Kiszolgáló létrehozása csak Microsoft Entra-hitelesítéssel az Azure SQL-ben

A következőre vonatkozik: Azure SQL DatabaseFelügyelt Azure SQL-példány

Ez az útmutató ismerteti a logikai kiszolgáló Azure SQL Database-hez vagy felügyelt Azure SQL-példányhoz való létrehozásának lépéseit a kiépítés során engedélyezett Csak Microsoft Entra hitelesítéssel. A Csak Microsoft Entra hitelesítési funkció megakadályozza, hogy a felhasználók SQL-hitelesítéssel csatlakozzanak a kiszolgálóhoz vagy a felügyelt példányhoz, és csak a Microsoft Entra-azonosítóval (korábban Azure Active Directory) hitelesített kapcsolatokat engedélyezik.

Feljegyzés

A Microsoft Entra ID az Azure Active Directory (Azure AD) új neve. Jelenleg frissítjük a dokumentációt.

Előfeltételek

• Az Azure CLI használatakor a 2.26.1-es vagy újabb verzióra van szükség. A telepítéssel és a legújabb verzióval kapcsolatos további információkért tekintse meg az Azure CLI telepítését ismertető témakört.
• A PowerShell használatakor az 6.1.0-s vagy újabb modulra van szükség.
• Ha felügyelt példányt hoz létre az Azure CLI, a PowerShell vagy a REST API használatával, a kezdés előtt létre kell hoznia egy virtuális hálózatot és alhálózatot. További információ: Virtuális hálózat létrehozása felügyelt Azure SQL-példányhoz.

Jogosultságok

Logikai kiszolgáló vagy felügyelt példány kiépítéséhez rendelkeznie kell a megfelelő engedélyekkel ezeknek az erőforrásoknak a létrehozásához. A magasabb engedélyekkel rendelkező Azure-felhasználók, például az előfizetés-tulajdonosok, a közreműködők, a szolgáltatás-Rendszergazda istratorok és a társ-Rendszergazda istratorok jogosultak SQL Server vagy felügyelt példány létrehozására. Ha ezeket az erőforrásokat a legkevésbé kiemelt Azure RBAC-szerepkörrel szeretné létrehozni, használja az SQL Database SQL Server közreműködői szerepkörét és a felügyelt SQL-példány sql-példányainak közreműködői szerepkörét.

Az SQL Security Manager Azure RBAC szerepkör nem rendelkezik elegendő engedéllyel ahhoz, hogy olyan kiszolgálót vagy példányt hozzon létre, amelyen engedélyezve van a Microsoft Entra-hitelesítés. A kiszolgáló vagy példány létrehozása után az SQL Security Manager szerepkörre lesz szükség a microsoft entra-only hitelesítési funkció kezeléséhez.

Üzembe helyezés csak a Microsoft Entra-hitelesítéssel engedélyezve

Az alábbi szakasz példákat és szkripteket tartalmaz arra vonatkozóan, hogyan hozhat létre logikai kiszolgálót vagy felügyelt példányt a kiszolgálóhoz vagy példányhoz beállított Microsoft Entra rendszergazdai készlettel, és hogyan engedélyezve van a Microsoft Entra-hitelesítés a kiszolgáló létrehozása során. A funkcióval kapcsolatos további információkért lásd : Microsoft Entra-only authentication.

Példáinkban a microsoft entra-only hitelesítést engedélyezzük a kiszolgáló vagy a felügyelt példány létrehozása során, a rendszer által hozzárendelt kiszolgálói rendszergazda és jelszó használatával. Ez megakadályozza a kiszolgáló rendszergazdai hozzáférését, ha engedélyezve van a Csak Microsoft Entra hitelesítés, és csak a Microsoft Entra rendszergazdájának engedélyezi az erőforrás elérését. Nem kötelező paramétereket hozzáadni az API-khoz, hogy a kiszolgáló létrehozása során saját kiszolgálóadminisztrátort és jelszót is hozzáadj. A jelszó azonban nem állítható vissza, amíg le nem tiltja a Csak Microsoft Entra hitelesítést. Ezen a lapon a PowerShell lapon látható egy példa arra, hogyan használhatja ezeket az opcionális paramétereket a kiszolgáló rendszergazdai bejelentkezési nevének megadására.

