Creare un server con l'autenticazione solo Entra-only abilitata in Azure SQL

Si applica a:database SQL di Azure Istanza gestita di SQL di Azure

Questa guida pratica illustra i passaggi per creare un server logico per database SQL di Azure o un Istanza gestita di SQL di Azure con l'autenticazione solo Entra di Microsoft abilitata durante il provisioning. La funzionalità di autenticazione solo Entra di Microsoft impedisce agli utenti di connettersi al server o all'istanza gestita usando l'autenticazione SQL e consente solo le connessioni autenticate con Microsoft Entra ID (in precedenza Azure Active Directory).

Nota

Microsoft Entra ID era precedentemente noto come Azure Active Directory (Azure AD).

Prerequisiti

• Quando si usa l'interfaccia della riga di comando di Azure, è necessaria la versione 2.26.1 o successiva. Per altre informazioni sull'installazione e sulla versione più recente, vedere Installare l'interfaccia della riga di comando di Azure.
• Il modulo Az 6.1.0 o versione successiva è necessario quando si usa PowerShell.
• Se si esegue il provisioning di un'istanza gestita usando l'interfaccia della riga di comando di Azure, PowerShell o l'API REST, è necessario creare una rete virtuale e una subnet prima di iniziare. Per altre informazioni, vedere Creare una rete virtuale per Istanza gestita di SQL di Azure.

Autorizzazioni

Per effettuare il provisioning di un server logico o di un'istanza gestita, è necessario disporre delle autorizzazioni appropriate per creare queste risorse. Gli utenti di Azure con autorizzazioni più elevate, ad esempio proprietari di sottoscrizioni, collaboratori, Amministrazione istrator di servizi e co-Amministrazione istrator hanno il privilegio di creare un server SQL o un'istanza gestita. Per creare queste risorse con il ruolo Di controllo degli accessi in base al ruolo di Azure con privilegi minimi, usare il ruolo Collaboratore SQL Server per database SQL e Istanza gestita di SQL ruolo Collaboratore per Istanza gestita di SQL.

Il ruolo Controllo degli accessi in base al ruolo di Sql Security Manager di Azure non dispone di autorizzazioni sufficienti per creare un server o un'istanza con l'autenticazione solo Entra-only abilitata. Il ruolo Gestione sicurezza SQL sarà necessario per gestire la funzionalità di autenticazione solo Entra-only di Microsoft dopo la creazione del server o dell'istanza.

Effettuare il provisioning con l'autenticazione solo Entra-only abilitata

Nella sezione seguente vengono forniti esempi e script su come creare un server logico o un'istanza gestita con un set di amministratori di Microsoft Entra per il server o l'istanza e abilitare l'autenticazione solo Entra-only durante la creazione del server. Per altre informazioni sulla funzionalità, vedere Autenticazione solo Entra-only di Microsoft.

Negli esempi viene usata l'autenticazione solo Microsoft Entra-only durante la creazione del server o dell'istanza gestita, con un amministratore e una password del server assegnati dal sistema. In questo modo si impedisce l'accesso amministratore del server quando è abilitata l'autenticazione solo Entra di Microsoft e consente solo all'amministratore di Microsoft Entra di accedere alla risorsa. È facoltativo aggiungere parametri alle API per includere l'amministratore del server e la password durante la creazione del server. Tuttavia, la password non può essere reimpostata fino a quando non si disabilita l'autenticazione solo entra-only di Microsoft. Un esempio di come usare questi parametri facoltativi per specificare il nome di accesso dell'amministratore del server viene visualizzato nella scheda PowerShell in questa pagina.

Nota

Per modificare le proprietà esistenti dopo la creazione del server o dell'istanza gestita, è necessario usare altre API esistenti. Per altre informazioni, vedere Managing Microsoft Entra-only authentication using APIs and Configure and manage Microsoft Entra authentication with Azure SQL (Gestione dell'autenticazione solo Entra di Microsoft tramite API) e Configurare e gestire l'autenticazione di Microsoft Entra con Azure SQL.

Se l'autenticazione solo Entra-only di Microsoft è impostata su false, ovvero per impostazione predefinita, un amministratore del server e una password dovranno essere inclusi in tutte le API durante la creazione del server o dell'istanza gestita.

