Creare un server con l'autenticazione basata solo su Microsoft Entra abilitata in Azure SQL

Si applica a: Database SQL di Azure Istanza gestita di SQL di Azure

Questa guida pratica illustra i passaggi per creare un server logico per database SQL di Azure o un'Istanza gestita di SQL di Azure con l'autenticazione basata solo su Microsoft Entra abilitata durante il provisioning. La funzionalità di autenticazione basata solo su Microsoft Entra impedisce agli utenti di connettersi al server o all'istanza gestita usando l'autenticazione SQL e consente solo le connessioni autenticate con Microsoft Entra ID (precedentemente Azure Active Directory).

Nota

Microsoft Entra ID era noto in precedenza come Azure Active Directory (Azure AD).

Prerequisiti

• Quando si usa l'interfaccia della riga di comando di Azure è necessaria la versione 2.26.1 o successiva. Per altre informazioni sull'installazione e sulla versione più recente, vedere Installare l'interfaccia della riga di comando di Azure.
• È necessario il modulo Az 6.1.0 o versione successiva quando si usa PowerShell.
• Se si esegue il provisioning di un'istanza gestita usando l'interfaccia della riga di comando di Azure, PowerShell o API REST, è necessario creare una rete virtuale e una subnet prima di iniziare. Per altre informazioni, vedere Creare una rete virtuale per Istanza gestita di SQL di Azure.

Autorizzazioni

Per effettuare il provisioning di un server logico o di un'istanza gestita, è necessario disporre delle appropriate autorizzazioni per creare queste risorse. Gli utenti di Azure con autorizzazioni più elevate, ad esempio proprietari di sottoscrizioni, collaboratori, amministratori dei servizi e co-amministratori, hanno il privilegio di creare un server SQL o un'istanza gestita. Per creare queste risorse con il ruolo Controllo degli accessi in base al ruolo di Azure con privilegi minimi, usare il ruolo collaboratore di SQL Server per database SQL e il ruolo collaboratore di Istanza gestita di SQL per Istanza gestita di SQL.

Il ruolo Controllo degli accessi in base al ruolo di Azure gestore della sicurezza SQL non dispone di autorizzazioni sufficienti per creare un server o un'istanza con l'autenticazione basata solo su Microsoft Entra abilitata. Il ruolo gestore della sicurezza SQL sarà necessario per gestire la funzionalità di autenticazione basata solo su Microsoft Entra dopo la creazione del server o dell'istanza.

Effettuare il provisioning con l'autenticazione basata solo su Microsoft Entra abilitata

Nella sezione seguente vengono forniti esempi e script su come creare un server logico o un'istanza gestita con un set di amministratori di Microsoft Entra per il server o l'istanza e abilitare l'autenticazione basata solo su Microsoft Entra durante la creazione del server. Per altre informazioni sulla funzionalità, vedere Autenticazione basata solo su Microsoft Entra con Azure SQL.

Negli esempi viene abilitata l'autenticazione basata solo su Microsoft Entra durante la creazione del server o dell'istanza gestita, con un amministratore e una password del server assegnati dal sistema. In questo modo si impedisce l'accesso amministratore del server quando è abilitata l'autenticazione basata solo su Microsoft Entra e consente solo all'amministratore di Microsoft Entra di accedere alla risorsa. È facoltativo aggiungere parametri alle API per includere l'amministratore e la password del server durante la creazione del server. Tuttavia, la password non può essere reimpostata fino a quando non si disabilita l'autenticazione basata solo su Microsoft Entra. Un esempio di come usare questi parametri opzionali per specificare il nome di accesso dell'amministratore del server viene illustrato nella scheda PowerShell in questa pagina.

Nota

Per modificare le proprietà esistenti dopo la creazione del server o dell'istanza gestita è necessario usare altre API esistenti. Per altre informazioni, vedere Gestire l'autenticazione basata solo su Microsoft Entra tramite API e Configurare e gestire l'autenticazione di Microsoft Entra con Azure SQL.

Se l'autenticazione basata solo su Microsoft Entra è impostata su false, che è l'impostazione predefinita, dovranno essere inclusi amministratore e password del server in tutte le API durante la creazione del server o dell'istanza gestita.

