Creare un server con l'autenticazione basata solo su Microsoft Entra abilitata in Azure SQL

2025-04-30

Si applica a:Database SQL di AzureIstanza gestita di SQL di Azure

Questa guida pratica illustra i passaggi per creare un server logico per Azure SQL Database o un'istanza gestita di Azure SQL con l'autenticazione Microsoft Entra abilitata durante il provisioning. La funzionalità di autenticazione solo Entra di Microsoft impedisce agli utenti di connettersi al server o all'istanza gestita usando l'autenticazione SQL e consente solo le connessioni autenticate con Microsoft Entra ID (in precedenza Azure Active Directory).

Nota

Microsoft Entra ID era precedentemente noto come Azure Active Directory (Azure AD).

Prerequisiti

Quando si usa l'interfaccia della riga di comando di Azure è necessaria la versione 2.26.1 o successiva. Per altre informazioni sull'installazione e sulla versione più recente, vedere Installare l'interfaccia della riga di comando di Azure.
Il modulo Az 6.1.0 o versione successiva è necessario quando si usa PowerShell.
Se si esegue il provisioning di un'istanza gestita usando l'interfaccia della riga di comando di Azure, PowerShell o API REST, è necessario creare una rete virtuale e una subnet prima di iniziare. Per altre informazioni, vedere Creare una rete virtuale per Istanza gestita di SQL di Azure.

Autorizzazioni

Per effettuare il provisioning di un server logico o di un'istanza gestita, è necessario disporre delle appropriate autorizzazioni per creare queste risorse. Gli utenti di Azure con autorizzazioni più elevate, ad esempio proprietari di sottoscrizioni, collaboratori, amministratori del servizio e coamministratori hanno il privilegio di creare un'istanza gestita o un server SQL. Per creare queste risorse con il ruolo Azure RBAC con privilegi minimi, utilizzare il ruolo Collaboratore SQL Server per il database SQL e il ruolo Collaboratore per l'istanza gestita di SQL per l'istanza gestita SQL.

Il ruolo SQL Security Manager di Azure RBAC non dispone di autorizzazioni sufficienti per creare un server o un'istanza con l'autenticazione solo Microsoft Entra abilitata. Il ruolo Gestore della Sicurezza SQL sarà necessario per gestire la funzionalità di autenticazione esclusiva di Microsoft Entra dopo la creazione del server o dell'istanza.

Effettuare il provisioning con l'autenticazione basata solo su Microsoft Entra abilitata

Nella sezione seguente vengono forniti esempi e script su come creare un server logico o un'istanza gestita con un set di amministratori di Microsoft Entra per il server o l'istanza e abilitare l'autenticazione basata solo su Microsoft Entra durante la creazione del server. Per altre informazioni sulla funzionalità, vedere Autenticazione di Microsoft Entra-only con Azure SQL.

Negli esempi viene abilitata l'autenticazione basata solo su Microsoft Entra durante la creazione del server o dell'istanza gestita, con un amministratore e una password del server assegnati dal sistema. In questo modo si impedisce l'accesso amministratore del server quando è abilitata l'autenticazione basata solo su Microsoft Entra e consente solo all'amministratore di Microsoft Entra di accedere alla risorsa. È facoltativo aggiungere parametri alle API per includere l'amministratore e la password del server durante la creazione del server. Tuttavia, la password non può essere reimpostata fino a quando non si disabilita l'autenticazione basata solo su Microsoft Entra. Un esempio di come usare questi parametri facoltativi per specificare il nome di accesso dell'amministratore del server viene visualizzato nella scheda PowerShell in questa pagina.

Nota

Per modificare la proprietà di autenticazione solo Entra di Microsoft dopo la creazione del server o dell'istanza gestita, è necessario usare altre API esistenti. Per altre informazioni, vedere Gestione dell'autenticazione esclusivamente Microsoft Entra utilizzando le API.

Se l'autenticazione basata solo su Microsoft Entra è impostata su false, che è l'impostazione predefinita, dovranno essere inclusi amministratore e password del server in tutte le API durante la creazione del server o dell'istanza gestita.

