Erstellen eines Servers mit aktivierter reiner Microsoft Entra-Authentifizierung in Azure SQL

Gilt für:Azure SQL-Datenbank Verwaltete Azure SQL-Instanz

In dieser Anleitung werden die Schritte zum Erstellen eines logischen Servers für die Azure SQL-Datenbank oder eine azure SQL Managed Instance mit aktivierter Microsoft Entra-only-Authentifizierung während der Bereitstellung beschrieben. Das Microsoft Entra-only-Authentifizierungsfeature verhindert, dass Benutzer mithilfe der SQL-Authentifizierung eine Verbindung mit dem Server oder der verwalteten Instanz herstellen und nur Verbindungen zulässt, die mit Microsoft Entra ID (vormals Azure Active Directory) authentifiziert wurden.

Hinweis

Microsoft Entra-ID wurde zuvor als Azure Active Directory (Azure AD) bezeichnet.

Voraussetzungen

Bei Verwendung der Azure CLI wird Version 2.26.1 oder höher benötigt. Weitere Informationen zur Installation und zur neuesten Version finden Sie unter Installieren der Azure CLI.
Az 6.1.0-Modul oder höher ist bei Verwendung von PowerShell erforderlich.
Wenn Sie eine verwaltete Instanz mit der Azure CLI, mit PowerShell oder der REST-API bereitstellen, müssen Sie zunächst ein virtuelles Netzwerk und ein Subnetz erstellen. Weitere Informationen finden Sie unter Erstellen eines virtuellen Netzwerks für azure SQL Managed Instance.

Berechtigungen

Um einen logischen Server oder eine verwaltete Instanz bereitzustellen, müssen Sie über die entsprechenden Berechtigungen zur Erstellung dieser Ressourcen verfügen. Azure-Benutzer mit höheren Berechtigungen, z. B. Abonnementbesitzer, Mitwirkende, Dienstadministratoren und Co-Administratoren , haben die Berechtigung, einen SQL-Server oder eine verwaltete Instanz zu erstellen. Verwenden Sie zum Erstellen dieser Ressourcen mit der Azure RBAC-Rolle mit den geringstmöglichen Rechten die Rolle Mitwirkender von SQL Server für SQL-Datenbank und Mitwirkender für verwaltete SQL-Instanzen für SQL Managed Instance.

Die Azure RBAC-Rolle SQL Security Manager verfügt nicht über ausreichende Berechtigungen, um einen Server oder eine Instanz mit ausschließlich aktivierter Microsoft Entra-Authentifizierung zu erstellen. Die SQL Security Manager-Rolle ist erforderlich, um das Microsoft Entra-only-Authentifizierungsfeature nach der Server- oder Instanzerstellung zu verwalten.

Durchführen der Bereitstellung mit aktivierter reiner Microsoft Entra-Authentifizierung

Der folgende Abschnitt enthält Beispiele und Skripts zur Erstellung eines logischen Servers oder einer verwalteten Instanz, wobei ein Microsoft Entra-Administrator für den Server bzw. die Instanz festgelegt ist und während der Servererstellung die reine Microsoft Entra-Authentifizierung aktiviert wird. Weitere Informationen zum Feature finden Sie unter Microsoft Entra-only-Authentifizierung mit Azure SQL.

In unseren Beispielen aktivieren wir die reine Microsoft Entra-Authentifizierung während der Erstellung eines Servers oder einer verwalteten Instanz mit einem systemseitig zugewiesenen Serveradministrator und Kennwort. Hierdurch wird der Zugriff des Serveradministrators verhindert, wenn die reine Microsoft Entra-Authentifizierung aktiviert ist, sodass nur der Microsoft Entra-Administrator auf die Ressource zugreifen kann. Optional können Sie den APIs Parameter hinzufügen, um während der Servererstellung Ihren eigenen Serveradministrator und Ihr Kennwort einzubeziehen. Das Kennwort kann aber erst zurückgesetzt werden, nachdem Sie die reine Microsoft Entra-Authentifizierung deaktiviert haben. Ein Beispiel für die Verwendung dieser optionalen Parameter zur Angabe des Anmeldenamens des Administrators auf dem Server finden Sie auf der Registerkarte PowerShell auf dieser Seite.

