Azure SQL'de Microsoft Entra-only kimlik doğrulamasının etkinleştirildiği sunucu oluşturma

Şunlar için geçerlidir:Azure SQL Veritabanı Azure SQL Yönetilen Örneği

Bu nasıl yapılır kılavuzunda, Azure SQL Veritabanı için mantıksal sunucu oluşturma adımları veya sağlama sırasında Microsoft Yalnızca entra-only kimlik doğrulamasının etkinleştirildiği bir Azure SQL Yönetilen Örneğiözetlenmiştir. Yalnızca Microsoft Entra-only kimlik doğrulaması özelliği, kullanıcıların SQL kimlik doğrulaması kullanarak sunucuya veya yönetilen örneğe bağlanmasını engeller ve yalnızca Microsoft Entra Kimliği (eski adıYla Azure Active Directory) ile kimlik doğrulaması yapılan bağlantılara izin verir.

Not

Microsoft Entra Id daha önce Azure Active Directory (Azure AD) olarak biliniyordu.

Önkoşullar

• Azure CLI kullanılırken sürüm 2.26.1 veya üzeri gereklidir. Yükleme ve en son sürüm hakkında daha fazla bilgi için bkz . Azure CLI'yi yükleme.
• PowerShell kullanılırken Az 6.1.0 veya üzeri bir modül gereklidir.
• Azure CLI, PowerShell veya REST API kullanarak bir yönetilen örnek hazırlıyorsanız başlamadan önce bir sanal ağ ve alt ağ oluşturulması gerekir. Daha fazla bilgi için bkz. Azure SQL Yönetilen Örneği için sanal ağ oluşturma.

İzinler

Mantıksal sunucu veya yönetilen örnek sağlamak için bu kaynakları oluşturmak için uygun izinlere sahip olmanız gerekir. Abonelik Sahipleri, Katkıda Bulunanlar, Hizmet Yönetici strator'lar ve Ortak Yönetici sağlayıcılar gibi daha yüksek izinlere sahip Azure kullanıcıları sql sunucusu veya yönetilen örnek oluşturma ayrıcalığına sahiptir. Bu kaynakları en az ayrıcalıklı Azure RBAC rolüyle oluşturmak için SQL Veritabanı için SQL Server Katkıda Bulunanı rolünü ve SQL Yönetilen Örneği için SQL Yönetilen Örneği Katkıda Bulunan rolünü kullanın.

SQL Security Manager Azure RBAC rolü, Microsoft Entra-only kimlik doğrulamasının etkinleştirildiği bir sunucu veya örnek oluşturmak için yeterli izne sahip değildir. Sql Security Manager rolü, sunucu veya örnek oluşturulduktan sonra Microsoft Entra-only kimlik doğrulama özelliğini yönetmek için gereklidir.

Microsoft Entra-only kimlik doğrulaması etkin olarak sağlama

Aşağıdaki bölümde, sunucu veya örnek için ayarlanmış bir Microsoft Entra yönetici kümesiyle mantıksal sunucu veya yönetilen örnek oluşturma ve sunucu oluşturma sırasında Microsoft Entra-only kimlik doğrulamasının etkinleştirilmesi ile ilgili örnekler ve betikler sağlanır. Özellik hakkında daha fazla bilgi için bkz . Microsoft Yalnızca entra-only kimlik doğrulaması.

Örneklerimizde, sistem tarafından atanan sunucu yöneticisi ve parolası ile sunucu veya yönetilen örnek oluşturma sırasında Microsoft Entra-only kimlik doğrulamasını etkinleştiriyoruz. Bu, Microsoft Entra-only kimlik doğrulaması etkinleştirildiğinde sunucu yöneticisi erişimini engeller ve yalnızca Microsoft Entra yöneticisinin kaynağa erişmesine izin verir. Sunucu oluşturma sırasında kendi sunucu yöneticinizi ve parolanızı eklemek için API'lere parametre eklemek isteğe bağlıdır. Ancak, Microsoft Entra-only kimlik doğrulamasını devre dışı bırakmadan parola sıfırlanamaz. Sunucu yöneticisi oturum açma adını belirtmek için bu isteğe bağlı parametrelerin nasıl kullanılacağına ilişkin bir örnek, bu sayfadaki PowerShell sekmesinde gösterilir.

