Erstellen eines Servers mit aktivierter reiner Microsoft Entra-Authentifizierung in Azure SQL

Gilt für:Azure SQL-DatenbankAzure SQL Managed Instance

In dieser Schrittanleitung sind die Schritte zum Erstellen eines logischen Servers für Azure SQL-Datenbank oder einer Azure SQL Managed Instance mit aktivierter reiner Microsoft Entra-Authentifizierung während der Bereitstellung beschrieben. Mit dem Feature für die reine Microsoft Entra-Authentifizierung wird verhindert, dass Benutzer eine Verbindung mit dem Server oder der verwalteten Instanz per SQL-Authentifizierung herstellen. Die Verbindung kann also nur über die Microsoft Entra ID-Authentifizierung (früher Azure Active Directory) hergestellt werden.

Hinweis

Microsoft Entra ID war zuvor als Azure Active Directory (Azure AD) bekannt.

Voraussetzungen

• Bei Verwendung der Azure CLI wird Version 2.26.1 oder höher benötigt. Weitere Informationen zur Installation und zur neuesten Version finden Sie unter Installieren der Azure CLI.
• Bei Verwendung von PowerShell wird das Modul Az 6.1.0 oder höher benötigt.
• Wenn Sie eine verwaltete Instanz mit der Azure CLI, mit PowerShell oder der REST-API bereitstellen, müssen Sie zunächst ein virtuelles Netzwerk und ein Subnetz erstellen. Weitere Informationen finden Sie unter Erstellen eines virtuellen Netzwerks für Azure SQL Managed Instance.

Berechtigungen

Um einen logischen Server oder eine verwaltete Instanz bereitzustellen, müssen Sie über die entsprechenden Berechtigungen zur Erstellung dieser Ressourcen verfügen. Azure-Benutzer mit höherem Berechtigungsgrad, z. B. Besitzer, Mitwirkende, Dienstadministratoren und Co-Admins von Abonnements, sind zum Erstellen eines SQL-Servers oder einer verwalteten Instanz berechtigt. Verwenden Sie zum Erstellen dieser Ressourcen mit der Azure RBAC-Rolle mit den geringstmöglichen Rechten die Rolle Mitwirkender von SQL Server für SQL-Datenbank und Mitwirkender für verwaltete SQL-Instanzen für SQL Managed Instance.

Die Azure RBAC-Rolle SQL-Sicherheits-Manager verfügt nicht über einen ausreichend hohen Berechtigungsgrad für die Erstellung eines Servers oder einer Instanz mit aktivierter reiner Microsoft Entra-Authentifizierung. Die Rolle SQL-Sicherheits-Manager ist erforderlich, um das Feature für die reine Microsoft Entra-Authentifizierung nach der Erstellung des Servers bzw. der Instanz verwalten zu können.

Durchführen der Bereitstellung mit aktivierter reiner Microsoft Entra-Authentifizierung

Der folgende Abschnitt enthält Beispiele und Skripts zur Erstellung eines logischen Servers oder einer verwalteten Instanz, wobei ein Microsoft Entra-Administrator für den Server bzw. die Instanz festgelegt ist und während der Servererstellung die reine Microsoft Entra-Authentifizierung aktiviert wird. Weitere Informationen zu diesem Feature finden Sie unter Reine Microsoft Entra-Authentifizierung.

In unseren Beispielen aktivieren wir die reine Microsoft Entra-Authentifizierung während der Erstellung eines Servers oder einer verwalteten Instanz mit einem systemseitig zugewiesenen Serveradministrator und Kennwort. Hierdurch wird der Zugriff des Serveradministrators verhindert, wenn die reine Microsoft Entra-Authentifizierung aktiviert ist, sodass nur der Microsoft Entra-Administrator auf die Ressource zugreifen kann. Optional können Sie den APIs Parameter hinzufügen, um während der Servererstellung Ihren eigenen Serveradministrator und Ihr Kennwort einzubeziehen. Das Kennwort kann aber erst zurückgesetzt werden, nachdem Sie die reine Microsoft Entra-Authentifizierung deaktiviert haben. Ein Beispiel für die Verwendung dieser optionalen Parameter zur Angabe des Anmeldenamens des Administrators auf dem Server finden Sie auf der Registerkarte PowerShell auf dieser Seite.

