Vytvoření serveru s povoleným ověřováním Microsoft Entra-only v Azure SQL

Platí pro:Azure SQL DatabaseSpravovaná instance Azure SQL

Tento průvodce postupy popisuje postup vytvoření logického serveru pro Azure SQL Database nebo spravovanou instanci Azure SQL s povoleným ověřováním microsoft Entra-only během zřizování. Funkce ověřování Microsoft Entra-only brání uživatelům v připojení k serveru nebo spravované instanci pomocí ověřování SQL a povoluje pouze připojení ověřená pomocí Microsoft Entra ID (dříve Azure Active Directory).

Poznámka:

Microsoft Entra ID se dříve označovala jako Azure Active Directory (Azure AD).

Požadavky

• Při použití Azure CLI je potřeba verze 2.26.1 nebo novější. Další informace o instalaci a nejnovější verzi najdete v tématu Instalace Azure CLI.
• Při použití PowerShellu je potřeba modul Az 6.1.0 nebo vyšší.
• Pokud zřizujete spravovanou instanci pomocí Azure CLI, PowerShellu nebo rozhraní REST API, je potřeba před zahájením vytvořit virtuální síť a podsíť. Další informace najdete v tématu Vytvoření virtuální sítě pro azure SQL Managed Instance.

Oprávnění

Pokud chcete zřídit logický server nebo spravovanou instanci, budete muset mít příslušná oprávnění k vytvoření těchto prostředků. Uživatelé Azure s vyššími oprávněními, jako jsou vlastníci předplatného, přispěvatelé, správci služeb a spolusprávci , mají oprávnění k vytvoření SQL serveru nebo spravované instance. Pokud chcete vytvořit tyto prostředky s nejméně privilegovanou rolí Azure RBAC, použijte roli Přispěvatel SQL Serveru pro roli Přispěvatel SQL Database a Přispěvatel spravované instance SQL pro službu SQL Managed Instance.

Role Azure RBAC v Sql Security Manageru nemá dostatečná oprávnění k vytvoření serveru nebo instance s povoleným ověřováním Microsoft Entra-only. Po vytvoření serveru nebo instance bude vyžadována role Správce zabezpečení SQL ke správě funkce ověřování Microsoft Entra-only.

Zřízení s povoleným ověřováním Microsoft Entra-only

Následující část obsahuje příklady a skripty, jak vytvořit logický server nebo spravovanou instanci s nastaveným správcem Microsoft Entra pro server nebo instanci a povolit ověřování pouze Microsoft Entra během vytváření serveru. Další informace o této funkci najdete v tématu Ověřování pouze Microsoft Entra pomocí Azure SQL.

V našich příkladech povolujeme ověřování Microsoft Entra-only během vytváření serveru nebo spravované instance se systémem přiřazeným správcem serveru a heslem. To zabrání přístupu správce serveru, pokud je povolené ověřování pouze Microsoft Entra a umožní přístup k prostředku pouze správci Microsoft Entra. Do rozhraní API je volitelné přidat parametry, které při vytváření serveru zahrnou vlastního správce serveru a heslo. Heslo se ale nedá resetovat, dokud nezakažete ověřování microsoft Entra-only. Příklad použití těchto volitelných parametrů k určení přihlašovacího jména správce serveru se zobrazí na kartě PowerShellu na této stránce.

Poznámka:

Pokud chcete po vytvoření serveru nebo spravované instance změnit vlastnost ověřování pouze Microsoft Entra , měli byste použít další existující rozhraní API. Další informace naleznete v tématu Správa ověřování microsoft Entra-only pomocí rozhraní API.

Pokud je ověřování Microsoft Entra-only nastaveno na false, což je ve výchozím nastavení, správce serveru a heslo musí být zahrnuty do všech rozhraní API během vytváření serveru nebo spravované instance.