Database SQL di Azure

Passare alla pagina Selezionare l'opzione di distribuzione SQL nel portale di Azure.
Se non lo si è già fatto, eseguire l’accesso al portale di Azure quando richiesto.
In Database SQL lasciare Il tipo di risorsa impostato su Database singolo e selezionare Crea.
Nella scheda Informazioni di base del modulo Crea database SQL , in Dettagli progetto selezionare la sottoscrizione di Azure desiderata.
In Gruppo di risorse selezionare Crea nuovo, immettere un nome per il gruppo di risorse e selezionare OK.
In Nome database immettere un nome per il database.
Per Server selezionare Crea nuovo e compilare il nuovo modulo del server con i valori seguenti:
- Nome server: immettere un nome server univoco. I nomi di tutti i server di Azure devono essere univoci a livello globale, non solo univoci all'interno di una sottoscrizione. Immettere un valore, e il portale di Azure informerà se è disponibile o meno.
- Località: selezionare una località dall'elenco a discesa
- Metodo di autenticazione: selezionare Use Microsoft Entra-only authentication (Usa autenticazione solo Entra-only).
- Selezionare Imposta amministratore per aprire il riquadro Microsoft Entra ID e selezionare un'entità principale di Microsoft Entra come amministratore del server logico di Microsoft Entra. Al termine, usare il pulsante Seleziona per impostare l'amministratore.
Selezionare Avanti: Rete nella parte inferiore della pagina.
Nella scheda Rete , per Metodo di connettività, selezionare Endpoint pubblico.
Per Regole del firewall impostare Aggiungi indirizzo IP client corrente su Sì. Lasciare Consenti ai servizi e alle risorse di Azure di accedere a questo server impostato su No.
Lasciare i criteri di connessione e le impostazioni versione minima di TLS come valore predefinito.
Selezionare Avanti: Sicurezza nella parte inferiore della pagina. Configurare qualunque delle impostazioni per Microsoft Defender per SQL, Ledger, Identità e Crittografia dei Dati Trasparente per l'ambiente in uso. È anche possibile ignorare queste impostazioni.

Nota

L'uso di un'identità gestita assegnata dall'utente come identità del server è supportata con l'autenticazione basata solo su Microsoft Entra. Per connettersi all'istanza come identità, assegnarla a una macchina virtuale di Azure ed eseguire SSMS nella macchina virtuale. Per gli ambienti di produzione, è consigliabile usare un'identità gestita per l'amministratore di Microsoft Entra grazie alle misure di sicurezza migliorate e semplificate con l'autenticazione senza password alle risorse di Azure.
Selezionare Rivedi e crea nella parte inferiore della pagina.
Nella pagina Rivedi e crea , dopo aver esaminato, selezionare Crea.

Il comando dell'interfaccia della riga di comando di Azure az sql server create viene usato per effettuare il provisioning di un nuovo server logico. Il comando seguente eseguirà il provisioning di un nuovo server con l'autenticazione basata solo su Microsoft Entra abilitata.

L'amministratore del server SQL verrà creato automaticamente e la password verrà impostata su una password casuale. Poiché la connettività di autenticazione SQL è disabilitata in questa fase di creazione server, l'account di accesso amministratore SQL non verrà usato.

L'amministratore Microsoft Entra del server sarà l'account impostato precedentemente per <MSEntraAccount>, e potrà essere usato per gestire il server.

Nell'esempio, sostituire i valori seguenti:

<MSEntraAccount>: può essere un utente o un gruppo di Microsoft Entra. Ad esempio, DummyLogin
<MSEntraAccountSID>: ID oggetto Microsoft Entra per l'utente
<ResourceGroupName>: il nome del gruppo di risorse per il server logico
<ServerName>: usare un nome per il server logico univoco

az sql server create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <ServerName>

Per altre informazioni, vedere az sql server create.

Per controllare lo stato del server dopo la creazione, vedere il comando seguente:

az sql server show --name <ServerName> --resource-group <ResourceGroupName> --expand-ad-admin

Il comando della PowerShell New-AzSqlServer viene usato per effettuare il provisioning di un nuovo server logico. Il comando seguente eseguirà il provisioning di un nuovo server con l'autenticazione basata solo su Microsoft Entra abilitata.