Hinweis

Um die Microsoft Entra-only-Authentifizierungseigenschaft nach der Erstellung von Server- oder verwalteten Instanzen zu ändern, sollten andere vorhandene APIs verwendet werden. Weitere Informationen finden Sie unter Verwalten der reinen Microsoft Entra-Authentifizierung mithilfe von APIs.

Wenn für die reine Microsoft Entra-Authentifizierung „false“ festgelegt ist (Standardeinstellung), muss bei der Erstellung des Servers oder der verwalteten Instanz in allen APIs ein Serveradministrator mit zugehörigem Kennwort angegeben werden.

Azure SQL-Datenbank

Wechseln Sie zum Azure SQL-Hub bei aka.ms/azuresqlhub.
Wählen Sie im Bereich für azure SQL-Datenbankdie Option "Optionen anzeigen" aus.
Wählen Sie im Fenster "Azure SQL-Datenbankoptionen " die Option "SQL-Datenbank erstellen" aus.
Wählen Sie auf der Registerkarte "Grundlagen" des Formulars " SQL-Datenbank erstellen " unter Projektdetails das gewünschte Azure-Abonnement aus.
Wählen Sie für die Ressourcengruppe " Neu erstellen" aus, geben Sie einen Namen für Ihre Ressourcengruppe ein, und wählen Sie "OK" aus.
Geben Sie für den Datenbanknamen einen Namen für Ihre Datenbank ein.
Wählen Sie für "Server" die Option "Neu erstellen" aus, und füllen Sie das neue Serverformular mit den folgenden Werten aus:
- Servername: Geben Sie einen eindeutigen Servernamen ein. Servernamen müssen global für alle Server in Azure eindeutig sein, nicht nur eindeutig innerhalb eines Abonnements. Geben Sie einen Wert ein, und das Azure-Portal teilt Ihnen mit, ob er verfügbar ist oder nicht.
- Speicherort: Wählen Sie einen Speicherort aus der Dropdownliste aus.
- Authentifizierungsmethode: Wählen Sie "Nur Microsoft Entra-Authentifizierung verwenden" aus.
- Wählen Sie "Administrator festlegen" aus, um den Bereich "Microsoft Entra-ID " zu öffnen und einen Microsoft Entra-Prinzipal als Microsoft Entra-Administrator für logische Server auszuwählen. Wenn Sie fertig sind, verwenden Sie die Schaltfläche "Auswählen ", um Ihren Administrator festzulegen.
Wählen Sie "Weiter" aus: Netzwerk am unteren Rand der Seite.
Wählen Sie auf der Registerkarte "Netzwerk " für die Konnektivitätsmethode den öffentlichen Endpunkt aus.
Legen Sie für Firewallregeln " Aktuelle Client-IP-Adresse hinzufügen " auf "Ja" fest. Behalten Sie für Azure-Diensten und -Ressourcen den Zugriff auf diese Servergruppe gestatten den Wert Nein bei.
Lassen Sie die Verbindungsrichtlinie und die Mindest-TLS-Version auf ihren Standardwerten.
Wählen Sie "Weiter" aus: Sicherheit am unteren Rand der Seite. Konfigurieren Sie alle Einstellungen für Microsoft Defender für SQL, Ledger, Identität und transparente Datenverschlüsselung für Ihre Umgebung. Sie können diese Einstellungen auch überspringen.

Hinweis

Der Gebrauch einer benutzerseitig zugewiesenen verwalteten Identität als Serveridentität wird bei der reinen Microsoft Entra-Authentifizierung nicht unterstützt. Um eine Verbindung mit der Instanz als Identität herzustellen, weisen Sie sie einer Azure Virtual Machine zu, und führen Sie SSMS auf dieser VM aus. Für Produktionsumgebungen wird die Verwendung einer verwalteten Identität für den Microsoft Entra-Administrator aufgrund der verbesserten, vereinfachten Sicherheitsmaßnahmen mit kennwortloser Authentifizierung für Azure-Ressourcen empfohlen.
Wählen Sie "Überprüfen" und "Erstellen" am unteren Rand der Seite aus.
Wählen Sie auf der Seite „Überprüfen + Erstellen“ nach der Überprüfung „Erstellen“ aus.

