Criar servidor com autenticação apenas do Microsoft Entra habilitada no Azure SQL

2025-04-30

Aplica-se a:Banco de Dados SQL do AzureInstância Gerenciada SQL do Azure

Este guia de instruções descreve as etapas para criar um servidor lógico para o Banco de Dados SQL do Azure ou uma Instância Gerenciada SQL do Azure com autenticação somente Microsoft Entra, habilitada durante o provisionamento. O recurso de autenticação somente Microsoft Entra, impede que os usuários se conectem ao servidor ou à instância gerenciada usando a autenticação SQL e só permite conexões autenticadas com a ID do Microsoft Entra (anteriormente Azure Ative Directory).

Observação

O Microsoft Entra ID era conhecido anteriormente como Azure Ative Directory (Azure AD).

Pré-requisitos

A versão 2.26.1 ou posterior é necessária ao usar a CLI do Azure. Para obter mais informações sobre a instalação e a versão mais recente, consulte Instalar a CLI do Azure.
O módulo Az 6.1.0 ou superior é necessário ao usar o PowerShell.
Se você estiver provisionando uma instância gerenciada usando a CLI do Azure, PowerShell ou API REST, uma rede virtual e uma sub-rede precisarão ser criadas antes de começar. Para obter mais informações, consulte Criar uma rede virtual para a Instância Gerenciada SQL do Azure.

Permissões

Para provisionar um servidor lógico ou uma instância gerenciada, você precisará ter as permissões apropriadas para criar esses recursos. Os usuários do Azure com permissões mais altas, como Proprietários, Colaboradores, Administradores de Serviço e Coadministradores de assinatura, têm o privilégio de criar um servidor SQL ou uma instância gerenciada. Para criar esses recursos com a função RBAC do Azure menos privilegiada, use a função de Colaborador do SQL Server para Banco de Dados SQL e a função de Colaborador de Instância Gerenciada do SQL para Instância Gerenciada do SQL.

A função RBAC do Azure gerenciador de segurança SQL não tem permissões suficientes para criar um servidor ou instância com a autenticação apenas Microsoft Entra ativada. A função Gerenciador de Segurança SQL será necessária para gerenciar o recurso de autenticação somente Microsoft Entra, após a criação do servidor ou da instância.

Provisionamento com autenticação apenas Microsoft Entra habilitada

A seção a seguir fornece exemplos e scripts sobre como criar um servidor lógico ou uma instância gerida com um administrador do Microsoft Entra definido para o servidor ou instância, com a autenticação apenas do Microsoft Entra ativada durante a criação do servidor. Para obter mais informações sobre o recurso, consulte Autenticação somente Microsoft Entra-only com o Azure SQL.

Nos nossos exemplos, estamos a habilitar a autenticação apenas Microsoft Entra durante a criação de um servidor ou de uma instância gerida, com um administrador de servidor e senha atribuídos pelo sistema. Isso impedirá o acesso do administrador do servidor quando a autenticação somente do Microsoft Entra estiver habilitada e só permitirá que o administrador do Microsoft Entra acesse o recurso. É opcional adicionar parâmetros às APIs para incluir seu próprio administrador de servidor e senha durante a criação do servidor. No entanto, a senha não pode ser redefinida até que você desabilite a autenticação somente do Microsoft Entra. Um exemplo de como usar esses parâmetros opcionais para especificar o nome de login do administrador do servidor é apresentado na guia PowerShell nesta página.

Observação

Para alterar a propriedade de autenticação exclusiva do Microsoft Entra, após a criação do servidor ou da instância gerida, devem ser usadas outras APIs existentes. Para obter mais informações, consulte Gerenciando a autenticação somente do Microsoft Entra, usando APIs.

Se a autenticação apenas do Microsoft Entra estiver definida como false, o que é o padrão, um administrador de servidor e uma senha precisarão ser incluídos em todas as APIs durante a criação de um servidor ou uma instância gerida.