Azure SQL Database

Portál

1. Přejděte do centra Azure SQL v aka.ms/azuresqlhub.

2. V podokně azure SQL Database vyberte Zobrazit možnosti.

3. V okně možností služby Azure SQL Database vyberte Vytvořit službu SQL Database.

   

4. Na kartě Základy ve formuláři Vytvořit databázi SQL v části Podrobnosti projektu vyberte požadované předplatné Azure.

5. V části Skupina prostředků vyberte Vytvořit nový, zadejte název skupiny prostředků a vyberte OK.

6. Jako název databáze zadejte název databáze.

7. V části Server vyberte Vytvořit nový a vyplňte nový formulář serveru následujícími hodnotami:

   • Název serveru: Zadejte jedinečný název serveru. Názvy serverů musí být globálně jedinečné pro všechny servery v Azure, nejen jedinečné v rámci předplatného. Zadejte hodnotu a azure Portal vám dá vědět, jestli je dostupný nebo ne.
   • Umístění: Vyberte umístění z rozevíracího seznamu.
   • Metoda ověřování: Vyberte Použít ověřování pouze Microsoft Entra-only.
   • Výběrem možnosti Nastavit správce otevřete podokno Microsoft Entra ID a vyberte hlavní objekt Microsoft Entra jako správce vašeho logického serveru v Microsoft Entra. Až budete hotovi, použijte tlačítko Vybrat k nastavení správce.

   

8. Vyberte Další: Sítě v dolní části stránky.

9. Na kartě Sítě vyberte pro metodu připojeníveřejný koncový bod.

10. U pravidel brány firewall nastavte možnost Přidat aktuální IP adresu klienta na hodnotu Ano. Ponechte Povolit službám a prostředkům Azure přístup k tomuto serveru nastavené na Ne.

11. U zásad připojení a nastavení minimální verze protokolu TLS ponechte výchozí hodnotu.

12. Vyberte Další: Zabezpečení v dolní části stránky. Nakonfigurujte všechna nastavení pro Microsoft Defender for SQL, Ledger, Identity a transparentní šifrování dat pro vaše prostředí. Tato nastavení můžete také přeskočit.

    Poznámka:

    Použití spravované identity přiřazené uživatelem, protože identita serveru je podporována ověřováním pouze Microsoft Entra. Pokud se chcete připojit k instanci jako identitu, přiřaďte ji k virtuálnímu počítači Azure a spusťte na tomto virtuálním počítači SSMS. V produkčních prostředích se doporučuje použití spravované identity pro správce Microsoft Entra z důvodu vylepšených a zjednodušených bezpečnostních opatření s ověřováním bez hesla k prostředkům Azure.

13. Vyberte Zkontrolovat a vytvořit v dolní části stránky.

14. Na stránce Zkontrolovat a vytvořit vyberte po kontrole možnost Vytvořit.

The Azure CLI

Příkaz Azure CLI az sql server create slouží ke zřízení nového logického serveru. Následující příkaz zřídí nový server s povoleným ověřováním pouze Microsoft Entra.

Správce SQL serveru se vytvoří automaticky a heslo se nastaví na náhodné heslo. Vzhledem k tomu, že připojení k ověřování SQL je při vytváření tohoto serveru zakázané, přihlašovací jméno správce SQL se nepoužije.

Server Microsoft Entra admin bude účet, pro <MSEntraAccount>který jste nastavili , a lze ho použít ke správě serveru.

V příkladu nahraďte následující hodnoty:

• <MSEntraAccount>: Může být uživatelem nebo skupinou Microsoft Entra. Například DummyLogin
• <MSEntraAccountSID>: ID objektu Microsoft Entra pro uživatele
• <ResourceGroupName>: Název skupiny prostředků pro logický server
• <ServerName>: Použití jedinečného názvu logického serveru

az sql server create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <ServerName>

Další informace najdete v tématu az sql server create.

Pokud chcete zkontrolovat stav serveru po vytvoření, přečtěte si následující příkaz:

az sql server show --name <ServerName> --resource-group <ResourceGroupName> --expand-ad-admin

PowerShell

Příkaz PowerShellu New-AzSqlServer slouží ke zřízení nového logického serveru. Následující příkaz zřídí nový server s povoleným ověřováním pouze Microsoft Entra.

