Skapa server med endast Microsoft Entra-autentisering aktiverat i Azure SQL

Gäller för:Azure SQL DatabaseAzure SQL Managed Instance

Den här instruktionsguiden beskriver stegen för att skapa en logisk server för Azure SQL Database eller en Azure SQL Managed Instance med Endast Microsoft Entra-autentisering aktiverad under etableringen. Autentiseringsfunktionen endast Microsoft Entra hindrar användare från att ansluta till servern eller den hanterade instansen med SQL-autentisering och tillåter endast anslutningar som autentiseras med Microsoft Entra-ID (tidigare Azure Active Directory).

Kommentar

Microsoft Entra-ID är det nya namnet för Azure Active Directory (Azure AD). Vi uppdaterar dokumentationen just nu.

Förutsättningar

• Version 2.26.1 eller senare behövs när du använder Azure CLI. Mer information om installationen och den senaste versionen finns i Installera Azure CLI.
• Az 6.1.0-modulen eller senare behövs när du använder PowerShell.
• Om du etablerar en hanterad instans med hjälp av Azure CLI, PowerShell eller REST API måste ett virtuellt nätverk och undernät skapas innan du börjar. Mer information finns i Skapa ett virtuellt nätverk för Azure SQL Managed Instance.

Behörigheter

Om du vill etablera en logisk server eller hanterad instans måste du ha rätt behörighet för att skapa dessa resurser. Azure-användare med högre behörighet, till exempel prenumerationsägare, deltagare, tjänstadministratörer och medadministratörer, har behörighet att skapa en SQL-server eller hanterad instans. Om du vill skapa dessa resurser med den minst privilegierade Azure RBAC-rollen använder du rollen SQL Server-deltagare för SQL Database och SQL Managed Instance-deltagarrollen för SQL Managed Instance.

AZURE RBAC-rollen i SQL Security Manager har inte tillräcklig behörighet för att skapa en server eller instans med Endast Microsoft Entra-autentisering aktiverat. SQL Security Manager-rollen krävs för att hantera autentiseringsfunktionen endast Microsoft Entra när servern eller instansen har skapats.

Etablera med Endast Microsoft Entra-autentisering aktiverat

I följande avsnitt finns exempel och skript på hur du skapar en logisk server eller hanterad instans med en Microsoft Entra-administratörsuppsättning för servern eller instansen och har Microsoft Entra-endast autentisering aktiverat när servern skapas. Mer information om funktionen finns i Endast Microsoft Entra-autentisering.

I våra exempel aktiverar vi Endast Microsoft Entra-autentisering när en server eller hanterad instans skapas, med en systemtilldelad serveradministratör och lösenord. Detta förhindrar serveradministratörsåtkomst när Endast Microsoft Entra-autentisering är aktiverat och endast tillåter Microsoft Entra-administratören att komma åt resursen. Det är valfritt att lägga till parametrar i API:erna för att inkludera din egen serveradministratör och lösenord när servern skapas. Lösenordet kan dock inte återställas förrän du inaktiverar Microsoft Entra-endast autentisering. Ett exempel på hur du använder dessa valfria parametrar för att ange inloggningsnamnet för serveradministratören visas på fliken PowerShell på den här sidan.

Kommentar

Om du vill ändra befintliga egenskaper efter att servern eller den hanterade instansen har skapats ska andra befintliga API:er användas. Mer information finns i Hantera Endast Microsoft Entra-autentisering med API:er och Konfigurera och hantera Microsoft Entra-autentisering med Azure SQL.

Om Endast Microsoft Entra-autentisering är inställt på false, vilket det är som standard, måste en serveradministratör och ett lösenord ingå i alla API:er när servern eller den hanterade instansen skapas.