Feljegyzés

A meglévő tulajdonságok kiszolgáló vagy felügyelt példány létrehozása után történő módosításához más meglévő API-kat kell használni. További információ: A csak Microsoft Entra-hitelesítés kezelése API-k használatával, valamint a Microsoft Entra-hitelesítés konfigurálása és kezelése az Azure SQL-vel.

Ha a Csak Microsoft Entra-hitelesítés értéke hamis, ami alapértelmezés szerint igaz, akkor a kiszolgáló rendszergazdája és jelszava minden API-ban szerepelnie kell a kiszolgáló vagy a felügyelt példány létrehozása során.

Azure SQL Database

Portál

1. Keresse meg az SQL-telepítés kiválasztása lehetőséget az Azure Portalon.

2. Ha még nem jelentkezett be az Azure Portalra, jelentkezzen be, amikor a rendszer kéri.

3. Az SQL-adatbázisok alatt hagyja meg az erőforrástípust önálló adatbázisként, és válassza a Létrehozás lehetőséget.

4. Az SQL Database létrehozása űrlap Alapismeretek lapján, a Project részletei alatt válassza ki a kívánt Azure-előfizetést.

5. Erőforráscsoport esetén válassza az Új létrehozása lehetőséget, adja meg az erőforráscsoport nevét, majd kattintson az OK gombra.

6. Az Adatbázis neve mezőben adja meg az adatbázis nevét.

7. Kiszolgáló esetén válassza az Új létrehozása lehetőséget, és töltse ki az új kiszolgáló űrlapot a következő értékekkel:

   • Kiszolgálónév: Adjon meg egy egyedi kiszolgálónevet. A kiszolgálóneveknek globálisan egyedinek kell lenniük az Azure összes kiszolgálója számára, nem csak az előfizetésen belül. Adjon meg egy értéket, és az Azure Portal értesíti, hogy elérhető-e.
   • Hely: Válasszon egy helyet a legördülő listából
   • Hitelesítési módszer: Válassza a Csak Microsoft Entra-hitelesítés használata lehetőséget.
   • Válassza a Rendszergazda beállítása lehetőséget, és nyissa meg a Microsoft Entra ID panelt, és válasszon egy Microsoft Entra-tagot logikai kiszolgálóként Microsoft Entra-rendszergazdaként. Ha végzett, a Kiválasztás gombbal állítsa be a rendszergazdát.

   

8. Válassza a Tovább elemet : Hálózatkezelés a lap alján.

9. A Hálózatkezelés lap Csatlakozás ivity metódusához válassza a Nyilvános végpont lehetőséget.

10. Tűzfalszabályok esetén állítsa az Aktuális ügyfél IP-címének hozzáadása igen értékre. Hagyja meg, hogy az Azure-szolgáltatások és -erőforrások elérhessék ezt a kiszolgálót Nem értékre állítva.

11. Hagyja meg alapértelmezett értékként a Csatlakozás ion szabályzatot és a minimális TLS-verzióbeállításokat.

12. Válassza a Tovább elemet : Biztonság a lap alján. Konfigurálja a Microsoft Defender sql-, ledger-, identitás- és transzparens adattitkosításának beállításait a környezetéhez. Ezeket a beállításokat kihagyhatja is.

    Feljegyzés

    A felhasználó által hozzárendelt felügyelt identitás kiszolgálóidentitásként való használata csak Microsoft Entra-hitelesítéssel támogatott. Ha identitásként szeretne csatlakozni a példányhoz, rendelje hozzá egy Azure-beli virtuális géphez, és futtassa az SSMS-t a virtuális gépen. Éles környezetekben ajánlott felügyelt identitást használni a Microsoft Entra rendszergazdájához a továbbfejlesztett, egyszerűsített biztonsági intézkedések miatt, amelyek jelszó nélküli hitelesítést használnak az Azure-erőforrásokhoz.