Hinweis

Sie sollten andere verfügbare APIs verwenden, um die vorhandenen Eigenschaften nach der Erstellung des Servers oder der verwalteten Instanz zu ändern. Weitere Informationen finden Sie unter Verwalten der reinen Microsoft Entra-Authentifizierung mithilfe von APIs und Konfigurieren und Verwalten der Microsoft Entra-Authentifizierung mit Azure SQL.

Wenn für die reine Microsoft Entra-Authentifizierung „false“ festgelegt ist (Standardeinstellung), muss bei der Erstellung des Servers oder der verwalteten Instanz in allen APIs ein Serveradministrator mit zugehörigem Kennwort angegeben werden.

Azure SQL-Datenbank

Portal

1. Navigieren Sie in dem Azure-Portal zur Optionsseite SQL Bereitstellung auswählen.

2. Wenn Sie nicht schon im Azure-Portal angemeldet sind, melden Sie sich auf Aufforderung an.

3. Behalten Sie unter SQL-Datenbanken für Einzeldatenbank den festgelegten Wert Ressourcentyp bei, und wählen Sie Erstellen aus.

4. Wählen Sie auf der Registerkarte Grundeinstellungen des Formulars SQL-Datenbank erstellen unter Projektdetails das gewünschte Abonnement für Azure aus.

5. Wählen Sie unter Ressourcengruppe die Option Neu erstellen aus, geben Sie einen Namen für Ihre Ressourcengruppe ein, und wählen Sie OK aus.

6. Geben Sie unter Datenbanknameeinen Namen für Ihre Datenbank ein.

7. Wählen Sie unter Server die Option Neu erstellen aus, und füllen Sie das Formular Neuer Server mit den folgenden Werten aus:

   • Servername: Geben Sie einen eindeutigen Servernamen ein. Servernamen müssen global für alle Server in Azure eindeutig sein, nicht nur eindeutig innerhalb eines Abonnements. Geben Sie einen Wert ein, und das Azure-Portal teilt Ihnen mit, ob er verfügbar ist oder nicht.
   • Speicherort: Wählen Sie einen Speicherort aus der Dropdown-Liste
   • Authentifizierungsmethode: Wählen Sie Reine Microsoft Entra-Authentifizierung verwenden aus.
   • Wählen Sie Administrator festlegen aus, um den Bereich Microsoft Entra ID zu öffnen und einen Microsoft Entra-Prinzipal als Microsoft Entra-Administrator für logische Server auszuwählen. Wenn Sie fertig sind, verwenden Sie die Schaltfläche Auswählen, um Ihren Administrator festzulegen.

   

8. Klicken Sie auf Weiter: Netzwerk aus (im unteren Bereich der Seite).

9. Wählen Sie auf der Registerkarte Netzwerk als Konnektivitätsmethode die Option Öffentlicher Endpunkt aus.

10. Legen Sie bei Firewallregeln die Option Aktuelle Client-IP-Adresse hinzufügen auf Ja fest. Behalten Sie für Azure-Diensten und -Ressourcen den Zugriff auf diese Servergruppe gestatten den Wert Nein bei.

11. Belassen Sie die Einstellungen für Verbindungsrichtlinie und TLS-Mindestversion auf ihren Standardwerten.

12. Wählen Sie Weiter: Sicherheit unten auf der Seite aus. Konfigurieren Sie eine der Einstellungen für Microsoft Defender für SQL, Ledger,Identität und Transparente Datenverschlüsselung für Ihre Umgebung. Sie können diese Einstellungen auch überspringen.

    Hinweis

    Der Gebrauch einer benutzerseitig zugewiesenen verwalteten Identität als Serveridentität wird bei der reinen Microsoft Entra-Authentifizierung nicht unterstützt. Um eine Verbindung mit der Instanz als Identität herzustellen, weisen Sie sie einer Azure Virtual Machine zu, und führen Sie SSMS auf dieser VM aus. Für Produktionsumgebungen wird die Verwendung einer verwalteten Identität für den Microsoft Entra-Administrator aufgrund der verbesserten, vereinfachten Sicherheitsmaßnahmen mit kennwortloser Authentifizierung für Azure-Ressourcen empfohlen.

