Tworzenie serwera z włączonym uwierzytelnianiem tylko w usłudze Microsoft Entra w usłudze Azure SQL

Dotyczy: Azure SQL DatabaseAzure SQL Managed Instance

W tym przewodniku z instrukcjami opisano kroki tworzenia serwera logicznego dla usługi Azure SQL Database lub usługi Azure SQL Managed Instance z włączonym uwierzytelnianiem tylko w usłudze Microsoft Entra podczas aprowizacji. Funkcja uwierzytelniania tylko firmy Microsoft uniemożliwia użytkownikom nawiązywanie połączenia z serwerem lub wystąpieniem zarządzanym przy użyciu uwierzytelniania SQL i zezwala tylko na połączenia uwierzytelnione za pomocą identyfikatora Entra firmy Microsoft (dawniej Azure Active Directory).

Uwaga

Microsoft Entra ID był wcześniej znany jako Azure Active Directory (Azure AD).

Wymagania wstępne

• W przypadku korzystania z interfejsu wiersza polecenia platformy Azure jest wymagana wersja 2.26.1 lub nowsza. Aby uzyskać więcej informacji na temat instalacji i najnowszej wersji, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure.
• Moduł Az 6.1.0 lub nowszy jest wymagany podczas korzystania z programu PowerShell.
• Jeśli aprowizujesz wystąpienie zarządzane przy użyciu interfejsu wiersza polecenia platformy Azure, programu PowerShell lub interfejsu API REST, przed rozpoczęciem należy utworzyć sieć wirtualną i podsieć. Aby uzyskać więcej informacji, zobacz Tworzenie sieci wirtualnej dla usługi Azure SQL Managed Instance.

Uprawnienia

Aby aprowizować serwer logiczny lub wystąpienie zarządzane, musisz mieć odpowiednie uprawnienia do tworzenia tych zasobów. Użytkownicy platformy Azure z wyższymi uprawnieniami, takimi jak właściciele subskrypcji, współautorzy, Administracja istratory usługi i współd Administracja istratorzy mają uprawnienia do tworzenia serwera SQL lub wystąpienia zarządzanego. Aby utworzyć te zasoby z najmniej uprzywilejowaną rolą RBAC platformy Azure, użyj roli Współautor programu SQL Server dla usługi SQL Database i roli Współautor wystąpienia zarządzanego SQL dla usługi SQL Managed Instance.

Rola kontroli dostępu opartej na rolach platformy Azure menedżera zabezpieczeń SQL nie ma wystarczających uprawnień, aby utworzyć serwer lub wystąpienie z włączonym uwierzytelnianiem tylko w usłudze Microsoft Entra. Rola Menedżera zabezpieczeń SQL będzie wymagana do zarządzania funkcją uwierzytelniania tylko firmy Microsoft po utworzeniu serwera lub wystąpienia.

Aprowizuj z włączonym uwierzytelnianiem tylko w usłudze Microsoft Entra

W poniższej sekcji przedstawiono przykłady i skrypty dotyczące tworzenia serwera logicznego lub wystąpienia zarządzanego za pomocą zestawu administracyjnego firmy Microsoft Entra dla serwera lub wystąpienia oraz włączenia uwierzytelniania tylko w usłudze Microsoft Entra podczas tworzenia serwera. Aby uzyskać więcej informacji na temat funkcji, zobacz Microsoft Entra-only authentication (Uwierzytelnianie tylko firmy Microsoft).

W naszych przykładach włączamy uwierzytelnianie tylko firmy Microsoft podczas tworzenia serwera lub wystąpienia zarządzanego przy użyciu przypisanego przez system administratora i hasła serwera. Uniemożliwi to dostęp administratora serwera, gdy jest włączone uwierzytelnianie tylko firmy Microsoft, i zezwala tylko administratorowi firmy Microsoft Entra na dostęp do zasobu. Opcjonalne jest dodanie parametrów do interfejsów API w celu uwzględnienia własnego administratora serwera i hasła podczas tworzenia serwera. Nie można jednak zresetować hasła, dopóki nie wyłączysz uwierzytelniania tylko firmy Microsoft. Przykład użycia tych opcjonalnych parametrów w celu określenia nazwy logowania administratora serwera jest wyświetlany na karcie programu PowerShell na tej stronie.

