在 Azure SQL 中建立伺服器並啟用僅限 Microsoft Entra 的驗證

發行項
09/17/2024

本操作指南概述佈建期間已啟用僅限 Microsoft Entra 驗證的情況下，為 Azure SQL 資料庫或 Azure SQL 受控執行個體建立邏輯伺服器的步驟。僅限 Microsoft Entra 驗證功能可防止使用者使用 SQL 驗證連線到伺服器或受控執行個體，且只允許使用 Microsoft Entra ID (先前稱為 Azure Active Directory) 驗證的連線。

注意

Microsoft Entra ID 先前稱為 Azure Active Directory (Azure AD)。

必要條件

使用 Azure CLI 時，需要 2.26.1 版或更高版本。如需安裝和最新版本的詳細資訊，請參閱安裝 Azure CLI。
使用 PowerShell 時，需要 Az 6.1.0 模組或更高版本。
如果要使用 Azure CLI、PowerShell 或 REST API 佈建受控執行個體，必須先建立虛擬網路和子網路，再開始。如需詳細資訊，請參閱建立 Azure SQL 受控執行個體的虛擬網路。

權限

若要佈建邏輯伺服器或受控執行個體，必須具備適當的權限才能建立這些資源。具有較高權限的 Azure 使用者，例如訂用帳戶擁有者、參與者、服務管理員，以及共同管理員，具備建立 SQL Server 或受控執行個體的權限。使用權限最小的 Azure RBAC 角色建立這些資源，請為 SQL Database 使用 SQL Server 參與者角色，為 SQL 受控執行個體使用 SQL 受控執行個體參與者角色。

SQL 安全管理員 Azure RBAC 角色沒有足夠的權限，無法建立啟用僅限 Microsoft Entra 驗證的伺服器或執行個體。建立伺服器或執行個體之後，需要 SQL 安全管理員角色才能管理僅限 Microsoft Entra 驗證功能。

在啟用僅限 Microsoft Entra 驗證的情況下佈建

下一節提供範例和指令碼，說明如何在建立伺服器期間為伺服器或執行個體設定了 Microsoft Entra 管理員，並啟用僅限 Microsoft Entra 驗證的情況下，建立邏輯伺服器或受控執行個體。如需詳細資訊，請參閱僅限使用 Azure SQL Microsoft Entra 進行驗證。

在範例中，我們會使用系統指派的伺服器管理員和密碼，在伺服器或受控執行個體建立期間啟用僅限 Microsoft Entra 驗證。啟用僅限 Microsoft Entra 驗證時，這可防止伺服器管理員存取資源，並僅允許 Microsoft Entra 管理員存取。可以將參數新增至 API，以在伺服器建立期間包含您自己的伺服器管理員和密碼。不過，除非您停用僅限 Microsoft Entra 驗證，否則無法重設密碼。此頁面的 PowerShell 索引標籤中會顯示如何使用這些選擇性參數來指定伺服器管理員登入名稱的範例。

注意

若要在建立伺服器或受控執行個體之後變更現有的屬性，應該使用其他現有的 API。如需詳細資訊，請參閲使用 API 管理僅限 Microsoft Entra 驗證以及使用 Azure SQL 設定和管理 Microsoft Entra 驗證。