Správce SQL serveru se vytvoří automaticky a heslo se nastaví na náhodné heslo. Vzhledem k tomu, že připojení k ověřování SQL je při vytváření tohoto serveru zakázané, přihlašovací jméno správce SQL se nepoužije.

Server Microsoft Entra admin bude účet, pro <MSEntraAccount>který jste nastavili , a lze ho použít ke správě serveru.

V příkladu nahraďte následující hodnoty:

• <ResourceGroupName>: Název skupiny prostředků pro logický server
• <Location>: Umístění serveru, například West US, nebo Central US
• <ServerName>: Použití jedinečného názvu logického serveru
• <MSEntraAccount>: Může být uživatelem nebo skupinou Microsoft Entra. Například DummyLogin

$server = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
}

New-AzSqlServer @server

Tady je příklad zadání názvu správce serveru (místo automatického vytvoření názvu správce serveru) při vytváření logického serveru. Jak už bylo zmíněno dříve, toto přihlášení není použitelné, pokud je povolené ověřování microsoft Entra-only.

$cred = Get-Credential
New-AzSqlServer -ResourceGroupName "<ResourceGroupName>" -Location "<Location>" -ServerName "<ServerName>" -ServerVersion "12.0" -ExternalAdminName "<MSEntraAccount>" -EnableActiveDirectoryOnlyAuthentication -SqlAdministratorCredentials $cred

Další informace najdete v tématu New-AzSqlServer.

REST API

Servery – Vytvoření nebo aktualizace rozhraní REST API lze použít k vytvoření logického serveru s povoleným ověřováním Microsoft Entra-only při zřizování.

Následující skript zřídí logický server, nastaví správce Microsoft Entra jako <MSEntraAccount>a povolí ověřování pouze Microsoft Entra. Správce SQL serveru se vytvoří také automaticky a heslo se nastaví na náhodné heslo. Vzhledem k tomu, že připojení k ověřování SQL je při tomto zřizování zakázané, přihlašovací jméno správce SQL se nepoužije.

Správce Microsoft Entra <MSEntraAccount> se dá použít ke správě serveru po dokončení zřizování.

V příkladu nahraďte následující hodnoty:

• <tenantId>: Najdete ho na webu Azure Portal a přejděte k prostředku Microsoft Entra ID . V podokně Přehled by se mělo zobrazit ID tenanta.
• <subscriptionId>: ID vašeho předplatného najdete na webu Azure Portal.
• <ServerName>: Použití jedinečného názvu logického serveru
• <ResourceGroupName>: Název skupiny prostředků pro logický server
• <MicrosoftEntraAccount>: Může to být uživatel, skupina nebo aplikace Microsoft Entra. Například DummyLogin
• <Location>: Umístění serveru, například westus2, nebo centralus
• <objectId>: Najdete ho na webu Azure Portal a přejděte k prostředku Microsoft Entra ID . V podokně Uživatel vyhledejte uživatele Microsoft Entra a vyhledejte jeho ID objektu. Pokud jako správce Microsoft Entra používáte aplikaci (service principal), nahraďte tuto hodnotu ID aplikace. Budete muset také aktualizovat principalType .
• <principalType>: Jedna ze tří možností: Uživatel, Skupina, Aplikace. Typ objektu Microsoft Entra, který se používá jako správce. Spravované identity a instanční objekty jsou aplikace.