Der Azure CLI-Befehl az sql server create wird verwendet, um einen neuen logischen Server bereitzustellen. Mit dem unten angegebenen Befehl wird ein neuer Server bereitgestellt, für den die reine Microsoft Entra-Authentifizierung aktiviert ist.

Der SQL-Administrator für den Server wird automatisch erstellt, und das Kennwort wird nach dem Zufallsprinzip festgelegt. Da die Herstellung der Konnektivität für die SQL-Authentifizierung bei dieser Servererstellung deaktiviert ist, wird die SQL-Administratoranmeldung nicht verwendet.

Der Microsoft Entra-Administrator für den Server ist das Konto, das Sie für <MSEntraAccount> festgelegt haben. Hierüber kann der Server verwaltet werden.

Ersetzen Sie im Beispiel die folgenden Werte:

<MSEntraAccount>: Kann ein Microsoft Entra-Benutzer oder eine -Gruppe sein. Beispiel: DummyLogin
<MSEntraAccountSID>: Die Objekt-ID des Benutzers in Microsoft Entra.
<ResourceGroupName>: Name der Ressourcengruppe für Ihren logischen Server
<ServerName>: Verwenden Sie einen eindeutigen Namen für den Server.

az sql server create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <ServerName>

Weitere Informationen finden Sie unter az sql server create.

Informationen zum Überprüfen des Serverstatus nach der Erstellung finden Sie unter dem folgenden Befehl:

az sql server show --name <ServerName> --resource-group <ResourceGroupName> --expand-ad-admin

Der PowerShell-Befehl New-AzSqlServer wird verwendet, um einen neuen logischen Server bereitzustellen. Mit dem unten angegebenen Befehl wird ein neuer Server bereitgestellt, für den die reine Microsoft Entra-Authentifizierung aktiviert ist.

Der Microsoft Entra-Administrator für den Server ist das Konto, das Sie für <MSEntraAccount> festgelegt haben. Hierüber kann der Server verwaltet werden.

Ersetzen Sie im Beispiel die folgenden Werte:

<ResourceGroupName>: Name der Ressourcengruppe für Ihren logischen Server
<Location>: Standort des Servers, z. B. West US oder Central US.
<ServerName>: Verwenden Sie einen eindeutigen Namen für den Server.
<MSEntraAccount>: Kann ein Microsoft Entra-Benutzer oder eine -Gruppe sein. Beispiel: DummyLogin

$server = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
}

New-AzSqlServer @server

Hier ein Beispiel zur Angabe des Namens des Serveradministrators (anstatt den Namen des Serveradministrators automatisch erstellen zu lassen) zum Zeitpunkt der Erstellung des logischen Servers. Wie bereits erwähnt, ist diese Anmeldung nicht nutzbar, wenn ausschließlich die Microsoft Entra-Authentifizierung aktiviert ist.

$cred = Get-Credential
New-AzSqlServer -ResourceGroupName "<ResourceGroupName>" -Location "<Location>" -ServerName "<ServerName>" -ServerVersion "12.0" -ExternalAdminName "<MSEntraAccount>" -EnableActiveDirectoryOnlyAuthentication -SqlAdministratorCredentials $cred

Weitere Informationen finden Sie unter New-AzSqlServer.

Die Server - Create Or Update REST API kann verwendet werden, um einen logischen Server mit aktivierter Microsoft Entra-Authentifizierung während der Bereitstellung zu erstellen.

Mit dem unten angegebenen Skript wird ein logischer Server bereitgestellt, der Microsoft Entra-Administrator als <MSEntraAccount> festgelegt und die reine Microsoft Entra-Authentifizierung aktiviert. Der SQL-Administrator für den Server wird ebenfalls automatisch erstellt, und das Kennwort wird nach dem Zufallsprinzip festgelegt. Da die Herstellung der Konnektivität für die SQL-Authentifizierung bei dieser Bereitstellung deaktiviert ist, wird die SQL-Administratoranmeldung nicht verwendet.

Der Microsoft Entra-Administrator <MSEntraAccount> kann nach Abschluss der Bereitstellung zum Verwalten des Servers verwendet werden.