L'amministratore Microsoft Entra del server sarà l'account impostato precedentemente per <MSEntraAccount>, e potrà essere usato per gestire il server.

Nell'esempio, sostituire i valori seguenti:

<ResourceGroupName>: il nome del gruppo di risorse per il server logico
<Location>: posizione del server, ad esempio West US, o Central US
<ServerName>: usare un nome per il server logico univoco
<MSEntraAccount>: può essere un utente o un gruppo di Microsoft Entra. Ad esempio, DummyLogin

$server = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
}

New-AzSqlServer @server

Nell'esempio si illustra come specificare il nome amministratore del server (invece di consentire la creazione automatica del nome amministratore del server) al momento della creazione del server logico. Come accennato in precedenza, questo account di accesso non è utilizzabile quando è abilitata l'autenticazione basata solo su Microsoft Entra.

$cred = Get-Credential
New-AzSqlServer -ResourceGroupName "<ResourceGroupName>" -Location "<Location>" -ServerName "<ServerName>" -ServerVersion "12.0" -ExternalAdminName "<MSEntraAccount>" -EnableActiveDirectoryOnlyAuthentication -SqlAdministratorCredentials $cred

Per altre informazioni, vedere New-AzSqlServer.

L'API REST dei server - Creare o aggiornare può essere usata per creare un server logico con l'autenticazione di Microsoft Entra abilitata durante il provisioning.

Lo script seguente esegue il provisioning di un server logico, imposta l'amministratore di Microsoft Entra come <MSEntraAccount> e abilita l'autenticazione basata solo su Microsoft Entra. Anche l'amministratore del server SQL verrà creato automaticamente e la password verrà impostata su una password casuale. Poiché la connettività di autenticazione SQL è disabilitata con questo provisioning, l'account di accesso amministratore SQL non verrà usato.

L'amministratore di Microsoft Entra, <MSEntraAccount>, può essere usato per gestire il server al termine del provisioning.

Nell'esempio, sostituire i valori seguenti:

<tenantId>: Può essere trovato accedendo al portale di Azure e navigando fino alla risorsa di Microsoft Entra ID. Nel riquadro Panoramica puoi vedere il tuo ID tenant
<subscriptionId>: l'ID sottoscrizione, reperibile nel portale di Azure
<ServerName>: usare un nome per il server logico univoco
<ResourceGroupName>: il nome del gruppo di risorse per il server logico
<MicrosoftEntraAccount>: può essere un utente, un gruppo o un'applicazione Microsoft Entra. Ad esempio, DummyLogin
<Location>: posizione del server, ad esempio westus2, o centralus
<objectId>: Può essere trovato accedendo al portale di Azure e navigando fino alla risorsa di Microsoft Entra ID. Nel riquadro Utente cercare l'utente Microsoft Entra e trovare il relativo ID oggetto. Se si utilizza un'applicazione (entità servizio) come amministratore di Microsoft Entra, sostituire questo valore con l'ID dell'applicazione. Sarà necessario aggiornare anche principalType.
<principalType>: una delle tre opzioni: utente, gruppo, applicazione. Tipo dell'oggetto di Microsoft Entra utilizzato come amministratore. Le identità gestite e le entità servizio sono applicazioni.

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$authUrl = "https://login.windows.net/$tenantId"
$serverName = "<ServerName>"
$resourceGroupName = "<ResourceGroupName>"

Login-AzAccount -tenantId $tenantId

# login as a user with SQL Server Contributor role or higher 

# Get a token

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes "https://management.core.windows.net/.default"

#Authentication header
$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

# Enable Microsoft Entra-only auth 
# No server admin is specified, Microsoft Entra admin is configured, and Microsoft Entra-only authentication is set to true
# Server admin (login and password) is randomly generated by the system

# Authentication body
# The sid is the Microsoft Entra Object ID for the user or group, and Application ID for applications. Update the principalType as well

$body = '{ 
"location": "<Location>",
"properties": { "administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true }
  }
}'

# Provision the server

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Per controllare lo stato del server, è possibile usare lo script seguente:

$uri = 'https://management.azure.com/subscriptions/'+$subscriptionId+'/resourceGroups/'+$resourceGroupName+'/providers/Microsoft.Sql/servers/'+$serverName+'?api-version=2020-11-01-preview&$expand=administrators/activedirectory'

$response=Invoke-WebRequest -Uri $uri -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

$response.statuscode

$response.content

Per ulteriori informazioni e modelli ARM, vedere Modelli di Azure Resource Manager per il database SQL di Azure.