Base de Dados SQL do Azure

Navegue até a página Selecionar opção de implantação SQL no portal do Azure.
Se você ainda não estiver conectado ao portal do Azure, entre quando solicitado.
Em Bancos de dados SQL, deixe Tipo de recurso definido como Banco de dados único e selecione Criar.
Na guia Noções básicas do formulário Criar Banco de Dados SQL , em Detalhes do projeto, selecione a Assinatura do Azure desejada.
Em Grupo de recursos, selecione Criar novo, insira um nome para o grupo de recursos e selecione OK.
Em Nome do banco de dados, insira um nome para o banco de dados.
Para Servidor, selecione Criar novo e preencha o novo formulário de servidor com os seguintes valores:
- Nome do servidor: insira um nome de servidor exclusivo. Os nomes de servidor devem ser globalmente exclusivos para todos os servidores no Azure, não apenas exclusivos dentro de uma assinatura. Insira um valor e o portal do Azure informará se ele está disponível ou não.
- Localização: selecione um local na lista suspensa
- Método de autenticação: Selecione Usar autenticação somente Microsoft Entra.
- Selecione Definir administrador para abrir o painel ID Microsoft Entra e escolher um principal do Microsoft Entra como administrador do servidor lógico do Microsoft Entra. Quando terminar, use o botão Selecionar para definir o administrador.
Selecione Next: Networking na parte inferior da página.
Na guia Rede , para Método de conectividade, selecione Ponto de extremidade público.
Para regras de firewall, defina Adicionar endereço IP do cliente atual como Sim. Deixe Permitir que os serviços e recursos do Azure acessem este servidor definido como Não.
Deixe as configurações de política de conexão e versão mínima de TLS como seu valor padrão.
Selecione Seguinte: Segurança na parte inferior da página. Configure qualquer uma das configurações do Microsoft Defender para criptografia de dados SQL,Ledger, Identity e Transparent para seu ambiente. Você também pode ignorar essas configurações.

Observação

O uso de uma identidade gerenciada atribuída pelo usuário como a identidade do servidor é suportado com a autenticação somente do Microsoft Entra. Para se conectar à instância como identidade, atribua-a a uma Máquina Virtual do Azure e execute o SSMS nessa VM. Para ambientes de produção, o uso de uma identidade gerenciada para o administrador do Microsoft Entra é recomendado devido às medidas de segurança aprimoradas e simplificadas com autenticação sem senha para recursos do Azure.
Selecione Revisar + criar na parte inferior da página.
Na página Rever + criar , depois de rever, selecione Criar.

O comando az sql server create CLI do Azure é usado para provisionar um novo servidor lógico. O comando abaixo irá provisionar um novo servidor com a autenticação apenas com Microsoft Entra habilitada.

O administrador SQL do servidor será criado automaticamente e a senha será definida como uma senha aleatória. Como a conectividade de autenticação SQL está desabilitada com essa criação de servidor, o logon de administrador do SQL não será usado.

O servidor Microsoft Entra admin será a conta que você definiu para <MSEntraAccount>, e pode ser usado para gerenciar o servidor.

Substitua os seguintes valores no exemplo:

<MSEntraAccount>: Pode ser um utilizador ou grupo do Microsoft Entra. Por exemplo, DummyLogin
<MSEntraAccountSID>: O ID de objeto do Microsoft Entra para o utilizador
<ResourceGroupName>: Nome do grupo de recursos para o servidor lógico
<ServerName>: Use um nome de servidor lógico exclusivo

az sql server create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <ServerName>

Para obter mais informações, consulte az sql server create.

Para verificar o status do servidor após a criação, consulte o seguinte comando:

az sql server show --name <ServerName> --resource-group <ResourceGroupName> --expand-ad-admin

O comando New-AzSqlServer PowerShell é usado para provisionar um novo servidor lógico. O comando abaixo irá provisionar um novo servidor com a autenticação apenas com Microsoft Entra habilitada.