Database SQL di Azure

Portale

1. Passare alla pagina Selezionare l'opzione di distribuzione SQL nella portale di Azure.

2. Se non è già stato eseguito l'accesso a portale di Azure, accedere quando richiesto.

3. In Database SQL lasciare l'opzione Tipo di risorsa impostata su Database singolo e selezionare Crea.

4. Nella scheda Informazioni di base del modulo Crea database SQL selezionare la Sottoscrizione di Azure corretta in Dettagli del progetto.

5. In Gruppo di risorse selezionare Crea nuovo, immettere un nome per il gruppo di risorse e selezionare OK.

6. In Nome database immettere un nome per il database.

7. Per Server selezionare Crea nuovo e compilare il nuovo modulo del server con i valori seguenti:

   • Nome server: immettere un nome server univoco. I nomi dei server devono essere univoci a livello globale per tutti i server in Azure, non solo univoci all'interno di una sottoscrizione. Immettere un valore e il portale di Azure ti invierà informazioni se è disponibile o meno.
   • Località: selezionare una località dall'elenco a discesa
   • Metodo di autenticazione: selezionare Use Microsoft Entra-only authentication (Usa autenticazione solo Entra-only).
   • Selezionare Imposta amministratore per aprire il riquadro MICROSOFT Entra ID e selezionare un'entità Microsoft Entra come amministratore di Microsoft Entra. Al termine, usare il pulsante Seleziona per impostare l'amministratore.

   

8. Selezionare Avanti: Rete nella parte inferiore della pagina.

9. Nella scheda Rete selezionare Endpoint pubblico in Metodo di connettività.

10. In Regole del firewall impostare Aggiungi indirizzo IP client corrente su Sì. Lasciare l'opzione Consenti alle risorse e ai servizi di Azure di accedere a questo server impostata su No.

11. Lasciare i criteri di Connessione ion e Le impostazioni della versione minima di TLS come valore predefinito.

12. Selezionare Avanti: Sicurezza nella parte inferiore della pagina. Configurare una delle impostazioni per Microsoft Defender per SQL, Libro mastro, Identità e Transparent Data Encryption per l'ambiente in uso. È anche possibile ignorare queste impostazioni.

    Nota

    L'uso di un'identità gestita assegnata dall'utente come identità del server è supportata con l'autenticazione solo Entra di Microsoft. Per connettersi all'istanza come identità, assegnarla a una macchina virtuale di Azure ed eseguire SSMS in tale macchina virtuale. Per gli ambienti di produzione, è consigliabile usare un'identità gestita per l'amministratore di Microsoft Entra grazie alle misure di sicurezza migliorate e semplificate con l'autenticazione senza password alle risorse di Azure.

13. Selezionare Rivedi e crea nella parte inferiore della pagina.

14. Nella pagina Rivedi e crea, dopo aver rivisto le impostazioni, selezionare Crea.

L’interfaccia della riga di comando di Azure

Il comando dell'interfaccia della riga di comando az sql server create di Azure viene usato per effettuare il provisioning di un nuovo server logico. Il comando seguente eseguirà il provisioning di un nuovo server con l'autenticazione solo Entra di Microsoft abilitata.

L'amministratore SQL del server verrà creato automaticamente e la password verrà impostata su una password casuale. Poiché la connettività di autenticazione SQL è disabilitata con questa creazione del server, l'account di accesso amministratore SQL non verrà usato.

L'amministratore di Microsoft Entra sarà l'account impostato per <MSEntraAccount>e può essere usato per gestire il server.

Sostituire i valori seguenti nell'esempio:

• <MSEntraAccount>: può essere un utente o un gruppo di Microsoft Entra. Ad esempio, DummyLogin
• <MSEntraAccountSID>: ID oggetto Microsoft Entra per l'utente
• <ResourceGroupName>: nome del gruppo di risorse per il server logico
• <ServerName>: usare un nome univoco del server logico

az sql server create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <ServerName>

Per altre informazioni, vedere az sql server create.