Uwaga

Aby zmienić istniejące właściwości po utworzeniu serwera lub wystąpienia zarządzanego, należy użyć innych istniejących interfejsów API. Aby uzyskać więcej informacji, zobacz Zarządzanie uwierzytelnianiem tylko firmy Microsoft przy użyciu interfejsów API i Konfigurowanie uwierzytelniania entra firmy Microsoft i zarządzanie nim za pomocą usługi Azure SQL.

Jeśli uwierzytelnianie tylko w usłudze Microsoft Entra jest ustawione na wartość false, co domyślnie oznacza, że administrator serwera i hasło będą musiały zostać uwzględnione we wszystkich interfejsach API podczas tworzenia serwera lub wystąpienia zarządzanego.

Azure SQL Database

Portal

1. Przejdź do strony Wybierz wdrożenie SQL w witrynie Azure Portal.

2. Jeśli jeszcze nie zalogowano się do witryny Azure Portal, zaloguj się po wyświetleniu monitu.

3. W obszarze Bazy danych SQL pozostaw wartość Typ zasobu ustawioną na Pojedyncza baza danych, a następnie wybierz pozycję Utwórz.

4. Na karcie Podstawy formularza Tworzenie bazy danych SQL Database w obszarze Szczegóły projektu wybierz odpowiednią subskrypcję platformy Azure.

5. W obszarze Grupa zasobów wybierz pozycję Utwórz nową, wprowadź nazwę grupy zasobów i wybierz przycisk OK.

6. W polu Nazwa bazy danych wprowadź nazwę bazy danych.

7. W obszarze Serwer wybierz pozycję Utwórz nowy i wypełnij formularz nowego serwera następującymi wartościami:

   • Nazwa serwera: wprowadź unikatową nazwę serwera. Nazwy serwerów muszą być globalnie unikatowe dla wszystkich serwerów na platformie Azure, a nie tylko unikatowych w ramach subskrypcji. Wprowadź wartość, a witryna Azure Portal poinformuje Cię, czy jest dostępna, czy nie.
   • Lokalizacja: wybierz lokalizację z listy rozwijanej
   • Metoda uwierzytelniania: wybierz pozycję Użyj uwierzytelniania tylko firmy Microsoft.
   • Wybierz pozycję Ustaw administratora, aby otworzyć okienko Identyfikator entra firmy Microsoft i wybrać podmiot zabezpieczeń firmy Microsoft jako serwer logiczny Microsoft Entra administrator. Po zakończeniu użyj przycisku Wybierz , aby ustawić administratora.

   

8. Wybierz pozycję Dalej: Sieć w dolnej części strony.

9. Na karcie Sieć w polu metoda Połączenie ivity wybierz pozycję Publiczny punkt końcowy.

10. W obszarze Reguły zapory ustaw wartość Dodaj bieżący adres IP klienta na Wartość Tak. Pozostaw opcję Zezwalaj usługom i zasobom platformy Azure na dostęp do tego serwera ustawionego na nie.

11. Pozostaw domyślne ustawienia zasad Połączenie ion i Minimalna wersja protokołu TLS.

12. Wybierz pozycję Dalej: Zabezpieczenia w dolnej części strony. Skonfiguruj dowolne ustawienia usługi Microsoft Defender for SQL, Rejestru, Tożsamości i Transparent Data Encryption dla danego środowiska. Możesz również pominąć te ustawienia.

    Uwaga

    Używanie tożsamości zarządzanej przypisanej przez użytkownika jako tożsamości serwera jest obsługiwane w przypadku uwierzytelniania tylko firmy Microsoft. Aby nawiązać połączenie z wystąpieniem jako tożsamością, przypisz je do maszyny wirtualnej platformy Azure i uruchom program SSMS na tej maszynie wirtualnej. W środowiskach produkcyjnych zaleca się użycie tożsamości zarządzanej dla administratora firmy Microsoft Entra ze względu na ulepszone, uproszczone środki zabezpieczeń z uwierzytelnianiem bez hasła do zasobów platformy Azure.