Per effettuare il provisioning di un server logico con un amministratore Microsoft Entra per il server e l'autenticazione esclusiva Microsoft Entra abilitata utilizzando un modello ARM, consultare il nostro modello di avvio rapido relativo al server logico SQL di Azure con autenticazione esclusiva di Microsoft Entra.

È anche possibile usare il modello seguente. Usare una distribuzione personalizzata nel portale di Azure e creare un modello personalizzato nell'editor. Quindi, salva la configurazione dopo aver incollato l'esempio.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "string",
            "defaultValue": "[uniqueString('sql', resourceGroup().id)]",
            "metadata": {
                "description": "The name of the logical server."
            }
        },
        "location": {
            "type": "string",
            "defaultValue": "[resourceGroup().location]",
            "metadata": {
                "description": "Location for all resources."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "properties": {
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Istanza gestita di SQL di Azure

Passare alla pagina Selezionare l'opzione di distribuzione SQL nel portale di Azure.
Se non lo si è già fatto, eseguire l’accesso al portale di Azure quando richiesto.
In Istanze gestite di SQL lasciare Il tipo di risorsa impostato su Istanza singola e selezionare Crea.
Compilare le informazioni obbligatorie necessarie nella scheda Informazioni di base per i dettagli del progetto e i dettagli di Istanza gestita. Contiene un set minimo di informazioni necessarie per effettuare il provisioning di un'istanza gestita di SQL.

Per altre informazioni sulle opzioni di configurazione, vedere Avvio rapido: Creare Istanza gestita di SQL di Azure.
In Autenticazione selezionare Use Microsoft Entra-only authentication for the Authentication method (Usa autenticazione solo Entra-only Microsoft per il metodo di autenticazione).
Selezionare Imposta amministratore per aprire il riquadro MICROSOFT Entra ID e selezionare un'entità Microsoft Entra come amministratore di Microsoft Entra dell'istanza gestita. Al termine, usare il pulsante Seleziona per impostare l'amministratore.
Per le altre impostazioni, non modificare i valori predefiniti. Per altre informazioni su Rete, sicurezza o altre schede e impostazioni, seguire la guida nell'articolo Avvio rapido: Creare Istanza gestita di SQL di Azure.
Dopo aver completato la configurazione delle impostazioni, selezionare Rivedi e crea per continuare. Selezionare Crea per avviare il provisioning dell'istanza gestita.

Il comando az sql mi create dell'interfaccia della riga di comando di Azure viene usato per effettuare il provisioning di una nuova Istanza gestita di SQL di Azure. Il comando seguente eseguirà il provisioning di una nuova istanza gestita con l'autenticazione basata solo su Microsoft Entra abilitata.

Nota

Lo script richiede la creazione di una rete virtuale e di una subnet come prerequisito.

L'amministratore SQL dell'istanza gestita verrà creato automaticamente e la password verrà impostata su una password casuale. Poiché l'autenticazione SQL è disabilitata con questo provisioning, l'amministratore SQL non verrà usato.

L'amministratore di Microsoft Entra sarà l'account impostato per <MSEntraAccount> e può essere usato per gestire l'istanza al termine del provisioning.