Ersetzen Sie im Beispiel die folgenden Werte:

<tenantId>: Dies finden Sie, indem Sie zum Azure-Portal gehen und zu Ihrer Microsoft Entra ID-Ressource wechseln. Im Bereich "Übersicht" sollte Ihre Mandanten-ID angezeigt werden.
<subscriptionId>: Ihre Abonnement-ID können Sie über das Azure-Portal ermitteln.
<ServerName>: Verwenden Sie einen eindeutigen Namen für den Server.
<ResourceGroupName>: Name der Ressourcengruppe für Ihren logischen Server
<MicrosoftEntraAccount>: Kann ein Microsoft Entra-Benutzer, eine -Gruppe oder eine -Anwendung sein. Beispiel: DummyLogin
<Location>: Standort des Servers, z. B. westus2 oder centralus.
<objectId>: Dies finden Sie, indem Sie zum Azure-Portal gehen und zu Ihrer Microsoft Entra ID-Ressource wechseln. Suchen Sie im Benutzerbereich nach dem Microsoft Entra-Benutzer, und suchen Sie ihre Objekt-ID. Wenn Sie eine Anwendung (Dienstprinzipal) als Microsoft Entra-Administrator verwenden, ersetzen Sie diesen Wert durch die Anwendungs-ID. Außerdem müssen Sie principalType aktualisieren.
<principalType>: Eine von drei Optionen: Benutzer, Gruppe, Anwendung. Der Typ des Microsoft Entra-Objekts, das als Administrator verwendet wird. Verwaltete Identitäten und Dienstprinzipale sind Anwendungen.

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$authUrl = "https://login.windows.net/$tenantId"
$serverName = "<ServerName>"
$resourceGroupName = "<ResourceGroupName>"

Login-AzAccount -tenantId $tenantId

# login as a user with SQL Server Contributor role or higher 

# Get a token

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes "https://management.core.windows.net/.default"

#Authentication header
$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

# Enable Microsoft Entra-only auth 
# No server admin is specified, Microsoft Entra admin is configured, and Microsoft Entra-only authentication is set to true
# Server admin (login and password) is randomly generated by the system

# Authentication body
# The sid is the Microsoft Entra Object ID for the user or group, and Application ID for applications. Update the principalType as well

$body = '{ 
"location": "<Location>",
"properties": { "administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true }
  }
}'

# Provision the server

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Sie können das folgende Skript verwenden, um den Serverstatus zu überprüfen:

$uri = 'https://management.azure.com/subscriptions/'+$subscriptionId+'/resourceGroups/'+$resourceGroupName+'/providers/Microsoft.Sql/servers/'+$serverName+'?api-version=2020-11-01-preview&$expand=administrators/activedirectory'

$response=Invoke-WebRequest -Uri $uri -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

$response.statuscode

$response.content

Weitere Informationen und ARM-Vorlagen finden Sie unter Azure Resource Manager-Vorlagen für Azure SQL-Datenbank.

Informationen zum Bereitstellen eines logischen Servers, für den ein Microsoft Entra-Administrator festgelegt und die reine Microsoft Entra-Authentifizierung aktiviert ist, mithilfe einer ARM-Vorlage finden Sie in unserer Schnellstartvorlage für logische Azure SQL-Server mit reiner Microsoft Entra-Authentifizierung.

Sie können auch die folgende Vorlage verwenden. Verwenden Sie eine benutzerdefinierte Bereitstellung im Azure-Portal, und erstellen Sie ihre eigene Vorlage im Editor. Speichern Sie zunächst die Konfiguration, nachdem Sie das Beispiel eingefügt haben.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "string",
            "defaultValue": "[uniqueString('sql', resourceGroup().id)]",
            "metadata": {
                "description": "The name of the logical server."
            }
        },
        "location": {
            "type": "string",
            "defaultValue": "[resourceGroup().location]",
            "metadata": {
                "description": "Location for all resources."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "properties": {
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Verwaltete Azure SQL-Instanz

Wechseln Sie zum Azure SQL-Hub bei aka.ms/azuresqlhub.
Wählen Sie im Bereich für die verwaltete Azure SQL-Instanz"Optionen anzeigen" aus.
Wählen Sie im Optionsfenster für verwaltete Azure SQL-Instanz die Option "SQL Managed Instance erstellen" aus.
Füllen Sie die obligatorischen Informationen aus, die auf der Registerkarte "Grundlagen" für Projektdetails und "Verwaltete Instanz" erforderlich sind. Hierbei handelt es sich um die mindestens erforderlichen Informationen, die zum Bereitstellen einer verwalteten SQL-Instanz benötigt werden.

