Azure SQL에서 Microsoft Entra 전용 인증 사용 서버 만들기

아티클
03/25/2024

적용 대상:Azure SQL Database Azure SQL Managed Instance

이 가이드에서는 프로비저닝 중에 Microsoft Entra 전용 인증을 사용하도록 설정된 Azure SQL Database 또는 Azure SQL Managed Instance용 논리 서버를 만드는 단계를 간략하게 설명합니다. Microsoft Entra 전용 인증 기능은 사용자가 SQL 인증을 사용하여 서버 또는 관리되는 인스턴스에 연결할 수 없도록 하고 Microsoft Entra ID(이전의 Azure Active Directory)로 인증된 연결만 허용합니다.

참고 항목

Microsoft Entra ID는 이전의 Azure AD(Azure Active Directory)입니다.

필수 조건

Azure CLI를 사용하는 경우 버전 2.26.1 이상이 필요합니다. 최신 버전을 설치하고 사용하는 방법에 대한 자세한 내용은 Azure CLI 설치를 참조하세요.
PowerShell을 사용하는 경우 Az 6.1.0 이상 모듈이 필요합니다.
Azure CLI, PowerShell 또는 REST API를 사용하여 관리되는 인스턴스를 프로비저닝하는 경우 시작하기 전에 가상 네트워크 및 서브넷을 만들어야 합니다. 자세한 내용은 SQL Managed Instance의 가상 네트워크 만들기을 참조하세요.

사용 권한

논리적 서버 또는 관리되는 인스턴스를 프로비저닝하려면 이러한 리소스를 만들 수 있는 적절한 권한이 있어야 합니다. 구독 소유자, 기여자, 서비스 관리자 및 공동 관리자와 같이 더 높은 권한이 있는 Azure 사용자는 SQL 서버 또는 관리되는 인스턴스를 만들 수 있는 권한이 있습니다. 최소 권한 Azure RBAC 역할을 사용하여 이러한 리소스를 만들려면 SQL Database에 대한 SQL Server 기여자 역할 및 SQL Managed Instance에 대한 SQL Managed Instance Contributor 역할을 사용합니다.

SQL Security Manager Azure RBAC 역할에는 Microsoft Entra 전용 인증을 사용하도록 설정된 서버 또는 인스턴스를 만들 수 있는 충분한 권한이 없습니다. 서버 또는 인스턴스를 만든 후에는 Microsoft Entra 전용 인증 기능을 관리하기 위해 SQL Security Manager 역할이 필요합니다.

Microsoft Entra 전용 인증을 사용하는 프로비전

다음 섹션에서는 서버 또는 인스턴스에 대해 설정된 Microsoft Entra 관리자를 사용하여 논리 서버 또는 관리되는 인스턴스를 만들고 서버를 만드는 동안 Microsoft Entra 전용 인증을 사용하도록 설정하는 방법에 대한 예제와 스크립트를 제공합니다. 이 기능에 대한 자세한 내용은 Microsoft Entra 전용 인증을 참조하세요.

이 예제에서는 시스템 할당 서버 관리자 및 암호를 사용하여 서버 또는 관리되는 인스턴스를 만드는 동안 Microsoft Entra 전용 인증을 사용하도록 설정합니다. 이렇게 하면 Microsoft Entra 전용 인증을 사용하는 경우 서버 관리자 액세스가 차단되고 Microsoft Entra 관리자만 리소스에 액세스할 수 있습니다. 서버를 만드는 동안 사용자 고유의 서버 관리자 및 암호를 포함하도록 API에 매개 변수를 추가할 수도 있습니다. 그러나 Microsoft Entra 전용 인증을 사용하지 않도록 설정할 때까지 암호를 다시 설정할 수 없습니다. 이러한 선택적 매개 변수를 사용하여 서버 관리자 로그인 이름을 지정하는 방법에 대한 예제는 이 페이지의 PowerShell 탭에 표시됩니다.