Not

Sunucu veya yönetilen örnek oluşturulduktan sonra mevcut özellikleri değiştirmek için diğer mevcut API'ler kullanılmalıdır. Daha fazla bilgi için bkz . API'leri kullanarak Microsoft Entra-only kimlik doğrulamasını yönetme ve Azure SQL ile Microsoft Entra kimlik doğrulamasını yapılandırma ve yönetme.

Microsoft Entra-only kimlik doğrulaması varsayılan olarak false olarak ayarlanırsa, sunucu yöneticisi ve parolanın sunucu veya yönetilen örnek oluşturma sırasında tüm API'lere eklenmesi gerekir.

Azure SQL Veritabanı

Portal

1. Azure portalında SQL dağıtımını seç seçeneği sayfasına gidin.

2. Azure portalında henüz oturum açmadıysanız istendiğinde oturum açın.

3. SQL veritabanları'nın altında Kaynak türü'nü Tek veritabanı olarak bırakın ve Oluştur'u seçin.

4. SQL Veritabanı Oluştur formunun Temel Bilgiler sekmesinde, Proje ayrıntıları'nın altında istediğiniz Azure Aboneliği'ni seçin.

5. Kaynak grubu için Yeni oluştur'u seçin, kaynak grubunuz için bir ad girin ve Tamam'ı seçin.

6. Veritabanı adı alanına veritabanınız için bir ad girin.

7. Sunucu için Yeni oluştur'u seçin ve yeni sunucu formunu aşağıdaki değerlerle doldurun:

   • Sunucu adı: Benzersiz bir sunucu adı girin. Sunucu adları yalnızca abonelik içinde benzersiz değil, Azure'daki tüm sunucular için genel olarak benzersiz olmalıdır. Bir değer girdiğinizde Azure portalı kullanılabilir olup olmadığını size bildirir.
   • Konum: Açılan listeden bir konum seçin
   • Kimlik doğrulama yöntemi: Microsoft Entra-only kimlik doğrulamayı kullan'ı seçin.
   • Yöneticiyi ayarla'yı seçerek Microsoft Entra Id bölmesini açın ve mantıksal sunucu Microsoft Entra yöneticiniz olarak bir Microsoft Entra sorumlusu seçin. İşiniz bittiğinde, yöneticinizi ayarlamak için Seç düğmesini kullanın.

   

8. Sayfanın alt kısmındaki İleri: Ağ'ı seçin.

9. Ağ sekmesindeki Bağlan ivity yöntemi için Genel uç nokta'yı seçin.

10. Güvenlik duvarı kuralları için Geçerli istemci IP adresi ekle'yi Evet olarak ayarlayın. Azure hizmetlerinin ve kaynaklarının bu sunucuya erişmesine izin ver seçeneğini Hayır olarak bırakın.

11. varsayılan değerleri olarak Bağlan ion ilkesini ve En Düşük TLS sürüm ayarlarını bırakın.

12. Sayfanın alt kısmındaki İleri: Güvenlik'i seçin. Ortamınız için SQL, Ledger, Identity ve Transparent veri şifrelemesi için Microsoft Defender ayarlarından herhangi birini yapılandırın. Bu ayarları da atlayabilirsiniz.

    Not

    Sunucu kimliği olarak kullanıcı tarafından atanan yönetilen kimliğin kullanılması Microsoft Entra-only kimlik doğrulaması ile desteklenir. Örneğe kimlik olarak bağlanmak için bunu bir Azure Sanal Makinesine atayın ve bu VM'de SSMS'yi çalıştırın. Üretim ortamlarında, Azure kaynaklarına parolasız kimlik doğrulamasıyla gelişmiş, basitleştirilmiş güvenlik önlemleri nedeniyle Microsoft Entra yöneticisi için yönetilen kimlik kullanılması önerilir.