13. Wählen Sie am unteren Rand der Seite die Option Bewerten + erstellen aus.

14. Wählen Sie nach Überprüfung auf der Seite Überprüfen + erstellen die Option Erstellenaus.

Die Azure-CLI

Der Azure CLI-Befehl az sql server create wird verwendet, um einen neuen logischen Server bereitzustellen. Mit dem unten angegebenen Befehl wird ein neuer Server bereitgestellt, für den die reine Microsoft Entra-Authentifizierung aktiviert ist.

Der SQL-Administrator für den Server wird automatisch erstellt, und das Kennwort wird nach dem Zufallsprinzip festgelegt. Da die Herstellung der Konnektivität für die SQL-Authentifizierung bei dieser Servererstellung deaktiviert ist, wird die SQL-Administratoranmeldung nicht verwendet.

Der Microsoft Entra-Administrator für den Server ist das Konto, das Sie für <MSEntraAccount> festgelegt haben. Hierüber kann der Server verwaltet werden.

Ersetzen Sie im Beispiel die folgenden Werte:

• <MSEntraAccount>: Kann ein Microsoft Entra-Benutzer oder eine -Gruppe sein. Beispiel: DummyLogin
• <MSEntraAccountSID>: Die Objekt-ID des Benutzers in Microsoft Entra.
• <ResourceGroupName>: Name der Ressourcengruppe für Ihren logischen Server
• <ServerName>: Verwenden Sie einen eindeutigen Namen für den Server.

az sql server create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <ServerName>

Weitere Informationen finden Sie unter az sql server create.

Informationen zum Überprüfen des Serverstatus nach der Erstellung finden Sie unter dem folgenden Befehl:

az sql server show --name <ServerName> --resource-group <ResourceGroupName> --expand-ad-admin

PowerShell

Der PowerShell-Befehl New-AzSqlServer wird verwendet, um einen neuen logischen Server bereitzustellen. Mit dem unten angegebenen Befehl wird ein neuer Server bereitgestellt, für den die reine Microsoft Entra-Authentifizierung aktiviert ist.

Der SQL-Administrator für den Server wird automatisch erstellt, und das Kennwort wird nach dem Zufallsprinzip festgelegt. Da die Herstellung der Konnektivität für die SQL-Authentifizierung bei dieser Servererstellung deaktiviert ist, wird die SQL-Administratoranmeldung nicht verwendet.

Der Microsoft Entra-Administrator für den Server ist das Konto, das Sie für <MSEntraAccount> festgelegt haben. Hierüber kann der Server verwaltet werden.

Ersetzen Sie im Beispiel die folgenden Werte:

• <ResourceGroupName>: Name der Ressourcengruppe für Ihren logischen Server
• <Location>: Standort des Servers, z. B. West US oder Central US.
• <ServerName>: Verwenden Sie einen eindeutigen Namen für den Server.
• <MSEntraAccount>: Kann ein Microsoft Entra-Benutzer oder eine -Gruppe sein. Beispiel: DummyLogin

$server = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
}

New-AzSqlServer @server

Hier ein Beispiel zur Angabe des Namens des Serveradministrators (anstatt den Namen des Serveradministrators automatisch erstellen zu lassen) zum Zeitpunkt der Erstellung des logischen Servers. Wie bereits erwähnt, ist diese Anmeldung nicht nutzbar, wenn ausschließlich die Microsoft Entra-Authentifizierung aktiviert ist.

$cred = Get-Credential
New-AzSqlServer -ResourceGroupName "<ResourceGroupName>" -Location "<Location>" -ServerName "<ServerName>" -ServerVersion "12.0" -ExternalAdminName "<MSEntraAccount>" -EnableActiveDirectoryOnlyAuthentication -SqlAdministratorCredentials $cred

Weitere Informationen finden Sie unter New-AzSqlServer.

REST-API

Mithilfe der REST-API zum Erstellen oder Aktualisieren von Servern kann ein logischer Server erstellt werden, bei dem während der Bereitstellung die reine Microsoft Entra-Authentifizierung aktiviert ist.