如果僅限 Microsoft Entra 驗證設定為 false，依預設，在建立伺服器或受控執行個體期間，所有 API 中都需要包含伺服器管理員和密碼。

Azure SQL 資料庫

瀏覽至 Azure 入口網站中的 [選取 SQL 部署] 選項頁面。
如果您尚未登入 Azure 入口網站，請在出現提示時登入。
在 SQL Database下，將 [資源類型] 設定為 [單一資料庫]，然後選取 [建立]。
在 [建立 SQL Database] 表單 [基本資料] 索引標籤的 [專案詳細資料] 下，選取想要的 Azure 訂用帳戶。
針對 [資源群組]，選取 [新建]，輸入您的資源群組名稱，然後選取 [確定]。
在 [資料庫名稱] 中，輸入資料庫的名稱。
在 [伺服器] 中，選取 [新建]，並以下列值填寫新伺服器表單：
- 伺服器名稱：輸入唯一的伺服器名稱。伺服器名稱對於 Azure 中所有伺服器必須為全域唯一，而不只是在訂閱中是唯一的。輸入一個值，Azure 入口網站會讓您知道該名稱是否可用。
- 位置：從下拉式清單中選取位置
- 驗證方法：選取 [使用僅限 Microsoft Entra 驗證]。
- 選取 [設定管理員]，以開啟 [Microsoft Entra ID] 窗格，然後選取 Microsoft Entra 主體作為邏輯伺服器 Microsoft Entra 管理員。完成後，請使用 [選取] 按鈕來設定管理員。
完成時，選取 [下一步:網路功能]，為於頁面底部。
在網路功能索引標籤的連線方法中，選取 [公用端點]。
針對 [防火牆規則]，將 [新增目前的用戶端 IP 位址] 設定為 [是]。將 [允許 Azure 服務和資源存取此伺服器] 設定為 [否]。
將 [連線原則] 和 [最低 TLS 版本] 設定保留為預設值。
選取頁面底部的 [下一步：安全性]。為您的環境設定 Microsoft Defender for SQL、Ledger、身分識別和透明資料加密的任何設定。您也可以略過這些設定。

注意

僅限 Microsoft Entra 驗證支援將使用者指派的受控識別用作伺服器身分識別。若要以身分識別身分連線到執行個體，請將它指派給 Azure 虛擬機器，並在該 VM 上執行 SSMS。在實際執行環境中，建議使用 Microsoft Entra 管理員的受控識別，並透過對 Azure 資源進行無密碼驗證增強、簡化了安全措施。
選取頁面底部的 [檢閱 + 建立] 。
檢閱 [檢閱 + 建立] 頁面之後，選取 [建立]。

Azure CLI 命令 az sql server create 用來佈建新的邏輯伺服器。下列命令會佈建啟用僅限 Microsoft Entra 驗證的新伺服器。

伺服器 SQL 管理員將自動創建，密碼將設定為隨機密碼。由於在建立此伺服器時停用了 SQL 驗證連線，因此不會使用 SQL 管理員登入資訊。

伺服器 Microsoft Entra 管理員是您為 <MSEntraAccount> 設定的帳戶，可用來管理伺服器。

取代範例中的下列值：

<MSEntraAccount>：可以是 Microsoft Entra 使用者或群組。例如，DummyLogin
<MSEntraAccountSID>：使用者的 Microsoft Entra 物件識別碼
<ResourceGroupName>：您邏輯伺服器的資源群組名稱
<ServerName>：使用唯一的邏輯伺服器名稱

az sql server create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <ServerName>

如需詳細資訊，請參閱 az sql server create。

若要在建立後檢查伺服器狀態，請參閱下列命令：

az sql server show --name <ServerName> --resource-group <ResourceGroupName> --expand-ad-admin

PowerShell 命令 New-AzSqlServer 用於佈建新的邏輯伺服器。下列命令會佈建啟用僅限 Microsoft Entra 驗證的新伺服器。

伺服器 SQL 管理員將自動創建，密碼將設定為隨機密碼。由於在建立此伺服器時停用了 SQL 驗證連線，因此不會使用 SQL 管理員登入資訊。

伺服器 Microsoft Entra 管理員是您為 <MSEntraAccount> 設定的帳戶，可用來管理伺服器。

取代範例中的下列值：

<ResourceGroupName>：您邏輯伺服器的資源群組名稱
<Location>：伺服器的位置，例如 West US 或 Central US
<ServerName>：使用唯一的邏輯伺服器名稱
<MSEntraAccount>：可以是 Microsoft Entra 使用者或群組。例如，DummyLogin