O servidor Microsoft Entra admin será a conta que você definiu para <MSEntraAccount>, e pode ser usado para gerenciar o servidor.

Substitua os seguintes valores no exemplo:

<ResourceGroupName>: Nome do grupo de recursos para o servidor lógico
<Location>: Localização do servidor, como West US, ou Central US
<ServerName>: Use um nome de servidor lógico exclusivo
<MSEntraAccount>: Pode ser um utilizador ou grupo do Microsoft Entra. Por exemplo, DummyLogin

$server = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
}

New-AzSqlServer @server

Aqui está um exemplo de especificação do nome do administrador do servidor (em vez de permitir que o nome do administrador do servidor seja criado automaticamente) no momento da criação do servidor lógico. Como mencionado anteriormente, esse login não é utilizável quando a autenticação somente do Microsoft Entra, está habilitada.

$cred = Get-Credential
New-AzSqlServer -ResourceGroupName "<ResourceGroupName>" -Location "<Location>" -ServerName "<ServerName>" -ServerVersion "12.0" -ExternalAdminName "<MSEntraAccount>" -EnableActiveDirectoryOnlyAuthentication -SqlAdministratorCredentials $cred

Para obter mais informações, consulte New-AzSqlServer.

A API REST Servidores - Criar ou Atualizar pode ser usada para criar um servidor lógico com autenticação exclusiva do Microsoft Entra ativada durante o aprovisionamento.

O script abaixo provisionará um servidor lógico, definirá o administrador do Microsoft Entra como <MSEntraAccount>e habilitará a autenticação somente do Microsoft Entra. O administrador SQL do servidor também será criado automaticamente e a senha será definida como uma senha aleatória. Como a conectividade de autenticação SQL está desabilitada com esse provisionamento, o logon de administrador do SQL não será usado.

O administrador <MSEntraAccount> do Microsoft Entra pode ser usado para gerenciar o servidor quando o provisionamento estiver concluído.

Substitua os seguintes valores no exemplo:

<tenantId>: Pode ser encontrado acessando o portal do Azure e acessando seu recurso Microsoft Entra ID . No painel Visão geral , você verá sua ID de locatário
<subscriptionId>: Sua ID de assinatura pode ser encontrada no portal do Azure
<ServerName>: Use um nome de servidor lógico exclusivo
<ResourceGroupName>: Nome do grupo de recursos para o servidor lógico
<MicrosoftEntraAccount>: Pode ser um usuário, grupo ou aplicativo do Microsoft Entra. Por exemplo, DummyLogin
<Location>: Localização do servidor, como westus2, ou centralus
<objectId>: Pode ser encontrado acessando o portal do Azure e acessando seu recurso Microsoft Entra ID . No painel Utilizador, procure o utilizador do Microsoft Entra e encontre o seu ID de Objeto. Se você estiver usando um aplicativo (entidade de serviço) como administrador do Microsoft Entra, substitua esse valor pela ID do aplicativo. Você precisará atualizar o principalType também.
<principalType>: Uma das três opções: Usuário, Grupo, Aplicativo. O tipo do objeto Microsoft Entra usado como administrador. As identidades geridas e as entidades de serviço são Aplicações.

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$authUrl = "https://login.windows.net/$tenantId"
$serverName = "<ServerName>"
$resourceGroupName = "<ResourceGroupName>"

Login-AzAccount -tenantId $tenantId

# login as a user with SQL Server Contributor role or higher 

# Get a token

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes "https://management.core.windows.net/.default"

#Authentication header
$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

# Enable Microsoft Entra-only auth 
# No server admin is specified, Microsoft Entra admin is configured, and Microsoft Entra-only authentication is set to true
# Server admin (login and password) is randomly generated by the system

# Authentication body
# The sid is the Microsoft Entra Object ID for the user or group, and Application ID for applications. Update the principalType as well

$body = '{ 
"location": "<Location>",
"properties": { "administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true }
  }
}'

# Provision the server

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Para verificar o status do servidor, você pode usar o seguinte script:

$uri = 'https://management.azure.com/subscriptions/'+$subscriptionId+'/resourceGroups/'+$resourceGroupName+'/providers/Microsoft.Sql/servers/'+$serverName+'?api-version=2020-11-01-preview&$expand=administrators/activedirectory'

$response=Invoke-WebRequest -Uri $uri -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

$response.statuscode

$response.content

Para obter mais informações e modelos ARM, consulte Modelos do Azure Resource Manager para o Banco de Dados SQL do Azure.