Mit dem unten angegebenen Skript wird ein logischer Server bereitgestellt, der Microsoft Entra-Administrator als <MSEntraAccount> festgelegt und die reine Microsoft Entra-Authentifizierung aktiviert. Der SQL-Administrator für den Server wird ebenfalls automatisch erstellt, und das Kennwort wird nach dem Zufallsprinzip festgelegt. Da die Herstellung der Konnektivität für die SQL-Authentifizierung bei dieser Bereitstellung deaktiviert ist, wird die SQL-Administratoranmeldung nicht verwendet.

Der Microsoft Entra-Administrator <MSEntraAccount> kann nach Abschluss der Bereitstellung zum Verwalten des Servers verwendet werden.

Ersetzen Sie im Beispiel die folgenden Werte:

• <tenantId>: Kann ermittelt werden, indem Sie zum Azure-Portal und dann zu Ihrer Microsoft Entra ID-Ressource navigieren. Im Bereich Übersicht sollte Ihre Mandanten-ID angezeigt werden.
• <subscriptionId>: Ihre Abonnement-ID können Sie über das Azure-Portal ermitteln.
• <ServerName>: Verwenden Sie einen eindeutigen Namen für den Server.
• <ResourceGroupName>: Name der Ressourcengruppe für Ihren logischen Server
• <MicrosoftEntraAccount>: Kann ein Microsoft Entra-Benutzer, eine -Gruppe oder eine -Anwendung sein. Beispiel: DummyLogin
• <Location>: Standort des Servers, z. B. westus2 oder centralus.
• <objectId>: Kann ermittelt werden, indem Sie zum Azure-Portal und dann zu Ihrer Microsoft Entra ID-Ressource navigieren. Suchen Sie im Bereich Benutzer nach dem Microsoft Entra-Benutzer und der zugehörigen Objekt-ID. Wenn Sie eine Anwendung (Dienstprinzipal) als Microsoft Entra-Administrator verwenden, ersetzen Sie diesen Wert durch die Anwendungs-ID. Außerdem müssen Sie principalType aktualisieren.
• <principalType>: Eine von drei Optionen: Benutzer, Gruppe, Anwendung. Der Typ des Microsoft Entra-Objekts, das als Administrator verwendet wird. Verwaltete Identitäten und Dienstprinzipale sind Anwendungen.

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$authUrl = "https://login.windows.net/$tenantId"
$serverName = "<ServerName>"
$resourceGroupName = "<ResourceGroupName>"

Login-AzAccount -tenantId $tenantId

# login as a user with SQL Server Contributor role or higher 

# Get a token

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes "https://management.core.windows.net/.default"

#Authetication header
$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

# Enable Microsoft Entra-only auth 
# No server admin is specified, Microsoft Entra admin is configured, and Microsoft Entra-only authentication is set to true
# Server admin (login and password) is randomly generated by the system

# Authentication body
# The sid is the Microsoft Entra Object ID for the user or group, and Application ID for applications. Update the principalType as well

$body = '{ 
"location": "<Location>",
"properties": { "administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true }
  }
}'

# Provision the server

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Sie können das folgende Skript verwenden, um den Serverstatus zu überprüfen:

$uri = 'https://management.azure.com/subscriptions/'+$subscriptionId+'/resourceGroups/'+$resourceGroupName+'/providers/Microsoft.Sql/servers/'+$serverName+'?api-version=2020-11-01-preview&$expand=administrators/activedirectory'

$responce=Invoke-WebRequest -Uri $uri -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

$responce.statuscode

$responce.content

ARM-Vorlage

Weitere Informationen und ARM-Vorlagen finden Sie unter Azure Resource Manager-Vorlagen für Azure SQL-Datenbank und verwaltete SQL-Instanzen.

Informationen zum Bereitstellen eines logischen Servers, für den ein Microsoft Entra-Administrator festgelegt und die reine Microsoft Entra-Authentifizierung aktiviert ist, mithilfe einer ARM-Vorlage finden Sie in unserer Schnellstartvorlage für logische Azure SQL-Server mit reiner Microsoft Entra-Authentifizierung.

