Criar servidor com a autenticação somente Microsoft Entra, habilitada no SQL do Azure

Aplica-se a:Banco de Dados SQL do Azure Instância Gerenciada SQLdo Azure

Este guia de instruções descreve as etapas para criar um servidor lógico para o Banco de Dados SQL do Azure ou uma Instância Gerenciada SQL do Azure com autenticação somente Microsoft Entra, habilitada durante o provisionamento. O recurso de autenticação somente Microsoft Entra, impede que os usuários se conectem ao servidor ou à instância gerenciada usando a autenticação SQL e só permite conexões autenticadas com a ID do Microsoft Entra (anteriormente Azure Ative Directory).

Nota

Microsoft Entra ID é o novo nome para o Azure Ative Directory (Azure AD). Estamos atualizando a documentação neste momento.

Pré-requisitos

• A versão 2.26.1 ou posterior é necessária ao usar a CLI do Azure. Para obter mais informações sobre a instalação e a versão mais recente, consulte Instalar a CLI do Azure.
• O módulo Az 6.1.0 ou superior é necessário ao usar o PowerShell.
• Se você estiver provisionando uma instância gerenciada usando a CLI do Azure, PowerShell ou API REST, uma rede virtual e uma sub-rede precisarão ser criadas antes de começar. Para obter mais informações, consulte Criar uma rede virtual para a Instância Gerenciada SQL do Azure.

Permissões

Para provisionar um servidor lógico ou uma instância gerenciada, você precisará ter as permissões apropriadas para criar esses recursos. Os usuários do Azure com permissões mais altas, como Proprietários, Colaboradores, Administradores de Serviço e Coadministradores de assinatura, têm o privilégio de criar um servidor SQL ou uma instância gerenciada. Para criar esses recursos com a função RBAC do Azure menos privilegiada, use a função de Colaborador do SQL Server para Banco de Dados SQL e a função de Colaborador de Instância Gerenciada do SQL para Instância Gerenciada do SQL.

A função RBAC do Azure do Gerenciador de Segurança SQL não tem permissões suficientes para criar um servidor ou instância com a autenticação somente Microsoft Entra-habilitada. A função Gerenciador de Segurança SQL será necessária para gerenciar o recurso de autenticação somente Microsoft Entra, após a criação do servidor ou da instância.

Provisionamento com autenticação somente Microsoft Entra-somente habilitada

A seção a seguir fornece exemplos e scripts sobre como criar um servidor lógico ou instância gerenciada com um conjunto de administradores do Microsoft Entra para o servidor ou instância e ter a autenticação somente Microsoft Entra-habilitada durante a criação do servidor. Para obter mais informações sobre o recurso, consulte Autenticação somente Microsoft Entra.

Em nossos exemplos, estamos habilitando a autenticação somente Microsoft Entra, durante a criação do servidor ou da instância gerenciada, com um administrador de servidor e senha atribuídos ao sistema. Isso impedirá o acesso do administrador do servidor quando a autenticação somente do Microsoft Entra estiver habilitada e só permitirá que o administrador do Microsoft Entra acesse o recurso. É opcional adicionar parâmetros às APIs para incluir seu próprio administrador de servidor e senha durante a criação do servidor. No entanto, a senha não pode ser redefinida até que você desabilite a autenticação somente do Microsoft Entra. Um exemplo de como usar esses parâmetros opcionais para especificar o nome de login do administrador do servidor é apresentado na guia PowerShell nesta página.

Nota

Para alterar as propriedades existentes após a criação do servidor ou da instância gerenciada, outras APIs existentes devem ser usadas. Para obter mais informações, consulte Gerenciando a autenticação somente do Microsoft Entra, usando APIs e Configurar e gerenciar a autenticação do Microsoft Entra com o Azure SQL.

Se a autenticação somente Microsoft Entra-for definida como false, o que é por padrão, um administrador de servidor e uma senha precisarão ser incluídos em todas as APIs durante a criação do servidor ou da instância gerenciada.

