Aller au contenu principal

3 : Configuration de la base de données Azure SQL

Mise à jour

DvSchemaSync synchronise les données Dataverse vers une base de données SQL Azure. Cette page explique comment créer une base de données et configurer l'accès.

Autorisations requises

Les autorisations requises dépendent du fait que vous créiez de nouvelles ressources ou que vous configuriez des ressources existantes :

Pour créer une base de données et un serveur Azure SQL :

• Rôle de contributeur ou de contributeur à la base de données SQL : dans le groupe de ressources où la base de données sera créée

• Rôle de propriétaire : requis si vous devez également attribuer des rôles à d'autres utilisateurs

Pour configurer l'authentification Microsoft Entra sur Azure SQL :

• Rôle de contributeur SQL Server : sur le serveur SQL pour définir l'administrateur Microsoft Entra

• Rôle db_owner : sur la base de données cible pour créer des utilisateurs externes (exécuter en tant qu'administrateur Entra)

Pour créer un identifiant SQL Server (authentification SQL) :

• Identifiants d'administrateur du serveur : identifiant d'administrateur SQL Server créé lors du provisionnement du serveur

• Rôle db_owner : sur la base de données cible pour créer des utilisateurs et leur accorder des autorisations

💡 Remarque : si vous utilisez une base de données Azure SQL existante gérée par votre équipe DBA, fournissez-lui les détails d'enregistrement de l'application (ou demandez une connexion SQL) et demandez-lui d'accorder les autorisations db_owner sur votre base de données cible.

Création d'une base de données Azure SQL

Si vous ne disposez pas encore d'une base de données Azure SQL, procédez comme suit pour en créer une :

  1. Connectez-vous au portail Azure (https://portal.azure.com).
  2. Cliquez sur Créer une ressource et recherchez « Base de données SQL ».
  3. Cliquez sur Créer.
  4. Sélectionnez votre abonnement et votre groupe de ressources.
  5. Entrez un nom de base de données (par exemple, « DataverseSync »).
  6. Pour le serveur, cliquez sur Créer nouveau ou sélectionnez un serveur existant.
  7. Lorsque vous créez un nouveau serveur de base de données SQL, nous vous recommandons de configurer le nouveau serveur SQL sur « Utiliser uniquement l'authentification Microsoft Entra » et de définir l'administrateur comme étant vous-même ou votre administrateur de base de données, puis de sélectionner OK.
  8. Configurez la puissance de calcul et le stockage en fonction de votre volume de données.
  9. Cliquez sur Vérifier + créer, puis sur Créer.

⚠ Important : bien que cela soit pris en charge, l'utilisation des informations d'identification du serveur SQL n'est pas recommandée. Veillez plutôt à utiliser Entra AD.

Options d'accès réseau pour les utilisateurs distants

Si vous vous connectez à Azure SQL depuis l'extérieur de votre réseau d'entreprise (bureau à domicile, déplacement, etc.), plusieurs options s'offrent à vous, avec différents compromis en matière de sécurité et de commodité.

Option 1 : VPN + point de terminaison privé (la plus sécurisée)

Connectez votre ordinateur à une passerelle VPN Azure, afin qu'il fasse partie du réseau virtuel Azure. Accédez à la base de données SQL via un point de terminaison privé sans exposition publique à Internet.

Avantages : aucune exposition publique ; fonctionne depuis n'importe quel endroit (domicile, hôtel, café) ; sécurité de niveau entreprise

Inconvénients : nécessite la configuration d'une passerelle VPN Azure ; connaissances supplémentaires requises en matière de réseau Azure.

Option 2 : accès public + liste blanche d'adresses IP (la plus simple)

Autorisez les connexions à partir d'adresses IP spécifiques via des règles de pare-feu. Fonctionne à distance tant que votre IP publique est sur la liste blanche.

Avantages : configuration très simple ; fonctionne depuis n'importe où lorsque l'adresse IP est sur liste blanche

Inconvénients : SQL Server exposé à Internet ; les changements d'IP interrompent la connexion ; nécessité de mettre à jour le pare-feu lors du changement de réseau

Option 3 : accès public + authentification Microsoft Entra (équilibrée)

Combine l'accès public avec une authentification plus forte via les jetons Entra. Améliore la sécurité même avec un serveur SQL accessible publiquement.

Avantages : authentification forte basée sur des jetons ; fonctionne de n'importe où ; pas de connexion SQL basée sur un mot de passe

Inconvénients : toujours moins sécurisé qu'un réseau privé ; nécessite toujours des règles de pare-feu pour votre adresse IP

Ce qui ne fonctionne pas pour les utilisateurs distants :

Points de terminaison de service : ceux-ci ne fonctionnent qu'au sein des réseaux virtuels Azure. Votre ordinateur portable ne peut pas les utiliser directement depuis votre domicile ou lorsque vous êtes en déplacement.