Azure SQL Database

Portal

1. Bläddra till sidan Välj SQL-distributionsalternativ i Azure-portalen.

2. Om du inte redan är inloggad på Azure-portalen loggar du in när du uppmanas att göra det.

3. Under SQL-databaser lämnar du Resurstyp inställd på Enskild databas och väljer Skapa.

4. På fliken Grundläggande i formuläret Skapa SQL Database går du till Projektinformation och väljer önskad Azure-prenumeration.

5. För Resursgrupp väljer du Skapa ny, anger ett namn för resursgruppen och väljer OK.

6. Som Databasnamn anger du ett namn för databasen.

7. För Server väljer du Skapa ny och fyller i det nya serverformuläret med följande värden:

   • Servernamn: Ange ett unikt servernamn. Servernamn måste vara globalt unika för alla servrar i Azure, inte bara unika i en prenumeration. Ange ett värde så meddelar Azure-portalen dig om det är tillgängligt eller inte.
   • Plats: Välj en plats i listrutan
   • Autentiseringsmetod: Välj Använd Endast Microsoft Entra-autentisering.
   • Välj Ange administratör för att öppna fönstret Microsoft Entra-ID och välj ett Microsoft Entra-huvudnamn som microsoft entra-administratör för den logiska servern. När du är klar använder du knappen Välj för att ange administratören.

   

8. Välj Nästa: Nätverk längst ned på sidan.

9. På fliken Nätverk för Anslut ivity-metoden väljer du Offentlig slutpunkt.

10. För Brandväggsregler anger du Lägg till aktuell klient-IP-adress till Ja. Låt Tillåt Att Azure-tjänster och resurser får åtkomst till den här servern inställt på Nej.

11. Låt Anslut ionsprincipen och lägsta TLS-versionsinställningar vara deras standardvärde.

12. Välj Nästa: Säkerhet längst ned på sidan. Konfigurera någon av inställningarna för Microsoft Defender för SQL, Ledger, Identity och Transparent datakryptering för din miljö. Du kan också hoppa över de här inställningarna.

    Kommentar

    Användning av en användartilldelad hanterad identitet som serveridentitet stöds med Endast Microsoft Entra-autentisering. Om du vill ansluta till instansen som identitet tilldelar du den till en virtuell Azure-dator och kör SSMS på den virtuella datorn. För produktionsmiljöer rekommenderas användning av en hanterad identitet för Microsoft Entra-administratören på grund av de förbättrade, förenklade säkerhetsåtgärderna med lösenordsfri autentisering till Azure-resurser.

13. Välj Granska + skapa längst ned på sidan.

14. På sidan Granska + skapa väljer du Skapa när du har granskat.

The Azure CLI

Azure CLI-kommandot az sql server create används för att etablera en ny logisk server. Kommandot nedan etablerar en ny server med Endast Microsoft Entra-autentisering aktiverat.

Serverns SQL-administratör skapas automatiskt och lösenordet anges till ett slumpmässigt lösenord. Eftersom SQL-autentiseringsanslutningen är inaktiverad när servern skapas används inte SQL-administratörsinloggningen.

Serverns Microsoft Entra-administratör är det konto som du har angett för <MSEntraAccount>och kan användas för att hantera servern.

Ersätt följande värden i exemplet:

• <MSEntraAccount>: Kan vara en Microsoft Entra-användare eller grupp. Till exempel: DummyLogin
• <MSEntraAccountSID>: Microsoft Entra-objekt-ID för användaren
• <ResourceGroupName>: Namnet på resursgruppen för den logiska servern
• <ServerName>: Använd ett unikt namn på den logiska servern

az sql server create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <ServerName>

Mer information finns i az sql server create.

Information om hur du kontrollerar serverstatusen när du har skapat finns i följande kommando:

az sql server show --name <ServerName> --resource-group <ResourceGroupName> --expand-ad-admin

PowerShell

PowerShell-kommandot New-AzSqlServer används för att etablera en ny logisk server. Kommandot nedan etablerar en ny server med Endast Microsoft Entra-autentisering aktiverat.