13. Sayfanın alt kısmındaki Gözden geçir ve oluştur'u seçin.

14. Gözden Geçir + oluştur sayfasında, gözden geçirdikten sonra Oluştur'u seçin.

The Azure CLI

Azure CLI komutu az sql server create , yeni bir mantıksal sunucu sağlamak için kullanılır. Aşağıdaki komut, Microsoft Entra-only kimlik doğrulamasının etkinleştirildiği yeni bir sunucu sağlar.

Sunucu SQL yöneticisi otomatik olarak oluşturulur ve parola rastgele bir parolaya ayarlanır. Sql kimlik doğrulaması bağlantısı bu sunucu oluşturma işlemiyle devre dışı bırakıldığından, SQL yöneticisi oturum açma bilgileri kullanılmaz.

Microsoft Entra yöneticisi, için <MSEntraAccount>ayarladığınız hesap olacaktır ve sunucuyu yönetmek için kullanılabilir.

Örnekteki aşağıdaki değerleri değiştirin:

• <MSEntraAccount>: Microsoft Entra kullanıcısı veya grubu olabilir. Örneğin DummyLogin
• <MSEntraAccountSID>: Kullanıcının Microsoft Entra Nesne Kimliği
• <ResourceGroupName>: Mantıksal sunucunuzun kaynak grubunun adı
• <ServerName>: Benzersiz bir mantıksal sunucu adı kullanın

az sql server create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <ServerName>

Daha fazla bilgi için bkz . az sql server create.

Oluşturma işleminden sonra sunucu durumunu denetlemek için aşağıdaki komuta bakın:

az sql server show --name <ServerName> --resource-group <ResourceGroupName> --expand-ad-admin

PowerShell

PowerShell komutu New-AzSqlServer yeni bir mantıksal sunucu sağlamak için kullanılır. Aşağıdaki komut, Microsoft Entra-only kimlik doğrulamasının etkinleştirildiği yeni bir sunucu sağlar.

Sunucu SQL yöneticisi otomatik olarak oluşturulur ve parola rastgele bir parolaya ayarlanır. Sql kimlik doğrulaması bağlantısı bu sunucu oluşturma işlemiyle devre dışı bırakıldığından, SQL yöneticisi oturum açma bilgileri kullanılmaz.

Microsoft Entra yöneticisi, için <MSEntraAccount>ayarladığınız hesap olacaktır ve sunucuyu yönetmek için kullanılabilir.

Örnekteki aşağıdaki değerleri değiştirin:

• <ResourceGroupName>: Mantıksal sunucunuzun kaynak grubunun adı
• <Location>: Sunucunun konumu, örneğin West US, veya Central US
• <ServerName>: Benzersiz bir mantıksal sunucu adı kullanın
• <MSEntraAccount>: Microsoft Entra kullanıcısı veya grubu olabilir. Örneğin DummyLogin

$server = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
}

New-AzSqlServer @server

Aşağıda, mantıksal sunucu oluşturma sırasında sunucu yöneticisi adını belirtmeye (sunucu yöneticisi adının otomatik olarak oluşturulmasına izin vermek yerine) bir örnek verilmiştir. Daha önce de belirtildiği gibi, Microsoft Entra-only kimlik doğrulaması etkinleştirildiğinde bu oturum açma bilgileri kullanılamaz.

$cred = Get-Credential
New-AzSqlServer -ResourceGroupName "<ResourceGroupName>" -Location "<Location>" -ServerName "<ServerName>" -ServerVersion "12.0" -ExternalAdminName "<MSEntraAccount>" -EnableActiveDirectoryOnlyAuthentication -SqlAdministratorCredentials $cred

Daha fazla bilgi için bkz . New-AzSqlServer.

REST API

Sunucular - Oluşturma veya Güncelleştirme REST API'si, sağlama sırasında Microsoft Entra-only kimlik doğrulamasının etkinleştirildiği bir mantıksal sunucu oluşturmak için kullanılabilir.