Nell'esempio, sostituire i valori seguenti:

<MSEntraAccount>: può essere un utente o un gruppo di Microsoft Entra. Ad esempio, DummyLogin
<MSEntraAccountSID>: ID oggetto Microsoft Entra per l'utente
<managedinstancename>: denominare l'istanza gestita che si vuole creare
<ResourceGroupName>: il nome del gruppo di risorse per l'istanza gestita. Il gruppo di risorse deve anche includere la rete virtuale e la subnet create
Il parametro subnet deve essere aggiornato con <Subscription ID>, <ResourceGroupName>, <VNetName> e <SubnetName>. L'ID sottoscrizione è reperibile nel portale di Azure

az sql mi create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <managedinstancename> \
    --subnet /subscriptions/<Subscription ID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>

Per altre informazioni, vedere az sql mi create.

Il comando New-AzSqlInstance di PowerShell viene usato per effettuare il provisioning di una nuova Istanza gestita di SQL di Azure. Il comando seguente eseguirà il provisioning di una nuova istanza gestita con l'autenticazione basata solo su Microsoft Entra abilitata.

Nota

Lo script richiede la creazione di una rete virtuale e di una subnet come prerequisito.

L'amministratore SQL dell'istanza gestita verrà creato automaticamente e la password verrà impostata su una password casuale. Poiché la connettività di autenticazione SQL è disabilitata con questo provisioning, l'account di accesso amministratore di SQL non verrà usato.

L'amministratore di Microsoft Entra sarà l'account impostato per <MSEntraAccount> e può essere usato per gestire l'istanza al termine del provisioning.

Nell'esempio, sostituire i valori seguenti:

<managedinstancename>: denominare l'istanza gestita che si vuole creare
<ResourceGroupName>: il nome del gruppo di risorse per l'istanza gestita. Il gruppo di risorse deve anche includere la rete virtuale e la subnet create
<MSEntraAccount>: può essere un utente o un gruppo di Microsoft Entra. Ad esempio, DummyLogin
<Location>: posizione del server, ad esempio West US, o Central US
Il parametro SubnetId deve essere aggiornato con <Subscription ID>, <ResourceGroupName>, <VNetName> e <SubnetName>. L'ID sottoscrizione è reperibile nel portale di Azure

$instanceName = @{
    Name = "<managedinstancename>"
    ResourceGroupName = "<ResourceGroupName>"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
    Location = "<Location>"
    SubnetId = "/subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>"
    LicenseType = "LicenseIncluded"
    StorageSizeInGB = 128
    VCore = 4
    Edition = "GeneralPurpose"
    ComputeGeneration = "Gen5"
}

New-AzSqlInstance $instanceName

Per altre informazioni, vedere New-AzSqlInstance.

Le istanze gestite di SQL - Creare o aggiornare l'API REST possono essere usate per creare un'istanza gestita con l'autenticazione di microsoft Entra-only abilitata durante il provisioning.

Nota

Lo script richiede la creazione di una rete virtuale e di una subnet come prerequisito.

Lo script seguente esegue il provisioning di un'istanza gestita, imposta l'amministratore di Microsoft Entra come <MSEntraAccount> e abilita l'autenticazione basata solo su Microsoft Entra. Verrà creato automaticamente anche l'amministratore SQL dell'istanza e la password verrà impostata su una password casuale. Poiché la connettività di autenticazione SQL è disabilitata con questo provisioning, l'account di accesso amministratore SQL non verrà usato.

L'amministratore di Microsoft Entra, <MSEntraAccount>, può essere usato per gestire l'istanza al termine del provisioning.

Nell'esempio, sostituire i valori seguenti:

<tenantId>: Può essere trovato accedendo al portale di Azure e navigando fino alla risorsa di Microsoft Entra ID. Nel riquadro Panoramica puoi vedere il tuo ID tenant
<subscriptionId>: l'ID sottoscrizione, reperibile nel portale di Azure
<instanceName>: usare un nome univoco di istanza gestita
<ResourceGroupName>: il nome del gruppo di risorse per il server logico
<MSEntraAccount>: può essere un utente o un gruppo di Microsoft Entra. Ad esempio, DummyLogin
<Location>: posizione del server, ad esempio westus2, o centralus
<objectId>: Può essere trovato accedendo al portale di Azure e navigando fino alla risorsa di Microsoft Entra ID. Nel riquadro Utente cercare l'utente Microsoft Entra e trovare il relativo ID oggetto. Se si utilizza un'applicazione (entità servizio) come amministratore di Microsoft Entra, sostituire questo valore con l'ID dell'applicazione. Sarà necessario aggiornare anche principalType.
Il parametro subnetId deve essere aggiornato con <ResourceGroupName>, Subscription ID, <VNetName> e <SubnetName>