✓ Recommandations :

Sécurité maximale : passerelle VPN + point de terminaison privé — fonctionne partout tout en gardant votre serveur SQL complètement hors de l'Internet public.

Équilibre entre commodité et sécurité : accès public + liste blanche d'adresses IP + authentification Microsoft Entra.

Option la plus simple : accès public + liste blanche d'adresses IP (moins sécurisé, mais suffisant pour les environnements de développement/test non sensibles).

Configuration des règles de pare-feu (voir Options d'accès réseau pour les utilisateurs distants)

⚠ Important : Azure SQL Database bloque toutes les connexions par défaut. Vous DEVEZ configurer les règles de pare-feu avant que DvSchemaSync puisse se connecter.

Votre serveur Azure SQL doit autoriser les connexions provenant de l'ordinateur exécutant DvSchemaSync. Si votre base de données Azure SQL est configurée pour un accès public, vous devez ajouter votre adresse IP à la liste blanche avant d'utiliser l'application.

  1. Accédez à votre serveur SQL (et non à la base de données) dans le portail Azure.
  2. Sélectionnez Réseau dans le menu de gauche sous Sécurité.
  3. Sous Accès public, choisissez « Réseaux sélectionnés ».
  4. Sous Règles de pare-feu, cliquez sur Ajouter l'adresse IPv4 de votre client.
  5. Vous pouvez également ajouter une plage d'adresses IP spécifique pour votre organisation.
  6. Cliquez sur Enregistrer.

Erreur courante du pare-feu :

Impossible d'ouvrir le serveur « yourservre » demandé par la connexion. Le client avec l'adresse IP « x.x.x.x » n'est pas autorisé à accéder au serveur.

Cette erreur signifie que votre adresse IP ne figure pas dans la liste blanche du pare-feu. Ajoutez l'adresse IP indiquée dans le message d'erreur aux règles du pare-feu.

💡 Conseil : si votre adresse IP change fréquemment (par exemple, réseau domestique, VPN), envisagez d'utiliser « VPN + point de terminaison privé » pour les environnements de production.

Configuration de l'authentification Microsoft Entra

⚠ Obligatoire pour l'enregistrement de l'application : nous vous recommandons d'utiliser l'enregistrement d'application Microsoft Entra pour vous authentifier auprès d'Azure SQL (au lieu du nom d'utilisateur/mot de passe SQL). Vous DEVEZ d'abord configurer un administrateur Microsoft Entra sur votre serveur SQL. Sans cela, l'enregistrement de l'application ne peut pas s'authentifier.

Étape 1 : définir un administrateur Microsoft Entra sur le serveur SQL

  1. Accédez à votre serveur SQL dans le portail Azure.
  2. Sélectionnez Microsoft Entra ID dans le menu de gauche sous Paramètres.
  3. Idéalement, cochez l'option « Prendre en charge uniquement l'authentification Microsoft Entra pour ce serveur ».
  4. Cliquez sur Définir l'administrateur et sélectionnez un utilisateur ou un groupe comme administrateur Entra.
  5. Cliquez sur Enregistrer.

Étape 2 : créer un utilisateur de base de données pour l'enregistrement de votre application

  1. Connectez-vous à la base de données à l'aide du compte administrateur Entra (par exemple, via Azure Data Studio ou SSMS).
  2. Exécutez la requête SQL suivante pour accorder l'accès à votre enregistrement d'application :

-- Remplacez « YourAppName » par le nom d'affichage de votre enregistrement d'application

CREATE USER [YourAppName] FROM EXTERNAL PROVIDER;

ALTER ROLE db_owner ADD MEMBER [YourAppName];

Erreur d'authentification Entra courante :

Échec de la connexion pour l'utilisateur « <principal identifié par un jeton> ». Le serveur n'est actuellement pas configuré pour accepter ce jeton.

Cette erreur signifie qu'aucun administrateur Microsoft Entra n'a été défini sur le serveur SQL. Suivez l'étape 1 ci-dessus pour résoudre le problème.

💡 Astuce : le nom d'enregistrement de l'application utilisé dans CREATE USER doit correspondre exactement. Trouvez le nom d'affichage dans Azure Portal → Enregistrements d'applications → Votre application → Aperçu.

Enregistrement de vos informations de connexion

Vous aurez besoin des informations suivantes pour DvSchemaSync :

Nom du serveur : se trouve sur la page Aperçu (par exemple, yourserver.database.windows.net)

Nom de la base de données : le nom que vous avez spécifié lors de la création de la base de données

Authentification : identifiants SQL (nom d'utilisateur/mot de passe) ou détails d'enregistrement de l'application Microsoft Entra

Associé à