Aşağıdaki betik bir mantıksal sunucu sağlar, Microsoft Entra yöneticisini olarak <MSEntraAccount>ayarlar ve Microsoft Entra-only kimlik doğrulamasını etkinleştirir. Sunucu SQL yöneticisi de otomatik olarak oluşturulur ve parola rastgele bir parolaya ayarlanır. Bu sağlama ile SQL kimlik doğrulaması bağlantısı devre dışı bırakıldığından, SQL yöneticisi oturum açma bilgileri kullanılmaz.

Microsoft Entra yöneticisi, <MSEntraAccount> sağlama tamamlandığında sunucuyu yönetmek için kullanılabilir.

Örnekteki aşağıdaki değerleri değiştirin:

• <tenantId>: Azure portalına gidip Microsoft Entra ID kaynağınıza giderek bulunabilir. Genel Bakış bölmesinde Kiracı Kimliğinizi görmeniz gerekir
• <subscriptionId>: Abonelik kimliğiniz Azure portalında bulunabilir
• <ServerName>: Benzersiz bir mantıksal sunucu adı kullanın
• <ResourceGroupName>: Mantıksal sunucunuzun kaynak grubunun adı
• <MicrosoftEntraAccount>: Microsoft Entra kullanıcısı, grubu veya uygulaması olabilir. Örneğin DummyLogin
• <Location>: Sunucunun konumu, örneğin westus2, veya centralus
• <objectId>: Azure portalına gidip Microsoft Entra ID kaynağınıza giderek bulunabilir. Kullanıcı bölmesinde Microsoft Entra kullanıcısını arayın ve Nesne Kimliğini bulun. Microsoft Entra yöneticisi olarak bir uygulama (hizmet sorumlusu) kullanıyorsanız, bu değeri Uygulama Kimliği ile değiştirin. Öğesini de güncelleştirmeniz principalType gerekir.
• <principalType>: Üç seçenek arasında: Kullanıcı, Grup, Uygulama. Yönetici olarak kullanılan Microsoft Entra nesnesinin türü. Yönetilen kimlikler ve hizmet sorumluları Uygulamalar'dır.

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$authUrl = "https://login.windows.net/$tenantId"
$serverName = "<ServerName>"
$resourceGroupName = "<ResourceGroupName>"

Login-AzAccount -tenantId $tenantId

# login as a user with SQL Server Contributor role or higher 

# Get a token

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes "https://management.core.windows.net/.default"

#Authetication header
$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

# Enable Microsoft Entra-only auth 
# No server admin is specified, Microsoft Entra admin is configured, and Microsoft Entra-only authentication is set to true
# Server admin (login and password) is randomly generated by the system

# Authentication body
# The sid is the Microsoft Entra Object ID for the user or group, and Application ID for applications. Update the principalType as well

$body = '{ 
"location": "<Location>",
"properties": { "administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true }
  }
}'

# Provision the server

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Sunucu durumunu denetlemek için aşağıdaki betiği kullanabilirsiniz:

$uri = 'https://management.azure.com/subscriptions/'+$subscriptionId+'/resourceGroups/'+$resourceGroupName+'/providers/Microsoft.Sql/servers/'+$serverName+'?api-version=2020-11-01-preview&$expand=administrators/activedirectory'

$responce=Invoke-WebRequest -Uri $uri -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

$responce.statuscode

$responce.content

ARM Şablonu

Daha fazla bilgi ve ARM şablonları için bkz. Azure SQL Veritabanı ve SQL Yönetilen Örneği için Azure Resource Manager şablonları.

Sunucu için bir Microsoft Entra yönetici kümesi ve ARM Şablonu kullanılarak etkinleştirilen Microsoft Entra-only kimlik doğrulamasına sahip bir mantıksal sunucu sağlamak için bkz . Microsoft Entra-only kimlik doğrulaması hızlı başlangıç şablonu ile Azure SQL mantıksal sunucusu.

Aşağıdaki şablonu da kullanabilirsiniz. Azure portalında özel dağıtım kullanın ve düzenleyicide kendi şablonunuzu oluşturun. Ardından, örnekte yapıştırdıktan sonra yapılandırmayı kaydedin .