Base de Dados SQL do Azure

Portal

1. Navegue até a página Selecionar opção de implantação SQL no portal do Azure.

2. Se você ainda não estiver conectado ao portal do Azure, entre quando solicitado.

3. Em Bancos de dados SQL, deixe Tipo de recurso definido como Banco de dados único e selecione Criar.

4. Na guia Noções básicas do formulário Criar Banco de Dados SQL, em Detalhes do projeto, selecione a Assinatura do Azure desejada.

5. Em Grupo de recursos, selecione Criar novo, insira um nome para o grupo de recursos e selecione OK.

6. Em Nome do banco de dados, insira um nome para o banco de dados.

7. Para Servidor, selecione Criar novo e preencha o novo formulário de servidor com os seguintes valores:

   • Nome do servidor: insira um nome de servidor exclusivo. Os nomes de servidor devem ser globalmente exclusivos para todos os servidores no Azure, não apenas exclusivos dentro de uma assinatura. Insira um valor e o portal do Azure informará se ele está disponível ou não.
   • Localização: selecione um local na lista suspensa
   • Método de autenticação: Selecione Usar autenticação somente Microsoft Entra.
   • Selecione Definir administrador para abrir o painel ID do Microsoft Entra e selecione uma entidade do Microsoft Entra como administrador do servidor lógico Microsoft Entra. Quando terminar, use o botão Selecionar para definir o administrador.

   

8. Selecione Next: Networking na parte inferior da página.

9. Na guia Rede, para Método de conectividade, selecione Ponto de extremidade público.

10. Para regras de firewall, defina Adicionar endereço IP do cliente atual como Sim. Deixe Permitir que os serviços e recursos do Azure acessem este servidor definido como Não.

11. Deixe as configurações de política de conexão e versão mínima de TLS como seu valor padrão.

12. Selecione Seguinte: Segurança na parte inferior da página. Configure qualquer uma das configurações do Microsoft Defender para criptografia de dados SQL, Ledger, Identity e Transparent para seu ambiente. Você também pode ignorar essas configurações.

    Nota

    O uso de uma identidade gerenciada atribuída pelo usuário como a identidade do servidor é suportado com a autenticação somente do Microsoft Entra. Para se conectar à instância como identidade, atribua-a a uma Máquina Virtual do Azure e execute o SSMS nessa VM. Para ambientes de produção, o uso de uma identidade gerenciada para o administrador do Microsoft Entra é recomendado devido às medidas de segurança aprimoradas e simplificadas com autenticação sem senha para recursos do Azure.

13. Selecione Rever + criar na parte inferior da página.

14. Na página Rever + criar, depois de rever, selecione Criar.

A CLI do Azure

O comando az sql server create CLI do Azure é usado para provisionar um novo servidor lógico. O comando abaixo irá provisionar um novo servidor com a autenticação somente Microsoft Entra-habilitada.

O administrador SQL do servidor será criado automaticamente e a senha será definida como uma senha aleatória. Como a conectividade de autenticação SQL está desabilitada com essa criação de servidor, o logon de administrador do SQL não será usado.

O servidor Microsoft Entra admin será a conta que você definiu para , e pode ser usado para <MSEntraAccount>gerenciar o servidor.

Substitua os seguintes valores no exemplo:

• <MSEntraAccount>: Pode ser um usuário ou grupo do Microsoft Entra. Por exemplo, DummyLogin
• <MSEntraAccountSID>: A ID de objeto do Microsoft Entra para o usuário
• <ResourceGroupName>: Nome do grupo de recursos para o servidor lógico
• <ServerName>: Use um nome de servidor lógico exclusivo

az sql server create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <ServerName>

Para obter mais informações, consulte az sql server create.

Para verificar o status do servidor após a criação, consulte o seguinte comando:

az sql server show --name <ServerName> --resource-group <ResourceGroupName> --expand-ad-admin

PowerShell

O comando New-AzSqlServer PowerShell é usado para provisionar um novo servidor lógico. O comando abaixo irá provisionar um novo servidor com a autenticação somente Microsoft Entra-habilitada.

