Erstellen einer Azure SQL Managed Instance mit einer benutzerseitig zugewiesenen verwalteten Identität

Gilt für: Azure SQL Managed Instance

• Azure SQL-Datenbank
• Azure SQL Managed Instance

In dieser Anleitung werden die Schritte zur Erstellung einer Azure SQL Managed Instance-Instanz mit einer benutzerseitig zugewiesenen verwalteten Identität von Microsoft Entra ID (früher Azure Active Directory) beschrieben. Weitere Informationen zu den Vorteilen der Verwendung einer benutzerseitig zugewiesenen verwalteten Identität für die Serveridentität in einer Azure SQL-Datenbank finden Sie unter Benutzerseitig zugewiesene verwaltete Identität in Microsoft Entra für Azure SQL.

Hinweis

Microsoft Entra ID war zuvor als Azure Active Directory (Azure AD) bekannt.

Voraussetzungen

• Um eine SQL Managed Instance mit einer benutzerseitig zugewiesenen verwalteten Identität bereitzustellen, ist die Rolle SQL Managed Instance Mitwirkender (oder eine Rolle mit höheren Berechtigungen) zusammen mit einer Azure RBAC-Rolle erforderlich, die die folgende Aktion enthält:
  • Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action - Zum Beispiel besitzt der Managed Identity Operator diese Aktion.
• Erstellen Sie eine benutzerseitig zugewiesene verwaltete Identität und weisen Sie ihr die erforderlichen Berechtigungen zu, um eine Server- oder verwaltete Instanzidentität zu sein. Weitere Informationen finden Sie unter Verwalten von benutzerseitig zugewiesenen verwalteten Identitäten und Berechtigungen für eine benutzerseitig zugewiesene verwaltete Identität für Azure SQL.
• Az.Sql module 3.4 oder höher ist erforderlich, wenn PowerShell für benutzerseitig zugewiesene verwaltete Identitäten verwendet wird.
• Die Azure CLI 2.26.0 oder höher ist erforderlich, um die Azure CLI mit benutzerseitig zugewiesenen verwalteten Identitäten zu verwenden.
• Eine Liste der Einschränkungen und bekannten Probleme bei der Verwendung einer benutzerseitig zugewiesenen verwalteten Identität finden Sie unter Benutzerseitig zugewiesene verwaltete Identität in Microsoft Entra für Azure SQL

Portal

1. Navigieren Sie in dem Azure-Portal zur Optionsseite SQL Bereitstellung auswählen.

2. Wenn Sie nicht schon im Azure-Portal angemeldet sind, melden Sie sich auf Aufforderung an.

3. Lassen Sie den Ressourcentyp unter Verwaltete SQL-Instanzen auf Einfache Instanz festgelegt, und wählen Sie Erstellen aus.

4. Geben Sie die für Projektdetails undDetails der verwalteten Instanz erforderlichen Informationen auf der Registerkarte Grundlagen an. Hierbei handelt es sich um die mindestens erforderlichen Informationen, die zum Bereitstellen einer verwalteten SQL-Instanz benötigt werden.

   

   Weitere Informationen zu den Konfigurationsoptionen finden Sie unter Schnellstart: Erstellen einer Azure SQL Managed Instance-Instanz.

5. Wählen Sie unter Authentifizierung ein bevorzugtes Authentifizierungsmodell aus. Wenn Sie eine reine Microsoft Entra-Authentifizierung konfigurieren möchten, lesen Sie den Leitfaden.

6. Gehen Sie als Nächstes die Konfiguration auf der Registerkarte Netzwerke durch, oder belassen Sie die Standardeinstellungen.

7. Wählen Sie auf der Registerkarte Sicherheit unter Identität die Option Identitäten konfigurieren aus.

   

8. Wählen Sie im Bereich Identität unter Benutzerseitig zugewiesene verwaltete Identität die Option Hinzufügen aus. Wählen Sie das gewünschte Abonnement und dann unter Benutzerseitig zugewiesene verwaltete Identitäten die gewünschte benutzerseitig zugewiesene verwaltete Identität aus dem ausgewählten Abonnement aus. Wählen Sie dann die Schaltfläche Auswählen.