Sie können auch die folgende Vorlage verwenden. Verwenden Sie eine benutzerdefinierte Bereitstellung im Azure-Portal, und erstellen Sie im Editor Ihre eigene Vorlage. Speichern Sie als Nächstes die Konfiguration, nachdem Sie das Beispiel eingefügt haben.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "string",
            "defaultValue": "[uniqueString('sql', resourceGroup().id)]",
            "metadata": {
                "description": "The name of the logical server."
            }
        },
        "location": {
            "type": "string",
            "defaultValue": "[resourceGroup().location]",
            "metadata": {
                "description": "Location for all resources."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "properties": {
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Verwaltete Azure SQL-Instanz

Portal

1. Navigieren Sie in dem Azure-Portal zur Optionsseite SQL Bereitstellung auswählen.

2. Wenn Sie nicht schon im Azure-Portal angemeldet sind, melden Sie sich auf Aufforderung an.

3. Lassen Sie den Ressourcentyp unter Verwaltete SQL-Instanzen auf Einfache Instanz festgelegt, und wählen Sie Erstellen aus.

4. Geben Sie die für Projektdetails undDetails der verwalteten Instanz erforderlichen Informationen auf der Registerkarte Grundlagen an. Hierbei handelt es sich um die mindestens erforderlichen Informationen, die zum Bereitstellen einer verwalteten SQL-Instanz benötigt werden.

   

   Weitere Informationen zu den Konfigurationsoptionen finden Sie unter Schnellstart: Erstellen einer Azure SQL Managed Instance-Instanz.

5. Wählen Sie unter Authentifizierung die Option Reine Microsoft Entra-Authentifizierung verwenden als Authentifizierungsmethode aus.

6. Wählen Sie Administrator festlegen aus, um den Bereich Microsoft Entra ID zu öffnen, und wählen Sie einen Microsoft Entra-Prinzipal als Microsoft Entra-Administrator der verwalteten Instanz aus. Wenn Sie fertig sind, verwenden Sie die Schaltfläche Auswählen, um Ihren Administrator festzulegen.

   

7. Sie können den Rest der Einstellungen unverändert lassen. Weitere Informationen zu den Registerkarten Netzwerk, Sicherheit oder anderen Registerkarten und Einstellungen finden Sie im Artikel Schnellstart: Erstellen einer Azure SQL Managed Instance-Instanz.

8. Wenn Sie mit dem Konfigurieren Ihrer Einstellungen fertig sind, wählen Sie Überprüfen + erstellen aus, um fortzufahren. Wählen Sie Erstellen aus, um die Bereitstellung der verwalteten Instanz zu starten.

Die Azure-CLI

Der Azure CLI-Befehl az sql mi create wird verwendet, um eine neue Azure SQL Managed Instance bereitzustellen. Mit dem unten angegebenen Befehl wird eine neue verwaltete Instanz bereitgestellt, für die die reine Microsoft Entra-Authentifizierung aktiviert ist.

Hinweis

Für das Skript müssen als Voraussetzung ein virtuelles Netzwerk und ein Subnetz erstellt werden.

Der SQL-Administrator für die verwaltete Instanz wird automatisch erstellt, und das Kennwort wird nach dem Zufallsprinzip festgelegt. Da die SQL-Authentifizierung bei dieser Bereitstellung deaktiviert ist, wird der SQL-Administrator nicht verwendet.

Der Microsoft Entra-Administrator ist das Konto, das Sie für <MSEntraAccount> festgelegt haben, und kann nach Abschluss der Bereitstellung zum Verwalten der Instanz verwendet werden.

Ersetzen Sie im Beispiel die folgenden Werte:

• <MSEntraAccount>: Kann ein Microsoft Entra-Benutzer oder eine -Gruppe sein. Beispiel: DummyLogin
• <MSEntraAccountSID>: Die Microsoft Entra-Objekt-ID für den Benutzer
• <managedinstancename>: Name der verwalteten Instanz, die Sie erstellen möchten.
• <ResourceGroupName>: Name der Ressourcengruppe für Ihre verwaltete Instanz. Die Ressourcengruppe sollte auch das erstellte virtuelle Netzwerk und das Subnetz enthalten.
• Der Parameter subnet muss mit den Angaben für <Subscription ID>, <ResourceGroupName>, <VNetName> und <SubnetName> aktualisiert werden. Ihre Abonnement-ID können Sie über das Azure-Portal ermitteln.

az sql mi create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <managedinstancename> \
    --subnet /subscriptions/<Subscription ID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>

Weitere Informationen finden Sie unter az sql mi create.