O administrador SQL do servidor será criado automaticamente e a senha será definida como uma senha aleatória. Como a conectividade de autenticação SQL está desabilitada com essa criação de servidor, o logon de administrador do SQL não será usado.

O servidor Microsoft Entra admin será a conta que você definiu para , e pode ser usado para <MSEntraAccount>gerenciar o servidor.

Substitua os seguintes valores no exemplo:

• <ResourceGroupName>: Nome do grupo de recursos para o servidor lógico
• <Location>: Localização do servidor, como West US, ou Central US
• <ServerName>: Use um nome de servidor lógico exclusivo
• <MSEntraAccount>: Pode ser um usuário ou grupo do Microsoft Entra. Por exemplo, DummyLogin

$server = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
}

New-AzSqlServer @server

Aqui está um exemplo de especificação do nome do administrador do servidor (em vez de permitir que o nome do administrador do servidor seja criado automaticamente) no momento da criação do servidor lógico. Como mencionado anteriormente, esse login não é utilizável quando a autenticação somente do Microsoft Entra, está habilitada.

$cred = Get-Credential
New-AzSqlServer -ResourceGroupName "<ResourceGroupName>" -Location "<Location>" -ServerName "<ServerName>" -ServerVersion "12.0" -ExternalAdminName "<MSEntraAccount>" -EnableActiveDirectoryOnlyAuthentication -SqlAdministratorCredentials $cred

Para obter mais informações, consulte New-AzSqlServer.

API REST

A API REST Servidores - Criar ou Atualizar pode ser usada para criar um servidor lógico com a autenticação somente Microsoft Entra-habilitada durante o provisionamento.

O script abaixo provisionará um servidor lógico, definirá o administrador do Microsoft Entra como <MSEntraAccount>e habilitará a autenticação somente do Microsoft Entra. O administrador SQL do servidor também será criado automaticamente e a senha será definida como uma senha aleatória. Como a conectividade de autenticação SQL está desabilitada com esse provisionamento, o logon de administrador do SQL não será usado.

O administrador <MSEntraAccount> do Microsoft Entra pode ser usado para gerenciar o servidor quando o provisionamento estiver concluído.

Substitua os seguintes valores no exemplo:

• <tenantId>: Pode ser encontrado acessando o portal do Azure e acessando seu recurso Microsoft Entra ID. No painel Visão geral, você verá sua ID de locatário
• <subscriptionId>: Sua ID de assinatura pode ser encontrada no portal do Azure
• <ServerName>: Use um nome de servidor lógico exclusivo
• <ResourceGroupName>: Nome do grupo de recursos para o servidor lógico
• <MicrosoftEntraAccount>: Pode ser um usuário, grupo ou aplicativo do Microsoft Entra. Por exemplo, DummyLogin
• <Location>: Localização do servidor, como westus2, ou centralus
• <objectId>: Pode ser encontrado acessando o portal do Azure e acessando seu recurso Microsoft Entra ID. No painel Usuário, procure o usuário do Microsoft Entra e encontre sua ID de objeto. Se você estiver usando um aplicativo (entidade de serviço) como administrador do Microsoft Entra, substitua esse valor pela ID do aplicativo. Você precisará atualizar o principalType também.
• <principalType>: Uma das três opções: Usuário, Grupo, Aplicativo. O tipo do objeto Microsoft Entra usado como administrador. As identidades gerenciadas e as entidades de serviço são Aplicativos.