Serverns SQL-administratör skapas automatiskt och lösenordet anges till ett slumpmässigt lösenord. Eftersom SQL-autentiseringsanslutningen är inaktiverad när servern skapas används inte SQL-administratörsinloggningen.

Serverns Microsoft Entra-administratör är det konto som du har angett för <MSEntraAccount>och kan användas för att hantera servern.

Ersätt följande värden i exemplet:

• <ResourceGroupName>: Namnet på resursgruppen för den logiska servern
• <Location>: Plats för servern, till exempel West US, eller Central US
• <ServerName>: Använd ett unikt namn på den logiska servern
• <MSEntraAccount>: Kan vara en Microsoft Entra-användare eller grupp. Till exempel: DummyLogin

$server = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
}

New-AzSqlServer @server

Här är ett exempel på hur du anger serveradministratörsnamnet (i stället för att låta serveradministratörsnamnet skapas automatiskt) när den logiska servern skapas. Som tidigare nämnts kan den här inloggningen inte användas när Endast Microsoft Entra-autentisering är aktiverat.

$cred = Get-Credential
New-AzSqlServer -ResourceGroupName "<ResourceGroupName>" -Location "<Location>" -ServerName "<ServerName>" -ServerVersion "12.0" -ExternalAdminName "<MSEntraAccount>" -EnableActiveDirectoryOnlyAuthentication -SqlAdministratorCredentials $cred

Mer information finns i New-AzSqlServer.

REST-API

Rest-API:et Servrar – Skapa eller uppdatera kan användas för att skapa en logisk server med Endast Microsoft Entra-autentisering aktiverad under etableringen.

Skriptet nedan etablerar en logisk server, anger Microsoft Entra-administratören som <MSEntraAccount>och aktiverar Endast Microsoft Entra-autentisering. Serverns SQL-administratör skapas också automatiskt och lösenordet anges till ett slumpmässigt lösenord. Eftersom SQL-autentiseringsanslutningen är inaktiverad med den här etableringen används inte SQL-administratörsinloggningen.

Microsoft Entra-administratören <MSEntraAccount> kan användas för att hantera servern när etableringen är klar.

Ersätt följande värden i exemplet:

• <tenantId>: Du hittar den genom att gå till Azure-portalen och gå till din Microsoft Entra-ID-resurs . I fönstret Översikt bör du se ditt klientorganisations-ID
• <subscriptionId>: Ditt prenumerations-ID finns i Azure-portalen
• <ServerName>: Använd ett unikt namn på den logiska servern
• <ResourceGroupName>: Namnet på resursgruppen för den logiska servern
• <MicrosoftEntraAccount>: Kan vara en Microsoft Entra-användare, grupp eller ett program. Till exempel: DummyLogin
• <Location>: Plats för servern, till exempel westus2, eller centralus
• <objectId>: Du hittar den genom att gå till Azure-portalen och gå till din Microsoft Entra-ID-resurs . I fönstret Användare söker du efter Microsoft Entra-användaren och hittar deras objekt-ID. Om du använder ett program (tjänstens huvudnamn) som Microsoft Entra-administratör ersätter du det här värdet med program-ID:t. Du måste också uppdatera.principalType
• <principalType>: Ett av tre alternativ: Användare, Grupp, Program. Typen av Microsoft Entra-objekt som används som administratör. Hanterade identiteter och tjänstens huvudnamn är Program.