참고 항목

서버 또는 관리되는 인스턴스를 만든 후 기존 속성을 변경하려면 다른 기존 API를 사용해야 합니다. 자세한 내용은 API를 사용하여 Microsoft Entra 전용 인증 관리하는 법 및 Azure SQL에서 Microsoft Entra 인증 구성 및 관리를 참조하세요.

Microsoft Entra 전용 인증의 기본 설정이 false인 경우, 서버 관리자 및 암호는 서버 또는 관리되는 인스턴스를 만드는 동안 모든 API에 포함되어야 합니다.

Azure SQL Database

Azure Portal에서 SQL 배포 선택 옵션 페이지로 이동합니다.
Azure Portal에 아직 로그인하지 않은 경우 메시지가 표시되면 로그인합니다.
SQL 데이터베이스에서 리소스 유형을 단일 데이터베이스로 설정한 상태로 두고 만들기를 선택합니다.
SQL 데이터베이스 만들기 양식의 기본 탭에 있는 프로젝트 세부 정보 아래에서 원하는 Azure 구독을 선택합니다.
리소스 그룹에 새로 만들기를 선택하고, 새 리소스 그룹의 이름을 입력한 다음, 확인을 선택합니다.
데이터베이스 이름에 데이터베이스 이름을 입력합니다.
서버에 대해 새로 만들기를 선택하고 새 서버 양식을 다음 값으로 작성합니다.
- 서버 이름: 고유한 서버 이름을 입력합니다. 서버 이름은 구독 내에서만 고유한 것이 아니라 Azure의 모든 서버에 대해 전역적으로 고유해야 합니다. 값을 입력하면 Azure Portal에서 사용 가능한지 여부를 알려줍니다.
- 위치: 드롭다운 목록에서 위치를 선택합니다.
- 인증 방법: Microsoft Entra 전용 인증 사용을 선택합니다.
- 관리자 설정을 선택하여 Microsoft Entra ID 창을 열고 논리 서버 Microsoft Entra 관리자로 Microsoft Entra 보안 주체를 선택합니다. 완료되면 선택 단추를 사용하여 관리자를 설정합니다.
완료되면 다음: 네트워킹을 선택합니다.
네트워킹 탭에서 연결 방법에 대해 퍼블릭 엔드포인트를 선택합니다.
방화벽 규칙의 경우 현재 클라이언트 IP 주소 추가를 예로 설정합니다. Azure 서비스 및 리소스가 이 서버에 액세스할 수 있도록 허용을 아니요로 설정된 상태로 둡니다.
연결 정책 및 최소 TLS 버전 설정을 기본값으로 둡니다.
페이지 하단에서 다음: 보안을 선택합니다. 환경에 대한 Microsoft Defender for SQL, Ledger, Identity 및 투명한 데이터 암호화에 대한 설정을 구성합니다. 이 설정을 건너뛸 수도 있습니다.

참고 항목

Microsoft Entra 전용 인증에서는 사용자 할당 관리 ID를 서버 ID로 사용할 수 있습니다. 인스턴스를 ID에 연결하려면 ID를 Azure Virtual Machine에 할당하고 해당 VM에서 SSMS를 실행합니다. 프로덕션 환경의 경우 Azure 리소스에 대한 암호 없는 인증을 사용하는 보안 조치가 향상되고 간소화되었으므로 Microsoft Entra 관리자에 대한 관리 ID를 사용하는 것을 권장합니다.
페이지 아래쪽에서 검토 + 만들기를 선택합니다.
검토 + 만들기 페이지에서 검토 후 만들기를 선택합니다.

Azure CLI 명령 az sql server create은 새 논리 서버를 프로비저닝하는 데 사용됩니다. 아래 명령은 새 서버가 Microsoft Entra 전용 인증을 사용하도록 설정하여 프로비저닝합니다.