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$instanceName = "<instanceName>"
$resourceGroupName = "<ResourceGroupName>"
$scopes ="https://management.core.windows.net/.default"

Login-AzAccount -tenantId $tenantId

# Login as an Microsoft Entra user with permission to provision a managed instance

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes $scopes

$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

$body = '{
"name": "<instanceName>", "type": "Microsoft.Sql/managedInstances", "identity": { "type": "SystemAssigned"},"location": "<Location>", "sku": {"name": "GP_Gen5", "tier": "GeneralPurpose", "family":"Gen5","capacity": 8},
"properties": {"administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true },
"subnetId": "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>",
"licenseType": "LicenseIncluded", "vCores": 8, "storageSizeInGB": 2048, "collation": "SQL_Latin1_General_CP1_CI_AS", "proxyOverride": "Proxy", "timezoneId": "UTC", "privateEndpointConnections": [], "storageAccountType": "GRS", "zoneRedundant": false 
  }
}'

# To provision the instance, execute the `PUT` command

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Per controllare i risultati, eseguire il comando GET:

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method GET -Headers $authHeader  | Format-List

Per effettuare il provisioning di una nuova istanza gestita, rete virtuale e subnet con un amministratore di Microsoft Entra impostato per l'istanza e l'autenticazione basata solo su Microsoft Entra abilitata, usare il modello seguente.

Usare una distribuzione personalizzata nel portale di Azure e creare un modello personalizzato nell'editor. Quindi, salva la configurazione dopo aver incollato l'esempio.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "managedInstanceName": {
            "type": "String",
            "metadata": {
                "description": "Enter managed instance name."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL managed instance."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin. The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "location": {
            "defaultValue": "[resourceGroup().location]",
            "type": "String",
            "metadata": {
                "description": "Enter location. If you leave this field blank resource group location would be used."
            }
        },
        "virtualNetworkName": {
            "type": "String",
            "defaultValue": "SQLMI-VNET",
            "metadata": {
                "description": "Enter virtual network name. If you leave this field blank name will be created by the template."
            }
        },
        "addressPrefix": {
            "defaultValue": "10.0.0.0/16",
            "type": "String",
            "metadata": {
                "description": "Enter virtual network address prefix."
            }
        },
        "subnetName": {
            "type": "String",
            "defaultValue": "ManagedInstances",
            "metadata": {
                "description": "Enter subnet name. If you leave this field blank name will be created by the template."
            }
        },
        "subnetPrefix": {
            "defaultValue": "10.0.0.0/24",
            "type": "String",
            "metadata": {
                "description": "Enter subnet address prefix."
            }
        },
        "skuName": {
            "defaultValue": "GP_Gen5",
            "allowedValues": [
                "GP_Gen5",
                "BC_Gen5"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter sku name."
            }
        },
        "vCores": {
            "defaultValue": 16,
            "allowedValues": [
                8,
                16,
                24,
                32,
                40,
                64,
                80
            ],
            "type": "Int",
            "metadata": {
                "description": "Enter number of vCores."
            }
        },
        "storageSizeInGB": {
            "defaultValue": 256,
            "minValue": 32,
            "maxValue": 8192,
            "type": "Int",
            "metadata": {
                "description": "Enter storage size."
            }
        },
        "licenseType": {
            "defaultValue": "LicenseIncluded",
            "allowedValues": [
                "BasePrice",
                "LicenseIncluded"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter license type."
            }
        }
    },
    "variables": {
        "networkSecurityGroupName": "[concat('SQLMI-', parameters('managedInstanceName'), '-NSG')]",
        "routeTableName": "[concat('SQLMI-', parameters('managedInstanceName'), '-Route-Table')]"
    },
    "resources": [
        {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2020-06-01",
            "name": "[variables('networkSecurityGroupName')]",
            "location": "[parameters('location')]",
            "properties": {
                "securityRules": [
                    {
                        "name": "allow_tds_inbound",
                        "properties": {
                            "description": "Allow access to data",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "1433",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1000,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "allow_redirect_inbound",
                        "properties": {
                            "description": "Allow inbound redirect traffic to SQL Managed Instance inside the virtual network",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "11000-11999",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1100,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_inbound",
                        "properties": {
                            "description": "Deny all other inbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_outbound",
                        "properties": {
                            "description": "Deny all other outbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Outbound"
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Network/routeTables",
            "apiVersion": "2020-06-01",
            "name": "[variables('routeTableName')]",
            "location": "[parameters('location')]",
            "properties": {
                "disableBgpRoutePropagation": false
            }
        },
        {
            "type": "Microsoft.Network/virtualNetworks",
            "apiVersion": "2020-06-01",
            "name": "[parameters('virtualNetworkName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[variables('routeTableName')]",
                "[variables('networkSecurityGroupName')]"
            ],
            "properties": {
                "addressSpace": {
                    "addressPrefixes": [
                        "[parameters('addressPrefix')]"
                    ]
                },
                "subnets": [
                    {
                        "name": "[parameters('subnetName')]",
                        "properties": {
                            "addressPrefix": "[parameters('subnetPrefix')]",
                            "routeTable": {
                                "id": "[resourceId('Microsoft.Network/routeTables', variables('routeTableName'))]"
                            },
                            "networkSecurityGroup": {
                                "id": "[resourceId('Microsoft.Network/networkSecurityGroups', variables('networkSecurityGroupName'))]"
                            },
                            "delegations": [
                                {
                                    "name": "miDelegation",
                                    "properties": {
                                        "serviceName": "Microsoft.Sql/managedInstances"
                                    }
                                }
                            ]
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('managedInstanceName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[parameters('virtualNetworkName')]"
            ],
            "sku": {
                "name": "[parameters('skuName')]"
            },
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "subnetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('virtualNetworkName'), parameters('subnetName'))]",
                "storageSizeInGB": "[parameters('storageSizeInGB')]",
                "vCores": "[parameters('vCores')]",
                "licenseType": "[parameters('licenseType')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Concessione di autorizzazioni amministratori che leggono la directory