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$authUrl = "https://login.windows.net/$tenantId"
$serverName = "<ServerName>"
$resourceGroupName = "<ResourceGroupName>"

Login-AzAccount -tenantId $tenantId

# login as a user with SQL Server Contributor role or higher 

# Get a token

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes "https://management.core.windows.net/.default"

#Authentication header
$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

# Enable Microsoft Entra-only auth 
# No server admin is specified, Microsoft Entra admin is configured, and Microsoft Entra-only authentication is set to true
# Server admin (login and password) is randomly generated by the system

# Authentication body
# The sid is the Microsoft Entra Object ID for the user or group, and Application ID for applications. Update the principalType as well

$body = '{ 
"location": "<Location>",
"properties": { "administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true }
  }
}'

# Provision the server

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Pokud chcete zkontrolovat stav serveru, můžete použít následující skript:

$uri = 'https://management.azure.com/subscriptions/'+$subscriptionId+'/resourceGroups/'+$resourceGroupName+'/providers/Microsoft.Sql/servers/'+$serverName+'?api-version=2020-11-01-preview&$expand=administrators/activedirectory'

$response=Invoke-WebRequest -Uri $uri -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

$response.statuscode

$response.content

Šablona ARM

Další informace a šablony ARM najdete v tématu Šablony Azure Resource Manageru pro Azure SQL Database.

Pokud chcete zřídit logický server s nastaveným správcem Microsoft Entra pro server a povoleným ověřováním pouze Microsoft Entra pomocí šablony ARM, podívejte se na naši šablonu rychlého startu Azure SQL logický server s ověřováním pouze Microsoft Entra.

Můžete také použít následující šablonu. Použijte vlastní nasazení v portálu Azure a vytvořte vlastní šablonu v editoru. Dále uložte konfiguraci poté, co jste vložili příklad.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "string",
            "defaultValue": "[uniqueString('sql', resourceGroup().id)]",
            "metadata": {
                "description": "The name of the logical server."
            }
        },
        "location": {
            "type": "string",
            "defaultValue": "[resourceGroup().location]",
            "metadata": {
                "description": "Location for all resources."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "properties": {
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Azure SQL Managed Instance

Portál

1. Přejděte do centra Azure SQL v aka.ms/azuresqlhub.

2. V podokně Azure SQL Managed Instance vyberte Zobrazit možnosti.

3. V okně možností služby Azure SQL Managed Instance vyberte Vytvořit spravovanou instanci SQL.

   

4. Vyplňte povinné informace požadované na kartě Základypro podrobnosti projektu a podrobnosti o spravované instanci. Jedná se o minimální sadu informací potřebných ke zřízení spravované instance SQL.

   

   Další informace o možnostech konfigurace najdete v tématu Rychlý start: Vytvoření spravované instance Azure SQL.

5. V části Ověřování vyberte Použít ověřování pouze Microsoft Entra-only pro metodu ověřování.

6. Výběrem možnosti Nastavit správce otevřete podokno Microsoft Entra ID a vyberte hlavní objekt Microsoft Entra jako správce spravované instance. Až budete hotovi, použijte tlačítko Vybrat k nastavení správce.

   

7. Zbývající nastavení můžete ponechat ve výchozím nastavení. Další informace o sítích, zabezpečení nebo jiných kartách a nastaveních najdete v průvodci rychlým startem: Vytvoření spravované instance Azure SQL.

8. Jakmile dokončíte konfiguraci nastavení, vyberte Zkontrolovat a vytvořit pro pokračování. Výběrem možnosti Vytvořit zahájíte zřizování spravované instance.

The Azure CLI

Příkaz az sql mi create Azure CLI slouží ke zřízení nové spravované instance Azure SQL. Následující příkaz zřídí novou spravovanou instanci s povoleným ověřováním Microsoft Entra-only.

Poznámka:

Skript vyžaduje vytvoření virtuální sítě a podsítě jako předpokladu.

Správce SQL spravované instance se vytvoří automaticky a heslo se nastaví na náhodné heslo. Vzhledem k tomu, že je při tomto zřízení zakázané ověřování SQL, nebude použit správce SQL.

Správcem Microsoft Entra bude účet, pro <MSEntraAccount>který jste nastavili , a můžete ho použít ke správě instance po dokončení zřizování.