서버 SQL 관리자가 자동으로 만들어지며 암호가 임의의 설정됩니다. 이 서버를 만들 때 SQL 인증 연결을 사용할 수 없으므로 SQL 관리자 로그인은 사용되지 않습니다.

서버 Microsoft Entra 관리자는 <MSEntraAccount>에 대해 설정한 계정이 되며 서버를 관리하는 데 사용할 수 있습니다.

예제에서 다음 값을 바꿉니다.

<MSEntraAccount>: Microsoft Entra 사용자 또는 그룹일 수 있습니다. 예를 들어 DummyLogin
<MSEntraAccountSID>: Microsoft Entra ID에 있는 사용자의 개체 ID입니다.
<ResourceGroupName>: 논리 서버의 리소스 그룹 이름
<ServerName>: 고유한 논리 서버 이름 사용

az sql server create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <ServerName>

자세한 내용은 az sql server create를 참조하세요.

만든 후 서버 상태를 확인하려면 다음 명령을 참조하세요.

az sql server show --name <ServerName> --resource-group <ResourceGroupName> --expand-ad-admin

PowerShell 명령 New-AzSqlServer은(는) 새 논리 서버를 프로비저닝하는 데 사용됩니다. 아래 명령은 새 서버가 Microsoft Entra 전용 인증을 사용하도록 설정하여 프로비저닝합니다.

서버 Microsoft Entra 관리자는 <MSEntraAccount>에 대해 설정한 계정이 되며 서버를 관리하는 데 사용할 수 있습니다.

예제에서 다음 값을 바꿉니다.

<ResourceGroupName>: 논리 서버의 리소스 그룹 이름
<Location>: 서버의 위치(예: West US 또는 Central US)
<ServerName>: 고유한 논리 서버 이름 사용
<MSEntraAccount>: Microsoft Entra 사용자 또는 그룹일 수 있습니다. 예를 들어 DummyLogin

$server = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
}

New-AzSqlServer @server

다음은 논리 서버 만들기 시 서버 관리자 이름을 자동으로 만들 수 있는 대신 서버 관리자 이름을 지정하는 예제입니다. 앞에서 설명한 대로 이 로그인은 Microsoft Entra 전용 인증을 사용할 때 사용할 수 없습니다.

$cred = Get-Credential
New-AzSqlServer -ResourceGroupName "<ResourceGroupName>" -Location "<Location>" -ServerName "<ServerName>" -ServerVersion "12.0" -ExternalAdminName "<MSEntraAccount>" -EnableActiveDirectoryOnlyAuthentication -SqlAdministratorCredentials $cred

자세한 내용은 New-AzSqlServer를 참조하세요.

서버 - 만들기 또는 업데이트 REST API를 사용하여 프로비저닝 중에 Microsoft Entra 전용 인증을 사용하도록 설정된 논리 서버를 만들 수 있습니다.

아래 스크립트는 논리 서버를 프로비저닝하고 Microsoft Entra 관리자를 <MSEntraAccount>(으)로 설정하고 Microsoft Entra 전용 인증을 사용하도록 설정합니다. 서버 SQL 관리자가 자동으로 만들어지며 암호가 임의로 설정됩니다. 이 프로비저닝 동안 SQL 인증 연결을 사용할 수 없으므로 SQL 관리자 로그인은 사용되지 않습니다.

프로비저닝이 완료되면 Microsoft Entra 관리자 <MSEntraAccount>(을)를 사용하여 서버를 관리할 수 있습니다.

예제에서 다음 값을 바꿉니다.