Weitere Informationen zu den Konfigurationsoptionen finden Sie in der Schnellstartanleitung: Erstellen einer verwalteten Azure SQL-Instanz.
Wählen Sie unter "Authentifizierung" die Option "Nur Microsoft Entra-Authentifizierung für die Authentifizierungsmethode verwenden" aus.
Wählen Sie "Administrator festlegen" aus, um den Bereich "Microsoft Entra-ID " zu öffnen, und wählen Sie einen Microsoft Entra-Prinzipal als Microsoft Entra-Administrator der verwalteten Instanz aus. Wenn Sie fertig sind, verwenden Sie die Schaltfläche "Auswählen ", um Ihren Administrator festzulegen.
Sie können den Rest der Einstellungen unverändert lassen. Weitere Informationen zu den Registerkarten Netzwerk, Sicherheit oder anderen Registerkarten und Einstellungen finden Sie im Artikel Schnellstart: Erstellen von azure SQL Managed Instance.
Nachdem Sie mit der Konfiguration Ihrer Einstellungen fertig sind, wählen Sie "Überprüfen" und "Erstellen" aus, um fortzufahren. Wählen Sie "Erstellen" aus, um die Bereitstellung der verwalteten Instanz zu starten.

Der Azure CLI-Befehl az sql mi create wird verwendet, um eine neue Azure SQL Managed Instance bereitzustellen. Mit dem unten angegebenen Befehl wird eine neue verwaltete Instanz bereitgestellt, für die die reine Microsoft Entra-Authentifizierung aktiviert ist.

Hinweis

Für das Skript müssen als Voraussetzung ein virtuelles Netzwerk und ein Subnetz erstellt werden.

Der SQL-Administrator für die verwaltete Instanz wird automatisch erstellt, und das Kennwort wird nach dem Zufallsprinzip festgelegt. Da die SQL-Authentifizierung bei dieser Bereitstellung deaktiviert ist, wird der SQL-Administrator nicht verwendet.

Der Microsoft Entra-Administrator ist das Konto, das Sie für <MSEntraAccount> festgelegt haben, und kann nach Abschluss der Bereitstellung zum Verwalten der Instanz verwendet werden.

Ersetzen Sie im Beispiel die folgenden Werte:

<MSEntraAccount>: Kann ein Microsoft Entra-Benutzer oder eine -Gruppe sein. Beispiel: DummyLogin
<MSEntraAccountSID>: Die Objekt-ID des Benutzers in Microsoft Entra.
<managedinstancename>: Name der verwalteten Instanz, die Sie erstellen möchten.
<ResourceGroupName>: Name der Ressourcengruppe für Ihre verwaltete Instanz. Die Ressourcengruppe sollte auch das erstellte virtuelle Netzwerk und das Subnetz enthalten.
Der Parameter subnet muss mit den Angaben für <Subscription ID>, <ResourceGroupName>, <VNetName> und <SubnetName> aktualisiert werden. Ihre Abonnement-ID können Sie über das Azure-Portal ermitteln.

az sql mi create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <managedinstancename> \
    --subnet /subscriptions/<Subscription ID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>

Weitere Informationen finden Sie unter az sql mi create.

Der PowerShell-Befehl New-AzSqlInstance wird verwendet, um eine neue Azure SQL Managed Instance bereitzustellen. Mit dem unten angegebenen Befehl wird eine neue verwaltete Instanz bereitgestellt, für die die reine Microsoft Entra-Authentifizierung aktiviert ist.

Hinweis

Für das Skript müssen als Voraussetzung ein virtuelles Netzwerk und ein Subnetz erstellt werden.

