active Directory doit être configuré pour le serveur principal et le serveur secondaire.When using Azure Active Directory with geo-replication, the Azure Active Directory administrator must be configured for both the primary and the secondary servers. Si un serveur ne dispose pas d’un administrateur Azure Active Directory, les utilisateurs Azure Active Directory reçoivent un message d’erreur « Impossible de se connecter au serveur ».If a server does not have an Azure Active Directory administrator, then Azure Active Directory logins and users receive a "Cannot connect" to server error.

Notes

Les utilisateurs qui ne sont pas basés sur un compte Azure AD (y compris le compte d’administrateur de serveur SQL Azure) ne peuvent pas créer d’utilisateurs Azure AD, car ils n’ont pas l’autorisation de valider des utilisateurs de base de données proposés avec Azure AD.Users that are not based on an Azure AD account (including the Azure SQL server administrator account), cannot create Azure AD-based users, because they do not have permission to validate proposed database users with the Azure AD.

Approvisionner un administrateur d’Azure Active Directory pour votre instance géréeProvision an Azure Active Directory administrator for your Managed Instance

Important

Suivez ces étapes uniquement si vous approvisionnez une instance gérée.Only follow these steps if you are provisioning a Managed Instance. Cette opération peut être exécutée uniquement par l’administrateur global/de la société dans Azure AD.This operation can only be executed by Global/Company administrator in Azure AD. Les étapes suivantes décrivent le processus d’octroi d’autorisations pour les utilisateurs bénéficiant de privilèges différents dans le répertoire.Following steps describe the process of granting permissions for users with different privileges in directory.

Votre instance gérée a besoin d’autorisations de lecture pour Azure AD afin d’effectuer correctement des tâches telles que l’authentification des utilisateurs via l’appartenance au groupe de sécurité ou la création de nouveaux utilisateurs.Your Managed Instance needs permissions to read Azure AD to successfully accomplish tasks such as authentication of users through security group membership or creation of new users. Pour ce faire, vous devez accorder des autorisations de lecture pour Azure AD à une instance gérée.For this to work, you need to grant permissions to Managed Instance to read Azure AD. Il y a deux manières de procéder : à partir du portail ou à partir de PowerShell.There are two ways to do it: from Portal and PowerShell. Les deux méthodes sont décrites ci-dessous.The following steps both methods.

  1. Dans le portail Azure, dans le coin supérieur droit, sélectionnez votre connexion pour développer une liste déroulante de répertoires Active Directories potentiels.In the Azure portal, in the upper-right corner, select your connection to drop down a list of possible Active Directories.

  2. Choisissez l’annuaire Active Directory approprié en tant qu’Azure AD par défaut.Choose the correct Active Directory as the default Azure AD.

    Cette étape lie l’abonnement associé à Active Directory à l’instance gérée, en s’assurant que le même abonnement est bien utilisé pour Azure AD et pour l’instance gérée.This step links the subscription associated with Active Directory with Managed Instance making sure that the same subscription is used for both Azure AD and the Managed Instance.

  3. Accédez à une instance gérée et sélectionnez celle que vous souhaitez utiliser pour l’intégration d’Azure AD.Navigate to Managed Instance and select one that you want to use for Azure AD integration.

    aad

  4. Sélectionnez la bannière en haut de la page d’administration Active Directory et accordez les autorisations à l’utilisateur actuel.Select the banner on top of the Active Directory admin page and grant permission to the current user. Si vous êtes connecté à Azure AD en tant qu’administrateur global/de société, vous pouvez le faire depuis le portail Azure ou utiliser PowerShell à l’aide du script ci-dessous.If you are logged in as Global/Company administrator in Azure AD, you can do it from the Azure portal or using PowerShell with the script below.

    accorder des autorisations – portail

    # Gives Azure Active Directory read permission to a Service Principal representing the Managed Instance.
    # Can be executed only by a "Company Administrator" or "Global Administrator" type of user.
    
    $aadTenant = "<YourTenantId>" # Enter your tenant ID
    $managedInstanceName = "MyManagedInstance"
    
    # Get Azure AD role "Directory Users" and create if it doesn't exist
    $roleName = "Directory Readers"
    $role = Get-AzureADDirectoryRole | Where-Object {$_.displayName -eq $roleName}
    if ($role -eq $null) {
        # Instantiate an instance of the role template
        $roleTemplate = Get-AzureADDirectoryRoleTemplate | Where-Object {$_.displayName -eq $roleName}
        Enable-AzureADDirectoryRole -RoleTemplateId $roleTemplate.ObjectId
        $role = Get-AzureADDirectoryRole | Where-Object {$_.displayName -eq $roleName}
    }
    
    # Get service principal for managed instance
    $roleMember = Get-AzureADServicePrincipal -SearchString $managedInstanceName
    $roleMember.Count
    if ($roleMember -eq $null)
    {
        Write-Output "Error: No Service Principals with name '$    ($managedInstanceName)', make sure that managedInstanceName parameter was     entered correctly."
        exit
    }
    if (-not ($roleMember.Count -eq 1))
    {
        Write-Output "Error: More than one service principal with name pattern '$    ($managedInstanceName)'"
        Write-Output "Dumping selected service principals...."
        $roleMember
        exit
    }
    
    # Check if service principal is already member of readers role
    $allDirReaders = Get-AzureADDirectoryRoleMember -ObjectId $role.ObjectId
    $selDirReader = $allDirReaders | where{$_.ObjectId -match     $roleMember.ObjectId}
    
    if ($selDirReader -eq $null)
    {
        # Add principal to readers role
        Write-Output "Adding service principal '$($managedInstanceName)' to     'Directory Readers' role'..."
        Add-AzureADDirectoryRoleMember -ObjectId $role.ObjectId -RefObjectId     $roleMember.ObjectId
        Write-Output "'$($managedInstanceName)' service principal added to     'Directory Readers' role'..."
    