$server = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
}

New-AzSqlServer @server

以下是在建立邏輯伺服器時指定伺服器管理員名稱 (而不是自動建立伺服器管理員名稱) 的範例。如先前所述，啟用僅限 Microsoft Entra 驗證時無法使用此登入。

$cred = Get-Credential
New-AzSqlServer -ResourceGroupName "<ResourceGroupName>" -Location "<Location>" -ServerName "<ServerName>" -ServerVersion "12.0" -ExternalAdminName "<MSEntraAccount>" -EnableActiveDirectoryOnlyAuthentication -SqlAdministratorCredentials $cred

如需詳細資訊，請參閱 New-AzSqlServer。

伺服器 - 建立或更新 REST API 可用於建立在佈建期間啟用僅限 Microsoft Entra 驗證的邏輯伺服器。

下列指令碼會佈建邏輯伺服器，將 Microsoft Entra 管理員設定為 <MSEntraAccount>，並啟用僅限 Microsoft Entra 驗證。伺服器 SQL 管理員也會自動建立，密碼將設定為隨機密碼。由於此佈建已停用 SQL 驗證連線，因此不會使用 SQL 管理員登入。

佈建完成時，Microsoft Entra 管理員 <MSEntraAccount> 可用來管理伺服器。

取代範例中的下列值：

<tenantId>：前往 Azure 入口網站，然後前往您的 Microsoft Entra ID 資源，即可找到。在 [概觀] 窗格中，應該會看到您的租用戶 ID
<subscriptionId>您可以在 Azure 入口網站中找到訂閱識別碼
<ServerName>：使用唯一的邏輯伺服器名稱
<ResourceGroupName>：您邏輯伺服器的資源群組名稱
<MicrosoftEntraAccount>：可以是 Microsoft Entra 使用者、群組或應用程式。例如， DummyLogin
<Location>：伺服器的位置，例如 westus2 或 centralus
<objectId>：前往 Azure 入口網站，然後前往您的 Microsoft Entra ID 資源，即可找到。在 [使用者] 窗格中，搜尋 Microsoft Entra 使用者並尋找其物件識別碼。如果您使用應用程式 (服務主體) 作為 Microsoft Entra 管理員，請將此值替換為應用程式 ID。您還需要更新 principalType。
<principalType>：三個選項之一：使用者、群組、應用程式。用作管理員的 Microsoft Entra 物件的類型。受控識別和服務主體是應用程式。

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$authUrl = "https://login.windows.net/$tenantId"
$serverName = "<ServerName>"
$resourceGroupName = "<ResourceGroupName>"

Login-AzAccount -tenantId $tenantId

# login as a user with SQL Server Contributor role or higher 

# Get a token

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes "https://management.core.windows.net/.default"

#Authetication header
$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

# Enable Microsoft Entra-only auth 
# No server admin is specified, Microsoft Entra admin is configured, and Microsoft Entra-only authentication is set to true
# Server admin (login and password) is randomly generated by the system

# Authentication body
# The sid is the Microsoft Entra Object ID for the user or group, and Application ID for applications. Update the principalType as well

$body = '{ 
"location": "<Location>",
"properties": { "administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true }
  }
}'

# Provision the server

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

若要檢查伺服器狀態，您可以使用下列指令碼：

$uri = 'https://management.azure.com/subscriptions/'+$subscriptionId+'/resourceGroups/'+$resourceGroupName+'/providers/Microsoft.Sql/servers/'+$serverName+'?api-version=2020-11-01-preview&$expand=administrators/activedirectory'

$responce=Invoke-WebRequest -Uri $uri -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

$responce.statuscode

$responce.content

如需詳細資訊和 ARM 範本，請參閱適用於 Azure SQL 資料庫 Azure Resource Manager 範本。

若要使用 ARM 範本佈建設定了 Microsoft Entra 管理員，且啟用僅限 Microsoft Entra 驗證的邏輯伺服器，請參閱我們的 Azure SQL 邏輯伺服器與僅限 Microsoft Entra 驗證快速入門範本。