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$authUrl = "https://login.windows.net/$tenantId"
$serverName = "<ServerName>"
$resourceGroupName = "<ResourceGroupName>"

Login-AzAccount -tenantId $tenantId

# login as a user with SQL Server Contributor role or higher 

# Get a token

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes "https://management.core.windows.net/.default"

#Authetication header
$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

# Enable Microsoft Entra-only auth 
# No server admin is specified, Microsoft Entra admin is configured, and Microsoft Entra-only authentication is set to true
# Server admin (login and password) is randomly generated by the system

# Authentication body
# The sid is the Microsoft Entra Object ID for the user or group, and Application ID for applications. Update the principalType as well

$body = '{ 
"location": "<Location>",
"properties": { "administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true }
  }
}'

# Provision the server

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Om du vill kontrollera serverstatusen kan du använda följande skript:

$uri = 'https://management.azure.com/subscriptions/'+$subscriptionId+'/resourceGroups/'+$resourceGroupName+'/providers/Microsoft.Sql/servers/'+$serverName+'?api-version=2020-11-01-preview&$expand=administrators/activedirectory'

$responce=Invoke-WebRequest -Uri $uri -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

$responce.statuscode

$responce.content

ARM-mall

Mer information och ARM-mallar finns i Azure Resource Manager-mallar för Azure SQL Database och SQL Managed Instance.

Information om hur du etablerar en logisk server med en Microsoft Entra-administratörsuppsättning för servern och autentisering med endast Microsoft Entra aktiverat med hjälp av en ARM-mall finns i vår logiska Azure SQL-server med snabbstartsmallen för autentisering med endast Microsoft Entra.

Du kan också använda följande mall. Använd en anpassad distribution i Azure-portalen och Skapa en egen mall i redigeringsprogrammet. Spara sedan konfigurationen när du klistrade in i exemplet.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "string",
            "defaultValue": "[uniqueString('sql', resourceGroup().id)]",
            "metadata": {
                "description": "The name of the logical server."
            }
        },
        "location": {
            "type": "string",
            "defaultValue": "[resourceGroup().location]",
            "metadata": {
                "description": "Location for all resources."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "properties": {
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Azure SQL Managed Instance

Portal

1. Bläddra till sidan Välj SQL-distributionsalternativ i Azure-portalen.

2. Om du inte redan är inloggad på Azure-portalen loggar du in när du uppmanas att göra det.

3. Under SQL-hanterade instanser lämnar du Resurstyp inställd på Enskild instans och väljer Skapa.

4. Fyll i den obligatoriska information som krävs på fliken Grundläggande information för projektinformation och information om hanterad instans. Det här är en minsta uppsättning information som krävs för att etablera en SQL Managed Instance.

   

   Mer information om konfigurationsalternativen finns i Snabbstart: Skapa en Azure SQL Managed Instance.

5. Under Autentisering väljer du Använd Endast Microsoft Entra-autentisering för autentiseringsmetoden.

6. Välj Ange administratör för att öppna fönstret Microsoft Entra-ID och välj ett Microsoft Entra-huvudnamn som Microsoft Entra-administratör för den hanterade instansen. När du är klar använder du knappen Välj för att ange administratören.

   

7. Du kan lämna resten av inställningarna som standard. Mer information om nätverk, säkerhet eller andra flikar och inställningar finns i guiden i artikeln Snabbstart: Skapa en Hanterad Azure SQL-instans.

8. När du är klar med att konfigurera inställningarna väljer du Granska + skapa för att fortsätta. Välj Skapa för att börja etablera den hanterade instansen.

The Azure CLI

Azure CLI-kommandot az sql mi create används för att etablera en ny Azure SQL Managed Instance. Kommandot nedan etablerar en ny hanterad instans med Endast Microsoft Entra-autentisering aktiverat.

Kommentar

Skriptet kräver att ett virtuellt nätverk och undernät skapas som en förutsättning.

SQL-administratören för den hanterade instansen skapas automatiskt och lösenordet anges till ett slumpmässigt lösenord. Eftersom SQL-autentisering är inaktiverat med den här etableringen används inte SQL-administratören.

Microsoft Entra-administratören är det konto som du har angett för <MSEntraAccount>och kan användas för att hantera instansen när etableringen är klar.