<tenantId>: Azure Portal로 이동한 다음, Microsoft Entra ID 리소스로 이동하여 찾을 수 있습니다. 개요 창에 테넌트 ID가 표시됩니다.
<subscriptionId>: 구독 ID는 Azure Portal에서 확인할 수 있습니다.
<ServerName>: 고유한 논리 서버 이름 사용
<ResourceGroupName>: 논리 서버의 리소스 그룹 이름
<MicrosoftEntraAccount>: Microsoft Entra 사용자, 그룹 또는 애플리케이션일 수 있습니다. 예를 들어 DummyLogin
<Location>: 서버의 위치(예: westus2 또는 centralus)
<objectId>: Azure Portal로 이동한 다음, Microsoft Entra ID 리소스로 이동하여 찾을 수 있습니다. 사용자 창에서 Microsoft Entra 사용자를 검색하고 해당 개체 ID를 찾습니다. 애플리케이션(서비스 주체)을 Microsoft Entra 관리자로 사용하는 경우 이 값을 애플리케이션 ID로 바꿉니다. principalType도 업데이트해야 합니다.
<principalType>: 사용자, 그룹, 애플리케이션 중 하나입니다. 관리자로 사용되는 Microsoft Entra 개체의 형식입니다. 관리 ID 및 서비스 주체는 애플리케이션입니다.

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$authUrl = "https://login.windows.net/$tenantId"
$serverName = "<ServerName>"
$resourceGroupName = "<ResourceGroupName>"

Login-AzAccount -tenantId $tenantId

# login as a user with SQL Server Contributor role or higher 

# Get a token

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes "https://management.core.windows.net/.default"

#Authetication header
$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

# Enable Microsoft Entra-only auth 
# No server admin is specified, Microsoft Entra admin is configured, and Microsoft Entra-only authentication is set to true
# Server admin (login and password) is randomly generated by the system

# Authentication body
# The sid is the Microsoft Entra Object ID for the user or group, and Application ID for applications. Update the principalType as well

$body = '{ 
"location": "<Location>",
"properties": { "administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true }
  }
}'

# Provision the server

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

서버 상태를 확인하려면 다음 스크립트를 사용할 수 있습니다.

$uri = 'https://management.azure.com/subscriptions/'+$subscriptionId+'/resourceGroups/'+$resourceGroupName+'/providers/Microsoft.Sql/servers/'+$serverName+'?api-version=2020-11-01-preview&$expand=administrators/activedirectory'

$responce=Invoke-WebRequest -Uri $uri -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

$responce.statuscode

$responce.content

ARM 템플릿에 대한 자세한 내용은 Azure SQL Database 및 SQL Managed Instance용 ARM 템플릿을 참조하세요.

ARM 템플릿을 사용하여 서버에 대한 Microsoft Entra 관리자를 설정하고 Microsoft Entra 전용 인증을 사용하도록 설정하여 논리 서버를 프로비저닝하려면 Microsoft Entra 전용 인증을 사용하는 Azure SQL 논리 서버 빠른 시작 템플릿을 참조하세요.

다음 템플릿도 사용할 수 있습니다. Azure Portal의 사용자 지정 배포를 사용하고 편집기에서 사용자 고유의 템플릿을 빌드합니다. 다음으로, 예제에 붙여넣은 후에 구성을 저장합니다.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "string",
            "defaultValue": "[uniqueString('sql', resourceGroup().id)]",
            "metadata": {
                "description": "The name of the logical server."
            }
        },
        "location": {
            "type": "string",
            "defaultValue": "[resourceGroup().location]",
            "metadata": {
                "description": "Location for all resources."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "properties": {
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Azure SQL Managed Instance

Azure Portal에서 SQL 배포 선택 옵션 페이지로 이동합니다.
Azure Portal에 아직 로그인하지 않은 경우 메시지가 표시되면 로그인합니다.
SQL 관리되는 인스턴스에서 리소스 종류를 단일 인스턴스로 설정된 상태로 두고 만들기를 선택합니다.
프로젝트 세부 정보 및 Managed Instance 세부 정보의 기본 탭에서 필수 정보를 작성합니다. SQL Managed Instance를 프로비저닝하기 위한 최소 정보 세트입니다.