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$authUrl = "https://login.windows.net/$tenantId"
$serverName = "<ServerName>"
$resourceGroupName = "<ResourceGroupName>"

Login-AzAccount -tenantId $tenantId

# login as a user with SQL Server Contributor role or higher 

# Get a token

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes "https://management.core.windows.net/.default"

#Authetication header
$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

# Enable Microsoft Entra-only auth 
# No server admin is specified, Microsoft Entra admin is configured, and Microsoft Entra-only authentication is set to true
# Server admin (login and password) is randomly generated by the system

# Authentication body
# The sid is the Microsoft Entra Object ID for the user or group, and Application ID for applications. Update the principalType as well

$body = '{ 
"location": "<Location>",
"properties": { "administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true }
  }
}'

# Provision the server

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Para verificar o status do servidor, você pode usar o seguinte script:

$uri = 'https://management.azure.com/subscriptions/'+$subscriptionId+'/resourceGroups/'+$resourceGroupName+'/providers/Microsoft.Sql/servers/'+$serverName+'?api-version=2020-11-01-preview&$expand=administrators/activedirectory'

$responce=Invoke-WebRequest -Uri $uri -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

$responce.statuscode

$responce.content

Modelo do ARM

Para obter mais informações e modelos ARM, consulte Modelos do Azure Resource Manager para o Banco de Dados SQL do Azure & Instância Gerenciada SQL.

Para provisionar um servidor lógico com um conjunto de administradores do Microsoft Entra para o servidor e autenticação somente Microsoft Entra, habilitada usando um Modelo ARM, consulte nosso servidor lógico SQL do Azure com modelo de início rápido de autenticação somente Microsoft Entra.

Você também pode usar o modelo a seguir. Use uma implantação personalizada no portal do Azure e crie seu próprio modelo no editor. Em seguida, salve a configuração depois de colar no exemplo.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "string",
            "defaultValue": "[uniqueString('sql', resourceGroup().id)]",
            "metadata": {
                "description": "The name of the logical server."
            }
        },
        "location": {
            "type": "string",
            "defaultValue": "[resourceGroup().location]",
            "metadata": {
                "description": "Location for all resources."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "properties": {
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Instância Gerida do Azure SQL

Portal

1. Navegue até a página Selecionar opção de implantação SQL no portal do Azure.

2. Se você ainda não estiver conectado ao portal do Azure, entre quando solicitado.

3. Em Instâncias gerenciadas pelo SQL, deixe Tipo de recurso definido como Instância única e selecione Criar.

4. Preencha as informações obrigatórias necessárias na guia Noções básicas para obter detalhes do projeto e detalhes da instância gerenciada. Este é um conjunto mínimo de informações necessárias para provisionar uma instância gerenciada do SQL.

   

   Para obter mais informações sobre as opções de configuração, consulte Guia de início rápido: criar uma instância gerenciada SQL do Azure.

5. Em Autenticação, selecione Usar autenticação somente Microsoft Entra-only para o método de Autenticação.

6. Selecione Definir administrador para abrir o painel ID do Microsoft Entra e selecione uma entidade do Microsoft Entra como sua instância gerenciada Administrador do Microsoft Entra. Quando terminar, use o botão Selecionar para definir o administrador.

   

7. Você pode deixar o restante das configurações padrão. Para obter mais informações sobre Rede, Segurança ou outras guias e configurações, siga o guia no artigo Guia de início rápido: criar uma instância gerenciada SQL do Azure.

8. Quando terminar de definir as configurações, selecione Revisar + criar para continuar. Selecione Criar para iniciar o provisionamento da instância gerenciada.

A CLI do Azure

O comando az sql mi create CLI do Azure é usado para provisionar uma nova Instância Gerenciada SQL do Azure. O comando abaixo provisionará uma nova instância gerenciada com a autenticação somente Microsoft Entra-habilitada.

Nota

O script requer que uma rede virtual e uma sub-rede sejam criadas como pré-requisito.

O administrador SQL da instância gerenciada será criado automaticamente e a senha será definida como uma senha aleatória. Como a autenticação SQL está desabilitada com essa disposição, o administrador do SQL não será usado.

O administrador do Microsoft Entra será a conta definida para a qual você definiu e poderá ser usado para <MSEntraAccount>gerenciar a instância quando o provisionamento for concluído.