13. Válassza a Véleményezés + létrehozás lehetőséget a lap alján.

14. A Véleményezés + létrehozás lapon a felülvizsgálat után válassza a Létrehozás lehetőséget.

Az Azure CLI

Az Azure CLI-parancs az sql server create egy új logikai kiszolgáló kiépítésére szolgál. Az alábbi parancs kiépít egy új kiszolgálót, amelyen engedélyezve van a Microsoft Entra-hitelesítés.

A kiszolgáló SQL-rendszergazdája automatikusan létrejön, és a jelszó véletlenszerű jelszóra lesz beállítva. Mivel az SQL-hitelesítési kapcsolat le van tiltva ezzel a kiszolgáló létrehozásával, az SQL-rendszergazdai bejelentkezés nem lesz használva.

A Kiszolgáló Microsoft Entra-rendszergazdája lesz a beállított <MSEntraAccount>fiók, és a kiszolgáló kezelésére használható.

Cserélje le a példában a következő értékeket:

• <MSEntraAccount>: Lehet Microsoft Entra-felhasználó vagy -csoport. Például: DummyLogin
• <MSEntraAccountSID>: A felhasználó Microsoft Entra objektumazonosítója
• <ResourceGroupName>: A logikai kiszolgáló erőforráscsoportjának neve
• <ServerName>: Egyedi logikai kiszolgálónév használata

az sql server create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <ServerName>

További információ: az sql server create.

A kiszolgáló állapotának a létrehozás utáni ellenőrzéséhez tekintse meg a következő parancsot:

az sql server show --name <ServerName> --resource-group <ResourceGroupName> --expand-ad-admin

PowerShell

A PowerShell-parancs New-AzSqlServer egy új logikai kiszolgáló kiépítésére szolgál. Az alábbi parancs kiépít egy új kiszolgálót, amelyen engedélyezve van a Microsoft Entra-hitelesítés.

A kiszolgáló SQL-rendszergazdája automatikusan létrejön, és a jelszó véletlenszerű jelszóra lesz beállítva. Mivel az SQL-hitelesítési kapcsolat le van tiltva ezzel a kiszolgáló létrehozásával, az SQL-rendszergazdai bejelentkezés nem lesz használva.

A Kiszolgáló Microsoft Entra-rendszergazdája lesz a beállított <MSEntraAccount>fiók, és a kiszolgáló kezelésére használható.

Cserélje le a példában a következő értékeket:

• <ResourceGroupName>: A logikai kiszolgáló erőforráscsoportjának neve
• <Location>: A kiszolgáló helye, például West US, vagy Central US
• <ServerName>: Egyedi logikai kiszolgálónév használata
• <MSEntraAccount>: Lehet Microsoft Entra-felhasználó vagy -csoport. Például: DummyLogin

$server = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
}

New-AzSqlServer @server

Íme egy példa a kiszolgáló rendszergazdai nevének megadására (a kiszolgáló rendszergazdai nevének automatikus létrehozása helyett) a logikai kiszolgáló létrehozásakor. Ahogy korábban említettük, ez a bejelentkezés nem használható, ha engedélyezve van a microsoft entra-only hitelesítés.

$cred = Get-Credential
New-AzSqlServer -ResourceGroupName "<ResourceGroupName>" -Location "<Location>" -ServerName "<ServerName>" -ServerVersion "12.0" -ExternalAdminName "<MSEntraAccount>" -EnableActiveDirectoryOnlyAuthentication -SqlAdministratorCredentials $cred

További információ: New-AzSqlServer.

REST API

A Kiszolgálók – REST API létrehozása vagy frissítése olyan logikai kiszolgáló létrehozásához használható, amely a kiépítés során engedélyezve van a Csak Microsoft Entra hitelesítéssel.