Para provisionar um servidor lógico com um administrador do Microsoft Entra configurado para o servidor e autenticação somente Microsoft Entra ativada usando um Modelo ARM, consulte nosso modelo de início rápido de servidor lógico SQL do Azure com autenticação somente Microsoft Entra.

Você também pode usar o modelo a seguir. Use uma implantação personalizada no portal do Azure e crie seu próprio modelo no editor. Em seguida, salve a configuração depois de colar no exemplo.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "string",
            "defaultValue": "[uniqueString('sql', resourceGroup().id)]",
            "metadata": {
                "description": "The name of the logical server."
            }
        },
        "location": {
            "type": "string",
            "defaultValue": "[resourceGroup().location]",
            "metadata": {
                "description": "Location for all resources."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "properties": {
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Instância Gerenciada SQL do Azure

Navegue até a página Selecionar opção de implantação SQL no portal do Azure.
Se você ainda não estiver conectado ao portal do Azure, entre quando solicitado.
Em Instâncias gerenciadas pelo SQL, deixe Tipo de recurso definido como Instância única e selecione Criar.
Preencha as informações obrigatórias necessárias na guia Noções básicas para obter detalhes do projeto e detalhes da instância gerenciada. Este é um conjunto mínimo de informações necessárias para provisionar uma instância gerenciada do SQL.

Para obter mais informações sobre as opções de configuração, consulte Guia de início rápido: criar instância gerenciada SQL do Azure.
Em Autenticação, selecione Usar autenticação somente Microsoft Entra-only para o método de Autenticação.
Selecione Definir administrador para abrir o painel Microsoft Entra ID e selecione uma entidade do Microsoft Entra como administrador do Microsoft Entra da sua instância gerida. Quando terminar, use o botão Selecionar para definir o administrador.
Você pode deixar o restante das configurações padrão. Para obter mais informações sobre Rede, Segurança ou outras guias e configurações, siga o guia no artigo Guia de início rápido: criar instância gerenciada SQL do Azure.
Quando terminar de definir as configurações, selecione Revisar + criar para continuar. Selecione Criar para iniciar o provisionamento da instância gerenciada.

O comando az sql mi create CLI do Azure é usado para provisionar uma nova Instância Gerenciada SQL do Azure. O seguinte comando irá provisionar uma nova instância gerida com autenticação exclusiva do Microsoft Entra habilitada.

Observação

O script requer que uma rede virtual e uma sub-rede sejam criadas como pré-requisito.

O administrador SQL da instância gerenciada será criado automaticamente e a senha será definida como uma senha aleatória. Como a autenticação SQL está desabilitada com essa disposição, o administrador do SQL não será usado.

O administrador do Microsoft Entra será a conta que definiu para <MSEntraAccount> e poderá ser usada para gerir a instância quando o aprovisionamento for concluído.

Substitua os seguintes valores no exemplo:

<MSEntraAccount>: Pode ser um utilizador ou grupo do Microsoft Entra. Por exemplo, DummyLogin
<MSEntraAccountSID>: O ID de objeto do Microsoft Entra para o utilizador
<managedinstancename>: Nomeie a instância gerenciada que você deseja criar
<ResourceGroupName>: Nome do grupo de recursos para sua instância gerenciada. O grupo de recursos também deve incluir a rede virtual e a sub-rede criadas
O subnet parâmetro precisa ser atualizado com o <Subscription ID>, <ResourceGroupName>, <VNetName>, e <SubnetName>. Sua ID de assinatura pode ser encontrada no portal do Azure

az sql mi create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <managedinstancename> \
    --subnet /subscriptions/<Subscription ID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>

Para obter mais informações, consulte az sql mi create.