13. Wybierz pozycję Przejrzyj i utwórz w dolnej części strony.

14. Na stronie Przeglądanie i tworzenie po przejrzeniu wybierz pozycję Utwórz.

Interfejs wiersza polecenia platformy Azure

Polecenie interfejsu wiersza polecenia az sql server create platformy Azure służy do aprowizowania nowego serwera logicznego. Poniższe polecenie umożliwi aprowizację nowego serwera z włączonym uwierzytelnianiem tylko firmy Microsoft.

Administrator SQL serwera zostanie automatycznie utworzony, a hasło zostanie ustawione na losowe hasło. Ponieważ łączność z uwierzytelnianiem SQL jest wyłączona podczas tworzenia tego serwera, identyfikator logowania administratora SQL nie będzie używany.

Serwer Microsoft Entra admin będzie kontem ustawionym dla <MSEntraAccount>programu i może służyć do zarządzania serwerem.

Zastąp następujące wartości w przykładzie:

• <MSEntraAccount>: może być użytkownikiem lub grupą firmy Microsoft Entra. Na przykład DummyLogin
• <MSEntraAccountSID>: Identyfikator obiektu Entra firmy Microsoft dla użytkownika
• <ResourceGroupName>: nazwa grupy zasobów dla serwera logicznego
• <ServerName>: Użyj unikatowej nazwy serwera logicznego

az sql server create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <ServerName>

Aby uzyskać więcej informacji, zobacz az sql server create.

Aby sprawdzić stan serwera po utworzeniu, zobacz następujące polecenie:

az sql server show --name <ServerName> --resource-group <ResourceGroupName> --expand-ad-admin

Program PowerShell

Polecenie New-AzSqlServer programu PowerShell służy do aprowizowania nowego serwera logicznego. Poniższe polecenie umożliwi aprowizację nowego serwera z włączonym uwierzytelnianiem tylko firmy Microsoft.

Administrator SQL serwera zostanie automatycznie utworzony, a hasło zostanie ustawione na losowe hasło. Ponieważ łączność z uwierzytelnianiem SQL jest wyłączona podczas tworzenia tego serwera, identyfikator logowania administratora SQL nie będzie używany.

Serwer Microsoft Entra admin będzie kontem ustawionym dla <MSEntraAccount>programu i może służyć do zarządzania serwerem.

Zastąp następujące wartości w przykładzie:

• <ResourceGroupName>: nazwa grupy zasobów dla serwera logicznego
• <Location>: Lokalizacja serwera, na przykład West US, lub Central US
• <ServerName>: Użyj unikatowej nazwy serwera logicznego
• <MSEntraAccount>: może być użytkownikiem lub grupą firmy Microsoft Entra. Na przykład DummyLogin

$server = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
}

New-AzSqlServer @server

Oto przykład określania nazwy administratora serwera (zamiast zezwalania na automatyczne tworzenie nazwy administratora serwera) podczas tworzenia serwera logicznego. Jak wspomniano wcześniej, logowanie nie jest możliwe do użycia, gdy jest włączone uwierzytelnianie tylko firmy Microsoft.

$cred = Get-Credential
New-AzSqlServer -ResourceGroupName "<ResourceGroupName>" -Location "<Location>" -ServerName "<ServerName>" -ServerVersion "12.0" -ExternalAdminName "<MSEntraAccount>" -EnableActiveDirectoryOnlyAuthentication -SqlAdministratorCredentials $cred

Aby uzyskać więcej informacji, zobacz New-AzSqlServer.

Interfejs API REST

Serwery — tworzenie lub aktualizowanie interfejsu API REST może służyć do tworzenia serwera logicznego z włączonym uwierzytelnianiem tylko firmy Microsoft podczas aprowizacji.