Database SQL di Azure

Portale

1. Accedere alla pagina di opzione Selezionare la distribuzione SQL nel portale di Azure.

2. Se non lo si è già fatto, eseguire l’accesso al portale di Azure quando richiesto.

3. In Database SQL lasciare l'opzione Tipo di risorsa impostata su Database singolo e selezionare Crea.

4. Nella scheda Dati principali del modulo Crea database SQL selezionare la Sottoscrizione di Azure corretta in Dettagli del progetto.

5. In Gruppo di risorse selezionare Crea nuovo, immettere un nome per il gruppo di risorse, quindi selezionare OK.

6. Per Nome database, inserire un nome per il database.

7. In Server, selezionare Crea nuovo e compilare il modulo per il nuovo server con i valori seguenti:

   • Nome del server: immettere un nome del server univoco. I nomi di tutti i server di Azure devono essere univoci a livello globale, non solo univoci all'interno di una sottoscrizione. Immettere un valore, e il portale di Azure informerà se è disponibile o meno.
   • Posizione: selezionare una posizione dall'elenco a discesa
   • Metodo di autenticazione: selezionare Usare l'autenticazione basata solo su Microsoft Entra.
   • Selezionare Imposta amministratore per aprire il riquadro Microsoft Entra ID e selezionare un'entità di sicurezza Microsoft Entra come amministratore Microsoft Entra del server logico. Al termine, usare il pulsante Seleziona per impostare l'amministratore.

   

8. Selezionare Avanti: Rete nella parte inferiore della pagina.

9. Nella scheda Rete selezionare Endpoint pubblico in Metodo di connettività.

10. In Regole del firewall impostare Aggiungi indirizzo IP client corrente su Sì. Lasciare l'opzione Consenti alle risorse e ai servizi di Azure di accedere a questo server impostata su No.

11. Lasciare il valore predefinito per le impostazioni Criteri di connessione e Versione minima di TLS.

12. Selezionare Avanti: Sicurezza nella parte inferiore della pagina. Per l'ambiente in uso, configurare una delle impostazioni per Microsoft Defender per SQL, Libro mastro, Identità e Transparent Data Encryption. È anche possibile ignorare queste impostazioni.

    Nota

    L'uso di un'identità gestita assegnata dall'utente come identità del server è supportata con l'autenticazione basata solo su Microsoft Entra. Per connettersi all'istanza come identità, assegnarla a una macchina virtuale di Azure ed eseguire SSMS nella macchina virtuale. Per gli ambienti di produzione, è consigliabile usare un'identità gestita per l'amministratore Microsoft Entra grazie alle misure di sicurezza migliorate e semplificate con l'autenticazione senza password alle risorse di Azure.

13. Selezionare Rivedi e crea nella parte inferiore della pagina.

14. Nella pagina Rivedi e crea, dopo aver rivisto le impostazioni, selezionare Crea.

L’interfaccia della riga di comando di Azure

Il comando dell'interfaccia della riga di comando di Azure az sql server create viene usato per effettuare il provisioning di un nuovo server logico. Il comando seguente eseguirà il provisioning di un nuovo server con l'autenticazione basata solo su Microsoft Entra abilitata.

L'amministratore del server SQL verrà creato automaticamente e la password verrà impostata su una password casuale. Poiché la connettività di autenticazione SQL è disabilitata in questa fase di creazione server, l'account di accesso amministratore SQL non verrà usato.

L'amministratore Microsoft Entra del server sarà l'account impostato precedentemente per <MSEntraAccount>, e potrà essere usato per gestire il server.

Nell'esempio, sostituire i valori seguenti:

• <MSEntraAccount>: può essere un utente o un gruppo di Microsoft Entra. Ad esempio, DummyLogin
• <MSEntraAccountSID>: ID oggetto Microsoft Entra per l'utente
• <ResourceGroupName>: il nome del gruppo di risorse per il server logico
• <ServerName>: usare un nome per il server logico univoco

az sql server create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <ServerName>

Per altre informazioni, vedere az sql server create.