V příkladu nahraďte následující hodnoty:

• <MSEntraAccount>: Může být uživatelem nebo skupinou Microsoft Entra. Například DummyLogin
• <MSEntraAccountSID>: ID objektu Microsoft Entra pro uživatele
• <managedinstancename>: Pojmenujte spravovanou instanci, kterou chcete vytvořit.
• <ResourceGroupName>: Název skupiny prostředků pro vaši spravovanou instanci. Skupina prostředků by měla obsahovat také vytvořenou virtuální síť a podsíť.
• Parametr subnet musí být aktualizován pomocí parametru <Subscription ID>, <ResourceGroupName>, <VNetName>a <SubnetName>. ID vašeho předplatného najdete na webu Azure Portal.

az sql mi create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <managedinstancename> \
    --subnet /subscriptions/<Subscription ID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>

Další informace viz az sql mi create.

PowerShell

Příkaz PowerShellu New-AzSqlInstance slouží ke zřízení nové spravované instance Azure SQL. Následující příkaz zřídí novou spravovanou instanci s povoleným ověřováním Microsoft Entra-only.

Poznámka:

Skript vyžaduje vytvoření virtuální sítě a podsítě jako předpokladu.

Správce SQL spravované instance se vytvoří automaticky a heslo se nastaví na náhodné heslo. Vzhledem k tomu, že připojení k ověřování SQL je při tomto zřízení zakázané, přihlašovací jméno správce SQL se nepoužije.

Správcem Microsoft Entra bude účet, pro <MSEntraAccount>který jste nastavili , a můžete ho použít ke správě instance po dokončení zřizování.

V příkladu nahraďte následující hodnoty:

• <managedinstancename>: Pojmenujte spravovanou instanci, kterou chcete vytvořit.
• <ResourceGroupName>: Název skupiny prostředků pro vaši spravovanou instanci. Skupina prostředků by měla obsahovat také vytvořenou virtuální síť a podsíť.
• <MSEntraAccount>: Může být uživatelem nebo skupinou Microsoft Entra. Například DummyLogin
• <Location>: Umístění serveru, například West US, nebo Central US
• Parametr SubnetId musí být aktualizován pomocí parametru <Subscription ID>, <ResourceGroupName>, <VNetName>a <SubnetName>. ID vašeho předplatného najdete na webu Azure Portal.

$instanceName = @{
    Name = "<managedinstancename>"
    ResourceGroupName = "<ResourceGroupName>"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
    Location = "<Location>"
    SubnetId = "/subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>"
    LicenseType = "LicenseIncluded"
    StorageSizeInGB = 128
    VCore = 4
    Edition = "GeneralPurpose"
    ComputeGeneration = "Gen5"
}

New-AzSqlInstance $instanceName

Další informace naleznete v tématu New-AzSqlInstance.

REST API

Rozhraní REST API Spravované instance SQL – Vytvoření nebo aktualizace lze použít k vytvoření spravované instance, ve které je během zřizování povoleno ověřování výhradně pomocí Microsoft Entra.

Poznámka:

Skript vyžaduje vytvoření virtuální sítě a podsítě jako předpokladu.

Následující skript zřídí spravovanou instanci, nastaví správce Microsoft Entra jako <MSEntraAccount>a povolí ověřování pouze Microsoft Entra. Správce SQL instance se vytvoří také automaticky a heslo se nastaví na náhodné heslo. Vzhledem k tomu, že připojení k ověřování SQL je při tomto zřizování zakázané, přihlašovací jméno správce SQL se nepoužije.

Správce Microsoft Entra <MSEntraAccount> se dá použít ke správě instance po dokončení zřizování.