O comando New-AzSqlInstance PowerShell é usado para provisionar uma nova Instância Gerenciada SQL do Azure. O seguinte comando irá provisionar uma nova instância gerida com autenticação exclusiva do Microsoft Entra habilitada.

Observação

O script requer que uma rede virtual e uma sub-rede sejam criadas como pré-requisito.

O administrador SQL da instância gerenciada será criado automaticamente e a senha será definida como uma senha aleatória. Como a conectividade de autenticação SQL está desabilitada com essa disposição, o logon do administrador do SQL não será usado.

O administrador do Microsoft Entra será a conta que definiu para <MSEntraAccount> e poderá ser usada para gerir a instância quando o aprovisionamento for concluído.

Substitua os seguintes valores no exemplo:

<managedinstancename>: Nomeie a instância gerenciada que você deseja criar
<ResourceGroupName>: Nome do grupo de recursos para sua instância gerenciada. O grupo de recursos também deve incluir a rede virtual e a sub-rede criadas
<MSEntraAccount>: Pode ser um utilizador ou grupo do Microsoft Entra. Por exemplo, DummyLogin
<Location>: Localização do servidor, como West US, ou Central US
O SubnetId parâmetro precisa ser atualizado com o <Subscription ID>, <ResourceGroupName>, <VNetName>, e <SubnetName>. Sua ID de assinatura pode ser encontrada no portal do Azure

$instanceName = @{
    Name = "<managedinstancename>"
    ResourceGroupName = "<ResourceGroupName>"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
    Location = "<Location>"
    SubnetId = "/subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>"
    LicenseType = "LicenseIncluded"
    StorageSizeInGB = 128
    VCore = 4
    Edition = "GeneralPurpose"
    ComputeGeneration = "Gen5"
}

New-AzSqlInstance $instanceName

Para obter mais informações, consulte New-AzSqlInstance.

A API REST de Instâncias Gerenciadas SQL - Criar ou Atualizar pode ser usada para criar uma instância gerenciada com a autenticação somente Microsoft Entra, habilitada durante o provisionamento.

Observação

O script requer que uma rede virtual e uma sub-rede sejam criadas como pré-requisito.

O script abaixo provisionará uma instância gerenciada, definirá o administrador do Microsoft Entra como <MSEntraAccount>e habilitará a autenticação somente do Microsoft Entra. O administrador SQL da instância também será criado automaticamente e a senha será definida como uma senha aleatória. Como a conectividade de autenticação SQL está desabilitada com esse provisionamento, o logon de administrador do SQL não será usado.

O administrador <MSEntraAccount> do Microsoft Entra pode ser usado para gerir a instância quando o provisionamento for concluído.

Substitua os seguintes valores no exemplo:

<tenantId>: Pode ser encontrado acessando o portal do Azure e acessando seu recurso Microsoft Entra ID . No painel Visão geral , você verá sua ID de locatário
<subscriptionId>: Sua ID de assinatura pode ser encontrada no portal do Azure
<instanceName>: Use um nome de instância gerenciado exclusivo
<ResourceGroupName>: Nome do grupo de recursos para o servidor lógico
<MSEntraAccount>: Pode ser um utilizador ou grupo do Microsoft Entra. Por exemplo, DummyLogin
<Location>: Localização do servidor, como westus2, ou centralus
<objectId>: Pode ser encontrado acessando o portal do Azure e acessando seu recurso Microsoft Entra ID . No painel Utilizador, procure o utilizador do Microsoft Entra e encontre o seu ID de Objeto. Se você estiver usando um aplicativo (entidade de serviço) como administrador do Microsoft Entra, substitua esse valor pela ID do aplicativo. Você precisará atualizar o principalType também.
O subnetId parâmetro precisa ser atualizado com o <ResourceGroupName>, o Subscription ID, <VNetName>e <SubnetName>