        #Write-Output "Dumping service principal '$($managedInstanceName)':"
        #$allDirReaders = Get-AzureADDirectoryRoleMember -ObjectId $role.ObjectId
        #$allDirReaders | where{$_.ObjectId -match $roleMember.ObjectId}
    }
    else
    {
        Write-Output "Service principal '$($managedInstanceName)' is already     member of 'Directory Readers' role'."
    }
    
  5. Une fois l’opération terminée, la notification suivante s’affichera dans le coin supérieur droit :After the operation is successfully completed, the following notification will show up in the top-right corner:

    réussi

  6. Vous pouvez maintenant choisir votre administrateur Azure AD pour votre Instance gérée.Now you can choose your Azure AD admin for your Managed Instance. Pour cela, à la page Administrateur Active Directory, sélectionnez la commande Définir l’administrateur.For that, on the Active Directory admin page, select Set admin command.

    set-admin

  7. Sur la page d’administration AAD, recherchez un utilisateur, sélectionnez l’utilisateur ou le groupe à définir en tant qu’administrateur, puis choisissez Sélectionner.In the AAD admin page, search for a user, select the user or group to be an administrator, and then select Select.

    La page Administrateur Active Directory affiche tous les membres et groupes présents dans Active Directory.The Active Directory admin page shows all members and groups of your Active Directory. Les utilisateurs ou les groupes grisés ne peuvent pas être sélectionnés, car ils ne sont pas pris en charge en tant qu’administrateurs Azure AD.Users or groups that are grayed out can't be selected because they aren't supported as Azure AD administrators. Voir la liste des administrateurs pris en charge dans Fonctionnalités et limitations Azure AD.See the list of supported admins in Azure AD Features and Limitations. Le contrôle d’accès basé sur les rôles (RBAC) s'applique uniquement au portail Azure et n’est pas propagé vers SQL Server.Role-based access control (RBAC) applies only to the Azure portal and isn't propagated to SQL Server.

    add-admin

  8. En haut de la page Administrateur Active Directory, sélectionnez Enregistrer.At the top of the Active Directory admin page, select Save.

    Enregistrer

    La procédure de changement de l’administrateur peut prendre plusieurs minutes.The process of changing the administrator may take several minutes. Le nouvel administrateur apparaît dans la zone Administrateur Active Directory.Then the new administrator appears in the Active Directory admin box.

Après avoir approvisionné un administrateur Azure AD pour Managed Instance, vous pouvez commencer à créer des principaux de serveur (connexions) Azure AD (préversion publique) avec la syntaxe CREATE LOGIN.After provisioning an Azure AD admin for your Managed Instance, you can begin to create Azure AD server principals (logins) (public preview) with the CREATE LOGIN syntax. Pour plus d’informations, consultez la vue d’ensemble de Managed Instance.For more information, see Managed Instance Overview.

Conseil

Pour supprimer un administrateur, en haut de la page Administrateur Active Directory, sélectionnez Supprimer l’administrateur, puis Enregistrer.To later remove an Admin, at the top of the Active Directory admin page, select Remove admin, and then select Save.

Provisionner un administrateur Azure Active Directory pour votre serveur Azure SQL DatabaseProvision an Azure Active Directory administrator for your Azure SQL Database server

Important

Suivez ces étapes uniquement si vous configurez un serveur Azure SQL Database ou Data Warehouse.Only follow these steps if you are provisioning an Azure SQL Database server or Data Warehouse.

Les deux procédures suivantes vous montrent comment approvisionner un administrateur d’Active Directory Azure pour votre serveur SQL Azure dans le portail Azure et à l’aide de PowerShell.The following two procedures show you how to provision an Azure Active Directory administrator for your Azure SQL server in the Azure portal and by using PowerShell.

Portail AzureAzure portal

  1. Dans le portail Azure, dans le coin supérieur droit, sélectionnez votre connexion pour développer une liste déroulante de répertoires Active Directories potentiels.In the Azure portal, in the upper-right corner, select your connection to drop down a list of possible Active Directories. Choisissez l’annuaire Active Directory approprié en tant qu’Azure AD par défaut.Choose the correct Active Directory as the default Azure AD. Cette étape lie l’association de l’abonnement avec Active Directory et le serveur SQL Azure, ce qui garantit que le même abonnement est utilisé à la fois pour Azure AD et pour SQL Server.This step links the subscription-associated Active Directory with Azure SQL server making sure that the same subscription is used for both Azure AD and SQL Server. (Le serveur Azure SQL peut héberger Azure SQL Database ou Azure SQL Data Warehouse.) choose-ad(The Azure SQL server can be hosting either Azure SQL Database or Azure SQL Data Warehouse.) choose-ad

  2. Dans la bannière de gauche, sélectionnez Tous les services puis entrez SQL server dans le filtre.In the left banner select All services, and in the filter type in SQL server. Sélectionnez Serveurs SQL.Select Sql Servers.

    sqlservers.png

    Notes

    Dans cette page, avant de choisir Serveurs SQL, vous pouvez sélectionner l ’étoile en regard du nom pour ajouter la catégorie à vos favoris puis placer Serveurs SQL dans la barre de navigation gauche.On this page, before you select SQL servers, you can select the star next to the name to favorite the category and add SQL servers to the left navigation bar.

