Installer Microsoft Entra Connect à l’aide des autorisations d’administrateur délégué SQL
Avant la dernière génération de Microsoft Entra Connect, la délégation administrative, lors du déploiement de configurations qui nécessitaient SQL, n’a pas été prise en charge. Les utilisateurs qui souhaitaient installer Microsoft Entra Connect devaient disposer d’autorisations d’administrateur de serveur (SA) sur le serveur SQL.
Avec la dernière version de Microsoft Entra Connect, l’administrateur SQL peut désormais approvisionner la base de données hors bande et l’administrateur Microsoft Entra Connect peut l’installer avec les droits de propriétaire de la base de données.
Avant de commencer
Pour utiliser cette fonctionnalité, il est important de comprendre qu'il existe plusieurs éléments mobiles et que chacun d’eux peut impliquer un administrateur distinct au sein de votre organisation. Le tableau suivant récapitule les rôles individuels et leurs tâches respectives dans le déploiement de Microsoft Entra Connect avec cette fonctionnalité.
| Rôle | Description |
|---|---|
| Administrateur AD de domaine ou de forêt | Crée le compte de service au niveau du domaine utilisé par Microsoft Entra Connect pour exécuter le service de synchronisation. Pour plus d’informations sur les comptes de service, consultez Comptes et autorisations. |
| Administrateur SQL | Crée la base de données ADSync et accorde l'accès de connexion ainsi que les privilèges dbo à l'administrateur de Microsoft Entra Connect et au compte de service créé par l'administrateur de domaine/forêt. |
| Administrateur Microsoft Entra Connect | Installe Microsoft Entra Connect et spécifie le compte de service pendant l’installation personnalisée. |
Étapes d’installation de Microsoft Entra Connect à l’aide d’autorisations déléguées SQL
Pour provisionner la base de données hors bande et installer Microsoft Entra Connect avec des autorisations de propriétaire de base de données, procédez comme suit.
Remarque
Même si cela n’est pas obligatoire, il est fortement recommandé de sélectionner le classement Latin1_General_CI_AS lorsque vous créez une base de données.
Demandez à l’administrateur SQL de créer la base de données ADSync avec une séquence de classement insensible à la casse (Latin1_General_CI_AS). Le modèle de récupération, le niveau de compatibilité et le type de confinement sont mis à jour avec les valeurs correctes lorsque Microsoft Entra Connect est installé. Toutefois, l’administrateur SQL doit définir correctement la séquence de classement. Sinon, Microsoft Entra Connect bloque l’installation. Pour effectuer une récupération, l’administrateur de base de données doit supprimer et recréer la base de données.
Accordez à l’administrateur Microsoft Entra Connect et au compte de service de domaine les autorisations suivantes :
- Connexion SQL
- Droits de propriétaire de base de données (dbo)
Remarque
Microsoft Entra Connect ne prend pas en charge les informations de connexion liées à une appartenance imbriquée. Cela signifie que votre compte d’administrateur Microsoft Entra Connect et votre compte de service de domaine doivent être liés à une connexion qui se voit attribuer des droits DBO. Il ne peut pas simplement s'agir du membre d'un groupe affecté à des informations de connexion disposant de droits de propriétaire de base de données.
Envoyez un e-mail à l’administrateur Microsoft Entra Connect indiquant le nom du serveur SQL et de l’instance à utiliser lors de l’installation de Microsoft Entra Connect.
Informations supplémentaires
Une fois la base de données approvisionnée, l’administrateur Microsoft Entra Connect peut installer et configurer la synchronisation locale à leur convenance.
Si l’administrateur SQL a restauré la base de données ADSync à partir d’une sauvegarde Microsoft Entra Connect précédente, vous devez installer le nouveau serveur Microsoft Entra Connect à l’aide d’une base de données existante. Pour plus d’informations sur l’installation de Microsoft Entra Connect avec une base de données existante, consultez Installer Microsoft Entra Connect à l’aide d’une base de données ADSync existante.