Per controllare lo stato del server dopo la creazione, vedere il comando seguente:

az sql server show --name <ServerName> --resource-group <ResourceGroupName> --expand-ad-admin

PowerShell

Il comando della PowerShell New-AzSqlServer viene usato per effettuare il provisioning di un nuovo server logico. Il comando seguente eseguirà il provisioning di un nuovo server con l'autenticazione basata solo su Microsoft Entra abilitata.

L'amministratore del server SQL verrà creato automaticamente e la password verrà impostata su una password casuale. Poiché la connettività di autenticazione SQL è disabilitata in questa fase di creazione server, l'account di accesso amministratore SQL non verrà usato.

L'amministratore Microsoft Entra del server sarà l'account impostato precedentemente per <MSEntraAccount>, e potrà essere usato per gestire il server.

Nell'esempio, sostituire i valori seguenti:

• <ResourceGroupName>: il nome del gruppo di risorse per il server logico
• <Location>: posizione del server, ad esempio West US, o Central US
• <ServerName>: usare un nome per il server logico univoco
• <MSEntraAccount>: può essere un utente o un gruppo di Microsoft Entra. Ad esempio, DummyLogin

$server = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
}

New-AzSqlServer @server

Nell'esempio si illustra come specificare il nome amministratore del server (invece di consentire la creazione automatica del nome amministratore del server) al momento della creazione del server logico. Come accennato in precedenza, questo account di accesso non è utilizzabile quando è abilitata l'autenticazione basata solo su Microsoft Entra.

$cred = Get-Credential
New-AzSqlServer -ResourceGroupName "<ResourceGroupName>" -Location "<Location>" -ServerName "<ServerName>" -ServerVersion "12.0" -ExternalAdminName "<MSEntraAccount>" -EnableActiveDirectoryOnlyAuthentication -SqlAdministratorCredentials $cred

Per altre informazioni, vedere New-AzSqlServer.

API REST

L'API REST Server - Creare o aggiornare può essere usata per creare un server logico con l'autenticazione basata solo su Microsoft Entra abilitata durante il provisioning.

Lo script seguente esegue il provisioning di un server logico, imposta l'amministratore di Microsoft Entra come <MSEntraAccount> e abilita l'autenticazione basata solo su Microsoft Entra. Anche l'amministratore del server SQL verrà creato automaticamente e la password verrà impostata su una password casuale. Poiché la connettività di autenticazione SQL è disabilitata con questo provisioning, l'account di accesso amministratore SQL non verrà usato.

L'amministratore di Microsoft Entra, <MSEntraAccount>, può essere usato per gestire il server al termine del provisioning.

Nell'esempio, sostituire i valori seguenti:

• <tenantId>: è possibile trovarlo andando sul portale di Azure e passando alla risorsa Microsoft Entra ID. Nel riquadro Panoramica dovrebbe essere visualizzato il valore di ID tenant
• <subscriptionId>: l'ID sottoscrizione, reperibile nel portale di Azure
• <ServerName>: usare un nome per il server logico univoco
• <ResourceGroupName>: il nome del gruppo di risorse per il server logico
• <MicrosoftEntraAccount>: può essere un utente, un gruppo o un'applicazione Microsoft Entra. Ad esempio, DummyLogin
• <Location>: posizione del server, ad esempio westus2, o centralus
• <objectId>: è possibile trovarlo andando sul portale di Azure e passando alla risorsa Microsoft Entra ID. Nel riquadro Utente, cercare l'utente Microsoft Entra e trovare il relativo ID oggetto. Se si usa un'applicazione (entità servizio) come amministratore di Microsoft Entra, sostituire questo valore con l'ID applicazione. Sarà necessario aggiornare anche principalType.
• <principalType>: una delle tre opzioni: utente, gruppo, applicazione. Tipo dell'oggetto di Microsoft Entra utilizzato come amministratore. Le identità gestite e le entità servizio sono applicazioni.