Per controllare lo stato del server dopo la creazione, vedere il comando seguente:

az sql server show --name <ServerName> --resource-group <ResourceGroupName> --expand-ad-admin

PowerShell

Il comando New-AzSqlServer di PowerShell viene usato per effettuare il provisioning di un nuovo server logico. Il comando seguente eseguirà il provisioning di un nuovo server con l'autenticazione solo Entra di Microsoft abilitata.

L'amministratore SQL del server verrà creato automaticamente e la password verrà impostata su una password casuale. Poiché la connettività di autenticazione SQL è disabilitata con questa creazione del server, l'account di accesso amministratore SQL non verrà usato.

L'amministratore di Microsoft Entra sarà l'account impostato per <MSEntraAccount>e può essere usato per gestire il server.

Sostituire i valori seguenti nell'esempio:

• <ResourceGroupName>: nome del gruppo di risorse per il server logico
• <Location>: posizione del server, ad esempio West US, o Central US
• <ServerName>: usare un nome univoco del server logico
• <MSEntraAccount>: può essere un utente o un gruppo di Microsoft Entra. Ad esempio, DummyLogin

$server = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
}

New-AzSqlServer @server

Di seguito è riportato un esempio di specificare il nome amministratore del server (invece di consentire la creazione automatica del nome amministratore del server) al momento della creazione del server logico. Come accennato in precedenza, questo account di accesso non è utilizzabile quando è abilitata l'autenticazione solo Entra-only di Microsoft.

$cred = Get-Credential
New-AzSqlServer -ResourceGroupName "<ResourceGroupName>" -Location "<Location>" -ServerName "<ServerName>" -ServerVersion "12.0" -ExternalAdminName "<MSEntraAccount>" -EnableActiveDirectoryOnlyAuthentication -SqlAdministratorCredentials $cred

Per altre informazioni, vedere New-AzSqlServer.

REST API

I server - Creare o aggiornare l'API REST possono essere usati per creare un server logico con l'autenticazione solo Entra di Microsoft abilitata durante il provisioning.

Lo script seguente eseguirà il provisioning di un server logico, imposta l'amministratore di Microsoft Entra come <MSEntraAccount>e abilita l'autenticazione solo Entra di Microsoft. L'amministratore SQL del server verrà creato automaticamente e la password verrà impostata su una password casuale. Poiché la connettività di autenticazione SQL è disabilitata con questo provisioning, l'account di accesso amministratore SQL non verrà usato.

L'amministratore <MSEntraAccount> di Microsoft Entra può essere usato per gestire il server al termine del provisioning.

Sostituire i valori seguenti nell'esempio:

• <tenantId>: è possibile trovare passando alla portale di Azure e passando alla risorsa ID Microsoft Entra. Nel riquadro Panoramica dovrebbe essere visualizzato l’ID tenant
• <subscriptionId>: l'ID sottoscrizione è disponibile nel portale di Azure
• <ServerName>: usare un nome univoco del server logico
• <ResourceGroupName>: nome del gruppo di risorse per il server logico
• <MicrosoftEntraAccount>: può essere un utente, un gruppo o un'applicazione Microsoft Entra. Ad esempio, DummyLogin
• <Location>: posizione del server, ad esempio westus2, o centralus
• <objectId>: è possibile trovare passando alla portale di Azure e passando alla risorsa ID Microsoft Entra. Nel riquadro Utente cercare l'utente Microsoft Entra e trovare il relativo ID oggetto. Se si usa un'applicazione (entità servizio) come amministratore di Microsoft Entra, sostituire questo valore con l'ID applicazione. Sarà necessario aggiornare anche .principalType
• <principalType>: una delle tre opzioni: Utente, Gruppo, Applicazione. Tipo dell'oggetto Microsoft Entra utilizzato come amministratore. Le identità gestite e le entità servizio sono Applicazioni.