Az alábbi szkript kiépít egy logikai kiszolgálót, beállítja a Microsoft Entra rendszergazdát <MSEntraAccount>, és engedélyezi a Csak Microsoft Entra hitelesítést. A kiszolgáló SQL-rendszergazdája is automatikusan létrejön, és a jelszó véletlenszerű jelszóra lesz beállítva. Mivel az SQL-hitelesítési kapcsolat le van tiltva ezzel a kiépítéssel, az SQL-rendszergazdai bejelentkezés nem lesz használva.

A Microsoft Entra rendszergazdája <MSEntraAccount> a kiszolgáló felügyeletére használható a kiépítés befejezésekor.

Cserélje le a példában a következő értékeket:

• <tenantId>: Az Azure Portalon és a Microsoft Entra ID-erőforráson keresztül érhető el. Az Áttekintés panelen meg kell jelennie a bérlőazonosítónak
• <subscriptionId>: Az előfizetés azonosítója az Azure Portalon található
• <ServerName>: Egyedi logikai kiszolgálónév használata
• <ResourceGroupName>: A logikai kiszolgáló erőforráscsoportjának neve
• <MicrosoftEntraAccount>: Lehet Microsoft Entra-felhasználó, -csoport vagy alkalmazás. Például: DummyLogin
• <Location>: A kiszolgáló helye, például westus2, vagy centralus
• <objectId>: Az Azure Portalon és a Microsoft Entra ID-erőforráson keresztül érhető el. A Felhasználó panelen keresse meg a Microsoft Entra-felhasználót, és keresse meg az objektumazonosítóját. Ha egy alkalmazást (szolgáltatásnevet) használ Microsoft Entra-rendszergazdaként, cserélje le ezt az értéket az alkalmazásazonosítóra. Ezt is frissítenie principalType kell.
• <principalType>: A három lehetőség egyike: Felhasználó, Csoport, Alkalmazás. A rendszergazdaként használt Microsoft Entra-objektum típusa. A felügyelt identitások és a szolgáltatásnevek alkalmazások.

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$authUrl = "https://login.windows.net/$tenantId"
$serverName = "<ServerName>"
$resourceGroupName = "<ResourceGroupName>"

Login-AzAccount -tenantId $tenantId

# login as a user with SQL Server Contributor role or higher 

# Get a token

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes "https://management.core.windows.net/.default"

#Authetication header
$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

# Enable Microsoft Entra-only auth 
# No server admin is specified, Microsoft Entra admin is configured, and Microsoft Entra-only authentication is set to true
# Server admin (login and password) is randomly generated by the system

# Authentication body
# The sid is the Microsoft Entra Object ID for the user or group, and Application ID for applications. Update the principalType as well

$body = '{ 
"location": "<Location>",
"properties": { "administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true }
  }
}'

# Provision the server

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

A kiszolgáló állapotának ellenőrzéséhez használja a következő szkriptet:

$uri = 'https://management.azure.com/subscriptions/'+$subscriptionId+'/resourceGroups/'+$resourceGroupName+'/providers/Microsoft.Sql/servers/'+$serverName+'?api-version=2020-11-01-preview&$expand=administrators/activedirectory'

$responce=Invoke-WebRequest -Uri $uri -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

$responce.statuscode

$responce.content

ARM-sablon

További információkért és ARM-sablonokért tekintse meg az Azure SQL Database és a felügyelt SQL-példány Azure Resource Manager-sablonjait.

Ha egy logikai kiszolgálót egy Microsoft Entra-rendszergazdai készlettel szeretne kiépíteni a kiszolgálóhoz, és az ARM-sablonnal engedélyezett Microsoft Entra-hitelesítéssel, tekintse meg az Azure SQL logikai kiszolgálót a Microsoft Entra-only hitelesítési gyorsútmutató-sablonnal.