PowerShell

Der PowerShell-Befehl New-AzSqlInstance wird verwendet, um eine neue Azure SQL Managed Instance bereitzustellen. Mit dem unten angegebenen Befehl wird eine neue verwaltete Instanz bereitgestellt, für die die reine Microsoft Entra-Authentifizierung aktiviert ist.

Hinweis

Für das Skript müssen als Voraussetzung ein virtuelles Netzwerk und ein Subnetz erstellt werden.

Der SQL-Administrator für die verwaltete Instanz wird automatisch erstellt, und das Kennwort wird nach dem Zufallsprinzip festgelegt. Da die Herstellung der Konnektivität für die SQL-Authentifizierung bei dieser Bereitstellung deaktiviert ist, wird die SQL-Administratoranmeldung nicht verwendet.

Der Microsoft Entra-Administrator ist das Konto, das Sie für <MSEntraAccount> festgelegt haben, und kann nach Abschluss der Bereitstellung zum Verwalten der Instanz verwendet werden.

Ersetzen Sie im Beispiel die folgenden Werte:

• <managedinstancename>: Name der verwalteten Instanz, die Sie erstellen möchten.
• <ResourceGroupName>: Name der Ressourcengruppe für Ihre verwaltete Instanz. Die Ressourcengruppe sollte auch das erstellte virtuelle Netzwerk und das Subnetz enthalten.
• <MSEntraAccount>: Kann ein Microsoft Entra-Benutzer oder eine -Gruppe sein. Beispiel: DummyLogin
• <Location>: Standort des Servers, z. B. West US oder Central US.
• Der Parameter SubnetId muss mit den Angaben für <Subscription ID>, <ResourceGroupName>, <VNetName> und <SubnetName> aktualisiert werden. Ihre Abonnement-ID können Sie über das Azure-Portal ermitteln.

$instanceName = @{
    Name = "<managedinstancename>"
    ResourceGroupName = "<ResourceGroupName>"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
    Location = "<Location>"
    SubnetId = "/subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>"
    LicenseType = "LicenseIncluded"
    StorageSizeInGB = 128
    VCore = 4
    Edition = "GeneralPurpose"
    ComputeGeneration = "Gen5"
}

New-AzSqlInstance $instanceName

Weitere Informationen finden Sie unter New-AzSqlInstance.

REST-API

Mithilfe der REST-API zum Erstellen oder Aktualisieren von SQL Managed Instances kann eine verwaltete Instanz erstellt werden, bei der während der Bereitstellung die reine Microsoft Entra-Authentifizierung aktiviert ist.

Hinweis

Für das Skript müssen als Voraussetzung ein virtuelles Netzwerk und ein Subnetz erstellt werden.

Mit dem unten angegebenen Skript wird eine verwaltete Instanz bereitgestellt, der Microsoft Entra-Administrator als <MSEntraAccount> festgelegt und die reine Microsoft Entra-Authentifizierung aktiviert. Der SQL-Administrator für die Instanz wird ebenfalls automatisch erstellt, und das Kennwort wird nach dem Zufallsprinzip festgelegt. Da die Herstellung der Konnektivität für die SQL-Authentifizierung bei dieser Bereitstellung deaktiviert ist, wird die SQL-Administratoranmeldung nicht verwendet.

Der Microsoft Entra-Administrator <MSEntraAccount> kann nach Abschluss der Bereitstellung zum Verwalten der Instanz verwendet werden.

Ersetzen Sie im Beispiel die folgenden Werte:

• <tenantId>: Kann ermittelt werden, indem Sie zum Azure-Portal und dann zu Ihrer Microsoft Entra ID-Ressource navigieren. Im Bereich Übersicht sollte Ihre Mandanten-ID angezeigt werden.
• <subscriptionId>: Ihre Abonnement-ID können Sie über das Azure-Portal ermitteln.
• <instanceName>: Verwenden Sie einen eindeutigen Namen für die verwaltete Instanz.
• <ResourceGroupName>: Name der Ressourcengruppe für Ihren logischen Server
• <MSEntraAccount>: Kann ein Microsoft Entra-Benutzer oder eine -Gruppe sein. Beispiel: DummyLogin
• <Location>: Standort des Servers, z. B. westus2 oder centralus.
• <objectId>: Kann ermittelt werden, indem Sie zum Azure-Portal und dann zu Ihrer Microsoft Entra ID-Ressource navigieren. Suchen Sie im Bereich Benutzer nach dem Microsoft Entra-Benutzer und der zugehörigen Objekt-ID. Wenn Sie eine Anwendung (Dienstprinzipal) als Microsoft Entra-Administrator verwenden, ersetzen Sie diesen Wert durch die Anwendungs-ID. Außerdem müssen Sie principalType aktualisieren.
• Der Parameter subnetId muss mit den Angaben für <ResourceGroupName>, Subscription ID, <VNetName> und <SubnetName> aktualisiert werden.