Ersätt följande värden i exemplet:

• <MSEntraAccount>: Kan vara en Microsoft Entra-användare eller grupp. Till exempel: DummyLogin
• <MSEntraAccountSID>: Microsoft Entra-objekt-ID för användaren
• <managedinstancename>: Namnge den hanterade instans som du vill skapa
• <ResourceGroupName>: Namnet på resursgruppen för den hanterade instansen. Resursgruppen bör även innehålla det virtuella nätverk och undernät som skapats
• Parametern subnet måste uppdateras med <Subscription ID>, <ResourceGroupName>, <VNetName>och <SubnetName>. Ditt prenumerations-ID finns i Azure-portalen

az sql mi create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <managedinstancename> \
    --subnet /subscriptions/<Subscription ID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>

Mer information finns i az sql mi create.

PowerShell

PowerShell-kommandot New-AzSqlInstance används för att etablera en ny Azure SQL Managed Instance. Kommandot nedan etablerar en ny hanterad instans med Endast Microsoft Entra-autentisering aktiverat.

Kommentar

Skriptet kräver att ett virtuellt nätverk och undernät skapas som en förutsättning.

SQL-administratören för den hanterade instansen skapas automatiskt och lösenordet anges till ett slumpmässigt lösenord. Eftersom SQL-autentiseringsanslutningen är inaktiverad med den här etableringen används inte SQL-administratörsinloggningen.

Microsoft Entra-administratören är det konto som du har angett för <MSEntraAccount>och kan användas för att hantera instansen när etableringen är klar.

Ersätt följande värden i exemplet:

• <managedinstancename>: Namnge den hanterade instans som du vill skapa
• <ResourceGroupName>: Namnet på resursgruppen för den hanterade instansen. Resursgruppen bör även innehålla det virtuella nätverk och undernät som skapats
• <MSEntraAccount>: Kan vara en Microsoft Entra-användare eller grupp. Till exempel: DummyLogin
• <Location>: Plats för servern, till exempel West US, eller Central US
• Parametern SubnetId måste uppdateras med <Subscription ID>, <ResourceGroupName>, <VNetName>och <SubnetName>. Ditt prenumerations-ID finns i Azure-portalen

$instanceName = @{
    Name = "<managedinstancename>"
    ResourceGroupName = "<ResourceGroupName>"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
    Location = "<Location>"
    SubnetId = "/subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>"
    LicenseType = "LicenseIncluded"
    StorageSizeInGB = 128
    VCore = 4
    Edition = "GeneralPurpose"
    ComputeGeneration = "Gen5"
}

New-AzSqlInstance $instanceName

Mer information finns i New-AzSqlInstance.

REST-API

SQL Managed Instances – Create or Update REST API kan användas för att skapa en hanterad instans med Microsoft Entra-endast autentisering aktiverad under etableringen.

Kommentar

Skriptet kräver att ett virtuellt nätverk och undernät skapas som en förutsättning.

Skriptet nedan etablerar en hanterad instans, anger Microsoft Entra-administratören som <MSEntraAccount>och aktiverar endast Microsoft Entra-autentisering. Sql-instansadministratören skapas också automatiskt och lösenordet anges till ett slumpmässigt lösenord. Eftersom SQL-autentiseringsanslutningen är inaktiverad med den här etableringen används inte SQL-administratörsinloggningen.

Microsoft Entra-administratören <MSEntraAccount> kan användas för att hantera instansen när etableringen är klar.

Ersätt följande värden i exemplet:

• <tenantId>: Du hittar den genom att gå till Azure-portalen och gå till din Microsoft Entra-ID-resurs . I fönstret Översikt bör du se ditt klientorganisations-ID
• <subscriptionId>: Ditt prenumerations-ID finns i Azure-portalen
• <instanceName>: Använd ett unikt namn på en hanterad instans
• <ResourceGroupName>: Namnet på resursgruppen för den logiska servern
• <MSEntraAccount>: Kan vara en Microsoft Entra-användare eller grupp. Till exempel: DummyLogin
• <Location>: Plats för servern, till exempel westus2, eller centralus
• <objectId>: Du hittar den genom att gå till Azure-portalen och gå till din Microsoft Entra-ID-resurs . I fönstret Användare söker du efter Microsoft Entra-användaren och hittar deras objekt-ID. Om du använder ett program (tjänstens huvudnamn) som Microsoft Entra-administratör ersätter du det här värdet med program-ID:t. Du måste också uppdatera principalType .
• Parametern subnetId måste uppdateras med <ResourceGroupName>, , Subscription ID<VNetName>och<SubnetName>