Az alábbi sablont is használhatja. Egyéni üzembe helyezést használhat az Azure Portalon, és saját sablont készíthet a szerkesztőben. Ezután mentse a konfigurációt, miután beillesztette a példában.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "string",
            "defaultValue": "[uniqueString('sql', resourceGroup().id)]",
            "metadata": {
                "description": "The name of the logical server."
            }
        },
        "location": {
            "type": "string",
            "defaultValue": "[resourceGroup().location]",
            "metadata": {
                "description": "Location for all resources."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "properties": {
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Felügyelt Azure SQL-példány

Portál

1. Keresse meg az SQL-telepítés kiválasztása lehetőséget az Azure Portalon.

2. Ha még nem jelentkezett be az Azure Portalra, jelentkezzen be, amikor a rendszer kéri.

3. A felügyelt SQL-példányok alatt hagyja meg az erőforrástípust egyetlen példányra, és válassza a Létrehozás lehetőséget.

4. Töltse ki a projekt részleteihez és a felügyelt példány részleteihez szükséges kötelező információkat az Alapismeretek lapon. Ez a felügyelt SQL-példányok kiépítéséhez szükséges minimális információkészlet.

   

   A konfigurációs beállításokról további információt a felügyelt Azure SQL-példány létrehozása című rövid útmutatóban talál.

5. A Hitelesítés csoportban válassza a Csak Microsoft Entra-hitelesítés használata a hitelesítési módszerhez lehetőséget.

6. Válassza a Rendszergazda beállítása lehetőséget a Microsoft Entra ID panel megnyitásához, és válasszon egy Microsoft Entra-tagot felügyelt példány Microsoft Entra-rendszergazdaként. Ha végzett, a Kiválasztás gombbal állítsa be a rendszergazdát.

   

7. A többi beállítás alapértelmezés szerint meghagyható. A hálózatkezeléssel, a biztonsággal vagy más lapokkal és beállításokkal kapcsolatos további információkért tekintse meg a rövid útmutatót: Felügyelt Azure SQL-példány létrehozása.

8. Ha végzett a beállítások konfigurálásával, válassza a Véleményezés + létrehozás lehetőséget a folytatáshoz. Válassza a Létrehozás lehetőséget a felügyelt példány kiépítésének megkezdéséhez.

Az Azure CLI

Az Azure CLI-parancs az sql mi create egy új felügyelt Azure SQL-példány kiépítésére szolgál. Az alábbi parancs kiépít egy új felügyelt példányt, amelyen engedélyezve van a Microsoft Entra-hitelesítés.

Feljegyzés

A szkripthez virtuális hálózatra van szükség, és előfeltételként létre kell hozni az alhálózatot.

A felügyelt példány SQL-rendszergazdája automatikusan létrejön, és a jelszó véletlenszerű jelszóra lesz beállítva. Mivel ezzel a kiépítéssel az SQL-hitelesítés le van tiltva, az SQL-rendszergazda nem fog használni.

A Microsoft Entra rendszergazdája lesz a beállított <MSEntraAccount>fiók, és a példány kezelésére használható a kiépítés befejezésekor.

Cserélje le a példában a következő értékeket:

• <MSEntraAccount>: Lehet Microsoft Entra-felhasználó vagy -csoport. Például: DummyLogin
• <MSEntraAccountSID>: A felhasználó Microsoft Entra objektumazonosítója
• <managedinstancename>: Nevezze el a létrehozni kívánt felügyelt példányt
• <ResourceGroupName>: A felügyelt példány erőforráscsoportjának neve. Az erőforráscsoportnak tartalmaznia kell a létrehozott virtuális hálózatot és alhálózatot is
• A subnet paramétert frissíteni kell a <Subscription ID>, <ResourceGroupName>, <VNetName>és <SubnetName>. Az előfizetés azonosítója az Azure Portalon található

az sql mi create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <managedinstancename> \
    --subnet /subscriptions/<Subscription ID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>

További információ: az sql mi create.