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$instanceName = "<instanceName>"
$resourceGroupName = "<ResourceGroupName>"
$scopes ="https://management.core.windows.net/.default"

Login-AzAccount -tenantId $tenantId

# Login as an Microsoft Entra user with permission to provision a managed instance

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes $scopes

$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

$body = '{
"name": "<instanceName>", "type": "Microsoft.Sql/managedInstances", "identity": { "type": "SystemAssigned"},"location": "<Location>", "sku": {"name": "GP_Gen5", "tier": "GeneralPurpose", "family":"Gen5","capacity": 8},
"properties": {"administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true },
"subnetId": "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>",
"licenseType": "LicenseIncluded", "vCores": 8, "storageSizeInGB": 2048, "collation": "SQL_Latin1_General_CP1_CI_AS", "proxyOverride": "Proxy", "timezoneId": "UTC", "privateEndpointConnections": [], "storageAccountType": "GRS", "zoneRedundant": false 
  }
}'

# To provision the instance, execute the `PUT` command

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Führen Sie den Befehl GET aus, um die Ergebnisse zu überprüfen:

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method GET -Headers $authHeader  | Format-List

ARM-Vorlage

Verwenden Sie die folgende Vorlage, um eine neue verwaltete Instanz, ein virtuelles Netzwerk und ein Subnetz bereitzustellen, wobei für die Instanz ein Microsoft Entra-Administrator festgelegt und die reine Microsoft Entra-Authentifizierung aktiviert ist.