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$instanceName = "<instanceName>"
$resourceGroupName = "<ResourceGroupName>"
$scopes ="https://management.core.windows.net/.default"

Login-AzAccount -tenantId $tenantId

# Login as an Microsoft Entra user with permission to provision a managed instance

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes $scopes

$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

$body = '{
"name": "<instanceName>", "type": "Microsoft.Sql/managedInstances", "identity": { "type": "SystemAssigned"},"location": "<Location>", "sku": {"name": "GP_Gen5", "tier": "GeneralPurpose", "family":"Gen5","capacity": 8},
"properties": {"administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true },
"subnetId": "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>",
"licenseType": "LicenseIncluded", "vCores": 8, "storageSizeInGB": 2048, "collation": "SQL_Latin1_General_CP1_CI_AS", "proxyOverride": "Proxy", "timezoneId": "UTC", "privateEndpointConnections": [], "storageAccountType": "GRS", "zoneRedundant": false 
  }
}'

# To provision the instance, execute the `PUT` command

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Kontrollera resultatet genom att GET köra kommandot:

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method GET -Headers $authHeader  | Format-List

ARM-mall

Om du vill etablera en ny hanterad instans, ett virtuellt nätverk och undernät, med en Microsoft Entra-administratörsuppsättning för instansen och Microsoft Entra-endast autentisering aktiverad, använder du följande mall.