구성 옵션에 대한 자세한 내용은 빠른 시작: Azure SQL Managed Instance 만들기를 참조하세요.
인증에서 인증 방법으로 Microsoft Entra 인증 사용을 선택합니다.
관리자 설정을 선택하여 Microsoft Entra ID 창을 열고 관리된 인스턴스 Microsoft Entra 관리자로 Microsoft Entra 주체를 선택합니다. 완료되면 선택 단추를 사용하여 관리자를 설정합니다.
나머지 설정은 기본값으로 둘 수 있습니다. 네트워킹, 보안 또는 기타 탭과 설정에 대한 자세한 내용은 빠른 시작: Azure SQL Managed Instance 만들기 문서의 가이드를 따르세요.
설정 구성이 완료되면 검토 + 만들기를 선택하여 계속 진행합니다. 만들기를 선택하여 관리형 인스턴스를 프로비저닝하기 시작합니다.

Azure CLI 명령 az sql mi create은(는) 새 Azure SQL Managed Instance를 프로비전하는 데 사용됩니다. 아래 명령은 새 관리되는 인스턴스가 Microsoft Entra 전용 인증을 사용하도록 설정하여 프로비저닝합니다.

참고 항목

이 스크립트를 사용하려면 먼저 가상 네트워크와 서브넷을 만들어야 합니다.

관리되는 인스턴스 SQL 관리자가 자동으로 만들어지며 임의로 암호가 설정됩니다. 이 프로비저닝 동안 SQL 인증 연결을 사용할 수 없으므로 SQL 관리자는 사용되지 않습니다.

Microsoft Entra 관리자는 <MSEntraAccount>에 대해 사용자가 설정한 계정이며 프로비전이 완료되면 인스턴스를 관리하는 데 사용할 수 있습니다.

예제에서 다음 값을 바꿉니다.

<MSEntraAccount>: Microsoft Entra 사용자 또는 그룹일 수 있습니다. 예를 들어 DummyLogin
<MSEntraAccountSID>: Microsoft Entra ID에 있는 사용자의 개체 ID입니다.
<managedinstancename>: 만들려는 관리되는 인스턴스의 이름을 지정합니다.
<ResourceGroupName>: 관리되는 인스턴스에 대한 리소스 그룹의 이름입니다. 리소스 그룹는 생성된 가상 네트워크 및 서브넷를 포함해야 합니다.
subnet 매개 변수는 <Subscription ID>, <ResourceGroupName>, <VNetName>, <SubnetName>(으)로 업데이트해야 합니다. 구독 ID는 Azure Portal에서 확인할 수 있습니다.

az sql mi create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <managedinstancename> \
    --subnet /subscriptions/<Subscription ID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>

자세한 내용은 az sql server create를 참조하세요.

PowerShell 명령 New-AzSqlInstance는 새 Azure SQL Managed Instance를 프로비저닝하는 데 사용됩니다. 아래 명령은 새 관리되는 인스턴스가 Microsoft Entra 전용 인증을 사용하도록 설정하여 프로비저닝합니다.

참고 항목

이 스크립트를 사용하려면 먼저 가상 네트워크와 서브넷을 만들어야 합니다.

관리되는 인스턴스 SQL 관리자가 자동으로 만들어지며 임의로 암호가 설정됩니다. 이 프로비저닝 동안 SQL 인증 연결을 사용할 수 없으므로 SQL 관리자 로그인은 사용되지 않습니다.

Microsoft Entra 관리자는 <MSEntraAccount>에 대해 사용자가 설정한 계정이며 프로비전이 완료되면 인스턴스를 관리하는 데 사용할 수 있습니다.

예제에서 다음 값을 바꿉니다.