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$instanceName = "<instanceName>"
$resourceGroupName = "<ResourceGroupName>"
$scopes ="https://management.core.windows.net/.default"

Login-AzAccount -tenantId $tenantId

# Login as an Microsoft Entra user with permission to provision a managed instance

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes $scopes

$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

$body = '{
"name": "<instanceName>", "type": "Microsoft.Sql/managedInstances", "identity": { "type": "SystemAssigned"},"location": "<Location>", "sku": {"name": "GP_Gen5", "tier": "GeneralPurpose", "family":"Gen5","capacity": 8},
"properties": {"administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true },
"subnetId": "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>",
"licenseType": "LicenseIncluded", "vCores": 8, "storageSizeInGB": 2048, "collation": "SQL_Latin1_General_CP1_CI_AS", "proxyOverride": "Proxy", "timezoneId": "UTC", "privateEndpointConnections": [], "storageAccountType": "GRS", "zoneRedundant": false 
  }
}'

# To provision the instance, execute the `PUT` command

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Para verificar os resultados, execute o GET comando:

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method GET -Headers $authHeader  | Format-List

Para provisionar uma nova instância gerida, rede virtual e sub-rede, configurando um administrador do Microsoft Entra para a instância e ativando a autenticação apenas por Microsoft Entra, use o seguinte modelo.

Use uma implantação personalizada no portal do Azure e crie seu próprio modelo no editor. Em seguida, salve a configuração depois de colar no exemplo.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "managedInstanceName": {
            "type": "String",
            "metadata": {
                "description": "Enter managed instance name."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL managed instance."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin. The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "location": {
            "defaultValue": "[resourceGroup().location]",
            "type": "String",
            "metadata": {
                "description": "Enter location. If you leave this field blank resource group location would be used."
            }
        },
        "virtualNetworkName": {
            "type": "String",
            "defaultValue": "SQLMI-VNET",
            "metadata": {
                "description": "Enter virtual network name. If you leave this field blank name will be created by the template."
            }
        },
        "addressPrefix": {
            "defaultValue": "10.0.0.0/16",
            "type": "String",
            "metadata": {
                "description": "Enter virtual network address prefix."
            }
        },
        "subnetName": {
            "type": "String",
            "defaultValue": "ManagedInstances",
            "metadata": {
                "description": "Enter subnet name. If you leave this field blank name will be created by the template."
            }
        },
        "subnetPrefix": {
            "defaultValue": "10.0.0.0/24",
            "type": "String",
            "metadata": {
                "description": "Enter subnet address prefix."
            }
        },
        "skuName": {
            "defaultValue": "GP_Gen5",
            "allowedValues": [
                "GP_Gen5",
                "BC_Gen5"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter sku name."
            }
        },
        "vCores": {
            "defaultValue": 16,
            "allowedValues": [
                8,
                16,
                24,
                32,
                40,
                64,
                80
            ],
            "type": "Int",
            "metadata": {
                "description": "Enter number of vCores."
            }
        },
        "storageSizeInGB": {
            "defaultValue": 256,
            "minValue": 32,
            "maxValue": 8192,
            "type": "Int",
            "metadata": {
                "description": "Enter storage size."
            }
        },
        "licenseType": {
            "defaultValue": "LicenseIncluded",
            "allowedValues": [
                "BasePrice",
                "LicenseIncluded"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter license type."
            }
        }
    },
    "variables": {
        "networkSecurityGroupName": "[concat('SQLMI-', parameters('managedInstanceName'), '-NSG')]",
        "routeTableName": "[concat('SQLMI-', parameters('managedInstanceName'), '-Route-Table')]"
    },
    "resources": [
        {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2020-06-01",
            "name": "[variables('networkSecurityGroupName')]",
            "location": "[parameters('location')]",
            "properties": {
                "securityRules": [
                    {
                        "name": "allow_tds_inbound",
                        "properties": {
                            "description": "Allow access to data",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "1433",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1000,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "allow_redirect_inbound",
                        "properties": {
                            "description": "Allow inbound redirect traffic to SQL Managed Instance inside the virtual network",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "11000-11999",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1100,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_inbound",
                        "properties": {
                            "description": "Deny all other inbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_outbound",
                        "properties": {
                            "description": "Deny all other outbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Outbound"
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Network/routeTables",
            "apiVersion": "2020-06-01",
            "name": "[variables('routeTableName')]",
            "location": "[parameters('location')]",
            "properties": {
                "disableBgpRoutePropagation": false
            }
        },
        {
            "type": "Microsoft.Network/virtualNetworks",
            "apiVersion": "2020-06-01",
            "name": "[parameters('virtualNetworkName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[variables('routeTableName')]",
                "[variables('networkSecurityGroupName')]"
            ],
            "properties": {
                "addressSpace": {
                    "addressPrefixes": [
                        "[parameters('addressPrefix')]"
                    ]
                },
                "subnets": [
                    {
                        "name": "[parameters('subnetName')]",
                        "properties": {
                            "addressPrefix": "[parameters('subnetPrefix')]",
                            "routeTable": {
                                "id": "[resourceId('Microsoft.Network/routeTables', variables('routeTableName'))]"
                            },
                            "networkSecurityGroup": {
                                "id": "[resourceId('Microsoft.Network/networkSecurityGroups', variables('networkSecurityGroupName'))]"
                            },
                            "delegations": [
                                {
                                    "name": "miDelegation",
                                    "properties": {
                                        "serviceName": "Microsoft.Sql/managedInstances"
                                    }
                                }
                            ]
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('managedInstanceName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[parameters('virtualNetworkName')]"
            ],
            "sku": {
                "name": "[parameters('skuName')]"
            },
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "subnetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('virtualNetworkName'), parameters('subnetName'))]",
                "storageSizeInGB": "[parameters('storageSizeInGB')]",
                "vCores": "[parameters('vCores')]",
                "licenseType": "[parameters('licenseType')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Conceder permissões de leitura de diretório