Använd en anpassad distribution i Azure-portalen och Skapa en egen mall i redigeringsprogrammet. Spara sedan konfigurationen när du klistrade in i exemplet.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "managedInstanceName": {
            "type": "String",
            "metadata": {
                "description": "Enter managed instance name."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL managed instance."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin. The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "location": {
            "defaultValue": "[resourceGroup().location]",
            "type": "String",
            "metadata": {
                "description": "Enter location. If you leave this field blank resource group location would be used."
            }
        },
        "virtualNetworkName": {
            "type": "String",
            "defaultValue": "SQLMI-VNET",
            "metadata": {
                "description": "Enter virtual network name. If you leave this field blank name will be created by the template."
            }
        },
        "addressPrefix": {
            "defaultValue": "10.0.0.0/16",
            "type": "String",
            "metadata": {
                "description": "Enter virtual network address prefix."
            }
        },
        "subnetName": {
            "type": "String",
            "defaultValue": "ManagedInstances",
            "metadata": {
                "description": "Enter subnet name. If you leave this field blank name will be created by the template."
            }
        },
        "subnetPrefix": {
            "defaultValue": "10.0.0.0/24",
            "type": "String",
            "metadata": {
                "description": "Enter subnet address prefix."
            }
        },
        "skuName": {
            "defaultValue": "GP_Gen5",
            "allowedValues": [
                "GP_Gen5",
                "BC_Gen5"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter sku name."
            }
        },
        "vCores": {
            "defaultValue": 16,
            "allowedValues": [
                8,
                16,
                24,
                32,
                40,
                64,
                80
            ],
            "type": "Int",
            "metadata": {
                "description": "Enter number of vCores."
            }
        },
        "storageSizeInGB": {
            "defaultValue": 256,
            "minValue": 32,
            "maxValue": 8192,
            "type": "Int",
            "metadata": {
                "description": "Enter storage size."
            }
        },
        "licenseType": {
            "defaultValue": "LicenseIncluded",
            "allowedValues": [
                "BasePrice",
                "LicenseIncluded"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter license type."
            }
        }
    },
    "variables": {
        "networkSecurityGroupName": "[concat('SQLMI-', parameters('managedInstanceName'), '-NSG')]",
        "routeTableName": "[concat('SQLMI-', parameters('managedInstanceName'), '-Route-Table')]"
    },
    "resources": [
        {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2020-06-01",
            "name": "[variables('networkSecurityGroupName')]",
            "location": "[parameters('location')]",
            "properties": {
                "securityRules": [
                    {
                        "name": "allow_tds_inbound",
                        "properties": {
                            "description": "Allow access to data",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "1433",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1000,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "allow_redirect_inbound",
                        "properties": {
                            "description": "Allow inbound redirect traffic to SQL Managed Instance inside the virtual network",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "11000-11999",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1100,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_inbound",
                        "properties": {
                            "description": "Deny all other inbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_outbound",
                        "properties": {
                            "description": "Deny all other outbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Outbound"
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Network/routeTables",
            "apiVersion": "2020-06-01",
            "name": "[variables('routeTableName')]",
            "location": "[parameters('location')]",
            "properties": {
                "disableBgpRoutePropagation": false
            }
        },
        {
            "type": "Microsoft.Network/virtualNetworks",
            "apiVersion": "2020-06-01",
            "name": "[parameters('virtualNetworkName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[variables('routeTableName')]",
                "[variables('networkSecurityGroupName')]"
            ],
            "properties": {
                "addressSpace": {
                    "addressPrefixes": [
                        "[parameters('addressPrefix')]"
                    ]
                },
                "subnets": [
                    {
                        "name": "[parameters('subnetName')]",
                        "properties": {
                            "addressPrefix": "[parameters('subnetPrefix')]",
                            "routeTable": {
                                "id": "[resourceId('Microsoft.Network/routeTables', variables('routeTableName'))]"
                            },
                            "networkSecurityGroup": {
                                "id": "[resourceId('Microsoft.Network/networkSecurityGroups', variables('networkSecurityGroupName'))]"
                            },
                            "delegations": [
                                {
                                    "name": "miDelegation",
                                    "properties": {
                                        "serviceName": "Microsoft.Sql/managedInstances"
                                    }
                                }
                            ]
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('managedInstanceName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[parameters('virtualNetworkName')]"
            ],
            "sku": {
                "name": "[parameters('skuName')]"
            },
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "subnetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('virtualNetworkName'), parameters('subnetName'))]",
                "storageSizeInGB": "[parameters('storageSizeInGB')]",
                "vCores": "[parameters('vCores')]",
                "licenseType": "[parameters('licenseType')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Bevilja katalogläsare behörigheter

När distributionen är klar för den hanterade instansen kanske du märker att SQL Managed Instance behöver läsbehörighet för att få åtkomst till Microsoft Entra-ID. Läsbehörigheter kan beviljas genom att klicka på det meddelande som visas i Azure-portalen av en person med tillräcklig behörighet. Mer information finns i Katalogläsarrollen i Microsoft Entra för Azure SQL.

Begränsningar

• För att återställa serveradministratörslösenordet måste Microsoft Entra-endast autentisering inaktiveras.
• Om Endast Microsoft Entra-autentisering är inaktiverat måste du skapa en server med en serveradministratör och ett lösenord när du använder alla API:er.

Relaterat innehåll

• Om du redan har en logisk server eller sql-hanterad instans och bara vill aktivera autentisering med Endast Microsoft Entra kan du läsa Självstudie: Aktivera autentisering endast för Microsoft Entra med Azure SQL.
• Mer information om autentiseringsfunktionen endast Microsoft Entra finns i Endast Microsoft Entra-autentisering med Azure SQL.
• Om du vill framtvinga serverskapande med Endast Microsoft Entra-autentisering aktiverat läser du Azure Policy for Microsoft Entra-only authentication with Azure SQL (Azure Policy for Microsoft Entra-only authentication with Azure SQL