Substitua os seguintes valores no exemplo:

• <MSEntraAccount>: Pode ser um usuário ou grupo do Microsoft Entra. Por exemplo, DummyLogin
• <MSEntraAccountSID>: A ID de objeto do Microsoft Entra para o usuário
• <managedinstancename>: Nomeie a instância gerenciada que você deseja criar
• <ResourceGroupName>: Nome do grupo de recursos para sua instância gerenciada. O grupo de recursos também deve incluir a rede virtual e a sub-rede criadas
• O subnet parâmetro precisa ser atualizado com o <Subscription ID>, <ResourceGroupName>, , <VNetName>e <SubnetName>. Sua ID de assinatura pode ser encontrada no portal do Azure

az sql mi create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <managedinstancename> \
    --subnet /subscriptions/<Subscription ID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>

Para obter mais informações, consulte az sql mi create.

PowerShell

O comando New-AzSqlInstance PowerShell é usado para provisionar uma nova Instância Gerenciada SQL do Azure. O comando abaixo provisionará uma nova instância gerenciada com a autenticação somente Microsoft Entra-habilitada.

Nota

O script requer que uma rede virtual e uma sub-rede sejam criadas como pré-requisito.

O administrador SQL da instância gerenciada será criado automaticamente e a senha será definida como uma senha aleatória. Como a conectividade de autenticação SQL está desabilitada com essa disposição, o logon do administrador do SQL não será usado.

O administrador do Microsoft Entra será a conta definida para a qual você definiu e poderá ser usado para <MSEntraAccount>gerenciar a instância quando o provisionamento for concluído.

Substitua os seguintes valores no exemplo:

• <managedinstancename>: Nomeie a instância gerenciada que você deseja criar
• <ResourceGroupName>: Nome do grupo de recursos para sua instância gerenciada. O grupo de recursos também deve incluir a rede virtual e a sub-rede criadas
• <MSEntraAccount>: Pode ser um usuário ou grupo do Microsoft Entra. Por exemplo, DummyLogin
• <Location>: Localização do servidor, como West US, ou Central US
• O SubnetId parâmetro precisa ser atualizado com o <Subscription ID>, <ResourceGroupName>, , <VNetName>e <SubnetName>. Sua ID de assinatura pode ser encontrada no portal do Azure

$instanceName = @{
    Name = "<managedinstancename>"
    ResourceGroupName = "<ResourceGroupName>"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
    Location = "<Location>"
    SubnetId = "/subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>"
    LicenseType = "LicenseIncluded"
    StorageSizeInGB = 128
    VCore = 4
    Edition = "GeneralPurpose"
    ComputeGeneration = "Gen5"
}

New-AzSqlInstance $instanceName

Para obter mais informações, consulte New-AzSqlInstance.

API REST

A API REST de Instâncias Gerenciadas SQL - Criar ou Atualizar pode ser usada para criar uma instância gerenciada com a autenticação somente Microsoft Entra, habilitada durante o provisionamento.

Nota

O script requer que uma rede virtual e uma sub-rede sejam criadas como pré-requisito.

O script abaixo provisionará uma instância gerenciada, definirá o administrador do Microsoft Entra como <MSEntraAccount>e habilitará a autenticação somente do Microsoft Entra. O administrador SQL da instância também será criado automaticamente e a senha será definida como uma senha aleatória. Como a conectividade de autenticação SQL está desabilitada com esse provisionamento, o logon de administrador do SQL não será usado.

O administrador <MSEntraAccount> do Microsoft Entra pode ser usado para gerenciar a instância quando o provisionamento for concluído.