Der SQL-Administrator für die verwaltete Instanz wird automatisch erstellt, und das Kennwort wird nach dem Zufallsprinzip festgelegt. Da die Herstellung der Konnektivität für die SQL-Authentifizierung bei dieser Bereitstellung deaktiviert ist, wird die SQL-Administratoranmeldung nicht verwendet.

Der Microsoft Entra-Administrator ist das Konto, das Sie für <MSEntraAccount> festgelegt haben, und kann nach Abschluss der Bereitstellung zum Verwalten der Instanz verwendet werden.

Ersetzen Sie im Beispiel die folgenden Werte:

<managedinstancename>: Name der verwalteten Instanz, die Sie erstellen möchten.
<ResourceGroupName>: Name der Ressourcengruppe für Ihre verwaltete Instanz. Die Ressourcengruppe sollte auch das erstellte virtuelle Netzwerk und das Subnetz enthalten.
<MSEntraAccount>: Kann ein Microsoft Entra-Benutzer oder eine -Gruppe sein. Beispiel: DummyLogin
<Location>: Standort des Servers, z. B. West US oder Central US.
Der Parameter SubnetId muss mit den Angaben für <Subscription ID>, <ResourceGroupName>, <VNetName> und <SubnetName> aktualisiert werden. Ihre Abonnement-ID können Sie über das Azure-Portal ermitteln.

$instanceName = @{
    Name = "<managedinstancename>"
    ResourceGroupName = "<ResourceGroupName>"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
    Location = "<Location>"
    SubnetId = "/subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>"
    LicenseType = "LicenseIncluded"
    StorageSizeInGB = 128
    VCore = 4
    Edition = "GeneralPurpose"
    ComputeGeneration = "Gen5"
}

New-AzSqlInstance $instanceName

Weitere Informationen finden Sie unter New-AzSqlInstance.

Die SQL Managed Instances – Create Or Update REST API kann verwendet werden, um eine verwaltete Instanz mit nur aktivierter Microsoft Entra-Authentifizierung während der Bereitstellung zu erstellen.

Hinweis

Für das Skript müssen als Voraussetzung ein virtuelles Netzwerk und ein Subnetz erstellt werden.

Mit dem unten angegebenen Skript wird eine verwaltete Instanz bereitgestellt, der Microsoft Entra-Administrator als <MSEntraAccount> festgelegt und die reine Microsoft Entra-Authentifizierung aktiviert. Der SQL-Administrator für die Instanz wird ebenfalls automatisch erstellt, und das Kennwort wird nach dem Zufallsprinzip festgelegt. Da die Herstellung der Konnektivität für die SQL-Authentifizierung bei dieser Bereitstellung deaktiviert ist, wird die SQL-Administratoranmeldung nicht verwendet.

Der Microsoft Entra-Administrator <MSEntraAccount> kann nach Abschluss der Bereitstellung zum Verwalten der Instanz verwendet werden.

Ersetzen Sie im Beispiel die folgenden Werte:

<tenantId>: Dies finden Sie, indem Sie zum Azure-Portal gehen und zu Ihrer Microsoft Entra ID-Ressource wechseln. Im Bereich "Übersicht" sollte Ihre Mandanten-ID angezeigt werden.
<subscriptionId>: Ihre Abonnement-ID können Sie über das Azure-Portal ermitteln.
<instanceName>: Verwenden Sie einen eindeutigen Namen für die verwaltete Instanz.
<ResourceGroupName>: Name der Ressourcengruppe für Ihren logischen Server
<MSEntraAccount>: Kann ein Microsoft Entra-Benutzer oder eine -Gruppe sein. Beispiel: DummyLogin
<Location>: Standort des Servers, z. B. westus2 oder centralus.
<objectId>: Dies finden Sie, indem Sie zum Azure-Portal gehen und zu Ihrer Microsoft Entra ID-Ressource wechseln. Suchen Sie im Benutzerbereich nach dem Microsoft Entra-Benutzer, und suchen Sie ihre Objekt-ID. Wenn Sie eine Anwendung (Dienstprinzipal) als Microsoft Entra-Administrator verwenden, ersetzen Sie diesen Wert durch die Anwendungs-ID. Außerdem müssen Sie principalType aktualisieren.
Der Parameter subnetId muss mit den Angaben für <ResourceGroupName>, Subscription ID, <VNetName> und <SubnetName> aktualisiert werden.