Poniższy skrypt będzie aprowizować serwer logiczny, ustawić administratora firmy Microsoft Entra jako <MSEntraAccount>i włączyć uwierzytelnianie tylko firmy Microsoft. Administrator SQL serwera zostanie również utworzony automatycznie, a hasło zostanie ustawione na losowe hasło. Ponieważ łączność z uwierzytelnianiem SQL jest wyłączona z tą aprowizowaniem, logowanie administratora SQL nie będzie używane.

Administrator <MSEntraAccount> firmy Microsoft Entra może służyć do zarządzania serwerem po zakończeniu aprowizacji.

Zastąp następujące wartości w przykładzie:

• <tenantId>: Można go znaleźć, przechodząc do witryny Azure Portal i przechodząc do zasobu Identyfikator entra firmy Microsoft. W okienku Przegląd powinien zostać wyświetlony identyfikator dzierżawy
• <subscriptionId>: Identyfikator subskrypcji można znaleźć w witrynie Azure Portal
• <ServerName>: Użyj unikatowej nazwy serwera logicznego
• <ResourceGroupName>: nazwa grupy zasobów dla serwera logicznego
• <MicrosoftEntraAccount>: może być użytkownikiem, grupą lub aplikacją firmy Microsoft Entra. Na przykład DummyLogin
• <Location>: Lokalizacja serwera, na przykład westus2, lub centralus
• <objectId>: Można go znaleźć, przechodząc do witryny Azure Portal i przechodząc do zasobu Identyfikator entra firmy Microsoft. W okienku Użytkownik wyszukaj użytkownika Microsoft Entra i znajdź swój identyfikator obiektu. Jeśli używasz aplikacji (jednostki usługi) jako administratora firmy Microsoft Entra, zastąp tę wartość identyfikatorem aplikacji. Należy również zaktualizować ten element principalType .
• <principalType>: jedna z trzech opcji: Użytkownik, Grupa, Aplikacja. Typ obiektu Microsoft Entra używanego jako administrator. Tożsamości zarządzane i jednostki usługi to aplikacje.

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$authUrl = "https://login.windows.net/$tenantId"
$serverName = "<ServerName>"
$resourceGroupName = "<ResourceGroupName>"

Login-AzAccount -tenantId $tenantId

# login as a user with SQL Server Contributor role or higher 

# Get a token

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes "https://management.core.windows.net/.default"

#Authetication header
$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

# Enable Microsoft Entra-only auth 
# No server admin is specified, Microsoft Entra admin is configured, and Microsoft Entra-only authentication is set to true
# Server admin (login and password) is randomly generated by the system

# Authentication body
# The sid is the Microsoft Entra Object ID for the user or group, and Application ID for applications. Update the principalType as well

$body = '{ 
"location": "<Location>",
"properties": { "administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true }
  }
}'

# Provision the server

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Aby sprawdzić stan serwera, możesz użyć następującego skryptu:

$uri = 'https://management.azure.com/subscriptions/'+$subscriptionId+'/resourceGroups/'+$resourceGroupName+'/providers/Microsoft.Sql/servers/'+$serverName+'?api-version=2020-11-01-preview&$expand=administrators/activedirectory'

$responce=Invoke-WebRequest -Uri $uri -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

$responce.statuscode

$responce.content

Szablon ARM

Aby uzyskać więcej informacji i szablonów usługi ARM, zobacz Szablony usługi Azure Resource Manager dla usługi Azure SQL Database i sql Managed Instance.

Aby aprowizować serwer logiczny przy użyciu zestawu administracyjnego firmy Microsoft Entra dla serwera i uwierzytelniania tylko firmy Microsoft włączonego przy użyciu szablonu usługi ARM, zobacz nasz serwer logiczny Azure SQL z szablonem Szybki start tylko do uwierzytelniania firmy Microsoft.