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "string",
            "defaultValue": "[uniqueString('sql', resourceGroup().id)]",
            "metadata": {
                "description": "The name of the logical server."
            }
        },
        "location": {
            "type": "string",
            "defaultValue": "[resourceGroup().location]",
            "metadata": {
                "description": "Location for all resources."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "properties": {
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Azure SQL Yönetilen Örnek

Portal

1. Azure portalında SQL dağıtımını seç seçeneği sayfasına gidin.

2. Azure portalında henüz oturum açmadıysanız istendiğinde oturum açın.

3. SQL yönetilen örnekleri'nin altında Kaynak türü'nü Tek örnek olarak bırakın ve Oluştur'u seçin.

4. Proje ayrıntıları ve Yönetilen Örnek ayrıntıları için Temel Bilgiler sekmesinde gerekli zorunlu bilgileri doldurun. Bu, SQL Yönetilen Örneği sağlamak için gereken minimum bilgi kümesidir.

   

   Yapılandırma seçenekleri hakkında daha fazla bilgi için bkz. Hızlı Başlangıç: Azure SQL Yönetilen Örneği oluşturma.

5. Kimlik Doğrulaması'nın altında, Kimlik Doğrulama yöntemi için Microsoft Entra-only kimlik doğrulamasını kullan'ı seçin.

6. Yöneticiyi ayarla'yı seçerek Microsoft Entra Id bölmesini açın ve yönetilen örneğiniz Microsoft Entra yöneticisi olarak bir Microsoft Entra sorumlusu seçin. İşiniz bittiğinde, yöneticinizi ayarlamak için Seç düğmesini kullanın.

   

7. Ayarların geri kalanını varsayılan olarak bırakabilirsiniz. Ağ, Güvenlik veya diğer sekmeler ve ayarlar hakkında daha fazla bilgi için Hızlı Başlangıç: Azure SQL Yönetilen Örneği oluşturma makalesindeki kılavuzu izleyin.

8. Ayarlarınızı yapılandırmayı tamamladıktan sonra devam etmek için Gözden geçir ve oluştur'u seçin. Yönetilen örneği sağlamaya başlamak için Oluştur'u seçin.

The Azure CLI

Azure CLI komutu az sql mi create yeni bir Azure SQL Yönetilen Örneği sağlamak için kullanılır. Aşağıdaki komut, Microsoft Entra-only kimlik doğrulamasının etkinleştirildiği yeni bir yönetilen örnek sağlar.

Not

Betik bir sanal ağ gerektirir ve alt ağ önkoşul olarak oluşturulur.

Yönetilen örnek SQL yöneticisi otomatik olarak oluşturulur ve parola rastgele bir parolaya ayarlanır. SQL kimlik doğrulaması bu sağlamayla devre dışı bırakıldığından SQL yöneticisi kullanılmaz.

Microsoft Entra yöneticisi için ayarladığınız hesap olacaktır ve sağlama tamamlandığında örneği yönetmek için <MSEntraAccount>kullanılabilir.

Örnekteki aşağıdaki değerleri değiştirin:

• <MSEntraAccount>: Microsoft Entra kullanıcısı veya grubu olabilir. Örneğin DummyLogin
• <MSEntraAccountSID>: Kullanıcının Microsoft Entra Nesne Kimliği
• <managedinstancename>: Oluşturmak istediğiniz yönetilen örneği adlandırın
• <ResourceGroupName>: Yönetilen örneğinizin kaynak grubunun adı. Kaynak grubu, oluşturulan sanal ağı ve alt ağı da içermelidir
• parametresinin subnet , , <ResourceGroupName><VNetName>ve <SubnetName>ile <Subscription ID>güncelleştirilmesi gerekir. Abonelik kimliğiniz Azure portalında bulunabilir

az sql mi create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <managedinstancename> \
    --subnet /subscriptions/<Subscription ID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>

Daha fazla bilgi için bkz . az sql mi create.