<managedinstancename>: 만들려는 관리되는 인스턴스의 이름을 지정합니다.
<ResourceGroupName>: 관리되는 인스턴스에 대한 리소스 그룹의 이름입니다. 리소스 그룹는 생성된 가상 네트워크 및 서브넷를 포함해야 합니다.
<MSEntraAccount>: Microsoft Entra 사용자 또는 그룹일 수 있습니다. 예를 들어 DummyLogin
<Location>: 서버의 위치(예: West US 또는 Central US)
SubnetId 매개 변수는 <Subscription ID>, <ResourceGroupName>, <VNetName>, <SubnetName>(으)로 업데이트해야 합니다. 구독 ID는 Azure Portal에서 확인할 수 있습니다.

$instanceName = @{
    Name = "<managedinstancename>"
    ResourceGroupName = "<ResourceGroupName>"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
    Location = "<Location>"
    SubnetId = "/subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>"
    LicenseType = "LicenseIncluded"
    StorageSizeInGB = 128
    VCore = 4
    Edition = "GeneralPurpose"
    ComputeGeneration = "Gen5"
}

New-AzSqlInstance $instanceName

자세한 내용은 New-AzSqlServer를 참조하세요.

SQL Managed Instances - 만들기 또는 업데이트 REST API를 사용하여 프로비저닝하는 동안 Microsoft Entra 전용 인증을 사용하도록 설정하여 관리되는 인스턴스를 만들 수 있습니다.

참고 항목

이 스크립트를 사용하려면 먼저 가상 네트워크와 서브넷을 만들어야 합니다.

아래 스크립트는 관리되는 인스턴스를 프로비저닝하고 Microsoft Entra 관리자를 <MSEntraAccount>(으)로 설정하고 Microsoft Entra 전용 인증을 사용하도록 설정합니다. 인스턴스 SQL 관리자가 자동으로 만들어지며 임의로 암호가 설정됩니다. 이 프로비저닝 동안 SQL 인증 연결을 사용할 수 없으므로 SQL 관리자 로그인은 사용되지 않습니다.

Microsoft Entra 관리자 <MSEntraAccount>(은)는 프로비전이 완료되면 인스턴스를 관리하는 데 사용할 수 있습니다.

예제에서 다음 값을 바꿉니다.

<tenantId>: Azure Portal로 이동한 다음, Microsoft Entra ID 리소스로 이동하여 찾을 수 있습니다. 개요 창에 테넌트 ID가 표시됩니다.
<subscriptionId>: 구독 ID는 Azure Portal에서 확인할 수 있습니다.
<instanceName>: 고유한 관리되는 인스턴스 이름 사용
<ResourceGroupName>: 논리 서버의 리소스 그룹 이름
<MSEntraAccount>: Microsoft Entra 사용자 또는 그룹일 수 있습니다. 예를 들어 DummyLogin
<Location>: 서버의 위치(예: westus2 또는 centralus)
<objectId>: Azure Portal로 이동한 다음, Microsoft Entra ID 리소스로 이동하여 찾을 수 있습니다. 사용자 창에서 Microsoft Entra 사용자를 검색하고 해당 개체 ID를 찾습니다. 애플리케이션(서비스 주체)을 Microsoft Entra 관리자로 사용하는 경우 이 값을 애플리케이션 ID로 바꿉니다. principalType도 업데이트해야 합니다.
subnetId 매개 변수는 <ResourceGroupName>, Subscription ID, <VNetName> 및 <SubnetName>으로 업데이트해야 합니다.

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$instanceName = "<instanceName>"
$resourceGroupName = "<ResourceGroupName>"
$scopes ="https://management.core.windows.net/.default"

Login-AzAccount -tenantId $tenantId

# Login as an Microsoft Entra user with permission to provision a managed instance

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes $scopes

$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

$body = '{
"name": "<instanceName>", "type": "Microsoft.Sql/managedInstances", "identity": { "type": "SystemAssigned"},"location": "<Location>", "sku": {"name": "GP_Gen5", "tier": "GeneralPurpose", "family":"Gen5","capacity": 8},
"properties": {"administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true },
"subnetId": "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>",
"licenseType": "LicenseIncluded", "vCores": 8, "storageSizeInGB": 2048, "collation": "SQL_Latin1_General_CP1_CI_AS", "proxyOverride": "Proxy", "timezoneId": "UTC", "privateEndpointConnections": [], "storageAccountType": "GRS", "zoneRedundant": false 
  }
}'

# To provision the instance, execute the `PUT` command

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

GET 명령을 실행하여 결과를 확인합니다.