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$authUrl = "https://login.windows.net/$tenantId"
$serverName = "<ServerName>"
$resourceGroupName = "<ResourceGroupName>"

Login-AzAccount -tenantId $tenantId

# login as a user with SQL Server Contributor role or higher 

# Get a token

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes "https://management.core.windows.net/.default"

#Authetication header
$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

# Enable Microsoft Entra-only auth 
# No server admin is specified, Microsoft Entra admin is configured, and Microsoft Entra-only authentication is set to true
# Server admin (login and password) is randomly generated by the system

# Authentication body
# The sid is the Microsoft Entra Object ID for the user or group, and Application ID for applications. Update the principalType as well

$body = '{ 
"location": "<Location>",
"properties": { "administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true }
  }
}'

# Provision the server

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Per controllare lo stato del server, è possibile usare lo script seguente:

$uri = 'https://management.azure.com/subscriptions/'+$subscriptionId+'/resourceGroups/'+$resourceGroupName+'/providers/Microsoft.Sql/servers/'+$serverName+'?api-version=2020-11-01-preview&$expand=administrators/activedirectory'

$responce=Invoke-WebRequest -Uri $uri -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

$responce.statuscode

$responce.content

Modello ARM

Per ulteriori informazioni e modelli di ARM, vedere Modelli di Resource Manager Azure per database SQL di Azure.

Per effettuare il provisioning di un server logico con un set di amministratori di Microsoft Entra per il server e l'autenticazione basata solo su Microsoft Entra abilitata tramite un modello di Resource Manager, vedere il modello di avvio rapido Server logico Azure SQL con l'autenticazione basata solo su Microsoft Entra.

È anche possibile usare il modello seguente. Usa una distribuzione personalizzata nel portale di Azure e crea un modello personalizzato nell'editor. Salva quindi la configurazione dopo aver incollato l'esempio.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "string",
            "defaultValue": "[uniqueString('sql', resourceGroup().id)]",
            "metadata": {
                "description": "The name of the logical server."
            }
        },
        "location": {
            "type": "string",
            "defaultValue": "[resourceGroup().location]",
            "metadata": {
                "description": "Location for all resources."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "properties": {
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Istanza gestita di database SQL di Azure

Portale

1. Accedere alla pagina di opzione Selezionare la distribuzione SQL nel portale di Azure.

2. Se non lo si è già fatto, eseguire l’accesso al portale di Azure quando richiesto.

3. In Istanze gestite di SQL, lasciare Tipo di risorsa impostato su Istanza singola e selezionare Crea.

4. Compilare le informazioni obbligatorie nella scheda Dati principali per Dettagli del progetto e Dettagli istanza gestita. Contiene un set minimo di informazioni necessarie per effettuare il provisioning di un'istanza gestita di SQL.

   

   Per altre informazioni sulle opzioni di configurazione, vedere Avvio rapido: creare un'Istanza gestita di SQL di Azure.

5. In Autenticazione, selezionare Usa l'autenticazione basata solo su Microsoft Entra per Metodo di autenticazione.

6. Selezionare Imposta amministratore per aprire il riquadro Microsoft Entra ID e selezionare un'entità di sicurezza Microsoft Entra come amministratore Microsoft Entra dell'istanza gestita. Al termine, usare il pulsante Seleziona per impostare l'amministratore.

   

7. Per le altre impostazioni, non modificare i valori predefiniti. Per altre informazioni su Networking, Sicurezza e altre schede e impostazioni, seguire la guida nell'articolo Avvio rapido: creare un'Istanza gestita di SQL di Azure.

8. Dopo aver completato la configurazione delle impostazioni, selezionare Rivedi e crea per continuare. Selezionare Crea per avviare il provisioning dell'istanza gestita.

L’interfaccia della riga di comando di Azure

Il comando az sql mi create dell'interfaccia della riga di comando di Azure viene usato per effettuare il provisioning di una nuova Istanza gestita di SQL di Azure. Il comando seguente eseguirà il provisioning di una nuova istanza gestita con l'autenticazione basata solo su Microsoft Entra abilitata.

Nota

Lo script richiede la creazione di una rete virtuale e di una subnet come prerequisito.

L'amministratore SQL dell'istanza gestita verrà creato automaticamente e la password verrà impostata su una password casuale. Poiché l'autenticazione SQL è disabilitata con questo provisioning, l'amministratore SQL non verrà usato.