PowerShell

PowerShell komutu New-AzSqlInstance yeni bir Azure SQL Yönetilen Örneği sağlamak için kullanılır. Aşağıdaki komut, Microsoft Entra-only kimlik doğrulamasının etkinleştirildiği yeni bir yönetilen örnek sağlar.

Not

Betik bir sanal ağ gerektirir ve alt ağ önkoşul olarak oluşturulur.

Yönetilen örnek SQL yöneticisi otomatik olarak oluşturulur ve parola rastgele bir parolaya ayarlanır. Bu sağlamayla SQL kimlik doğrulaması bağlantısı devre dışı bırakıldığından, SQL yöneticisi oturum açma bilgileri kullanılmaz.

Microsoft Entra yöneticisi için ayarladığınız hesap olacaktır ve sağlama tamamlandığında örneği yönetmek için <MSEntraAccount>kullanılabilir.

Örnekteki aşağıdaki değerleri değiştirin:

• <managedinstancename>: Oluşturmak istediğiniz yönetilen örneği adlandırın
• <ResourceGroupName>: Yönetilen örneğinizin kaynak grubunun adı. Kaynak grubu, oluşturulan sanal ağı ve alt ağı da içermelidir
• <MSEntraAccount>: Microsoft Entra kullanıcısı veya grubu olabilir. Örneğin DummyLogin
• <Location>: Sunucunun konumu, örneğin West US, veya Central US
• parametresinin SubnetId , , <ResourceGroupName><VNetName>ve <SubnetName>ile <Subscription ID>güncelleştirilmesi gerekir. Abonelik kimliğiniz Azure portalında bulunabilir

$instanceName = @{
    Name = "<managedinstancename>"
    ResourceGroupName = "<ResourceGroupName>"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
    Location = "<Location>"
    SubnetId = "/subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>"
    LicenseType = "LicenseIncluded"
    StorageSizeInGB = 128
    VCore = 4
    Edition = "GeneralPurpose"
    ComputeGeneration = "Gen5"
}

New-AzSqlInstance $instanceName

Daha fazla bilgi için bkz . New-AzSqlInstance.

REST API

SQL Yönetilen Örneği s - Create Or Update REST API'sini kullanarak sağlama sırasında Microsoft Entra-only kimlik doğrulaması etkin bir yönetilen örnek oluşturabilirsiniz.

Not

Betik bir sanal ağ gerektirir ve alt ağ önkoşul olarak oluşturulur.

Aşağıdaki betik yönetilen bir örnek sağlar, Microsoft Entra yöneticisini olarak <MSEntraAccount>ayarlar ve Microsoft Entra-only kimlik doğrulamasını etkinleştirir. Örnek SQL yöneticisi de otomatik olarak oluşturulur ve parola rastgele bir parolaya ayarlanır. Bu sağlama ile SQL kimlik doğrulaması bağlantısı devre dışı bırakıldığından, SQL yöneticisi oturum açma bilgileri kullanılmaz.

Microsoft Entra yöneticisi, <MSEntraAccount> sağlama tamamlandığında örneği yönetmek için kullanılabilir.

Örnekteki aşağıdaki değerleri değiştirin:

• <tenantId>: Azure portalına gidip Microsoft Entra ID kaynağınıza giderek bulunabilir. Genel Bakış bölmesinde Kiracı Kimliğinizi görmeniz gerekir
• <subscriptionId>: Abonelik kimliğiniz Azure portalında bulunabilir
• <instanceName>: Benzersiz bir yönetilen örnek adı kullanın
• <ResourceGroupName>: Mantıksal sunucunuzun kaynak grubunun adı
• <MSEntraAccount>: Microsoft Entra kullanıcısı veya grubu olabilir. Örneğin DummyLogin
• <Location>: Sunucunun konumu, örneğin westus2, veya centralus
• <objectId>: Azure portalına gidip Microsoft Entra ID kaynağınıza giderek bulunabilir. Kullanıcı bölmesinde Microsoft Entra kullanıcısını arayın ve Nesne Kimliğini bulun. Microsoft Entra yöneticisi olarak bir uygulama (hizmet sorumlusu) kullanıyorsanız, bu değeri Uygulama Kimliği ile değiştirin. Öğesini de güncelleştirmeniz principalType gerekir.
• parametresinin subnetId , , Subscription ID<VNetName>ve ile <ResourceGroupName>güncelleştirilmesi gerekir<SubnetName>