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method GET -Headers $authHeader  | Format-List

인스턴스에 대해 Microsoft Entra 관리자를 설정하고 Microsoft Entra 전용 인증을 사용하도록 설정하여 새로운 관리되는 인스턴스, 가상 네트워크 및 서브넷을 프로비저닝하려면 다음 템플릿을 사용하세요.

Azure Portal의 사용자 지정 배포를 사용하고 편집기에서 사용자 고유의 템플릿을 빌드합니다. 다음으로, 예제에 붙여넣은 후에 구성을 저장합니다.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "managedInstanceName": {
            "type": "String",
            "metadata": {
                "description": "Enter managed instance name."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL managed instance."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin. The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "location": {
            "defaultValue": "[resourceGroup().location]",
            "type": "String",
            "metadata": {
                "description": "Enter location. If you leave this field blank resource group location would be used."
            }
        },
        "virtualNetworkName": {
            "type": "String",
            "defaultValue": "SQLMI-VNET",
            "metadata": {
                "description": "Enter virtual network name. If you leave this field blank name will be created by the template."
            }
        },
        "addressPrefix": {
            "defaultValue": "10.0.0.0/16",
            "type": "String",
            "metadata": {
                "description": "Enter virtual network address prefix."
            }
        },
        "subnetName": {
            "type": "String",
            "defaultValue": "ManagedInstances",
            "metadata": {
                "description": "Enter subnet name. If you leave this field blank name will be created by the template."
            }
        },
        "subnetPrefix": {
            "defaultValue": "10.0.0.0/24",
            "type": "String",
            "metadata": {
                "description": "Enter subnet address prefix."
            }
        },
        "skuName": {
            "defaultValue": "GP_Gen5",
            "allowedValues": [
                "GP_Gen5",
                "BC_Gen5"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter sku name."
            }
        },
        "vCores": {
            "defaultValue": 16,
            "allowedValues": [
                8,
                16,
                24,
                32,
                40,
                64,
                80
            ],
            "type": "Int",
            "metadata": {
                "description": "Enter number of vCores."
            }
        },
        "storageSizeInGB": {
            "defaultValue": 256,
            "minValue": 32,
            "maxValue": 8192,
            "type": "Int",
            "metadata": {
                "description": "Enter storage size."
            }
        },
        "licenseType": {
            "defaultValue": "LicenseIncluded",
            "allowedValues": [
                "BasePrice",
                "LicenseIncluded"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter license type."
            }
        }
    },
    "variables": {
        "networkSecurityGroupName": "[concat('SQLMI-', parameters('managedInstanceName'), '-NSG')]",
        "routeTableName": "[concat('SQLMI-', parameters('managedInstanceName'), '-Route-Table')]"
    },
    "resources": [
        {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2020-06-01",
            "name": "[variables('networkSecurityGroupName')]",
            "location": "[parameters('location')]",
            "properties": {
                "securityRules": [
                    {
                        "name": "allow_tds_inbound",
                        "properties": {
                            "description": "Allow access to data",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "1433",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1000,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "allow_redirect_inbound",
                        "properties": {
                            "description": "Allow inbound redirect traffic to SQL Managed Instance inside the virtual network",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "11000-11999",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1100,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_inbound",
                        "properties": {
                            "description": "Deny all other inbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_outbound",
                        "properties": {
                            "description": "Deny all other outbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Outbound"
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Network/routeTables",
            "apiVersion": "2020-06-01",
            "name": "[variables('routeTableName')]",
            "location": "[parameters('location')]",
            "properties": {
                "disableBgpRoutePropagation": false
            }
        },
        {
            "type": "Microsoft.Network/virtualNetworks",
            "apiVersion": "2020-06-01",
            "name": "[parameters('virtualNetworkName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[variables('routeTableName')]",
                "[variables('networkSecurityGroupName')]"
            ],
            "properties": {
                "addressSpace": {
                    "addressPrefixes": [
                        "[parameters('addressPrefix')]"
                    ]
                },
                "subnets": [
                    {
                        "name": "[parameters('subnetName')]",
                        "properties": {
                            "addressPrefix": "[parameters('subnetPrefix')]",
                            "routeTable": {
                                "id": "[resourceId('Microsoft.Network/routeTables', variables('routeTableName'))]"
                            },
                            "networkSecurityGroup": {
                                "id": "[resourceId('Microsoft.Network/networkSecurityGroups', variables('networkSecurityGroupName'))]"
                            },
                            "delegations": [
                                {
                                    "name": "miDelegation",
                                    "properties": {
                                        "serviceName": "Microsoft.Sql/managedInstances"
                                    }
                                }
                            ]
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('managedInstanceName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[parameters('virtualNetworkName')]"
            ],
            "sku": {
                "name": "[parameters('skuName')]"
            },
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "subnetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('virtualNetworkName'), parameters('subnetName'))]",
                "storageSizeInGB": "[parameters('storageSizeInGB')]",
                "vCores": "[parameters('vCores')]",
                "licenseType": "[parameters('licenseType')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