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$authUrl = "https://login.windows.net/$tenantId"
$serverName = "<ServerName>"
$resourceGroupName = "<ResourceGroupName>"

Login-AzAccount -tenantId $tenantId

# login as a user with SQL Server Contributor role or higher 

# Get a token

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes "https://management.core.windows.net/.default"

#Authetication header
$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

# Enable Microsoft Entra-only auth 
# No server admin is specified, Microsoft Entra admin is configured, and Microsoft Entra-only authentication is set to true
# Server admin (login and password) is randomly generated by the system

# Authentication body
# The sid is the Microsoft Entra Object ID for the user or group, and Application ID for applications. Update the principalType as well

$body = '{ 
"location": "<Location>",
"properties": { "administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true }
  }
}'

# Provision the server

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Per controllare lo stato del server, è possibile usare lo script seguente:

$uri = 'https://management.azure.com/subscriptions/'+$subscriptionId+'/resourceGroups/'+$resourceGroupName+'/providers/Microsoft.Sql/servers/'+$serverName+'?api-version=2020-11-01-preview&$expand=administrators/activedirectory'

$responce=Invoke-WebRequest -Uri $uri -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

$responce.statuscode

$responce.content

Modello ARM

Per altre informazioni e modelli di Resource Manager, vedere Modelli di Azure Resource Manager per database SQL di Azure e Istanza gestita di SQL.

Per effettuare il provisioning di un server logico con un set di amministratori di Microsoft Entra per il server e l'autenticazione solo Entra-only abilitata tramite un modello di Resource Manager, vedere il modello di avvio rapido relativo al server logico SQL di Azure con l'autenticazione solo di Microsoft Entra.To provision a logical server with a Microsoft Entra-only authentication template.

È anche possibile usare il modello seguente. Usa una distribuzione personalizzata nel portale di Azure e crea un modello personalizzato nell'editor. Salva quindi la configurazione dopo aver incollato l'esempio.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "string",
            "defaultValue": "[uniqueString('sql', resourceGroup().id)]",
            "metadata": {
                "description": "The name of the logical server."
            }
        },
        "location": {
            "type": "string",
            "defaultValue": "[resourceGroup().location]",
            "metadata": {
                "description": "Location for all resources."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "properties": {
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Istanza gestita di SQL di Azure

Portale

1. Passare alla pagina Selezionare l'opzione di distribuzione SQL nella portale di Azure.

2. Se non è già stato eseguito l'accesso a portale di Azure, accedere quando richiesto.

3. In Istanze gestite di SQL lasciare Il tipo di risorsa impostato su Istanza singola e selezionare Crea.

4. Compilare le informazioni obbligatorie nella scheda Informazioni di base per i dettagli del progetto e Istanza gestita dettagli. Contiene un set minimo di informazioni necessarie per effettuare il provisioning di un'istanza gestita di SQL.

   

   Per altre informazioni sulle opzioni di configurazione, vedere Avvio rapido: Creare un Istanza gestita di SQL di Azure.

5. In Autenticazione selezionare Use Microsoft Entra-only authentication for the Authentication method (Usa autenticazione solo Entra-only Microsoft per il metodo di autenticazione).

6. Selezionare Imposta amministratore per aprire il riquadro MICROSOFT Entra ID e selezionare un'entità Microsoft Entra come amministratore di Microsoft Entra dell'istanza gestita. Al termine, usare il pulsante Seleziona per impostare l'amministratore.

   

7. È possibile lasciare il resto delle impostazioni predefinite. Per altre informazioni su Rete, sicurezza o altre schede e impostazioni, seguire la guida nell'articolo Avvio rapido: Creare un Istanza gestita di SQL di Azure.

8. Dopo aver completato la configurazione delle impostazioni, selezionare Rivedi e crea per continuare. Selezionare Crea per avviare il provisioning dell'istanza gestita.

L’interfaccia della riga di comando di Azure

Il comando dell'interfaccia della riga di comando az sql mi create di Azure viene usato per effettuare il provisioning di una nuova Istanza gestita di SQL di Azure. Il comando seguente eseguirà il provisioning di una nuova istanza gestita con l'autenticazione solo Entra di Microsoft abilitata.

Nota

Lo script richiede la creazione di una rete virtuale e una subnet come prerequisito.

L'amministratore SQL dell'istanza gestita verrà creato automaticamente e la password verrà impostata su una password casuale. Poiché l'autenticazione SQL è disabilitata con questo provisioning, l'amministratore SQL non verrà usato.