  3. Sur la page SQL Server, sélectionnez Administrateur Active Directory.On SQL Server page, select Active Directory admin.

  4. Dans la page Administrateur Active Directory, sélectionnez Définir l’administrateur. Sélectionnez Active DirectoryIn the Active Directory admin page, select Set admin. select active directory

  5. À la page Ajouter un administrateur, recherchez un utilisateur, sélectionnez l’utilisateur ou le groupe à définir en tant qu’administrateur, puis choisissez Sélectionner.In the Add admin page, search for a user, select the user or group to be an administrator, and then select Select. (La page Administrateur Active Directory affiche tous les membres et groupes présents dans Active Directory.(The Active Directory admin page shows all members and groups of your Active Directory. Les utilisateurs ou les groupes grisés ne peuvent être sélectionnés, car ils ne sont pas pris en charge en tant qu’administrateurs Azure AD.Users or groups that are grayed out cannot be selected because they are not supported as Azure AD administrators. (Consultez la liste des administrateurs de prise en charge dans la section Fonctionnalités et limitations d’Azure AD de Utiliser l’authentification Azure Active Directory pour l’authentification auprès de SQL Database ou de SQL Data Warehouse.) Le contrôle d'accès basé sur les rôles (RBAC) s'applique uniquement au portail et n'est pas propagé vers SQL Server.(See the list of supported admins in the Azure AD Features and Limitations section of Use Azure Active Directory Authentication for authentication with SQL Database or SQL Data Warehouse.) Role-based access control (RBAC) applies only to the portal and is not propagated to SQL Server. sélectionner l’administrateurselect admin

  6. En haut de la page Administrateur Active Directory, sélectionnez ENREGISTRER.At the top of the Active Directory admin page, select SAVE. enregistrer l’administrateursave admin

La procédure de changement de l’administrateur peut prendre plusieurs minutes.The process of changing the administrator may take several minutes. Le nouvel administrateur apparaîtra dans la zone Administrateur Active Directory .Then the new administrator appears in the Active Directory admin box.

Notes

Lors de la configuration de l’administrateur Azure AD, le nom du nouvel administrateur (utilisateur ou groupe) ne peut pas déjà être présent dans la base de données MASTER virtuelle en tant qu’utilisateur de l’authentification SQL Server.When setting up the Azure AD admin, the new admin name (user or group) cannot already be present in the virtual master database as a SQL Server authentication user. Si tel est le cas, la configuration de l’administrateur d’Azure AD échoue, annulant sa création et indiquant que cet administrateur (ce nom) existe déjà.If present, the Azure AD admin setup will fail; rolling back its creation and indicating that such an admin (name) already exists. Dans la mesure où un utilisateur de l’authentification SQL Server ne fait pas partie d’Azure AD, tout effort pour se connecter au serveur à l’aide de l’authentification Azure AD échoue.Since such a SQL Server authentication user is not part of the Azure AD, any effort to connect to the server using Azure AD authentication fails.

Pour supprimer un administrateur, en haut de la page Administrateur Active Directory, sélectionnez Supprimer l’administrateur, puis Enregistrer.To later remove an Admin, at the top of the Active Directory admin page, select Remove admin, and then select Save.

PowerShellPowerShell

Pour exécuter les applets de commande PowerShell, Azure PowerShell doit être installé et en cours d’exécution.To run PowerShell cmdlets, you need to have Azure PowerShell installed and running. Pour plus de détails, consultez la rubrique Installation et configuration d’Azure PowerShell.For detailed information, see How to install and configure Azure PowerShell. Pour configurer un administrateur Azure AD, exécutez les commandes Azure PowerShell suivantes :To provision an Azure AD admin, execute the following Azure PowerShell commands:

  • Connect-AzAccountConnect-AzAccount
  • Select-AzSubscriptionSelect-AzSubscription

Applets de commande utilisées pour configurer et gérer Azure AD admin :Cmdlets used to provision and manage Azure AD admin:

Nom de l’applet de commandeCmdlet name DescriptionDescription
Set-AzSqlServerActiveDirectoryAdministratorSet-AzSqlServerActiveDirectoryAdministrator Approvisionne un administrateur Azure Active Directory pour le serveur Azure SQL Server ou Azure SQL Data Warehouse.Provisions an Azure Active Directory administrator for Azure SQL server or Azure SQL Data Warehouse. (À partir de l’abonnement actuel)(Must be from the current subscription.)
Remove-AzSqlServerActiveDirectoryAdministratorRemove-AzSqlServerActiveDirectoryAdministrator Supprime un administrateur Azure Active Directory pour le serveur Azure SQL Server ou Azure SQL Data Warehouse.Removes an Azure Active Directory administrator for Azure SQL server or Azure SQL Data Warehouse.
Get-AzSqlServerActiveDirectoryAdministratorGet-AzSqlServerActiveDirectoryAdministrator Renvoie les informations sur un administrateur Azure Active Directory actuellement configuré pour le serveur Azure SQL Server ou Azure SQL Data Warehouse.Returns information about an Azure Active Directory administrator currently configured for the Azure SQL server or Azure SQL Data Warehouse.