Możesz również użyć następującego szablonu. Użyj wdrożenia niestandardowego w witrynie Azure Portal i utwórz własny szablon w edytorze. Następnie zapisz konfigurację po wklejeniu w przykładzie.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "string",
            "defaultValue": "[uniqueString('sql', resourceGroup().id)]",
            "metadata": {
                "description": "The name of the logical server."
            }
        },
        "location": {
            "type": "string",
            "defaultValue": "[resourceGroup().location]",
            "metadata": {
                "description": "Location for all resources."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "properties": {
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Wystąpienie zarządzane Azure SQL

Portal

1. Przejdź do strony Wybierz wdrożenie SQL w witrynie Azure Portal.

2. Jeśli jeszcze nie zalogowano się do witryny Azure Portal, zaloguj się po wyświetleniu monitu.

3. W obszarze Wystąpienia zarządzane SQL pozostaw opcję Typ zasobu ustawiony na Pojedyncze wystąpienie, a następnie wybierz pozycję Utwórz.

4. Wypełnij obowiązkowe informacje wymagane na karcie Podstawy , aby uzyskać szczegóły projektu i szczegóły wystąpienia zarządzanego. Jest to minimalny zestaw informacji wymaganych do aprowizacji wystąpienia zarządzanego SQL.

   

   Aby uzyskać więcej informacji na temat opcji konfiguracji, zobacz Szybki start: tworzenie wystąpienia zarządzanego Azure SQL.

5. W obszarze Uwierzytelnianie wybierz pozycję Użyj uwierzytelniania tylko firmy Microsoft dla metody uwierzytelniania.

6. Wybierz pozycję Ustaw administratora, aby otworzyć okienko Identyfikator entra firmy Microsoft i wybierz podmiot zabezpieczeń firmy Microsoft jako wystąpienie zarządzane Microsoft Entra administrator. Po zakończeniu użyj przycisku Wybierz , aby ustawić administratora.

   

7. Możesz pozostawić pozostałe ustawienia domyślne. Aby uzyskać więcej informacji na temat kart i ustawień sieci, zabezpieczeń lub innych, postępuj zgodnie z przewodnikiem w artykule Szybki start: tworzenie wystąpienia zarządzanego Azure SQL.

8. Po zakończeniu konfigurowania ustawień wybierz pozycję Przejrzyj i utwórz , aby kontynuować. Wybierz pozycję Utwórz , aby rozpocząć aprowizowanie wystąpienia zarządzanego.

Interfejs wiersza polecenia platformy Azure

Polecenie interfejsu wiersza polecenia az sql mi create platformy Azure służy do aprowizowania nowego wystąpienia zarządzanego Azure SQL. Poniższe polecenie aprowizować będzie nowe wystąpienie zarządzane z włączonym uwierzytelnianiem tylko firmy Microsoft.

Uwaga

Skrypt wymaga utworzenia sieci wirtualnej i podsieci jako wymagania wstępne.

Administrator sql wystąpienia zarządzanego zostanie automatycznie utworzony, a hasło zostanie ustawione na losowe hasło. Ponieważ uwierzytelnianie SQL jest wyłączone z tej aprowizacji, administrator SQL nie będzie używany.

Administrator firmy Microsoft Entra będzie kontem ustawionym dla <MSEntraAccount>programu i może służyć do zarządzania wystąpieniem po zakończeniu aprowizacji.

Zastąp następujące wartości w przykładzie:

• <MSEntraAccount>: może być użytkownikiem lub grupą firmy Microsoft Entra. Na przykład DummyLogin
• <MSEntraAccountSID>: Identyfikator obiektu Entra firmy Microsoft dla użytkownika
• <managedinstancename>: nadaj nazwę wystąpieniu zarządzanemu, które chcesz utworzyć
• <ResourceGroupName>: nazwa grupy zasobów dla wystąpienia zarządzanego. Grupa zasobów powinna również zawierać sieć wirtualną i utworzoną podsieć
• Parametr subnet musi zostać zaktualizowany przy użyciu parametru <Subscription ID>, , <ResourceGroupName><VNetName>i <SubnetName>. Identyfikator subskrypcji można znaleźć w witrynie Azure Portal

az sql mi create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <managedinstancename> \
    --subnet /subscriptions/<Subscription ID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>

Aby uzyskać więcej informacji, zobacz az sql mi create.

Program PowerShell

Polecenie New-AzSqlInstance programu PowerShell służy do aprowizowania nowego wystąpienia zarządzanego Azure SQL. Poniższe polecenie aprowizować będzie nowe wystąpienie zarządzane z włączonym uwierzytelnianiem tylko firmy Microsoft.