L'amministratore di Microsoft Entra sarà l'account impostato per <MSEntraAccount>e può essere usato per gestire l'istanza al termine del provisioning.

Sostituire i valori seguenti nell'esempio:

• <MSEntraAccount>: può essere un utente o un gruppo di Microsoft Entra. Ad esempio, DummyLogin
• <MSEntraAccountSID>: ID oggetto Microsoft Entra per l'utente
• <managedinstancename>: denominare l'istanza gestita da creare
• <ResourceGroupName>: nome del gruppo di risorse per l'istanza gestita. Il gruppo di risorse deve includere anche la rete virtuale e la subnet create
• Il subnet parametro deve essere aggiornato con <Subscription ID>, <ResourceGroupName><VNetName>, e <SubnetName>. L'ID sottoscrizione è disponibile nel portale di Azure

az sql mi create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <managedinstancename> \
    --subnet /subscriptions/<Subscription ID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>

Per altre informazioni, vedere az sql mi create.

PowerShell

Il comando New-AzSqlInstance di PowerShell viene usato per effettuare il provisioning di una nuova Istanza gestita di SQL di Azure. Il comando seguente eseguirà il provisioning di una nuova istanza gestita con l'autenticazione solo Entra di Microsoft abilitata.

Nota

Lo script richiede la creazione di una rete virtuale e una subnet come prerequisito.

L'amministratore SQL dell'istanza gestita verrà creato automaticamente e la password verrà impostata su una password casuale. Poiché la connettività di autenticazione SQL è disabilitata con questo provisioning, l'account di accesso amministratore SQL non verrà usato.

L'amministratore di Microsoft Entra sarà l'account impostato per <MSEntraAccount>e può essere usato per gestire l'istanza al termine del provisioning.

Sostituire i valori seguenti nell'esempio:

• <managedinstancename>: denominare l'istanza gestita da creare
• <ResourceGroupName>: nome del gruppo di risorse per l'istanza gestita. Il gruppo di risorse deve includere anche la rete virtuale e la subnet create
• <MSEntraAccount>: può essere un utente o un gruppo di Microsoft Entra. Ad esempio, DummyLogin
• <Location>: posizione del server, ad esempio West US, o Central US
• Il SubnetId parametro deve essere aggiornato con <Subscription ID>, <ResourceGroupName><VNetName>, e <SubnetName>. L'ID sottoscrizione è disponibile nel portale di Azure

$instanceName = @{
    Name = "<managedinstancename>"
    ResourceGroupName = "<ResourceGroupName>"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
    Location = "<Location>"
    SubnetId = "/subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>"
    LicenseType = "LicenseIncluded"
    StorageSizeInGB = 128
    VCore = 4
    Edition = "GeneralPurpose"
    ComputeGeneration = "Gen5"
}

New-AzSqlInstance $instanceName

Per altre informazioni, vedere New-AzSqlInstance.

REST API

Le Istanza gestita di SQL - Creare o aggiornare l'API REST possono essere usate per creare un'istanza gestita con l'autenticazione solo Entra-only abilitata durante il provisioning.

Nota

Lo script richiede la creazione di una rete virtuale e una subnet come prerequisito.

Lo script seguente eseguirà il provisioning di un'istanza gestita, imposta l'amministratore di Microsoft Entra come <MSEntraAccount>e abilita l'autenticazione solo Entra di Microsoft. L'amministratore SQL dell'istanza verrà creato automaticamente e la password verrà impostata su una password casuale. Poiché la connettività di autenticazione SQL è disabilitata con questo provisioning, l'account di accesso amministratore SQL non verrà usato.

L'amministratore <MSEntraAccount> di Microsoft Entra può essere usato per gestire l'istanza al termine del provisioning.