Quando a implantação estiver concluída para a sua instância gerenciada, poderá notar que a Instância Gerida SQL precisa de permissões de Leitura para acessar o Microsoft Entra ID. As permissões de leitura podem ser concedidas selecionando a mensagem exibida no portal do Azure por uma pessoa com privilégios suficientes. Para obter mais informações, consulte o papel de Leitores de Diretório no Microsoft Entra ID para o Azure SQL.

Limitações

Para redefinir a palavra-passe do administrador do servidor, a autenticação exclusiva Microsoft Entra deve ser desativada.
Se a autenticação apenas Microsoft Entra estiver desativada, deverá criar um servidor com um administrador de servidor e senha ao utilizar todas as APIs.

Se você já tiver um servidor lógico ou uma instância gerenciada pelo SQL e quiser apenas habilitar a autenticação somente do Microsoft Entra, consulte Tutorial: Habilitar a autenticação somente do Microsoft Entra-only com o Azure SQL.
Para obter mais informações sobre o recurso de autenticação somente Microsoft Entra, consulte Autenticação somente Microsoft Entra-only com Azure SQL.
Se pretender impor a criação de servidor com autenticação apenas Microsoft Entra ativada, consulte Política do Azure para autenticação apenas Microsoft Entra com o Azure SQL

Partilhar via

Criar servidor com autenticação apenas do Microsoft Entra habilitada no Azure SQL

Pré-requisitos

Permissões

Provisionamento com autenticação apenas Microsoft Entra habilitada

Base de Dados SQL do Azure

Instância Gerenciada SQL do Azure

Conceder permissões de leitura de diretório

Limitações

Conteúdo relacionado

Comentários

Recursos adicionais