   

   

9. Wählen Sie unter Primäre Identität die im vorherigen Schritt ausgewählte benutzerseitig zugewiesene verwaltete Identität aus.

   

   Hinweis

   Wenn die systemseitig zugewiesene verwaltete Identität die primäre Identität ist, muss das Feld Primäre Identität leer sein.

10. Wählen Sie Übernehmen aus.

11. Sie können den Rest der Einstellungen unverändert lassen. Für weitere Informationen über andere Registerkarten und Einstellungen folgen Sie der Anleitung im Artikel Schnellstart: Erstellen einer Azure SQL Managed Instance.

12. Wenn Sie mit dem Konfigurieren Ihrer Einstellungen fertig sind, wählen Sie Überprüfen + erstellen aus, um fortzufahren. Wählen Sie Erstellen aus, um die Bereitstellung der verwalteten Instanz zu starten.

Die Azure-CLI

Der Azure CLI-Befehl az sql mi create wird verwendet, um eine neue Azure SQL Managed Instance bereitzustellen. Mit dem folgenden Befehl wird eine verwaltete Instanz mit einer benutzerseitig zugewiesenen verwalteten Identität bereitgestellt und außerdem die reine Microsoft Entra-Authentifizierung aktiviert.

Hinweis

Für das Skript müssen als Voraussetzung ein virtuelles Netzwerk und ein Subnetz erstellt werden.

Die SQL-Administratoranmeldung für die verwaltete Instanz wird automatisch erstellt, und das Kennwort wird nach dem Zufallsprinzip festgelegt. Da die Herstellung der Konnektivität für die SQL-Authentifizierung bei dieser Bereitstellung deaktiviert ist, wird die SQL-Administratoranmeldung nicht verwendet.

Der Microsoft Entra-Administrator ist das Konto, das Sie für <AzureADAccount> festgelegt haben, und kann nach Abschluss der Bereitstellung zum Verwalten der Instanz verwendet werden.

Ersetzen Sie im Beispiel die folgenden Werte:

• <subscriptionId>: Ihre Abonnement-ID können Sie über das Azure-Portal ermitteln.
• <ResourceGroupName>: Name der Ressourcengruppe für Ihre verwaltete Instanz. Die Ressourcengruppe sollte auch das erstellte virtuelle Netzwerk und das Subnetz enthalten.
• <managedIdentity>: Die benutzerseitig zugewiesene verwaltete Identität. Kann auch als primäre Identität verwendet werden.
• <primaryIdentity>: Die primäre Identität, die Sie als Instanzidentität verwenden möchten
• <AzureADAccount>: Kann ein Microsoft Entra-Benutzer oder eine -Gruppe sein. Beispiel: DummyLogin
• <AzureADAccountSID>: Die Microsoft Entra-Objekt-ID für den Benutzer
• <managedinstancename>: Name der verwalteten Instanz, die Sie erstellen möchten.
• Der Parameter subnet muss mit den Angaben für <subscriptionId>, <ResourceGroupName>, <VNetName> und <SubnetName> aktualisiert werden.

# Define variables for resources
subscriptionId="<subscriptionId>"
resourceGroupName="<ResourceGroupName>"
managedIdentity="<managedIdentity>"
primaryIdentity="<primaryIdentity>"
AzureADAccount="<AzureADAccount>"
AzureADAccountSID="<AzureADAccountSID>"
VNetName="<VNetName>"
SubnetName="<SubnetName>"
managedinstancename="<managedinstancename>"

# Create a managed instance with a user-assigned managed identity
az sql mi create \
  --assign-identity \
  --identity-type UserAssigned \
  --user-assigned-identity-id "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$managedIdentity" \
  --primary-user-assigned-identity-id "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$primaryIdentity" \
  --enable-ad-only-auth \
  --external-admin-principal-type User \
  --external-admin-name $AzureADAccount \
  --external-admin-sid $AzureADAccountSID \
  -g $resourceGroupName \
  -n $managedinstancename \
  --subnet "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Network/virtualNetworks/$VNetName/subnets/$SubnetName"

Weitere Informationen finden Sie unter az sql mi create.

Hinweis

Im Beispiel oben wird eine verwaltete Instanz nur mit einer benutzerseitig zugewiesenen verwalteten Identität verwendet. Sie können --identity-type auf UserAssigned,SystemAssigned festlegen, wenn beide Arten von verwalteten Identitäten mit der Instanz erstellt werden sollen.