Substitua os seguintes valores no exemplo:

• <tenantId>: Pode ser encontrado acessando o portal do Azure e acessando seu recurso Microsoft Entra ID. No painel Visão geral, você verá sua ID de locatário
• <subscriptionId>: Sua ID de assinatura pode ser encontrada no portal do Azure
• <instanceName>: Use um nome de instância gerenciado exclusivo
• <ResourceGroupName>: Nome do grupo de recursos para o servidor lógico
• <MSEntraAccount>: Pode ser um usuário ou grupo do Microsoft Entra. Por exemplo, DummyLogin
• <Location>: Localização do servidor, como westus2, ou centralus
• <objectId>: Pode ser encontrado acessando o portal do Azure e acessando seu recurso Microsoft Entra ID. No painel Usuário, procure o usuário do Microsoft Entra e encontre sua ID de objeto. Se você estiver usando um aplicativo (entidade de serviço) como administrador do Microsoft Entra, substitua esse valor pela ID do aplicativo. Você precisará atualizar o principalType também.
• O subnetId parâmetro precisa ser atualizado com o , o <ResourceGroupName>Subscription ID, <VNetName>e<SubnetName>

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$instanceName = "<instanceName>"
$resourceGroupName = "<ResourceGroupName>"
$scopes ="https://management.core.windows.net/.default"

Login-AzAccount -tenantId $tenantId

# Login as an Microsoft Entra user with permission to provision a managed instance

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes $scopes

$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

$body = '{
"name": "<instanceName>", "type": "Microsoft.Sql/managedInstances", "identity": { "type": "SystemAssigned"},"location": "<Location>", "sku": {"name": "GP_Gen5", "tier": "GeneralPurpose", "family":"Gen5","capacity": 8},
"properties": {"administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true },
"subnetId": "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>",
"licenseType": "LicenseIncluded", "vCores": 8, "storageSizeInGB": 2048, "collation": "SQL_Latin1_General_CP1_CI_AS", "proxyOverride": "Proxy", "timezoneId": "UTC", "privateEndpointConnections": [], "storageAccountType": "GRS", "zoneRedundant": false 
  }
}'

# To provision the instance, execute the `PUT` command

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Para verificar os resultados, execute o GET comando:

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method GET -Headers $authHeader  | Format-List

Modelo do ARM

Para provisionar uma nova instância gerenciada, rede virtual e sub-rede, com um conjunto de administradores do Microsoft Entra para a instância e autenticação somente Microsoft Entra, use o modelo a seguir.