Una volta completata la distribuzione per l'istanza gestita, potresti notare che l'istanza SQL gestita necessita delle autorizzazioni di lettura per accedere a Microsoft Entra ID. Le autorizzazioni di lettura possono essere concesse selezionando sul messaggio visualizzato nel portale di Azure da una persona con sufficienti privilegi. Per ulteriori informazioni, vedere Diritti di lettura della directory in Microsoft Entra ID per Azure SQL.

Limiti

Per reimpostare la password dell'amministratore del server, è necessario disabilitare l'autenticazione basata solo su Microsoft Entra.
Se l'autenticazione basata solo su Microsoft Entra è disabilitata, è necessario creare un server con un amministratore del server e una password quando si usano tutte le API.

Se si ha già un server logico o un'istanza gestita di SQL e si vuole solo abilitare l'autenticazione solo Microsoft Entra-only, vedere Esercitazione: Abilitare l'autenticazione solo Microsoft Entra-only con Azure SQL.
Per altre informazioni sulla funzionalità di autenticazione solo Entra-only di Microsoft, vedere Autenticazione solo di Microsoft Entra-only con Azure SQL.
Se desideri forzare la creazione del server con autenticazione Microsoft Entra abilitata, consulta Criteri di Azure per l'autenticazione esclusiva Microsoft Entra con Azure SQL

Condividi tramite

Creare un server con l'autenticazione basata solo su Microsoft Entra abilitata in Azure SQL

Prerequisiti

Autorizzazioni

Effettuare il provisioning con l'autenticazione basata solo su Microsoft Entra abilitata

Database SQL di Azure

Istanza gestita di SQL di Azure

Concessione di autorizzazioni amministratori che leggono la directory

Limiti

Contenuto correlato

Commenti e suggerimenti

Risorse aggiuntive