Utilisez la commande PowerShell get-help pour obtenir plus de détails sur chacune de ces commandes, par exemple get-help Set-AzSqlServerActiveDirectoryAdministrator.Use PowerShell command get-help to see more information for each of these commands, for example get-help Set-AzSqlServerActiveDirectoryAdministrator.

Le script suivant configure un groupe d’administrateurs Azure AD nommé DBA_Group (ID d’objet 40b79501-b343-44ed-9ce7-da4c8cc7353f) pour le serveur demo_server d’un groupe de ressources nommé Group-23 :The following script provisions an Azure AD administrator group named DBA_Group (object ID 40b79501-b343-44ed-9ce7-da4c8cc7353f) for the demo_server server in a resource group named Group-23:

Set-AzSqlServerActiveDirectoryAdministrator -ResourceGroupName "Group-23"
-ServerName "demo_server" -DisplayName "DBA_Group"

Le paramètre d’entrée DisplayName accepte le nom d’affichage Azure AD ou le nom principal de l’utilisateur.The DisplayName input parameter accepts either the Azure AD display name or the User Principal Name. Par exemple, DisplayName="John Smith" et DisplayName="johns@contoso.com".For example, DisplayName="John Smith" and DisplayName="johns@contoso.com". Pour les groupes Azure AD, seul le nom d’affichage est pris en charge.For Azure AD groups only the Azure AD display name is supported.

Notes

La commande Azure PowerShell Set-AzSqlServerActiveDirectoryAdministrator ne vous empêche pas de configurer des administrateurs Azure AD pour des utilisateurs non pris en charge.The Azure PowerShell command Set-AzSqlServerActiveDirectoryAdministrator does not prevent you from provisioning Azure AD admins for unsupported users. Un utilisateur non pris en charge peut être configuré, mais il ne peut pas se connecter à une base de données.An unsupported user can be provisioned, but can not connect to a database.

L'exemple suivant utilise l' ObjectIDfacultatif en option :The following example uses the optional ObjectID:

Set-AzSqlServerActiveDirectoryAdministrator -ResourceGroupName "Group-23"
-ServerName "demo_server" -DisplayName "DBA_Group" -ObjectId "40b79501-b343-44ed-9ce7-da4c8cc7353f"

Notes

L’ObjectID Azure AD est requis lorsque le DisplayName n’est pas unique.The Azure AD ObjectID is required when the DisplayName is not unique. Pour récupérer les valeurs ObjectID et DisplayName, utilisez la section Active Directory du portail Azure Classic et affichez les propriétés d’un utilisateur ou d’un groupe.To retrieve the ObjectID and DisplayName values, use the Active Directory section of Azure Classic Portal, and view the properties of a user or group.

L’exemple suivant renvoie des informations sur l’administrateur Azure AD admin pour le serveur SQL Azure :The following example returns information about the current Azure AD admin for Azure SQL server:

Get-AzSqlServerActiveDirectoryAdministrator -ResourceGroupName "Group-23" -ServerName "demo_server" | Format-List

L’exemple suivant supprime un administrateur Azure AD :The following example removes an Azure AD administrator:

Remove-AzSqlServerActiveDirectoryAdministrator -ResourceGroupName "Group-23" -ServerName "demo_server"

Vous pouvez également approvisionner un administrateur Azure Active Directory à l’aide de l’API REST.You can also provision an Azure Active Directory Administrator by using the REST APIs. Pour plus d’informations, consultez Informations de référence sur l’API REST de gestion des services et Opérations pour Azure SQL DatabaseFor more information, see Service Management REST API Reference and Operations for Azure SQL Database Operations for Azure SQL Database

Interface de ligne de commandeCLI

Vous pouvez également configurer un administrateur Azure AD en appelant les commandes CLI suivantes :You can also provision an Azure AD admin by calling the following CLI commands:

CommandeCommand DescriptionDescription
az sql server ad-admin createaz sql server ad-admin create Approvisionne un administrateur Azure Active Directory pour le serveur Azure SQL Server ou Azure SQL Data Warehouse.Provisions an Azure Active Directory administrator for Azure SQL server or Azure SQL Data Warehouse. (À partir de l’abonnement actuel)(Must be from the current subscription.)
az sql server ad-admin deleteaz sql server ad-admin delete Supprime un administrateur Azure Active Directory pour le serveur Azure SQL Server ou Azure SQL Data Warehouse.Removes an Azure Active Directory administrator for Azure SQL server or Azure SQL Data Warehouse.
az sql server ad-admin listaz sql server ad-admin list Renvoie les informations sur un administrateur Azure Active Directory actuellement configuré pour le serveur Azure SQL Server ou Azure SQL Data Warehouse.Returns information about an Azure Active Directory administrator currently configured for the Azure SQL server or Azure SQL Data Warehouse.
az sql server ad-admin updateaz sql server ad-admin update Met à jour l’administrateur Active Directory pour un serveur Azure SQL Server ou pour Azure SQL Data Warehouse.Updates the Active Directory administrator for an Azure SQL server or Azure SQL Data Warehouse.

Pour plus d’informations sur les commandes CLI, consultez SQL Server - az sql server.For more information about CLI commands, see SQL - az sql.