Uwaga

Skrypt wymaga utworzenia sieci wirtualnej i podsieci jako wymagania wstępne.

Administrator sql wystąpienia zarządzanego zostanie automatycznie utworzony, a hasło zostanie ustawione na losowe hasło. Ponieważ łączność z uwierzytelnianiem SQL jest wyłączona w ramach tej aprowizacji, logowanie administratora SQL nie będzie używane.

Administrator firmy Microsoft Entra będzie kontem ustawionym dla <MSEntraAccount>programu i może służyć do zarządzania wystąpieniem po zakończeniu aprowizacji.

Zastąp następujące wartości w przykładzie:

• <managedinstancename>: nadaj nazwę wystąpieniu zarządzanemu, które chcesz utworzyć
• <ResourceGroupName>: nazwa grupy zasobów dla wystąpienia zarządzanego. Grupa zasobów powinna również zawierać sieć wirtualną i utworzoną podsieć
• <MSEntraAccount>: może być użytkownikiem lub grupą firmy Microsoft Entra. Na przykład DummyLogin
• <Location>: Lokalizacja serwera, na przykład West US, lub Central US
• Parametr SubnetId musi zostać zaktualizowany przy użyciu parametru <Subscription ID>, , <ResourceGroupName><VNetName>i <SubnetName>. Identyfikator subskrypcji można znaleźć w witrynie Azure Portal

$instanceName = @{
    Name = "<managedinstancename>"
    ResourceGroupName = "<ResourceGroupName>"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
    Location = "<Location>"
    SubnetId = "/subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>"
    LicenseType = "LicenseIncluded"
    StorageSizeInGB = 128
    VCore = 4
    Edition = "GeneralPurpose"
    ComputeGeneration = "Gen5"
}

New-AzSqlInstance $instanceName

Aby uzyskać więcej informacji, zobacz New-AzSqlInstance.

Interfejs API REST

Usługa SQL Managed Instances — tworzenie lub aktualizowanie interfejsu API REST może służyć do tworzenia wystąpienia zarządzanego z włączonym uwierzytelnianiem tylko w usłudze Microsoft Entra podczas aprowizacji.

Uwaga

Skrypt wymaga utworzenia sieci wirtualnej i podsieci jako wymagania wstępne.

Poniższy skrypt będzie aprowizować wystąpienie zarządzane, ustawić administratora firmy Microsoft Entra jako <MSEntraAccount>i włączyć uwierzytelnianie tylko firmy Microsoft. Administrator SQL wystąpienia zostanie również utworzony automatycznie, a hasło zostanie ustawione na losowe hasło. Ponieważ łączność z uwierzytelnianiem SQL jest wyłączona z tą aprowizowaniem, logowanie administratora SQL nie będzie używane.

Administrator <MSEntraAccount> firmy Microsoft Entra może służyć do zarządzania wystąpieniem po zakończeniu aprowizacji.

Zastąp następujące wartości w przykładzie:

• <tenantId>: Można go znaleźć, przechodząc do witryny Azure Portal i przechodząc do zasobu Identyfikator entra firmy Microsoft. W okienku Przegląd powinien zostać wyświetlony identyfikator dzierżawy
• <subscriptionId>: Identyfikator subskrypcji można znaleźć w witrynie Azure Portal
• <instanceName>: Użyj unikatowej nazwy wystąpienia zarządzanego
• <ResourceGroupName>: nazwa grupy zasobów dla serwera logicznego
• <MSEntraAccount>: może być użytkownikiem lub grupą firmy Microsoft Entra. Na przykład DummyLogin
• <Location>: Lokalizacja serwera, na przykład westus2, lub centralus
• <objectId>: Można go znaleźć, przechodząc do witryny Azure Portal i przechodząc do zasobu Identyfikator entra firmy Microsoft. W okienku Użytkownik wyszukaj użytkownika Microsoft Entra i znajdź swój identyfikator obiektu. Jeśli używasz aplikacji (jednostki usługi) jako administratora firmy Microsoft Entra, zastąp tę wartość identyfikatorem aplikacji. Należy również zaktualizować ten element principalType .
• Parametr subnetId musi zostać zaktualizowany przy użyciu parametru <ResourceGroupName>Subscription ID, , <VNetName>i<SubnetName>