Verwenden Sie eine benutzerdefinierte Bereitstellung im Azure-Portal, und erstellen Sie im Editor Ihre eigene Vorlage. Speichern Sie als Nächstes die Konfiguration, nachdem Sie das Beispiel eingefügt haben.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "managedInstanceName": {
            "type": "String",
            "metadata": {
                "description": "Enter managed instance name."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL managed instance."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin. The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "location": {
            "defaultValue": "[resourceGroup().location]",
            "type": "String",
            "metadata": {
                "description": "Enter location. If you leave this field blank resource group location would be used."
            }
        },
        "virtualNetworkName": {
            "type": "String",
            "defaultValue": "SQLMI-VNET",
            "metadata": {
                "description": "Enter virtual network name. If you leave this field blank name will be created by the template."
            }
        },
        "addressPrefix": {
            "defaultValue": "10.0.0.0/16",
            "type": "String",
            "metadata": {
                "description": "Enter virtual network address prefix."
            }
        },
        "subnetName": {
            "type": "String",
            "defaultValue": "ManagedInstances",
            "metadata": {
                "description": "Enter subnet name. If you leave this field blank name will be created by the template."
            }
        },
        "subnetPrefix": {
            "defaultValue": "10.0.0.0/24",
            "type": "String",
            "metadata": {
                "description": "Enter subnet address prefix."
            }
        },
        "skuName": {
            "defaultValue": "GP_Gen5",
            "allowedValues": [
                "GP_Gen5",
                "BC_Gen5"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter sku name."
            }
        },
        "vCores": {
            "defaultValue": 16,
            "allowedValues": [
                8,
                16,
                24,
                32,
                40,
                64,
                80
            ],
            "type": "Int",
            "metadata": {
                "description": "Enter number of vCores."
            }
        },
        "storageSizeInGB": {
            "defaultValue": 256,
            "minValue": 32,
            "maxValue": 8192,
            "type": "Int",
            "metadata": {
                "description": "Enter storage size."
            }
        },
        "licenseType": {
            "defaultValue": "LicenseIncluded",
            "allowedValues": [
                "BasePrice",
                "LicenseIncluded"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter license type."
            }
        }
    },
    "variables": {
        "networkSecurityGroupName": "[concat('SQLMI-', parameters('managedInstanceName'), '-NSG')]",
        "routeTableName": "[concat('SQLMI-', parameters('managedInstanceName'), '-Route-Table')]"
    },
    "resources": [
        {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2020-06-01",
            "name": "[variables('networkSecurityGroupName')]",
            "location": "[parameters('location')]",
            "properties": {
                "securityRules": [
                    {
                        "name": "allow_tds_inbound",
                        "properties": {
                            "description": "Allow access to data",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "1433",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1000,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "allow_redirect_inbound",
                        "properties": {
                            "description": "Allow inbound redirect traffic to SQL Managed Instance inside the virtual network",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "11000-11999",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1100,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_inbound",
                        "properties": {
                            "description": "Deny all other inbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_outbound",
                        "properties": {
                            "description": "Deny all other outbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Outbound"
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Network/routeTables",
            "apiVersion": "2020-06-01",
            "name": "[variables('routeTableName')]",
            "location": "[parameters('location')]",
            "properties": {
                "disableBgpRoutePropagation": false
            }
        },
        {
            "type": "Microsoft.Network/virtualNetworks",
            "apiVersion": "2020-06-01",
            "name": "[parameters('virtualNetworkName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[variables('routeTableName')]",
                "[variables('networkSecurityGroupName')]"
            ],
            "properties": {
                "addressSpace": {
                    "addressPrefixes": [
                        "[parameters('addressPrefix')]"
                    ]
                },
                "subnets": [
                    {
                        "name": "[parameters('subnetName')]",
                        "properties": {
                            "addressPrefix": "[parameters('subnetPrefix')]",
                            "routeTable": {
                                "id": "[resourceId('Microsoft.Network/routeTables', variables('routeTableName'))]"
                            },
                            "networkSecurityGroup": {
                                "id": "[resourceId('Microsoft.Network/networkSecurityGroups', variables('networkSecurityGroupName'))]"
                            },
                            "delegations": [
                                {
                                    "name": "miDelegation",
                                    "properties": {
                                        "serviceName": "Microsoft.Sql/managedInstances"
                                    }
                                }
                            ]
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('managedInstanceName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[parameters('virtualNetworkName')]"
            ],
            "sku": {
                "name": "[parameters('skuName')]"
            },
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "subnetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('virtualNetworkName'), parameters('subnetName'))]",
                "storageSizeInGB": "[parameters('storageSizeInGB')]",
                "vCores": "[parameters('vCores')]",
                "licenseType": "[parameters('licenseType')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Gewähren von Berechtigungen der Art „Verzeichnisleseberechtigte“

Nachdem die Bereitstellung für Ihre verwaltete Instanz abgeschlossen ist, bemerken Sie ggf., dass SQL Managed Instance für den Zugriff auf Microsoft Entra ID Berechtigungen vom Typ Lesen benötigt. Leseberechtigungen können gewährt werden, indem im Azure-Portal von einer Person mit ausreichenden Berechtigungen auf die angezeigte Meldung geklickt wird. Weitere Informationen finden Sie unter Rolle „Verzeichnisleseberechtigte“ in Microsoft Entra für Azure SQL.

Begrenzungen

• Damit das Kennwort des Serveradministrators zurückgesetzt werden kann, muss die reine Microsoft Entra-Authentifizierung deaktiviert werden.
• Wenn die reine Microsoft Entra-Authentifizierung deaktiviert ist, müssen Sie bei Verwendung aller APIs einen Server mit einem Serveradministrator und einem Kennwort erstellen.

Zugehöriger Inhalt

• Falls Sie bereits über einen logischen Server oder eine SQL Managed Instance verfügen und nur die reine Microsoft Entra-Authentifizierung aktivieren möchten, helfen Ihnen die Informationen unter Tutorial: Aktivieren der reinen Microsoft Entra-Authentifizierung mit Azure SQL weiter.
• Weitere Informationen zum Feature für die reine Microsoft Entra-Authentifizierung finden Sie unter Reine Microsoft Entra-Authentifizierung mit Azure SQL.
• Wenn Sie die Servererstellung mit aktivierter reiner Microsoft Entra-Authentifizierung durchsetzen möchten, lesen Sie unter Azure Policy für die reine Microsoft Entra-Authentifizierung mit Azure SQL nach.