PowerShell

Der PowerShell-Befehl New-AzSqlInstance wird verwendet, um eine neue Azure SQL Managed Instance bereitzustellen. Mit dem folgenden Befehl wird eine verwaltete Instanz mit einer benutzerseitig zugewiesenen verwalteten Identität bereitgestellt und außerdem die reine Microsoft Entra-Authentifizierung aktiviert.

Hinweis

Für das Skript müssen als Voraussetzung ein virtuelles Netzwerk und ein Subnetz erstellt werden.

Die SQL-Administratoranmeldung für die verwaltete Instanz wird automatisch erstellt, und das Kennwort wird nach dem Zufallsprinzip festgelegt. Da die Herstellung der Konnektivität für die SQL-Authentifizierung bei dieser Bereitstellung deaktiviert ist, wird die SQL-Administratoranmeldung nicht verwendet.

Der Microsoft Entra-Administrator ist das Konto, das Sie für <AzureADAccount> festgelegt haben, und kann nach Abschluss der Bereitstellung zum Verwalten der Instanz verwendet werden.

Ersetzen Sie im Beispiel die folgenden Werte:

• <managedinstancename>: Name der verwalteten Instanz, die Sie erstellen möchten.
• <ResourceGroupName>: Name der Ressourcengruppe für Ihre verwaltete Instanz. Die Ressourcengruppe sollte auch das erstellte virtuelle Netzwerk und das Subnetz enthalten.
• <subscriptionId>: Ihre Abonnement-ID können Sie über das Azure-Portal ermitteln.
• <managedIdentity>: Die benutzerseitig zugewiesene verwaltete Identität. Kann auch als primäre Identität verwendet werden.
• <primaryIdentity>: Die primäre Identität, die Sie als Instanzidentität verwenden möchten
• <Location>: Speicherort der verwalteten Instanz, z. B. West US oder Central US
• <AzureADAccount>: Kann ein Microsoft Entra-Benutzer oder eine -Gruppe sein. Beispiel: DummyLogin
• Der Parameter SubnetId muss mit den Angaben für <subscriptionId>, <ResourceGroupName>, <VNetName> und <SubnetName> aktualisiert werden.

$instanceName = @{
    Name = "<managedinstancename>"
    ResourceGroupName = "<ResourceGroupName>"
    AssignIdentity = $true
    IdentityType = "UserAssigned"
    UserAssignedIdentityId = "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>"
    PrimaryUserAssignedIdentityId = "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<primaryIdentity>"
    ExternalAdminName = "<AzureADAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
    Location = "<Location>"
    SubnetId = "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>"
    LicenseType = "LicenseIncluded"
    StorageSizeInGB = 1024
    VCore = 16
    Edition = "GeneralPurpose"
    ComputeGeneration = "Gen5"
}

New-AzSqlInstance @instanceName

Weitere Informationen finden Sie unter New-AzSqlInstance.

Hinweis

Im Beispiel oben wird eine verwaltete Instanz nur mit einer benutzerseitig zugewiesenen verwalteten Identität verwendet. Sie können -IdentityType auf "UserAssigned,SystemAssigned" festlegen, wenn beide Arten von verwalteten Identitäten mit der Instanz erstellt werden sollen.

REST-API

Mithilfe der REST-API zum Erstellen oder Aktualisieren von SQL Managed Instances kann eine verwaltete Instanz mit einer benutzerseitig zugewiesenen verwalteten Identität erstellt werden.

Hinweis

Für das Skript müssen als Voraussetzung ein virtuelles Netzwerk und ein Subnetz erstellt werden.

Das folgende Skript stellt eine verwaltete Instanz mit einer benutzerseitig zugewiesenen verwalteten Identität bereit, legt den Microsoft Entra-Administrator als <AzureADAccount> fest und aktiviert die reine Microsoft Entra-Authentifizierung. Die SQL-Administratoranmeldung für die Instanz wird ebenfalls automatisch erstellt, und das Kennwort wird nach dem Zufallsprinzip festgelegt. Da die Herstellung der Konnektivität für die SQL-Authentifizierung bei dieser Bereitstellung deaktiviert ist, wird die SQL-Administratoranmeldung nicht verwendet.