PowerShell

A PowerShell-parancs New-AzSqlInstance egy új felügyelt Azure SQL-példány kiépítésére szolgál. Az alábbi parancs kiépít egy új felügyelt példányt, amelyen engedélyezve van a Microsoft Entra-hitelesítés.

Feljegyzés

A szkripthez virtuális hálózatra van szükség, és előfeltételként létre kell hozni az alhálózatot.

A felügyelt példány SQL-rendszergazdája automatikusan létrejön, és a jelszó véletlenszerű jelszóra lesz beállítva. Mivel ezzel a kiépítéssel az SQL-hitelesítési kapcsolat le van tiltva, a rendszer nem használja az SQL-rendszergazdai bejelentkezést.

A Microsoft Entra rendszergazdája lesz a beállított <MSEntraAccount>fiók, és a példány kezelésére használható a kiépítés befejezésekor.

Cserélje le a példában a következő értékeket:

• <managedinstancename>: Nevezze el a létrehozni kívánt felügyelt példányt
• <ResourceGroupName>: A felügyelt példány erőforráscsoportjának neve. Az erőforráscsoportnak tartalmaznia kell a létrehozott virtuális hálózatot és alhálózatot is
• <MSEntraAccount>: Lehet Microsoft Entra-felhasználó vagy -csoport. Például: DummyLogin
• <Location>: A kiszolgáló helye, például West US, vagy Central US
• A SubnetId paramétert frissíteni kell a <Subscription ID>, <ResourceGroupName>, <VNetName>és <SubnetName>. Az előfizetés azonosítója az Azure Portalon található

$instanceName = @{
    Name = "<managedinstancename>"
    ResourceGroupName = "<ResourceGroupName>"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
    Location = "<Location>"
    SubnetId = "/subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>"
    LicenseType = "LicenseIncluded"
    StorageSizeInGB = 128
    VCore = 4
    Edition = "GeneralPurpose"
    ComputeGeneration = "Gen5"
}

New-AzSqlInstance $instanceName

További információ: New-AzSqlInstance.

REST API

A felügyelt SQL-példányok – REST API létrehozása vagy frissítése használható felügyelt példányok létrehozásához a kiépítés során engedélyezett Csak Microsoft Entra-hitelesítéssel.

Feljegyzés

A szkripthez virtuális hálózatra van szükség, és előfeltételként létre kell hozni az alhálózatot.

Az alábbi szkript kiépít egy felügyelt példányt, beállítja a Microsoft Entra rendszergazdát <MSEntraAccount>, és engedélyezi a Csak Microsoft Entra hitelesítést. A példány SQL-rendszergazdája is automatikusan létrejön, és a jelszó véletlenszerű jelszóra lesz állítva. Mivel az SQL-hitelesítési kapcsolat le van tiltva ezzel a kiépítéssel, az SQL-rendszergazdai bejelentkezés nem lesz használva.

A Microsoft Entra rendszergazdája <MSEntraAccount> a példány felügyeletére használható a kiépítés befejezésekor.

Cserélje le a példában a következő értékeket:

• <tenantId>: Az Azure Portalon és a Microsoft Entra ID-erőforráson keresztül érhető el. Az Áttekintés panelen meg kell jelennie a bérlőazonosítónak
• <subscriptionId>: Az előfizetés azonosítója az Azure Portalon található
• <instanceName>: Egyedi felügyelt példánynév használata
• <ResourceGroupName>: A logikai kiszolgáló erőforráscsoportjának neve
• <MSEntraAccount>: Lehet Microsoft Entra-felhasználó vagy -csoport. Például: DummyLogin
• <Location>: A kiszolgáló helye, például westus2, vagy centralus
• <objectId>: Az Azure Portalon és a Microsoft Entra ID-erőforráson keresztül érhető el. A Felhasználó panelen keresse meg a Microsoft Entra-felhasználót, és keresse meg az objektumazonosítóját. Ha egy alkalmazást (szolgáltatásnevet) használ Microsoft Entra-rendszergazdaként, cserélje le ezt az értéket az alkalmazásazonosítóra. Ezt is frissítenie principalType kell.
• A subnetId paramétert frissíteni kell a <ResourceGroupName>következővel:Subscription ID<VNetName><SubnetName>