Configurer vos ordinateurs clientsConfigure your client computers

Sur toutes les machines clientes à partir desquelles vos applications ou les utilisateurs se connectent à Azure SQL Database ou Azure SQL Data Warehouse à l’aide d’identités Azure AD, vous devez installer les logiciels suivants :On all client machines, from which your applications or users connect to Azure SQL Database or Azure SQL Data Warehouse using Azure AD identities, you must install the following software:

Vous pouvez répondre à ces exigences en procédant comme suit :You can meet these requirements by:

Créer des utilisateurs de base de données autonome dans votre base de données mappés sur les identités Azure ADCreate contained database users in your database mapped to Azure AD identities

Important

Managed Instance prend désormais en charge les principaux de serveur (connexions) Azure AD (préversion publique), ce qui vous permet de créer des connexions à partir d’utilisateurs, de groupes ou d’applications Azure AD.Managed Instance now supports Azure AD server principals (logins) (public preview), which enables you to create logins from Azure AD users, groups, or applications. Les principaux de serveur (connexions) Azure AD vous permettent de vous authentifier auprès de Managed Instance sans avoir à créer les utilisateurs de base de données en tant qu’utilisateurs d’une base de données autonome.Azure AD server principals (logins) provides the ability to authenticate to your Managed Instance without requiring database users to be created as a contained database user. Pour plus d’informations, consultez la vue d’ensemble de Managed Instance.For more information, see Managed Instance Overview. Pour la syntaxe de création des principaux de serveur (connexions) Azure AD, consultez CREATE LOGIN.For syntax on creating Azure AD server principals (logins), see CREATE LOGIN.

L’authentification Azure Active Directory nécessite que les utilisateurs de base de données soient créés en tant qu’utilisateurs de base de données autonome.Azure Active Directory authentication requires database users to be created as contained database users. Un utilisateur de base de données autonome sur une identité Azure AD est un utilisateur de base de données qui ne dispose pas de connexion dans la base de données MASTER, et qui est mappé à une identité située dans l’annuaire Azure AD associé à la base de données.A contained database user based on an Azure AD identity, is a database user that does not have a login in the master database, and which maps to an identity in the Azure AD directory that is associated with the database. L’identité Azure AD peut être un compte d’utilisateur individuel ou un groupe.The Azure AD identity can be either an individual user account or a group. Pour plus d’informations sur les utilisateurs de base de données autonome, consultez Utilisateurs de base de données - Rendre votre base de données portable.For more information about contained database users, see Contained Database Users- Making Your Database Portable.

Notes

Il n’est pas possible de créer des utilisateurs de base de données (à l’exception d’administrateurs) via le portail Azure.Database users (with the exception of administrators) cannot be created using the Azure portal. Les rôles RBAC ne sont pas propagés à SQL Server, Base de données SQL ou SQL Data Warehouse.RBAC roles are not propagated to SQL Server, SQL Database, or SQL Data Warehouse. Les rôles RBAC Azure sont utilisés pour la gestion des ressources Azure et ne s’appliquent pas aux autorisations de base de données.Azure RBAC roles are used for managing Azure Resources, and do not apply to database permissions. Par exemple, le rôle Contributeur de SQL Server ne permet pas de se connecter à Base de données SQL ou à SQL Data Warehouse.For example, the SQL Server Contributor role does not grant access to connect to the SQL Database or SQL Data Warehouse. L’accès doit être accordé directement dans la base de données à l’aide d’instructions Transact-SQL.The access permission must be granted directly in the database using Transact-SQL statements.

Avertissement

Les caractères spéciaux tels que les deux-points : ou l’esperluette & ne sont pas pris en charge lorsqu’ils sont inclus en tant que noms d’utilisateur dans les instructions CREATE LOGIN et CREATE USER de T-SQL.Special characters like colon : or ampersand & when included as user names in the T-SQL CREATE LOGIN and CREATE USER statements are not supported.

Pour créer un utilisateur de base de données autonome Azure AD (autre que l’administrateur du serveur propriétaire de la base de données), connectez-vous à la base de données avec une identité Azure AD en tant qu’utilisateur avec au moins l’autorisation MODIFIER UN UTILISATEUR.To create an Azure AD-based contained database user (other than the server administrator that owns the database), connect to the database with an Azure AD identity, as a user with at least the ALTER ANY USER permission. Utilisez ensuite la syntaxe Transact-SQL suivante :Then use the following Transact-SQL syntax:

CREATE USER <Azure_AD_principal_name> FROM EXTERNAL PROVIDER;

Azure_AD_principal_name peut être le nom d’utilisateur principal d’un utilisateur Azure AD ou le nom d’affichage d’un groupe Azure AD.Azure_AD_principal_name can be the user principal name of an Azure AD user or the display name for an Azure AD group.

Exemples : pour créer une base de données autonome représentant un utilisateur de domaine fédéré ou géré Azure AD :Examples: To create a contained database user representing an Azure AD federated or managed domain user:

CREATE USER [bob@contoso.com] FROM EXTERNAL PROVIDER;
CREATE USER [alice@fabrikam.onmicrosoft.com] FROM EXTERNAL PROVIDER;

Pour créer un utilisateur de base de données autonome représentant un groupe de domaine Azure AD ou fédéré, définissez le nom complet d’un groupe de sécurité :To create a contained database user representing an Azure AD or federated domain group, provide the display name of a security group:

CREATE USER [ICU Nurses] FROM EXTERNAL PROVIDER;

Pour créer un utilisateur de base de données autonome représentant une application qui se connecte à l’aide d’un jeton Azure AD :To create a contained database user representing an application that connects using an Azure AD token:

CREATE USER [appName] FROM EXTERNAL PROVIDER;

Conseil

Vous ne pouvez pas créer directement un utilisateur à partir d’un annuaire Azure Active Directory autre que l’annuaire Azure Active Directory associé à votre abonnement Azure.You cannot directly create a user from an Azure Active Directory other than the Azure Active Directory that is associated with your Azure subscription. Toutefois, les membres d’autres annuaires Active Directory qui sont des utilisateurs importés dans l’annuaire Active Directory associé (appelés utilisateurs externes) peuvent être ajoutés à un groupe Active Directory dans le client Active Directory.However, members of other Active Directories that are imported users in the associated Active Directory (known as external users) can be added to an Active Directory group in the tenant Active Directory. En créant un utilisateur de base de données autonome pour ce groupe AD, les utilisateurs de l’annuaire Active Directory externe peuvent accéder SQL Database.By creating a contained database user for that AD group, the users from the external Active Directory can gain access to SQL Database.