디렉터리 읽기 권한자 권한 부여

관리되는 인스턴스의 배포가 완료되면 SQL Managed Instance의 Microsoft Entra ID를 액세스하기 위한 읽기 권한이 필요합니다. 해당 권한이 있는 사용자는 Azure Portal에 표시된 메시지를 클릭하여 읽기 권한을 부여할 수 있습니다. 자세한 내용은 Azure SQL용 Microsoft Entra ID의 디렉터리 읽기 권한자 역할을 참조하세요.

Screenshot of the Microsoft Entra admin menu in Azure portal showing Read permissions needed.

제한 사항

서버 관리자 암호를 다시 설정하려면 Microsoft Entra 전용 인증을 사용하지 않도록 설정해야 합니다.
Microsoft Entra 전용 인증을 사용하지 않도록 설정한 경우 모든 API를 사용할 때 서버 관리자 및 암호가 포함된 서버를 만들어야 합니다.

논리 서버 또는 SQL 관리형 인스턴스가 있는데 Microsoft Entra 전용 인증을 사용하도록 설정하려는 경우 자습서: Azure SQL을 통한 Microsoft Entra 전용 인증 사용을 참조하세요.
Microsoft Entra 전용 인증 기능에 대한 자세한 내용은 Azure SQL을 통한 Microsoft Entra 전용 인증을 참조하세요.
Microsoft Entra 전용 인증을 사용하여 서버 만들기를 적용하려는 경우 Azure SQL을 통한 Microsoft Entra 전용 인증에 대한 Azure Policy를 참조하세요.

Azure SQL에서 Microsoft Entra 전용 인증 사용 서버 만들기

필수 조건

사용 권한

Microsoft Entra 전용 인증을 사용하는 프로비전

Azure SQL Database

Azure SQL Managed Instance

디렉터리 읽기 권한자 권한 부여

제한 사항

피드백

피드백

추가 리소스

Azure SQL에서 Microsoft Entra 전용 인증 사용 서버 만들기

필수 조건

사용 권한

Microsoft Entra 전용 인증을 사용하는 프로비전

Azure SQL Database

Azure SQL Managed Instance

디렉터리 읽기 권한자 권한 부여

제한 사항

관련 콘텐츠

피드백

피드백

추가 리소스