Der Microsoft Entra-Administrator <AzureADAccount> kann nach Abschluss der Bereitstellung zum Verwalten der Instanz verwendet werden.

Ersetzen Sie im Beispiel die folgenden Werte:

• <tenantId>: Kann ermittelt werden, indem Sie zum Azure-Portal und dann zu Ihrer Microsoft Entra ID-Ressource navigieren. Im Bereich Übersicht sollte Ihre Mandanten-ID angezeigt werden.
• <subscriptionId>: Ihre Abonnement-ID können Sie über das Azure-Portal ermitteln.
• <instanceName>: Verwenden Sie einen eindeutigen Namen für die verwaltete Instanz.
• <ResourceGroupName>: Name der Ressourcengruppe für Ihren logischen Server
• <AzureADAccount>: Kann ein Microsoft Entra-Benutzer oder eine -Gruppe sein. Beispiel: DummyLogin
• <Location>: Standort des Servers, z. B. westus2 oder centralus.
• <objectId>: Kann ermittelt werden, indem Sie zum Azure-Portal und dann zu Ihrer Microsoft Entra ID-Ressource navigieren. Suchen Sie im Bereich Benutzer nach dem Microsoft Entra-Benutzer und der zugehörigen Objekt-ID.
• Der Parameter subnetId muss mit den Angaben für <ResourceGroupName>, Subscription ID, <VNetName> und <SubnetName> aktualisiert werden.

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$instanceName = "<instanceName>"
$resourceGroupName = "<ResourceGroupName>"
$scopes ="https://management.core.windows.net/.default"

Login-AzAccount -tenantId $tenantId

# Login as an Azure AD user with permission to provision a managed instance

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes $scopes

$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

$body = '{
"name": "<instanceName>", "type": "Microsoft.Sql/managedInstances", "identity": {"type" : "UserAssigned", "UserAssignedIdentities" : {"/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>" : {}}},"location": "<Location>", "sku": {"name": "GP_Gen5", "tier": "GeneralPurpose", "family":"Gen5","capacity": 8},
"properties": { "PrimaryUserAssignedIdentityId":"/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<primaryIdentity>","administrators":{ "login":"<AzureADAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true },
"subnetId": "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>",
"licenseType": "LicenseIncluded", "vCores": 8, "storageSizeInGB": 2048, "collation": "SQL_Latin1_General_CP1_CI_AS", "proxyOverride": "Proxy", "timezoneId": "UTC", "privateEndpointConnections": [], "storageAccountType": "GRS", "zoneRedundant": false 
  }
}'

# To provision the instance, execute the `PUT` command

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Führen Sie den Befehl GET aus, um die Ergebnisse zu überprüfen:

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method GET -Headers $authHeader  | Format-List

ARM-Vorlage

Verwenden Sie die folgende Vorlage, um ein neues virtuelles Netzwerk, ein Subnetz und eine neue verwaltete Instanz bereitzustellen, die mit einem Microsoft Entra-Administrator, einer dem Benutzer zugewiesenen verwalteten Identität und einer reinen Microsoft Entra-Authentifizierung konfiguriert ist.

Verwenden Sie eine benutzerdefinierte Bereitstellung im Azure-Portal, und erstellen Sie im Editor Ihre eigene Vorlage. Speichern Sie als Nächstes die Konfiguration, nachdem Sie das Beispiel eingefügt haben.