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$instanceName = "<instanceName>"
$resourceGroupName = "<ResourceGroupName>"
$scopes ="https://management.core.windows.net/.default"

Login-AzAccount -tenantId $tenantId

# Login as an Microsoft Entra user with permission to provision a managed instance

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes $scopes

$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

$body = '{
"name": "<instanceName>", "type": "Microsoft.Sql/managedInstances", "identity": { "type": "SystemAssigned"},"location": "<Location>", "sku": {"name": "GP_Gen5", "tier": "GeneralPurpose", "family":"Gen5","capacity": 8},
"properties": {"administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true },
"subnetId": "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>",
"licenseType": "LicenseIncluded", "vCores": 8, "storageSizeInGB": 2048, "collation": "SQL_Latin1_General_CP1_CI_AS", "proxyOverride": "Proxy", "timezoneId": "UTC", "privateEndpointConnections": [], "storageAccountType": "GRS", "zoneRedundant": false 
  }
}'

# To provision the instance, execute the `PUT` command

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Führen Sie den Befehl GET aus, um die Ergebnisse zu überprüfen:

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method GET -Headers $authHeader  | Format-List

Verwenden Sie die folgende Vorlage, um eine neue verwaltete Instanz, ein virtuelles Netzwerk und ein Subnetz bereitzustellen, wobei für die Instanz ein Microsoft Entra-Administrator festgelegt und die reine Microsoft Entra-Authentifizierung aktiviert ist.

Verwenden Sie eine benutzerdefinierte Bereitstellung im Azure-Portal, und erstellen Sie ihre eigene Vorlage im Editor. Speichern Sie zunächst die Konfiguration, nachdem Sie das Beispiel eingefügt haben.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "managedInstanceName": {
            "type": "String",
            "metadata": {
                "description": "Enter managed instance name."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL managed instance."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin. The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "location": {
            "defaultValue": "[resourceGroup().location]",
            "type": "String",
            "metadata": {
                "description": "Enter location. If you leave this field blank resource group location would be used."
            }
        },
        "virtualNetworkName": {
            "type": "String",
            "defaultValue": "SQLMI-VNET",
            "metadata": {
                "description": "Enter virtual network name. If you leave this field blank name will be created by the template."
            }
        },
        "addressPrefix": {
            "defaultValue": "10.0.0.0/16",
            "type": "String",
            "metadata": {
                "description": "Enter virtual network address prefix."
            }
        },
        "subnetName": {
            "type": "String",
            "defaultValue": "ManagedInstances",
            "metadata": {
                "description": "Enter subnet name. If you leave this field blank name will be created by the template."
            }
        },
        "subnetPrefix": {
            "defaultValue": "10.0.0.0/24",
            "type": "String",
            "metadata": {
                "description": "Enter subnet address prefix."
            }
        },
        "skuName": {
            "defaultValue": "GP_Gen5",
            "allowedValues": [
                "GP_Gen5",
                "BC_Gen5"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter sku name."
            }
        },
        "vCores": {
            "defaultValue": 16,
            "allowedValues": [
                8,
                16,
                24,
                32,
                40,
                64,
                80
            ],
            "type": "Int",
            "metadata": {
                "description": "Enter number of vCores."
            }
        },
        "storageSizeInGB": {
            "defaultValue": 256,
            "minValue": 32,
            "maxValue": 8192,
            "type": "Int",
            "metadata": {
                "description": "Enter storage size."
            }
        },
        "licenseType": {
            "defaultValue": "LicenseIncluded",
            "allowedValues": [
                "BasePrice",
                "LicenseIncluded"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter license type."
            }
        }
    },
    "variables": {
        "networkSecurityGroupName": "[concat('SQLMI-', parameters('managedInstanceName'), '-NSG')]",
        "routeTableName": "[concat('SQLMI-', parameters('managedInstanceName'), '-Route-Table')]"
    },
    "resources": [
        {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2020-06-01",
            "name": "[variables('networkSecurityGroupName')]",
            "location": "[parameters('location')]",
            "properties": {
                "securityRules": [
                    {
                        "name": "allow_tds_inbound",
                        "properties": {
                            "description": "Allow access to data",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "1433",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1000,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_inbound",
                        "properties": {
                            "description": "Deny all other inbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_outbound",
                        "properties": {
                            "description": "Deny all other outbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Outbound"
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Network/routeTables",
            "apiVersion": "2020-06-01",
            "name": "[variables('routeTableName')]",
            "location": "[parameters('location')]",
            "properties": {
                "disableBgpRoutePropagation": false
            }
        },
        {
            "type": "Microsoft.Network/virtualNetworks",
            "apiVersion": "2020-06-01",
            "name": "[parameters('virtualNetworkName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[variables('routeTableName')]",
                "[variables('networkSecurityGroupName')]"
            ],
            "properties": {
                "addressSpace": {
                    "addressPrefixes": [
                        "[parameters('addressPrefix')]"
                    ]
                },
                "subnets": [
                    {
                        "name": "[parameters('subnetName')]",
                        "properties": {
                            "addressPrefix": "[parameters('subnetPrefix')]",
                            "routeTable": {
                                "id": "[resourceId('Microsoft.Network/routeTables', variables('routeTableName'))]"
                            },
                            "networkSecurityGroup": {
                                "id": "[resourceId('Microsoft.Network/networkSecurityGroups', variables('networkSecurityGroupName'))]"
                            },
                            "delegations": [
                                {
                                    "name": "miDelegation",
                                    "properties": {
                                        "serviceName": "Microsoft.Sql/managedInstances"
                                    }
                                }
                            ]
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('managedInstanceName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[parameters('virtualNetworkName')]"
            ],
            "sku": {
                "name": "[parameters('skuName')]"
            },
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "subnetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('virtualNetworkName'), parameters('subnetName'))]",
                "storageSizeInGB": "[parameters('storageSizeInGB')]",
                "vCores": "[parameters('vCores')]",
                "licenseType": "[parameters('licenseType')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Gewähren von Berechtigungen der Art „Verzeichnisleseberechtigte“