V příkladu nahraďte následující hodnoty:

• <tenantId>: Najdete ho na webu Azure Portal a přejděte k prostředku Microsoft Entra ID . V podokně Přehled by se mělo zobrazit ID tenanta.
• <subscriptionId>: ID vašeho předplatného najdete na webu Azure Portal.
• <instanceName>: Použití jedinečného názvu spravované instance
• <ResourceGroupName>: Název skupiny prostředků pro logický server
• <MSEntraAccount>: Může být uživatelem nebo skupinou Microsoft Entra. Například DummyLogin
• <Location>: Umístění serveru, například westus2, nebo centralus
• <objectId>: Najdete ho na webu Azure Portal a přejděte k prostředku Microsoft Entra ID . V podokně Uživatel vyhledejte uživatele Microsoft Entra a vyhledejte jeho ID objektu. Pokud jako správce Microsoft Entra používáte aplikaci (service principal), nahraďte tuto hodnotu ID aplikace. Budete muset také aktualizovat principalType .
• Parametr subnetId musí být aktualizován pomocí parametru <ResourceGroupName>Subscription ID<VNetName>,<SubnetName>

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$instanceName = "<instanceName>"
$resourceGroupName = "<ResourceGroupName>"
$scopes ="https://management.core.windows.net/.default"

Login-AzAccount -tenantId $tenantId

# Login as an Microsoft Entra user with permission to provision a managed instance

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes $scopes

$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

$body = '{
"name": "<instanceName>", "type": "Microsoft.Sql/managedInstances", "identity": { "type": "SystemAssigned"},"location": "<Location>", "sku": {"name": "GP_Gen5", "tier": "GeneralPurpose", "family":"Gen5","capacity": 8},
"properties": {"administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true },
"subnetId": "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>",
"licenseType": "LicenseIncluded", "vCores": 8, "storageSizeInGB": 2048, "collation": "SQL_Latin1_General_CP1_CI_AS", "proxyOverride": "Proxy", "timezoneId": "UTC", "privateEndpointConnections": [], "storageAccountType": "GRS", "zoneRedundant": false 
  }
}'

# To provision the instance, execute the `PUT` command

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Pokud chcete zkontrolovat výsledky, spusťte GET příkaz:

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method GET -Headers $authHeader  | Format-List

Šablona ARM

Pokud chcete zřídit novou spravovanou instanci, virtuální síť a podsíť s povolenou instancí a ověřováním pouze Microsoft Entra, použijte následující šablonu.