Use uma implantação personalizada no portal do Azure e crie seu próprio modelo no editor. Em seguida, salve a configuração depois de colar no exemplo.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "managedInstanceName": {
            "type": "String",
            "metadata": {
                "description": "Enter managed instance name."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL managed instance."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin. The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "location": {
            "defaultValue": "[resourceGroup().location]",
            "type": "String",
            "metadata": {
                "description": "Enter location. If you leave this field blank resource group location would be used."
            }
        },
        "virtualNetworkName": {
            "type": "String",
            "defaultValue": "SQLMI-VNET",
            "metadata": {
                "description": "Enter virtual network name. If you leave this field blank name will be created by the template."
            }
        },
        "addressPrefix": {
            "defaultValue": "10.0.0.0/16",
            "type": "String",
            "metadata": {
                "description": "Enter virtual network address prefix."
            }
        },
        "subnetName": {
            "type": "String",
            "defaultValue": "ManagedInstances",
            "metadata": {
                "description": "Enter subnet name. If you leave this field blank name will be created by the template."
            }
        },
        "subnetPrefix": {
            "defaultValue": "10.0.0.0/24",
            "type": "String",
            "metadata": {
                "description": "Enter subnet address prefix."
            }
        },
        "skuName": {
            "defaultValue": "GP_Gen5",
            "allowedValues": [
                "GP_Gen5",
                "BC_Gen5"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter sku name."
            }
        },
        "vCores": {
            "defaultValue": 16,
            "allowedValues": [
                8,
                16,
                24,
                32,
                40,
                64,
                80
            ],
            "type": "Int",
            "metadata": {
                "description": "Enter number of vCores."
            }
        },
        "storageSizeInGB": {
            "defaultValue": 256,
            "minValue": 32,
            "maxValue": 8192,
            "type": "Int",
            "metadata": {
                "description": "Enter storage size."
            }
        },
        "licenseType": {
            "defaultValue": "LicenseIncluded",
            "allowedValues": [
                "BasePrice",
                "LicenseIncluded"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter license type."
            }
        }
    },
    "variables": {
        "networkSecurityGroupName": "[concat('SQLMI-', parameters('managedInstanceName'), '-NSG')]",
        "routeTableName": "[concat('SQLMI-', parameters('managedInstanceName'), '-Route-Table')]"
    },
    "resources": [
        {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2020-06-01",
            "name": "[variables('networkSecurityGroupName')]",
            "location": "[parameters('location')]",
            "properties": {
                "securityRules": [
                    {
                        "name": "allow_tds_inbound",
                        "properties": {
                            "description": "Allow access to data",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "1433",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1000,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "allow_redirect_inbound",
                        "properties": {
                            "description": "Allow inbound redirect traffic to SQL Managed Instance inside the virtual network",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "11000-11999",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1100,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_inbound",
                        "properties": {
                            "description": "Deny all other inbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_outbound",
                        "properties": {
                            "description": "Deny all other outbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Outbound"
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Network/routeTables",
            "apiVersion": "2020-06-01",
            "name": "[variables('routeTableName')]",
            "location": "[parameters('location')]",
            "properties": {
                "disableBgpRoutePropagation": false
            }
        },
        {
            "type": "Microsoft.Network/virtualNetworks",
            "apiVersion": "2020-06-01",
            "name": "[parameters('virtualNetworkName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[variables('routeTableName')]",
                "[variables('networkSecurityGroupName')]"
            ],
            "properties": {
                "addressSpace": {
                    "addressPrefixes": [
                        "[parameters('addressPrefix')]"
                    ]
                },
                "subnets": [
                    {
                        "name": "[parameters('subnetName')]",
                        "properties": {
                            "addressPrefix": "[parameters('subnetPrefix')]",
                            "routeTable": {
                                "id": "[resourceId('Microsoft.Network/routeTables', variables('routeTableName'))]"
                            },
                            "networkSecurityGroup": {
                                "id": "[resourceId('Microsoft.Network/networkSecurityGroups', variables('networkSecurityGroupName'))]"
                            },
                            "delegations": [
                                {
                                    "name": "miDelegation",
                                    "properties": {
                                        "serviceName": "Microsoft.Sql/managedInstances"
                                    }
                                }
                            ]
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('managedInstanceName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[parameters('virtualNetworkName')]"
            ],
            "sku": {
                "name": "[parameters('skuName')]"
            },
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "subnetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('virtualNetworkName'), parameters('subnetName'))]",
                "storageSizeInGB": "[parameters('storageSizeInGB')]",
                "vCores": "[parameters('vCores')]",
                "licenseType": "[parameters('licenseType')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Conceder permissões de Leitores de Diretório

Quando a implantação estiver concluída para sua instância gerenciada, você poderá notar que a Instância Gerenciada SQL precisa de permissões de Leitura para acessar a ID do Microsoft Entra. As permissões de leitura podem ser concedidas clicando na mensagem exibida no portal do Azure por uma pessoa com privilégios suficientes. Para obter mais informações, consulte Função Leitores de Diretório no Microsoft Entra para Azure SQL.

Limitações

• Para redefinir a senha de administrador do servidor, a autenticação somente Microsoft Entra-somente deve ser desabilitada.
• Se a autenticação somente Microsoft Entra-estiver desabilitada, você deverá criar um servidor com um administrador de servidor e senha ao usar todas as APIs.

Conteúdos relacionados

• Se você já tiver um servidor lógico ou uma instância gerenciada pelo SQL e quiser apenas habilitar a autenticação somente do Microsoft Entra, consulte Tutorial: Habilitar a autenticação somente do Microsoft Entra-only com o Azure SQL.
• Para obter mais informações sobre o recurso de autenticação somente Microsoft Entra, consulte Autenticação somente Microsoft Entra-only com Azure SQL.
• Se você deseja impor a criação de servidor com a autenticação somente Microsoft Entra-habilitada, consulte Política do Azure para autenticação somente Microsoft Entra-only com o Azure SQL