Sobald die Bereitstellung für Ihre verwaltete Instanz abgeschlossen ist, stellen Sie möglicherweise fest, dass die verwaltete SQL-Instanz Leseberechtigungen benötigt, um auf Microsoft Entra ID zuzugreifen. Leseberechtigungen können gewährt werden, indem im Azure-Portal von einer Person mit ausreichenden Berechtigungen die angezeigte Meldung ausgewählt wird. Weitere Informationen finden Sie in der Rolle "Verzeichnisleser" in der Microsoft Entra-ID für Azure SQL.

Begrenzungen

Damit das Kennwort des Serveradministrators zurückgesetzt werden kann, muss die reine Microsoft Entra-Authentifizierung deaktiviert werden.
Wenn die reine Microsoft Entra-Authentifizierung deaktiviert ist, müssen Sie bei Verwendung aller APIs einen Server mit einem Serveradministrator und einem Kennwort erstellen.

Wenn Sie bereits über eine logische Server- oder SQL-verwaltete Instanz verfügen und nur die Microsoft Entra-only-Authentifizierung aktivieren möchten, lesen Sie Lernprogramm: Aktivieren der microsoft Entra-only-Authentifizierung mit Azure SQL.
Weitere Informationen zum Microsoft Entra-only-Authentifizierungsfeature finden Sie unter Microsoft Entra-only-Authentifizierung mit Azure SQL.
Wenn Sie die Servererstellung mit aktivierter Microsoft Entra-Authentifizierung erzwingen möchten, lesen Sie Azure-Richtlinie für Microsoft Entra-Authentifizierung mit Azure SQL

Feedback

War diese Seite hilfreich?

Last updated on 2025-08-25

Freigeben über

Erstellen eines Servers mit aktivierter reiner Microsoft Entra-Authentifizierung in Azure SQL

Voraussetzungen

Berechtigungen

Durchführen der Bereitstellung mit aktivierter reiner Microsoft Entra-Authentifizierung

Azure SQL-Datenbank

Verwaltete Azure SQL-Instanz

Gewähren von Berechtigungen der Art „Verzeichnisleseberechtigte“

Begrenzungen

Zugehöriger Inhalt

Feedback

Zusätzliche Ressourcen