Pour plus d’informations sur la création d’utilisateurs de base de données autonome basés sur des identités Azure Active Directory, voir CRÉER UN UTILISATEUR (Transact-SQL).For more information about creating contained database users based on Azure Active Directory identities, see CREATE USER (Transact-SQL).

Notes

La suppression de l’administrateur Azure Active Directory pour le serveur Azure SQL Server empêche tout utilisateur de l’authentification Azure AD de se connecter au serveur.Removing the Azure Active Directory administrator for Azure SQL server prevents any Azure AD authentication user from connecting to the server. Si nécessaire, des utilisateurs Azure AD inutilisables peuvent être supprimés manuellement par un administrateur du service Base de données SQL.If necessary, unusable Azure AD users can be dropped manually by a SQL Database administrator.

Notes

Si vous recevez le message Délai d’expiration de la connexion dépassé, vous devrez peut-être définir le paramètre TransparentNetworkIPResolution de la chaîne de connexion sur la valeur false.If you receive a Connection Timeout Expired, you may need to set the TransparentNetworkIPResolution parameter of the connection string to false. Pour plus d’informations, consultez Problème lié au délai d’expiration de la connexion avec .NET Framework 4.6.1 - TransparentNetworkIPResolution.For more information, see Connection timeout issue with .NET Framework 4.6.1 - TransparentNetworkIPResolution.

Lorsque vous créez un utilisateur de base de données, il reçoit l’autorisation CONNECT et peut se connecter à cette base de données en tant que membre du rôle PUBLIC.When you create a database user, that user receives the CONNECT permission and can connect to that database as a member of the PUBLIC role. À l'origine, les seules autorisations disponibles pour l'utilisateur sont celles qui sont accordées au rôle PUBLIC ou aux groupes Azure AD dont il est membre.Initially the only permissions available to the user are any permissions granted to the PUBLIC role, or any permissions granted to any Azure AD groups that they are a member of. Une fois que vous avez configuré un utilisateur de base de données autonome Azure AD, vous pouvez octroyer à cet utilisateur des autorisations supplémentaires, de la même façon que vous accordez l’autorisation à un autre type d’utilisateur.Once you provision an Azure AD-based contained database user, you can grant the user additional permissions, the same way as you grant permission to any other type of user. En général, on accorde les autorisations aux rôles de base de données, puis on ajoute des utilisateurs aux rôles.Typically grant permissions to database roles, and add users to roles. Pour plus d’informations, consultez Notions de base sur les autorisations de moteur de base de données.For more information, see Database Engine Permission Basics. Pour plus d'informations sur les rôles de base de données SQL, consultez Gestion des bases de données et des connexions dans Azure SQL Database.For more information about special SQL Database roles, see Managing Databases and Logins in Azure SQL Database. Un compte d’utilisateur de domaine fédéré importé dans un domaine managé comme utilisateur externe doit utiliser l’identité de domaine managé.A federated domain user account that is imported into a managed domain as an external user, must use the managed domain identity.

Notes

Les utilisateurs AD Azure sont marqués dans les métadonnées de la base de données avec le type E (EXTERNAL_USER) et pour les groupes avec le type X (EXTERNAL_GROUPS).Azure AD users are marked in the database metadata with type E (EXTERNAL_USER) and for groups with type X (EXTERNAL_GROUPS). Pour plus d’informations, consultez sys.database_principals.For more information, see sys.database_principals.

Se connecter à la base de données utilisateur ou à l’entrepôt de données à l’aide de SSMS ou de SSDTConnect to the user database or data warehouse by using SSMS or SSDT

Pour vérifier que l’administrateur Azure AD est correctement configuré, connectez-vous à la base de données master en utilisant un compte d’administrateur Azure AD.To confirm the Azure AD administrator is properly set up, connect to the master database using the Azure AD administrator account. Pour configurer un utilisateur de base de données autonome Azure AD (autre que l’administrateur de serveur propriétaire de la base de données), connectez-vous à la base de données avec une identité Azure AD ayant accès à la base de données.To provision an Azure AD-based contained database user (other than the server administrator that owns the database), connect to the database with an Azure AD identity that has access to the database.

Important

La prise en charge de l’authentification Azure Active Directory est disponible avec SQL Server 2016 Management Studio et SQL Server Data Tools dans Visual Studio 2015.Support for Azure Active Directory authentication is available with SQL Server 2016 Management Studio and SQL Server Data Tools in Visual Studio 2015. La version d’août 2016 de SSMS inclut également la prise en charge de l’authentification universelle Active Directory, qui permet aux administrateurs d’exiger l’authentification multifacteur par appel téléphonique, SMS, cartes à puce avec code PIN ou notification d’application mobile.The August 2016 release of SSMS also includes support for Active Directory Universal Authentication, which allows administrators to require Multi-Factor Authentication using a phone call, text message, smart cards with pin, or mobile app notification.