Použijte vlastní nasazení v portálu Azure a vytvořte vlastní šablonu v editoru. Dále uložte konfiguraci poté, co jste vložili příklad.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "managedInstanceName": {
            "type": "String",
            "metadata": {
                "description": "Enter managed instance name."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL managed instance."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin. The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "location": {
            "defaultValue": "[resourceGroup().location]",
            "type": "String",
            "metadata": {
                "description": "Enter location. If you leave this field blank resource group location would be used."
            }
        },
        "virtualNetworkName": {
            "type": "String",
            "defaultValue": "SQLMI-VNET",
            "metadata": {
                "description": "Enter virtual network name. If you leave this field blank name will be created by the template."
            }
        },
        "addressPrefix": {
            "defaultValue": "10.0.0.0/16",
            "type": "String",
            "metadata": {
                "description": "Enter virtual network address prefix."
            }
        },
        "subnetName": {
            "type": "String",
            "defaultValue": "ManagedInstances",
            "metadata": {
                "description": "Enter subnet name. If you leave this field blank name will be created by the template."
            }
        },
        "subnetPrefix": {
            "defaultValue": "10.0.0.0/24",
            "type": "String",
            "metadata": {
                "description": "Enter subnet address prefix."
            }
        },
        "skuName": {
            "defaultValue": "GP_Gen5",
            "allowedValues": [
                "GP_Gen5",
                "BC_Gen5"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter sku name."
            }
        },
        "vCores": {
            "defaultValue": 16,
            "allowedValues": [
                8,
                16,
                24,
                32,
                40,
                64,
                80
            ],
            "type": "Int",
            "metadata": {
                "description": "Enter number of vCores."
            }
        },
        "storageSizeInGB": {
            "defaultValue": 256,
            "minValue": 32,
            "maxValue": 8192,
            "type": "Int",
            "metadata": {
                "description": "Enter storage size."
            }
        },
        "licenseType": {
            "defaultValue": "LicenseIncluded",
            "allowedValues": [
                "BasePrice",
                "LicenseIncluded"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter license type."
            }
        }
    },
    "variables": {
        "networkSecurityGroupName": "[concat('SQLMI-', parameters('managedInstanceName'), '-NSG')]",
        "routeTableName": "[concat('SQLMI-', parameters('managedInstanceName'), '-Route-Table')]"
    },
    "resources": [
        {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2020-06-01",
            "name": "[variables('networkSecurityGroupName')]",
            "location": "[parameters('location')]",
            "properties": {
                "securityRules": [
                    {
                        "name": "allow_tds_inbound",
                        "properties": {
                            "description": "Allow access to data",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "1433",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1000,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_inbound",
                        "properties": {
                            "description": "Deny all other inbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_outbound",
                        "properties": {
                            "description": "Deny all other outbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Outbound"
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Network/routeTables",
            "apiVersion": "2020-06-01",
            "name": "[variables('routeTableName')]",
            "location": "[parameters('location')]",
            "properties": {
                "disableBgpRoutePropagation": false
            }
        },
        {
            "type": "Microsoft.Network/virtualNetworks",
            "apiVersion": "2020-06-01",
            "name": "[parameters('virtualNetworkName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[variables('routeTableName')]",
                "[variables('networkSecurityGroupName')]"
            ],
            "properties": {
                "addressSpace": {
                    "addressPrefixes": [
                        "[parameters('addressPrefix')]"
                    ]
                },
                "subnets": [
                    {
                        "name": "[parameters('subnetName')]",
                        "properties": {
                            "addressPrefix": "[parameters('subnetPrefix')]",
                            "routeTable": {
                                "id": "[resourceId('Microsoft.Network/routeTables', variables('routeTableName'))]"
                            },
                            "networkSecurityGroup": {
                                "id": "[resourceId('Microsoft.Network/networkSecurityGroups', variables('networkSecurityGroupName'))]"
                            },
                            "delegations": [
                                {
                                    "name": "miDelegation",
                                    "properties": {
                                        "serviceName": "Microsoft.Sql/managedInstances"
                                    }
                                }
                            ]
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('managedInstanceName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[parameters('virtualNetworkName')]"
            ],
            "sku": {
                "name": "[parameters('skuName')]"
            },
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "subnetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('virtualNetworkName'), parameters('subnetName'))]",
                "storageSizeInGB": "[parameters('storageSizeInGB')]",
                "vCores": "[parameters('vCores')]",
                "licenseType": "[parameters('licenseType')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Udělení oprávnění čtenáři adresáře

Po dokončení nasazení pro spravovanou instanci si můžete všimnout, že spravovaná instance SQL potřebuje oprávnění ke čtení pro přístup k Microsoft Entra ID. Oprávnění ke čtení je možné udělit tak, že na zobrazené zprávě na webu Azure Portal vybere osoba s dostatečnými oprávněními. Další informace můžete najít v části Role čtenáře adresáře v Microsoft Entra ID pro Azure SQL.

Omezení

• Chcete-li resetovat heslo správce serveru, musí být zakázáno ověřování microsoft Entra-only.
• Pokud je ověřování Microsoft Entra-only zakázané, musíte při použití všech rozhraní API vytvořit server se správcem serveru a heslem.

Související obsah

• Pokud už máte logický server nebo spravovanou instanci SQL a chcete jenom povolit ověřování Microsoft Entra-only, přečtěte si kurz: Povolení ověřování microsoft Entra-only s Azure SQL.
• Další informace o funkci ověřování pouze pomocí Microsoft Entra naleznete v tématu Ověřování pouze pomocí Microsoft Entra s Azure SQL.
• Pokud chcete vynutit vytváření serveru s povoleným ověřováním Microsoft Entra-only, přečtěte si téma Azure Policy pro ověřování Microsoft Entra-only pomocí Azure SQL.