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$instanceName = "<instanceName>"
$resourceGroupName = "<ResourceGroupName>"
$scopes ="https://management.core.windows.net/.default"

Login-AzAccount -tenantId $tenantId

# Login as an Microsoft Entra user with permission to provision a managed instance

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes $scopes

$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

$body = '{
"name": "<instanceName>", "type": "Microsoft.Sql/managedInstances", "identity": { "type": "SystemAssigned"},"location": "<Location>", "sku": {"name": "GP_Gen5", "tier": "GeneralPurpose", "family":"Gen5","capacity": 8},
"properties": {"administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true },
"subnetId": "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>",
"licenseType": "LicenseIncluded", "vCores": 8, "storageSizeInGB": 2048, "collation": "SQL_Latin1_General_CP1_CI_AS", "proxyOverride": "Proxy", "timezoneId": "UTC", "privateEndpointConnections": [], "storageAccountType": "GRS", "zoneRedundant": false 
  }
}'

# To provision the instance, execute the `PUT` command

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Aby sprawdzić wyniki, wykonaj GET polecenie:

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method GET -Headers $authHeader  | Format-List

Szablon ARM

Aby aprowizować nowe wystąpienie zarządzane, sieć wirtualną i podsieć, przy użyciu zestawu administracyjnego firmy Microsoft Entra dla wystąpienia i włączonego uwierzytelniania tylko w usłudze Microsoft Entra, użyj następującego szablonu.

Użyj wdrożenia niestandardowego w witrynie Azure Portal i utwórz własny szablon w edytorze. Następnie zapisz konfigurację po wklejeniu w przykładzie.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "managedInstanceName": {
            "type": "String",
            "metadata": {
                "description": "Enter managed instance name."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL managed instance."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin. The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "location": {
            "defaultValue": "[resourceGroup().location]",
            "type": "String",
            "metadata": {
                "description": "Enter location. If you leave this field blank resource group location would be used."
            }
        },
        "virtualNetworkName": {
            "type": "String",
            "defaultValue": "SQLMI-VNET",
            "metadata": {
                "description": "Enter virtual network name. If you leave this field blank name will be created by the template."
            }
        },
        "addressPrefix": {
            "defaultValue": "10.0.0.0/16",
            "type": "String",
            "metadata": {
                "description": "Enter virtual network address prefix."
            }
        },
        "subnetName": {
            "type": "String",
            "defaultValue": "ManagedInstances",
            "metadata": {
                "description": "Enter subnet name. If you leave this field blank name will be created by the template."
            }
        },
        "subnetPrefix": {
            "defaultValue": "10.0.0.0/24",
            "type": "String",
            "metadata": {
                "description": "Enter subnet address prefix."
            }
        },
        "skuName": {
            "defaultValue": "GP_Gen5",
            "allowedValues": [
                "GP_Gen5",
                "BC_Gen5"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter sku name."
            }
        },
        "vCores": {
            "defaultValue": 16,
            "allowedValues": [
                8,
                16,
                24,
                32,
                40,
                64,
                80
            ],
            "type": "Int",
            "metadata": {
                "description": "Enter number of vCores."
            }
        },
        "storageSizeInGB": {
            "defaultValue": 256,
            "minValue": 32,
            "maxValue": 8192,
            "type": "Int",
            "metadata": {
                "description": "Enter storage size."
            }
        },
        "licenseType": {
            "defaultValue": "LicenseIncluded",
            "allowedValues": [
                "BasePrice",
                "LicenseIncluded"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter license type."
            }
        }
    },
    "variables": {
        "networkSecurityGroupName": "[concat('SQLMI-', parameters('managedInstanceName'), '-NSG')]",
        "routeTableName": "[concat('SQLMI-', parameters('managedInstanceName'), '-Route-Table')]"
    },
    "resources": [
        {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2020-06-01",
            "name": "[variables('networkSecurityGroupName')]",
            "location": "[parameters('location')]",
            "properties": {
                "securityRules": [
                    {
                        "name": "allow_tds_inbound",
                        "properties": {
                            "description": "Allow access to data",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "1433",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1000,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "allow_redirect_inbound",
                        "properties": {
                            "description": "Allow inbound redirect traffic to SQL Managed Instance inside the virtual network",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "11000-11999",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1100,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_inbound",
                        "properties": {
                            "description": "Deny all other inbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_outbound",
                        "properties": {
                            "description": "Deny all other outbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Outbound"
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Network/routeTables",
            "apiVersion": "2020-06-01",
            "name": "[variables('routeTableName')]",
            "location": "[parameters('location')]",
            "properties": {
                "disableBgpRoutePropagation": false
            }
        },
        {
            "type": "Microsoft.Network/virtualNetworks",
            "apiVersion": "2020-06-01",
            "name": "[parameters('virtualNetworkName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[variables('routeTableName')]",
                "[variables('networkSecurityGroupName')]"
            ],
            "properties": {
                "addressSpace": {
                    "addressPrefixes": [
                        "[parameters('addressPrefix')]"
                    ]
                },
                "subnets": [
                    {
                        "name": "[parameters('subnetName')]",
                        "properties": {
                            "addressPrefix": "[parameters('subnetPrefix')]",
                            "routeTable": {
                                "id": "[resourceId('Microsoft.Network/routeTables', variables('routeTableName'))]"
                            },
                            "networkSecurityGroup": {
                                "id": "[resourceId('Microsoft.Network/networkSecurityGroups', variables('networkSecurityGroupName'))]"
                            },
                            "delegations": [
                                {
                                    "name": "miDelegation",
                                    "properties": {
                                        "serviceName": "Microsoft.Sql/managedInstances"
                                    }
                                }
                            ]
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('managedInstanceName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[parameters('virtualNetworkName')]"
            ],
            "sku": {
                "name": "[parameters('skuName')]"
            },
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "subnetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('virtualNetworkName'), parameters('subnetName'))]",
                "storageSizeInGB": "[parameters('storageSizeInGB')]",
                "vCores": "[parameters('vCores')]",
                "licenseType": "[parameters('licenseType')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Udzielanie uprawnień czytelnikom katalogu