L'amministratore di Microsoft Entra sarà l'account impostato per <MSEntraAccount> e può essere usato per gestire l'istanza al termine del provisioning.

Nell'esempio, sostituire i valori seguenti:

• <MSEntraAccount>: può essere un utente o un gruppo di Microsoft Entra. Ad esempio, DummyLogin
• <MSEntraAccountSID>: ID oggetto Microsoft Entra per l'utente
• <managedinstancename>: denominare l'istanza gestita che si vuole creare
• <ResourceGroupName>: il nome del gruppo di risorse per l'istanza gestita. Il gruppo di risorse deve anche includere la rete virtuale e la subnet create
• Il parametro subnet deve essere aggiornato con <Subscription ID>, <ResourceGroupName>, <VNetName> e <SubnetName>. L'ID sottoscrizione è reperibile nel portale di Azure

az sql mi create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <managedinstancename> \
    --subnet /subscriptions/<Subscription ID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>

Per altre informazioni, vedere az sql mi create.

PowerShell

Il comando New-AzSqlInstance di PowerShell viene usato per effettuare il provisioning di una nuova Istanza gestita di SQL di Azure. Il comando seguente eseguirà il provisioning di una nuova istanza gestita con l'autenticazione basata solo su Microsoft Entra abilitata.

Nota

Lo script richiede la creazione di una rete virtuale e di una subnet come prerequisito.

L'amministratore SQL dell'istanza gestita verrà creato automaticamente e la password verrà impostata su una password casuale. Poiché la connettività di autenticazione SQL è disabilitata con questo provisioning, l'account di accesso amministratore di SQL non verrà usato.

L'amministratore di Microsoft Entra sarà l'account impostato per <MSEntraAccount> e può essere usato per gestire l'istanza al termine del provisioning.

Nell'esempio, sostituire i valori seguenti:

• <managedinstancename>: denominare l'istanza gestita che si vuole creare
• <ResourceGroupName>: il nome del gruppo di risorse per l'istanza gestita. Il gruppo di risorse deve anche includere la rete virtuale e la subnet create
• <MSEntraAccount>: può essere un utente o un gruppo di Microsoft Entra. Ad esempio, DummyLogin
• <Location>: posizione del server, ad esempio West US, o Central US
• Il parametro SubnetId deve essere aggiornato con <Subscription ID>, <ResourceGroupName>, <VNetName> e <SubnetName>. L'ID sottoscrizione è reperibile nel portale di Azure

$instanceName = @{
    Name = "<managedinstancename>"
    ResourceGroupName = "<ResourceGroupName>"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
    Location = "<Location>"
    SubnetId = "/subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>"
    LicenseType = "LicenseIncluded"
    StorageSizeInGB = 128
    VCore = 4
    Edition = "GeneralPurpose"
    ComputeGeneration = "Gen5"
}

New-AzSqlInstance $instanceName

Per altre informazioni vedere New-AzSqlInstance.

REST API

L'API REST Istanze gestite di SQL - Creare o aggiornare può essere usata per creare un'istanza gestita con l'autenticazione basata solo su Microsoft Entra abilitata durante il provisioning.

Nota

Lo script richiede la creazione di una rete virtuale e di una subnet come prerequisito.

Lo script seguente esegue il provisioning di un'istanza gestita, imposta l'amministratore di Microsoft Entra come <MSEntraAccount> e abilita l'autenticazione basata solo su Microsoft Entra. Verrà creato automaticamente anche l'amministratore SQL dell'istanza e la password verrà impostata su una password casuale. Poiché la connettività di autenticazione SQL è disabilitata con questo provisioning, l'account di accesso amministratore SQL non verrà usato.

L'amministratore di Microsoft Entra, <MSEntraAccount>, può essere usato per gestire l'istanza al termine del provisioning.