還可以使用下列範本。使用 Azure 入口網站中的自訂部署，然後在編輯器中建置您自己的範本。接下來，將設定貼進範例之後，加以儲存。

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "string",
            "defaultValue": "[uniqueString('sql', resourceGroup().id)]",
            "metadata": {
                "description": "The name of the logical server."
            }
        },
        "location": {
            "type": "string",
            "defaultValue": "[resourceGroup().location]",
            "metadata": {
                "description": "Location for all resources."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "properties": {
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Azure SQL 受控執行個體

瀏覽至 Azure 入口網站中的 [選取 SQL 部署] 選項頁面。
如果您尚未登入 Azure 入口網站，請在出現提示時登入。
在 [SQL 受控執行個體] 下，將 [資源類型] 設定為 [單一實例]，然後選取 [建立]。
針對 [專案詳細資料] 和 [受控執行個體詳細資料]，填寫 [基本] 索引標籤上所需的必要資訊。這是佈建 SQL 受控執行個體所需的最小一組資訊。

如需組態選項的詳細資訊，請參閱快速入門：建立 Azure SQL 受控執行個體。
在 [驗證] 底下的 [驗證方法] 中，選取 [使用僅限 Microsoft Entra 驗證]。
選取 [設定管理員] 以開啟 [Microsoft Entra ID] 窗格，然後選取 Microsoft Entra 主體作為受控執行個體 Microsoft Entra 管理員。完成後，請使用 [選取] 按鈕來設定管理員。
您可以保留其餘的預設設定。如需 [網路]、[安全性] 或者其他索引標籤和設定的詳細資訊，請遵循快速入門：建立 Azure SQL 受控執行個體一文中的指南。
完成設定之後，請選取 [檢閱 + 建立] 以繼續進行。選取 [建立] 以開始佈建受控執行個體。

Azure CLI 命令 az sql mi create 用於佈建新的 Azure SQL 受控執行個體。下列命令將佈建啟用僅限 Microsoft Entra 驗證的新受控執行個體。

注意

指令碼需要建立虛擬網路和子網路作為必要條件。

受控執行個體 SQL 管理員將自動建立，密碼將設定為隨機密碼。由於此佈建已停用 SQL 驗證，不會使用 SQL 管理員登入。

Microsoft Entra 管理員將是為 <MSEntraAccount> 設定的帳戶，而且可用於在佈建完成時管理執行個體。

取代範例中的下列值：

<MSEntraAccount>：可以是 Microsoft Entra 使用者或群組。例如，DummyLogin
<MSEntraAccountSID>：使用者的 Microsoft Entra 物件 ID
<managedinstancename>：您想要建立的受控執行個體的名稱
<ResourceGroupName>：受控執行個體的資源群組名稱。資源群組還應包含建立的虛擬網路和子網路
subnet 參數需要以 <Subscription ID>、<ResourceGroupName>、<VNetName> 和 <SubnetName> 更新。在 Azure 入口網站中可以找到您的訂用帳戶 ID

az sql mi create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <managedinstancename> \
    --subnet /subscriptions/<Subscription ID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>

如需詳細資訊，請參閱 az sql mi create。

PowerShell 命令 New-AzSqlInstance 用於佈建新的 Azure SQL 受控執行個體。下列命令將佈建啟用僅限 Microsoft Entra 驗證的新受控執行個體。