Utilisation d’une identité Azure AD pour se connecter à l’aide de SSMS ou de SSDTUsing an Azure AD identity to connect using SSMS or SSDT

Les procédures suivantes vous montrent comment se connecter à une base de données SQL avec une identité Azure AD à l’aide de SQL Server Management Studio ou de SQL Server Database Tools.The following procedures show you how to connect to a SQL database with an Azure AD identity using SQL Server Management Studio or SQL Server Database Tools.

Authentification intégrée d'Active DirectoryActive Directory integrated authentication

Utilisez cette méthode si vous êtes connecté à Windows avec vos informations d’identification Azure Active Directory à partir d’un domaine fédéré.Use this method if you are logged in to Windows using your Azure Active Directory credentials from a federated domain.

  1. Démarrez Management Studio ou Data Tools et, dans la boîte de dialogue Se connecter au serveur (ou Se connecter au moteur de base de données), dans la zone Authentification, sélectionnez Active Directory - Authentification intégrée.Start Management Studio or Data Tools and in the Connect to Server (or Connect to Database Engine) dialog box, in the Authentication box, select Active Directory - Integrated. Aucun mot de passe n’est nécessaire ou ne peut être saisi, car les informations d’identification existantes sont présentées pour la connexion.No password is needed or can be entered because your existing credentials will be presented for the connection.

    Sélectionner l’authentification intégrée AD

  2. Sélectionnez le bouton Options puis, la page Propriétés de connexion, dans la zone Se connecter à la base de données, tapez le nom de la base de données utilisateur à laquelle vous souhaitez vous connecter.Select the Options button, and on the Connection Properties page, in the Connect to database box, type the name of the user database you want to connect to. (L’option Nom du domaine AD ou ID de locataire est uniquement prise en charge pour les options Authentification universelle avec prise en charge de MFA ; dans le cas contraire, elle est grisée.)(The AD domain name or tenant ID” option is only supported for Universal with MFA connection options, otherwise it is greyed out.)

    Sélectionner le nom de la base de données

Authentification par mot de passe Active DirectoryActive Directory password authentication

Utilisez cette méthode lors de la connexion avec un nom principal Azure AD à l’aide du domaine géré d’Azure AD.Use this method when connecting with an Azure AD principal name using the Azure AD managed domain. Vous pouvez également l’utiliser pour des comptes fédérés sans accéder au domaine, par exemple lorsque vous travaillez à distance.You can also use it for federated accounts without access to the domain, for example when working remotely.

Utilisez cette méthode pour vous authentifier auprès de SQL DB/DW avec Azure AD pour les utilisateurs Azure AD fédérés ou natifs.Use this method to authenticate to SQL DB/DW with Azure AD for native or federated Azure AD users. Un utilisateur natif est un utilisateur créé explicitement dans Azure AD et authentifié avec un nom d’utilisateur et un mot de passe, tandis qu’un utilisateur fédéré est un utilisateur Windows dont le domaine est fédéré avec Azure AD.A native user is one explicitly created in Azure AD and being authenticated using user name and password, while a federated user is a Windows user whose domain is federated with Azure AD. Cette dernière méthode (via utilisateur et mot de passe) peut être utilisée quand un utilisateur souhaite se servir de ses informations d’identification Windows mais que son ordinateur local n’est pas joint au domaine (par exemple, à l’aide d’un accès à distance).The latter method (using user & password) can be used when a user wants to use their windows credential, but their local machine is not joined with the domain (for example, using a remote access). Dans ce cas, un utilisateur Windows peut indiquer son compte de domaine et mot de passe et peut s’authentifier auprès de SQL DB/DW à l’aide d’informations d’identification fédérées.In this case, a Windows user can indicate their domain account and password and can authenticate to SQL DB/DW using federated credentials.

  1. Démarrez Management Studio ou Data Tools et, dans la boîte de dialogue Se connecter au serveur (ou Se connecter au moteur de base de données), dans la zone Authentification, sélectionnez Active Directory - Authentification par mot de passe.Start Management Studio or Data Tools and in the Connect to Server (or Connect to Database Engine) dialog box, in the Authentication box, select Active Directory - Password.

  2. Dans le nom d’utilisateur , tapez votre nom d’utilisateur Azure Active Directory dans le format nom d’utilisateur@domaine.com.In the User name box, type your Azure Active Directory user name in the format username@domain.com. Il doit s’agir d’un compte Azure Active Directory ou d’un compte de domaine fédéré avec Azure Active Directory.User names must be an account from the Azure Active Directory or an account from a domain federate with the Azure Active Directory.

  3. Dans la zone Mot de passe , tapez votre mot de passe utilisateur pour le compte Azure Active Directory ou le compte de domaine fédéré.In the Password box, type your user password for the Azure Active Directory account or federated domain account.

    Sélectionner l’authentification par mot de passe AD

  4. Sélectionnez le bouton Options puis, la page Propriétés de connexion, dans la zone Se connecter à la base de données, tapez le nom de la base de données utilisateur à laquelle vous souhaitez vous connecter.Select the Options button, and on the Connection Properties page, in the Connect to database box, type the name of the user database you want to connect to. (Voir le graphique dans l’option précédente.)(See the graphic in the previous option.)