Sostituire i valori seguenti nell'esempio:

• <tenantId>: è possibile trovare passando alla portale di Azure e passando alla risorsa ID Microsoft Entra. Nel riquadro Panoramica dovrebbe essere visualizzato l’ID tenant
• <subscriptionId>: l'ID sottoscrizione è disponibile nel portale di Azure
• <instanceName>: usare un nome di istanza gestita univoco
• <ResourceGroupName>: nome del gruppo di risorse per il server logico
• <MSEntraAccount>: può essere un utente o un gruppo di Microsoft Entra. Ad esempio, DummyLogin
• <Location>: posizione del server, ad esempio westus2, o centralus
• <objectId>: è possibile trovare passando alla portale di Azure e passando alla risorsa ID Microsoft Entra. Nel riquadro Utente cercare l'utente Microsoft Entra e trovare il relativo ID oggetto. Se si usa un'applicazione (entità servizio) come amministratore di Microsoft Entra, sostituire questo valore con l'ID applicazione. Sarà necessario aggiornare anche .principalType
• Il subnetId parametro deve essere aggiornato con <ResourceGroupName>, , Subscription ID<VNetName>e<SubnetName>

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$instanceName = "<instanceName>"
$resourceGroupName = "<ResourceGroupName>"
$scopes ="https://management.core.windows.net/.default"

Login-AzAccount -tenantId $tenantId

# Login as an Microsoft Entra user with permission to provision a managed instance

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes $scopes

$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

$body = '{
"name": "<instanceName>", "type": "Microsoft.Sql/managedInstances", "identity": { "type": "SystemAssigned"},"location": "<Location>", "sku": {"name": "GP_Gen5", "tier": "GeneralPurpose", "family":"Gen5","capacity": 8},
"properties": {"administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true },
"subnetId": "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>",
"licenseType": "LicenseIncluded", "vCores": 8, "storageSizeInGB": 2048, "collation": "SQL_Latin1_General_CP1_CI_AS", "proxyOverride": "Proxy", "timezoneId": "UTC", "privateEndpointConnections": [], "storageAccountType": "GRS", "zoneRedundant": false 
  }
}'

# To provision the instance, execute the `PUT` command

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Per controllare i risultati, eseguire il GET comando :

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method GET -Headers $authHeader  | Format-List

Modello ARM

Per effettuare il provisioning di una nuova istanza gestita, della rete virtuale e della subnet, con un set di amministratori di Microsoft Entra impostato per l'istanza e l'autenticazione solo Entra di Microsoft abilitata, usare il modello seguente.