Nell'esempio, sostituire i valori seguenti:

• <tenantId>: è possibile trovarlo andando sul portale di Azure e passando alla risorsa Microsoft Entra ID. Nel riquadro Panoramica dovrebbe essere visualizzato il valore di ID tenant
• <subscriptionId>: l'ID sottoscrizione, reperibile nel portale di Azure
• <instanceName>: usare un nome univoco di istanza gestita
• <ResourceGroupName>: il nome del gruppo di risorse per il server logico
• <MSEntraAccount>: può essere un utente o un gruppo di Microsoft Entra. Ad esempio, DummyLogin
• <Location>: posizione del server, ad esempio westus2, o centralus
• <objectId>: è possibile trovarlo andando sul portale di Azure e passando alla risorsa Microsoft Entra ID. Nel riquadro Utente, cercare l'utente Microsoft Entra e trovare il relativo ID oggetto. Se si usa un'applicazione (entità servizio) come amministratore di Microsoft Entra, sostituire questo valore con l'ID applicazione. Sarà necessario aggiornare anche principalType.
• Il parametro subnetId deve essere aggiornato con <ResourceGroupName>, Subscription ID, <VNetName> e <SubnetName>

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$instanceName = "<instanceName>"
$resourceGroupName = "<ResourceGroupName>"
$scopes ="https://management.core.windows.net/.default"

Login-AzAccount -tenantId $tenantId

# Login as an Microsoft Entra user with permission to provision a managed instance

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes $scopes

$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

$body = '{
"name": "<instanceName>", "type": "Microsoft.Sql/managedInstances", "identity": { "type": "SystemAssigned"},"location": "<Location>", "sku": {"name": "GP_Gen5", "tier": "GeneralPurpose", "family":"Gen5","capacity": 8},
"properties": {"administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true },
"subnetId": "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>",
"licenseType": "LicenseIncluded", "vCores": 8, "storageSizeInGB": 2048, "collation": "SQL_Latin1_General_CP1_CI_AS", "proxyOverride": "Proxy", "timezoneId": "UTC", "privateEndpointConnections": [], "storageAccountType": "GRS", "zoneRedundant": false 
  }
}'

# To provision the instance, execute the `PUT` command

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Per controllare i risultati, eseguire il comando GET:

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method GET -Headers $authHeader  | Format-List

Modello ARM

Per effettuare il provisioning di una nuova istanza gestita, rete virtuale e subnet con un amministratore di Microsoft Entra impostato per l'istanza e l'autenticazione basata solo su Microsoft Entra abilitata, usare il modello seguente.