Utilisation d’une identité Azure AD pour se connecter à partir d’une application clienteUsing an Azure AD identity to connect from a client application

Les procédures suivantes vous montrent comment se connecter à une base de données SQL avec une identité Azure AD à partir d’une application cliente.The following procedures show you how to connect to a SQL database with an Azure AD identity from a client application.

Authentification intégrée d'Active DirectoryActive Directory integrated authentication

Pour utiliser l’authentification Windows intégrée, l’Active Directory de votre domaine doit être fédéré avec Azure Active Directory.To use integrated Windows authentication, your domain’s Active Directory must be federated with Azure Active Directory. Votre application cliente (ou un service) se connectant à la base de données doit être en cours d’exécution sur un ordinateur joint au domaine, et dont les informations d’identification de domaine sont celles d’un utilisateur.Your client application (or a service) connecting to the database must be running on a domain-joined machine under a user’s domain credentials.

Pour vous connecter à une base de données à l’aide de l’authentification intégrée et d’une identité Azure AD, le mot clé d’authentification de la chaîne de connexion de base de données doit avoir la valeur Active Directory intégré.To connect to a database using integrated authentication and an Azure AD identity, the Authentication keyword in the database connection string must be set to Active Directory Integrated. L’exemple de code C# suivant utilise ADO .NET.The following C# code sample uses ADO .NET.

string ConnectionString =
@"Data Source=n9lxnyuzhv.database.windows.net; Authentication=Active Directory Integrated; Initial Catalog=testdb;";
SqlConnection conn = new SqlConnection(ConnectionString);
conn.Open();

Le mot clé de la chaîne de connexion Integrated Security=True n’est pas pris en charge pour la connexion à Azure SQL Database.The connection string keyword Integrated Security=True is not supported for connecting to Azure SQL Database. Lorsque vous établissez une connexion ODBC, vous devez supprimer les espaces et définir l’authentification sur « ActiveDirectoryIntegrated ».When making an ODBC connection, you will need to remove spaces and set Authentication to 'ActiveDirectoryIntegrated'.

Authentification par mot de passe Active DirectoryActive Directory password authentication

Pour vous connecter à une base de données à l’aide de l’authentification intégrée et d’une identité Azure AD, le mot clé d’authentification doit être le mot de passe Active Directory.To connect to a database using integrated authentication and an Azure AD identity, the Authentication keyword must be set to Active Directory Password. La chaîne de connexion doit contenir les mots clés et valeurs d’ID utilisateur/UID et de mot de passe/PWD.The connection string must contain User ID/UID and Password/PWD keywords and values. L’exemple de code C# suivant utilise ADO .NET.The following C# code sample uses ADO .NET.

string ConnectionString =
@"Data Source=n9lxnyuzhv.database.windows.net; Authentication=Active Directory Password; Initial Catalog=testdb;  UID=bob@contoso.onmicrosoft.com; PWD=MyPassWord!";
SqlConnection conn = new SqlConnection(ConnectionString);
conn.Open();

Pour en savoir plus sur les méthodes d’authentification Azure AD, utilisez les exemples de code de démonstration disponibles dans Démonstration GitHub de l’authentification Azure AD.Learn more about Azure AD authentication methods using the demo code samples available at Azure AD Authentication GitHub Demo.

Jeton Azure ADAzure AD token

Cette méthode d’authentification permet aux services de couche intermédiaire de se connecter à Azure SQL Database ou à Azure SQL Data Warehouse en obtenant un jeton d’Azure Active Directory (AAD).This authentication method allows middle-tier services to connect to Azure SQL Database or Azure SQL Data Warehouse by obtaining a token from Azure Active Directory (AAD). Elle permet l’utilisation de scénarios complexes, notamment l’authentification par certificat.It enables sophisticated scenarios including certificate-based authentication. Vous devez effectuer quatre étapes de base pour utiliser l’authentification par jeton Azure AD :You must complete four basic steps to use Azure AD token authentication:

  1. Inscrivez votre application auprès d’Azure Active Directory et obtenez l’ID client de votre code.Register your application with Azure Active Directory and get the client id for your code.
  2. Créez un utilisateur de base de données qui représente l’application.Create a database user representing the application. (Effectué à l’étape 6.)(Completed earlier in step 6.)
  3. Créez un certificat sur l’ordinateur client qui exécute l’application.Create a certificate on the client computer runs the application.
  4. Ajoutez le certificat en tant que clé pour votre application.Add the certificate as a key for your application.

Exemple de chaîne de connexion :Sample connection string:

string ConnectionString =@"Data Source=n9lxnyuzhv.database.windows.net; Initial Catalog=testdb;"
SqlConnection conn = new SqlConnection(ConnectionString);
conn.AccessToken = "Your JWT token"
conn.Open();

Pour plus d’informations, consultez le Blog de sécurité de SQL Server.For more information, see SQL Server Security Blog. Pour plus d’informations sur l’ajout de certificat, consultez Bien démarrer avec l’authentification par certificat dans Azure Active Directory.For information about adding a certificate, see Get started with certificate-based authentication in Azure Active Directory.

sqlcmdsqlcmd

Les instructions suivantes permettent de se connecter à l’aide de la version 13.1 de sqlcmd, qui est disponible dans le Centre de téléchargement.The following statements, connect using version 13.1 of sqlcmd, which is available from the Download Center.

sqlcmd -S Target_DB_or_DW.testsrv.database.windows.net  -G  
sqlcmd -S Target_DB_or_DW.testsrv.database.windows.net -U bob@contoso.com -P MyAADPassword -G -l 30

Étapes suivantesNext steps