Usa una distribuzione personalizzata nel portale di Azure e crea un modello personalizzato nell'editor. Salva quindi la configurazione dopo aver incollato l'esempio.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "managedInstanceName": {
            "type": "String",
            "metadata": {
                "description": "Enter managed instance name."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL managed instance."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin. The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "location": {
            "defaultValue": "[resourceGroup().location]",
            "type": "String",
            "metadata": {
                "description": "Enter location. If you leave this field blank resource group location would be used."
            }
        },
        "virtualNetworkName": {
            "type": "String",
            "defaultValue": "SQLMI-VNET",
            "metadata": {
                "description": "Enter virtual network name. If you leave this field blank name will be created by the template."
            }
        },
        "addressPrefix": {
            "defaultValue": "10.0.0.0/16",
            "type": "String",
            "metadata": {
                "description": "Enter virtual network address prefix."
            }
        },
        "subnetName": {
            "type": "String",
            "defaultValue": "ManagedInstances",
            "metadata": {
                "description": "Enter subnet name. If you leave this field blank name will be created by the template."
            }
        },
        "subnetPrefix": {
            "defaultValue": "10.0.0.0/24",
            "type": "String",
            "metadata": {
                "description": "Enter subnet address prefix."
            }
        },
        "skuName": {
            "defaultValue": "GP_Gen5",
            "allowedValues": [
                "GP_Gen5",
                "BC_Gen5"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter sku name."
            }
        },
        "vCores": {
            "defaultValue": 16,
            "allowedValues": [
                8,
                16,
                24,
                32,
                40,
                64,
                80
            ],
            "type": "Int",
            "metadata": {
                "description": "Enter number of vCores."
            }
        },
        "storageSizeInGB": {
            "defaultValue": 256,
            "minValue": 32,
            "maxValue": 8192,
            "type": "Int",
            "metadata": {
                "description": "Enter storage size."
            }
        },
        "licenseType": {
            "defaultValue": "LicenseIncluded",
            "allowedValues": [
                "BasePrice",
                "LicenseIncluded"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter license type."
            }
        }
    },
    "variables": {
        "networkSecurityGroupName": "[concat('SQLMI-', parameters('managedInstanceName'), '-NSG')]",
        "routeTableName": "[concat('SQLMI-', parameters('managedInstanceName'), '-Route-Table')]"
    },
    "resources": [
        {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2020-06-01",
            "name": "[variables('networkSecurityGroupName')]",
            "location": "[parameters('location')]",
            "properties": {
                "securityRules": [
                    {
                        "name": "allow_tds_inbound",
                        "properties": {
                            "description": "Allow access to data",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "1433",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1000,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "allow_redirect_inbound",
                        "properties": {
                            "description": "Allow inbound redirect traffic to SQL Managed Instance inside the virtual network",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "11000-11999",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1100,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_inbound",
                        "properties": {
                            "description": "Deny all other inbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_outbound",
                        "properties": {
                            "description": "Deny all other outbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Outbound"
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Network/routeTables",
            "apiVersion": "2020-06-01",
            "name": "[variables('routeTableName')]",
            "location": "[parameters('location')]",
            "properties": {
                "disableBgpRoutePropagation": false
            }
        },
        {
            "type": "Microsoft.Network/virtualNetworks",
            "apiVersion": "2020-06-01",
            "name": "[parameters('virtualNetworkName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[variables('routeTableName')]",
                "[variables('networkSecurityGroupName')]"
            ],
            "properties": {
                "addressSpace": {
                    "addressPrefixes": [
                        "[parameters('addressPrefix')]"
                    ]
                },
                "subnets": [
                    {
                        "name": "[parameters('subnetName')]",
                        "properties": {
                            "addressPrefix": "[parameters('subnetPrefix')]",
                            "routeTable": {
                                "id": "[resourceId('Microsoft.Network/routeTables', variables('routeTableName'))]"
                            },
                            "networkSecurityGroup": {
                                "id": "[resourceId('Microsoft.Network/networkSecurityGroups', variables('networkSecurityGroupName'))]"
                            },
                            "delegations": [
                                {
                                    "name": "miDelegation",
                                    "properties": {
                                        "serviceName": "Microsoft.Sql/managedInstances"
                                    }
                                }
                            ]
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('managedInstanceName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[parameters('virtualNetworkName')]"
            ],
            "sku": {
                "name": "[parameters('skuName')]"
            },
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "subnetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('virtualNetworkName'), parameters('subnetName'))]",
                "storageSizeInGB": "[parameters('storageSizeInGB')]",
                "vCores": "[parameters('vCores')]",
                "licenseType": "[parameters('licenseType')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Concedere autorizzazioni per i lettori di directory

Una volta completata la distribuzione per l'istanza gestita, è possibile notare che l'Istanza gestita di SQL necessita delle autorizzazioni di lettura per accedere all'ID Microsoft Entra. Le autorizzazioni di lettura possono essere concesse facendo clic sul messaggio visualizzato nel portale di Azure da una persona con privilegi sufficienti. Per altre informazioni, vedere Ruolo Lettori directory in Microsoft Entra for Azure SQL.

Limiti

• Per reimpostare la password dell'amministratore del server, è necessario disabilitare l'autenticazione solo Entra-only.
• Se l'autenticazione solo Entra-only di Microsoft è disabilitata, è necessario creare un server con un amministratore del server e una password quando si usano tutte le API.

Contenuto correlato

• Se si ha già un server logico o un'istanza gestita di SQL e si vuole solo abilitare l'autenticazione solo Microsoft Entra-only, vedere Esercitazione: Abilitare l'autenticazione solo Microsoft Entra-only con Azure SQL.
• Per altre informazioni sulla funzionalità di autenticazione solo Entra-only di Microsoft, vedere Autenticazione solo di Microsoft Entra-only con Azure SQL.
• Se si sta cercando di applicare la creazione del server con l'autenticazione solo Entra-only abilitata, vedere Criteri di Azure per l'autenticazione solo Entra-only di Microsoft con Azure SQL