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$instanceName = "<instanceName>"
$resourceGroupName = "<ResourceGroupName>"
$scopes ="https://management.core.windows.net/.default"

Login-AzAccount -tenantId $tenantId

# Login as an Microsoft Entra user with permission to provision a managed instance

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes $scopes

$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

$body = '{
"name": "<instanceName>", "type": "Microsoft.Sql/managedInstances", "identity": { "type": "SystemAssigned"},"location": "<Location>", "sku": {"name": "GP_Gen5", "tier": "GeneralPurpose", "family":"Gen5","capacity": 8},
"properties": {"administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true },
"subnetId": "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>",
"licenseType": "LicenseIncluded", "vCores": 8, "storageSizeInGB": 2048, "collation": "SQL_Latin1_General_CP1_CI_AS", "proxyOverride": "Proxy", "timezoneId": "UTC", "privateEndpointConnections": [], "storageAccountType": "GRS", "zoneRedundant": false 
  }
}'

# To provision the instance, execute the `PUT` command

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Sonuçları denetlemek için komutunu yürütür GET :

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method GET -Headers $authHeader  | Format-List

ARM Şablonu

Örnek için bir Microsoft Entra yönetici kümesi ve Microsoft Entra-only kimlik doğrulamasının etkinleştirildiği yeni bir yönetilen örnek, sanal ağ ve alt ağ sağlamak için aşağıdaki şablonu kullanın.

Azure portalında özel dağıtım kullanın ve düzenleyicide kendi şablonunuzu oluşturun. Ardından, örnekte yapıştırdıktan sonra yapılandırmayı kaydedin .