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$instanceName = "<instanceName>"
$resourceGroupName = "<ResourceGroupName>"
$scopes ="https://management.core.windows.net/.default"

Login-AzAccount -tenantId $tenantId

# Login as an Microsoft Entra user with permission to provision a managed instance

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes $scopes

$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

$body = '{
"name": "<instanceName>", "type": "Microsoft.Sql/managedInstances", "identity": { "type": "SystemAssigned"},"location": "<Location>", "sku": {"name": "GP_Gen5", "tier": "GeneralPurpose", "family":"Gen5","capacity": 8},
"properties": {"administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true },
"subnetId": "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>",
"licenseType": "LicenseIncluded", "vCores": 8, "storageSizeInGB": 2048, "collation": "SQL_Latin1_General_CP1_CI_AS", "proxyOverride": "Proxy", "timezoneId": "UTC", "privateEndpointConnections": [], "storageAccountType": "GRS", "zoneRedundant": false 
  }
}'

# To provision the instance, execute the `PUT` command

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Az eredmények ellenőrzéséhez hajtsa végre a GET következő parancsot:

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method GET -Headers $authHeader  | Format-List

ARM-sablon

Ha új felügyelt példányt, virtuális hálózatot és alhálózatot szeretne kiépíteni a példányhoz beállított Microsoft Entra rendszergazdai beállítással és a Csak Microsoft Entra hitelesítéssel, használja az alábbi sablont.