Usa una distribuzione personalizzata nel portale di Azure e crea un modello personalizzato nell'editor. Salva quindi la configurazione dopo aver incollato l'esempio.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "managedInstanceName": {
            "type": "String",
            "metadata": {
                "description": "Enter managed instance name."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL managed instance."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin. The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "location": {
            "defaultValue": "[resourceGroup().location]",
            "type": "String",
            "metadata": {
                "description": "Enter location. If you leave this field blank resource group location would be used."
            }
        },
        "virtualNetworkName": {
            "type": "String",
            "defaultValue": "SQLMI-VNET",
            "metadata": {
                "description": "Enter virtual network name. If you leave this field blank name will be created by the template."
            }
        },
        "addressPrefix": {
            "defaultValue": "10.0.0.0/16",
            "type": "String",
            "metadata": {
                "description": "Enter virtual network address prefix."
            }
        },
        "subnetName": {
            "type": "String",
            "defaultValue": "ManagedInstances",
            "metadata": {
                "description": "Enter subnet name. If you leave this field blank name will be created by the template."
            }
        },
        "subnetPrefix": {
            "defaultValue": "10.0.0.0/24",
            "type": "String",
            "metadata": {
                "description": "Enter subnet address prefix."
            }
        },
        "skuName": {
            "defaultValue": "GP_Gen5",
            "allowedValues": [
                "GP_Gen5",
                "BC_Gen5"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter sku name."
            }
        },
        "vCores": {
            "defaultValue": 16,
            "allowedValues": [
                8,
                16,
                24,
                32,
                40,
                64,
                80
            ],
            "type": "Int",
            "metadata": {
                "description": "Enter number of vCores."
            }
        },
        "storageSizeInGB": {
            "defaultValue": 256,
            "minValue": 32,
            "maxValue": 8192,
            "type": "Int",
            "metadata": {
                "description": "Enter storage size."
            }
        },
        "licenseType": {
            "defaultValue": "LicenseIncluded",
            "allowedValues": [
                "BasePrice",
                "LicenseIncluded"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter license type."
            }
        }
    },
    "variables": {
        "networkSecurityGroupName": "[concat('SQLMI-', parameters('managedInstanceName'), '-NSG')]",
        "routeTableName": "[concat('SQLMI-', parameters('managedInstanceName'), '-Route-Table')]"
    },
    "resources": [
        {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2020-06-01",
            "name": "[variables('networkSecurityGroupName')]",
            "location": "[parameters('location')]",
            "properties": {
                "securityRules": [
                    {
                        "name": "allow_tds_inbound",
                        "properties": {
                            "description": "Allow access to data",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "1433",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1000,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "allow_redirect_inbound",
                        "properties": {
                            "description": "Allow inbound redirect traffic to SQL Managed Instance inside the virtual network",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "11000-11999",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1100,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_inbound",
                        "properties": {
                            "description": "Deny all other inbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_outbound",
                        "properties": {
                            "description": "Deny all other outbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Outbound"
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Network/routeTables",
            "apiVersion": "2020-06-01",
            "name": "[variables('routeTableName')]",
            "location": "[parameters('location')]",
            "properties": {
                "disableBgpRoutePropagation": false
            }
        },
        {
            "type": "Microsoft.Network/virtualNetworks",
            "apiVersion": "2020-06-01",
            "name": "[parameters('virtualNetworkName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[variables('routeTableName')]",
                "[variables('networkSecurityGroupName')]"
            ],
            "properties": {
                "addressSpace": {
                    "addressPrefixes": [
                        "[parameters('addressPrefix')]"
                    ]
                },
                "subnets": [
                    {
                        "name": "[parameters('subnetName')]",
                        "properties": {
                            "addressPrefix": "[parameters('subnetPrefix')]",
                            "routeTable": {
                                "id": "[resourceId('Microsoft.Network/routeTables', variables('routeTableName'))]"
                            },
                            "networkSecurityGroup": {
                                "id": "[resourceId('Microsoft.Network/networkSecurityGroups', variables('networkSecurityGroupName'))]"
                            },
                            "delegations": [
                                {
                                    "name": "miDelegation",
                                    "properties": {
                                        "serviceName": "Microsoft.Sql/managedInstances"
                                    }
                                }
                            ]
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('managedInstanceName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[parameters('virtualNetworkName')]"
            ],
            "sku": {
                "name": "[parameters('skuName')]"
            },
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "subnetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('virtualNetworkName'), parameters('subnetName'))]",
                "storageSizeInGB": "[parameters('storageSizeInGB')]",
                "vCores": "[parameters('vCores')]",
                "licenseType": "[parameters('licenseType')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Concessione di autorizzazioni amministratori che leggono la directory

Una volta completata la distribuzione per l'istanza gestita, è possibile notare che l'Istanza gestita di SQL necessita delle autorizzazioni di lettura per accedere a Microsoft Entra ID. Le autorizzazioni di lettura possono essere concesse selezionando sul messaggio visualizzato nel portale di Azure da una persona con sufficienti privilegi. Per altre informazioni, vedere Ruolo amministratori che leggono la directory in Microsoft Entra ID per Azure SQL.

Limiti

• Per reimpostare la password dell'amministratore del server, è necessario disabilitare l'autenticazione basata solo su Microsoft Entra.
• Se l'autenticazione basata solo su Microsoft Entra è disabilitata, è necessario creare un server con un amministratore del server e una password quando si usano tutte le API.

Contenuto correlato

• Se si ha già un server logico o un'istanza gestita di SQL e si vuole solo abilitare l'autenticazione basata solo su Microsoft Entra, vedere Esercitazione: abilitare l'autenticazione basata solo su Microsoft Entra con Azure SQL.
• Per altre informazioni sull'autenticazione basata solo su Microsoft Entra, vedere Autenticazione basata solo su Microsoft Entra con Azure SQL.
• Se si sta cercando di applicare la creazione del server con l'autenticazione basata solo su Microsoft Entra abilitata, vedere Criteri di Azure per l'autenticazione basata solo su Microsoft Entra con Azure SQL