Um die Ressourcen-ID der benutzerseitig zugewiesene verwaltete Identität zu erhalten, suchen Sie im Azure-Portal nach Verwalteten Identitäten. Suchen Sie ihre verwaltete Identität und gehen Sie zu Eigenschaften. Ein Beispiel für Ihre UMI-Ressourcen-ID sieht wie /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity> aus.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "managedInstanceName": {
            "type": "String",
            "metadata": {
                "description": "Enter managed instance name."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL managed instance."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity, in the form of /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>."
            }
        },
        "location": {
            "defaultValue": "[resourceGroup().location]",
            "type": "String",
            "metadata": {
                "description": "Enter location. If you leave this field blank resource group location would be used."
            }
        },
        "virtualNetworkName": {
            "type": "String",
            "defaultValue": "SQLMI-VNET",
            "metadata": {
                "description": "Enter virtual network name. If you leave this field blank name will be created by the template."
            }
        },
        "addressPrefix": {
            "defaultValue": "10.0.0.0/16",
            "type": "String",
            "metadata": {
                "description": "Enter virtual network address prefix."
            }
        },
        "subnetName": {
            "type": "String",
            "defaultValue": "ManagedInstances",
            "metadata": {
                "description": "Enter subnet name. If you leave this field blank name will be created by the template."
            }
        },
        "subnetPrefix": {
            "defaultValue": "10.0.0.0/24",
            "type": "String",
            "metadata": {
                "description": "Enter subnet address prefix."
            }
        },
        "skuName": {
            "defaultValue": "GP_Gen5",
            "allowedValues": [
                "GP_Gen5",
                "BC_Gen5"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter sku name."
            }
        },
        "vCores": {
            "defaultValue": 16,
            "allowedValues": [
                8,
                16,
                24,
                32,
                40,
                64,
                80
            ],
            "type": "Int",
            "metadata": {
                "description": "Enter number of vCores."
            }
        },
        "storageSizeInGB": {
            "defaultValue": 256,
            "minValue": 32,
            "maxValue": 8192,
            "type": "Int",
            "metadata": {
                "description": "Enter storage size."
            }
        },
        "licenseType": {
            "defaultValue": "LicenseIncluded",
            "allowedValues": [
                "BasePrice",
                "LicenseIncluded"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter license type."
            }
        }
    },
    "variables": {
        "networkSecurityGroupName": "[concat('SQLMI-', parameters('managedInstanceName'), '-NSG')]",
        "routeTableName": "[concat('SQLMI-', parameters('managedInstanceName'), '-Route-Table')]"
    },
    "resources": [
        {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2020-06-01",
            "name": "[variables('networkSecurityGroupName')]",
            "location": "[parameters('location')]",
            "properties": {
                "securityRules": [
                    {
                        "name": "allow_tds_inbound",
                        "properties": {
                            "description": "Allow access to data",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "1433",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1000,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "allow_redirect_inbound",
                        "properties": {
                            "description": "Allow inbound redirect traffic to Managed Instance inside the virtual network",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "11000-11999",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1100,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_inbound",
                        "properties": {
                            "description": "Deny all other inbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_outbound",
                        "properties": {
                            "description": "Deny all other outbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Outbound"
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Network/routeTables",
            "apiVersion": "2020-06-01",
            "name": "[variables('routeTableName')]",
            "location": "[parameters('location')]",
            "properties": {
                "disableBgpRoutePropagation": false
            }
        },
        {
            "type": "Microsoft.Network/virtualNetworks",
            "apiVersion": "2020-06-01",
            "name": "[parameters('virtualNetworkName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[variables('routeTableName')]",
                "[variables('networkSecurityGroupName')]"
            ],
            "properties": {
                "addressSpace": {
                    "addressPrefixes": [
                        "[parameters('addressPrefix')]"
                    ]
                },
                "subnets": [
                    {
                        "name": "[parameters('subnetName')]",
                        "properties": {
                            "addressPrefix": "[parameters('subnetPrefix')]",
                            "routeTable": {
                                "id": "[resourceId('Microsoft.Network/routeTables', variables('routeTableName'))]"
                            },
                            "networkSecurityGroup": {
                                "id": "[resourceId('Microsoft.Network/networkSecurityGroups', variables('networkSecurityGroupName'))]"
                            },
                            "delegations": [
                                {
                                    "name": "miDelegation",
                                    "properties": {
                                        "serviceName": "Microsoft.Sql/managedInstances"
                                    }
                                }
                            ]
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('managedInstanceName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[parameters('virtualNetworkName')]"
            ],
            "sku": {
                "name": "[parameters('skuName')]"
            },
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "subnetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('virtualNetworkName'), parameters('subnetName'))]",
                "storageSizeInGB": "[parameters('storageSizeInGB')]",
                "vCores": "[parameters('vCores')]",
                "licenseType": "[parameters('licenseType')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Zugehöriger Inhalt

• Benutzerseitig zugewiesene verwaltete Identität in Microsoft Entra ID für Azure SQL