Egyéni üzembe helyezést használhat az Azure Portalon, és saját sablont készíthet a szerkesztőben. Ezután mentse a konfigurációt, miután beillesztette a példában.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "managedInstanceName": {
            "type": "String",
            "metadata": {
                "description": "Enter managed instance name."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL managed instance."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin. The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "location": {
            "defaultValue": "[resourceGroup().location]",
            "type": "String",
            "metadata": {
                "description": "Enter location. If you leave this field blank resource group location would be used."
            }
        },
        "virtualNetworkName": {
            "type": "String",
            "defaultValue": "SQLMI-VNET",
            "metadata": {
                "description": "Enter virtual network name. If you leave this field blank name will be created by the template."
            }
        },
        "addressPrefix": {
            "defaultValue": "10.0.0.0/16",
            "type": "String",
            "metadata": {
                "description": "Enter virtual network address prefix."
            }
        },
        "subnetName": {
            "type": "String",
            "defaultValue": "ManagedInstances",
            "metadata": {
                "description": "Enter subnet name. If you leave this field blank name will be created by the template."
            }
        },
        "subnetPrefix": {
            "defaultValue": "10.0.0.0/24",
            "type": "String",
            "metadata": {
                "description": "Enter subnet address prefix."
            }
        },
        "skuName": {
            "defaultValue": "GP_Gen5",
            "allowedValues": [
                "GP_Gen5",
                "BC_Gen5"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter sku name."
            }
        },
        "vCores": {
            "defaultValue": 16,
            "allowedValues": [
                8,
                16,
                24,
                32,
                40,
                64,
                80
            ],
            "type": "Int",
            "metadata": {
                "description": "Enter number of vCores."
            }
        },
        "storageSizeInGB": {
            "defaultValue": 256,
            "minValue": 32,
            "maxValue": 8192,
            "type": "Int",
            "metadata": {
                "description": "Enter storage size."
            }
        },
        "licenseType": {
            "defaultValue": "LicenseIncluded",
            "allowedValues": [
                "BasePrice",
                "LicenseIncluded"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter license type."
            }
        }
    },
    "variables": {
        "networkSecurityGroupName": "[concat('SQLMI-', parameters('managedInstanceName'), '-NSG')]",
        "routeTableName": "[concat('SQLMI-', parameters('managedInstanceName'), '-Route-Table')]"
    },
    "resources": [
        {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2020-06-01",
            "name": "[variables('networkSecurityGroupName')]",
            "location": "[parameters('location')]",
            "properties": {
                "securityRules": [
                    {
                        "name": "allow_tds_inbound",
                        "properties": {
                            "description": "Allow access to data",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "1433",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1000,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "allow_redirect_inbound",
                        "properties": {
                            "description": "Allow inbound redirect traffic to SQL Managed Instance inside the virtual network",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "11000-11999",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1100,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_inbound",
                        "properties": {
                            "description": "Deny all other inbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_outbound",
                        "properties": {
                            "description": "Deny all other outbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Outbound"
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Network/routeTables",
            "apiVersion": "2020-06-01",
            "name": "[variables('routeTableName')]",
            "location": "[parameters('location')]",
            "properties": {
                "disableBgpRoutePropagation": false
            }
        },
        {
            "type": "Microsoft.Network/virtualNetworks",
            "apiVersion": "2020-06-01",
            "name": "[parameters('virtualNetworkName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[variables('routeTableName')]",
                "[variables('networkSecurityGroupName')]"
            ],
            "properties": {
                "addressSpace": {
                    "addressPrefixes": [
                        "[parameters('addressPrefix')]"
                    ]
                },
                "subnets": [
                    {
                        "name": "[parameters('subnetName')]",
                        "properties": {
                            "addressPrefix": "[parameters('subnetPrefix')]",
                            "routeTable": {
                                "id": "[resourceId('Microsoft.Network/routeTables', variables('routeTableName'))]"
                            },
                            "networkSecurityGroup": {
                                "id": "[resourceId('Microsoft.Network/networkSecurityGroups', variables('networkSecurityGroupName'))]"
                            },
                            "delegations": [
                                {
                                    "name": "miDelegation",
                                    "properties": {
                                        "serviceName": "Microsoft.Sql/managedInstances"
                                    }
                                }
                            ]
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('managedInstanceName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[parameters('virtualNetworkName')]"
            ],
            "sku": {
                "name": "[parameters('skuName')]"
            },
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "subnetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('virtualNetworkName'), parameters('subnetName'))]",
                "storageSizeInGB": "[parameters('storageSizeInGB')]",
                "vCores": "[parameters('vCores')]",
                "licenseType": "[parameters('licenseType')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Címtárolvasók engedélyeinek megadása

Ha az üzembe helyezés befejeződött a felügyelt példányon, észreveheti, hogy a felügyelt SQL-példánynak olvasási engedélyekre van szüksége a Microsoft Entra-azonosító eléréséhez. Olvasási engedélyeket az Azure Portalon megjelenő üzenetre kattintva adhat meg egy olyan személy, aki rendelkezik elegendő jogosultsággal. További információ: Címtárolvasók szerepkör az Azure SQL-hez készült Microsoft Entra szolgáltatásban.

Korlátozások

• A kiszolgáló rendszergazdai jelszavának alaphelyzetbe állításához le kell tiltani a Microsoft Entra-hitelesítést.
• Ha a Microsoft Entra-hitelesítés le van tiltva, minden API használatakor létre kell hoznia egy kiszolgálói rendszergazdai és jelszóval rendelkező kiszolgálót.

Kapcsolódó tartalom

• Ha már rendelkezik egy felügyelt logikai kiszolgálóval vagy SQL-példánysal, és csak a Microsoft Entra-hitelesítést szeretné engedélyezni, tekintse meg az oktatóanyagot: Csak Microsoft Entra-hitelesítés engedélyezése az Azure SQL-vel.
• A microsoft entra-only hitelesítési funkcióval kapcsolatos további információkért lásd : Microsoft Entra-only authentication with Azure SQL.
• Ha szeretné kikényszeríteni a kiszolgálólétrehozás engedélyezését a Csak Microsoft Entra hitelesítéssel, tekintse meg az Azure Policy for Microsoft Entra-only hitelesítést az Azure SQL-lel