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "managedInstanceName": {
            "type": "String",
            "metadata": {
                "description": "Enter managed instance name."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL managed instance."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin. The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "location": {
            "defaultValue": "[resourceGroup().location]",
            "type": "String",
            "metadata": {
                "description": "Enter location. If you leave this field blank resource group location would be used."
            }
        },
        "virtualNetworkName": {
            "type": "String",
            "defaultValue": "SQLMI-VNET",
            "metadata": {
                "description": "Enter virtual network name. If you leave this field blank name will be created by the template."
            }
        },
        "addressPrefix": {
            "defaultValue": "10.0.0.0/16",
            "type": "String",
            "metadata": {
                "description": "Enter virtual network address prefix."
            }
        },
        "subnetName": {
            "type": "String",
            "defaultValue": "ManagedInstances",
            "metadata": {
                "description": "Enter subnet name. If you leave this field blank name will be created by the template."
            }
        },
        "subnetPrefix": {
            "defaultValue": "10.0.0.0/24",
            "type": "String",
            "metadata": {
                "description": "Enter subnet address prefix."
            }
        },
        "skuName": {
            "defaultValue": "GP_Gen5",
            "allowedValues": [
                "GP_Gen5",
                "BC_Gen5"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter sku name."
            }
        },
        "vCores": {
            "defaultValue": 16,
            "allowedValues": [
                8,
                16,
                24,
                32,
                40,
                64,
                80
            ],
            "type": "Int",
            "metadata": {
                "description": "Enter number of vCores."
            }
        },
        "storageSizeInGB": {
            "defaultValue": 256,
            "minValue": 32,
            "maxValue": 8192,
            "type": "Int",
            "metadata": {
                "description": "Enter storage size."
            }
        },
        "licenseType": {
            "defaultValue": "LicenseIncluded",
            "allowedValues": [
                "BasePrice",
                "LicenseIncluded"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter license type."
            }
        }
    },
    "variables": {
        "networkSecurityGroupName": "[concat('SQLMI-', parameters('managedInstanceName'), '-NSG')]",
        "routeTableName": "[concat('SQLMI-', parameters('managedInstanceName'), '-Route-Table')]"
    },
    "resources": [
        {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2020-06-01",
            "name": "[variables('networkSecurityGroupName')]",
            "location": "[parameters('location')]",
            "properties": {
                "securityRules": [
                    {
                        "name": "allow_tds_inbound",
                        "properties": {
                            "description": "Allow access to data",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "1433",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1000,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "allow_redirect_inbound",
                        "properties": {
                            "description": "Allow inbound redirect traffic to SQL Managed Instance inside the virtual network",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "11000-11999",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1100,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_inbound",
                        "properties": {
                            "description": "Deny all other inbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_outbound",
                        "properties": {
                            "description": "Deny all other outbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Outbound"
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Network/routeTables",
            "apiVersion": "2020-06-01",
            "name": "[variables('routeTableName')]",
            "location": "[parameters('location')]",
            "properties": {
                "disableBgpRoutePropagation": false
            }
        },
        {
            "type": "Microsoft.Network/virtualNetworks",
            "apiVersion": "2020-06-01",
            "name": "[parameters('virtualNetworkName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[variables('routeTableName')]",
                "[variables('networkSecurityGroupName')]"
            ],
            "properties": {
                "addressSpace": {
                    "addressPrefixes": [
                        "[parameters('addressPrefix')]"
                    ]
                },
                "subnets": [
                    {
                        "name": "[parameters('subnetName')]",
                        "properties": {
                            "addressPrefix": "[parameters('subnetPrefix')]",
                            "routeTable": {
                                "id": "[resourceId('Microsoft.Network/routeTables', variables('routeTableName'))]"
                            },
                            "networkSecurityGroup": {
                                "id": "[resourceId('Microsoft.Network/networkSecurityGroups', variables('networkSecurityGroupName'))]"
                            },
                            "delegations": [
                                {
                                    "name": "miDelegation",
                                    "properties": {
                                        "serviceName": "Microsoft.Sql/managedInstances"
                                    }
                                }
                            ]
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('managedInstanceName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[parameters('virtualNetworkName')]"
            ],
            "sku": {
                "name": "[parameters('skuName')]"
            },
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "subnetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('virtualNetworkName'), parameters('subnetName'))]",
                "storageSizeInGB": "[parameters('storageSizeInGB')]",
                "vCores": "[parameters('vCores')]",
                "licenseType": "[parameters('licenseType')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Dizin Okuyucuları izinleri verme

Yönetilen örneğiniz için dağıtım tamamlandıktan sonra, SQL Yönetilen Örneği Microsoft Entra Id'ye erişmek için Okuma izinlerine ihtiyaç duyduğunu fark edebilirsiniz. Yeterli ayrıcalığı olan bir kişi tarafından Azure portalında görüntülenen iletiye tıklanarak okuma izinleri verilebilir. Daha fazla bilgi için bkz . Azure SQL için Microsoft Entra'da Dizin Okuyucuları rolü.

Sınırlamalar

• Sunucu yöneticisi parolasını sıfırlamak için Yalnızca Microsoft Entra kimlik doğrulaması devre dışı bırakılmalıdır.
• Microsoft Entra-only kimlik doğrulaması devre dışı bırakılırsa, tüm API'leri kullanırken sunucu yöneticisi ve parolası olan bir sunucu oluşturmanız gerekir.

İlgili içerik

• Zaten bir mantıksal sunucunuz veya SQL yönetilen örneğiniz varsa ve yalnızca Microsoft Entra-only kimlik doğrulamasını etkinleştirmek istiyorsanız, bkz . Öğretici: Azure SQL ile Microsoft Entra-only kimlik doğrulamasını etkinleştirme.
• Microsoft Yalnızca entra-only kimlik doğrulaması özelliği hakkında daha fazla bilgi için bkz . Azure SQL ile yalnızca microsoft entra-only kimlik doğrulaması.
• Microsoft Entra-only kimlik doğrulaması etkin durumdayken sunucu oluşturmayı zorunlu kılmak istiyorsanız bkz. Azure SQL ile Microsoft Entra-only kimlik doğrulaması için Azure İlkesi