Po zakończeniu wdrażania wystąpienia zarządzanego możesz zauważyć, że usługa SQL Managed Instance potrzebuje uprawnień do odczytu w celu uzyskania dostępu do identyfikatora Entra firmy Microsoft. Uprawnienia do odczytu można udzielić, klikając wyświetlany komunikat w witrynie Azure Portal przez osobę z wystarczającymi uprawnieniami. Aby uzyskać więcej informacji, zobacz Rola Czytelników katalogów w usłudze Microsoft Entra dla usługi Azure SQL.

Ograniczenia

• Aby zresetować hasło administratora serwera, uwierzytelnianie tylko firmy Microsoft musi być wyłączone.
• Jeśli uwierzytelnianie tylko w usłudze Microsoft Entra jest wyłączone, należy utworzyć serwer z administratorem serwera i hasłem podczas korzystania ze wszystkich interfejsów API.

Powiązana zawartość

• Jeśli masz już serwer logiczny lub wystąpienie zarządzane SQL i chcesz tylko włączyć uwierzytelnianie tylko firmy Microsoft, zobacz Samouczek: włączanie uwierzytelniania tylko w usłudze Microsoft Entra za pomocą usługi Azure SQL.
• Aby uzyskać więcej informacji na temat funkcji uwierzytelniania tylko firmy Microsoft, zobacz Microsoft Entra-only authentication with Azure SQL (Uwierzytelnianie tylko firmy Microsoft w usłudze Azure SQL).
• Jeśli chcesz wymusić tworzenie serwera z włączonym uwierzytelnianiem tylko w usłudze Microsoft Entra, zobacz Azure Policy for Microsoft Entra-only authentication with Azure SQL (Usługa Azure Policy dla usługi Microsoft Entra-only authentication with Azure SQL)