注意

指令碼需要建立虛擬網路和子網路作為必要條件。

受控執行個體 SQL 管理員將自動建立，密碼將設定為隨機密碼。由於此佈建已停用 SQL 驗證連線，因此不會使用 SQL 管理員登入。

佈建完成時，Microsoft Entra 管理員是您為 <MSEntraAccount> 設定的帳戶，可用來管理執行個體。

取代範例中的下列值：

<managedinstancename>：要建立的受控執行個體名稱
<ResourceGroupName>：受控執行個體的資源群組名稱。資源群組還應包含建立的虛擬網路和子網路
<MSEntraAccount>：可以是 Microsoft Entra 使用者或群組。例如， DummyLogin
<Location>：伺服器的位置，例如 West US 或 Central US
SubnetId 參數需要以 <Subscription ID>、<ResourceGroupName>、<VNetName> 和 <SubnetName> 更新。在 Azure 入口網站中可以找到您的訂用帳戶 ID

$instanceName = @{
    Name = "<managedinstancename>"
    ResourceGroupName = "<ResourceGroupName>"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
    Location = "<Location>"
    SubnetId = "/subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>"
    LicenseType = "LicenseIncluded"
    StorageSizeInGB = 128
    VCore = 4
    Edition = "GeneralPurpose"
    ComputeGeneration = "Gen5"
}

New-AzSqlInstance $instanceName

如需詳細資訊，請參閱 New-AzSqlInstance。

SQL 受控執行個體 - 建立或更新 REST API 可用於建立在佈建期間啟用僅限 Microsoft Entra 驗證的受控執行個體。

注意

指令碼需要建立虛擬網路和子網路作為必要條件。

下列指令碼會佈建受控執行個體，將 Microsoft Entra 管理員設定為 <MSEntraAccount>，並啟用僅限 Microsoft Entra 驗證。執行個體 SQL 管理員也會自動建立，密碼會設定為隨機密碼。由於此佈建已停用 SQL 驗證連線，因此不會使用 SQL 管理員登入。

佈建完成時，Microsoft Entra 管理員 <MSEntraAccount> 可用來管理執行個體。

取代範例中的下列值：

<tenantId>：前往 Azure 入口網站，然後前往您的 Microsoft Entra ID 資源，即可找到。在 [概觀] 窗格中，應該會看到您的租用戶 ID
<subscriptionId>您可以在 Azure 入口網站中找到訂閱識別碼
<instanceName>：使用唯一的受控執行個體名稱
<ResourceGroupName>：您邏輯伺服器的資源群組名稱
<MSEntraAccount>：可以是 Microsoft Entra 使用者或群組。例如， DummyLogin
<Location>：伺服器的位置，例如 westus2 或 centralus
<objectId>：前往 Azure 入口網站，然後前往您的 Microsoft Entra ID 資源，即可找到。在 [使用者] 窗格中，搜尋 Microsoft Entra 使用者並尋找其物件識別碼。如果您使用應用程式 (服務主體) 作為 Microsoft Entra 管理員，請將此值替換為應用程式 ID。您還需要更新 principalType。
subnetId 參數需要以 <ResourceGroupName>、Subscription ID、<VNetName> 和 <SubnetName> 更新

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$instanceName = "<instanceName>"
$resourceGroupName = "<ResourceGroupName>"
$scopes ="https://management.core.windows.net/.default"

Login-AzAccount -tenantId $tenantId

# Login as an Microsoft Entra user with permission to provision a managed instance

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes $scopes

$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

$body = '{
"name": "<instanceName>", "type": "Microsoft.Sql/managedInstances", "identity": { "type": "SystemAssigned"},"location": "<Location>", "sku": {"name": "GP_Gen5", "tier": "GeneralPurpose", "family":"Gen5","capacity": 8},
"properties": {"administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true },
"subnetId": "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>",
"licenseType": "LicenseIncluded", "vCores": 8, "storageSizeInGB": 2048, "collation": "SQL_Latin1_General_CP1_CI_AS", "proxyOverride": "Proxy", "timezoneId": "UTC", "privateEndpointConnections": [], "storageAccountType": "GRS", "zoneRedundant": false 
  }
}'

# To provision the instance, execute the `PUT` command

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

若要檢查結果，請執行 GET 命令：

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method GET -Headers $authHeader  | Format-List

若要佈建已為執行個體設定 Microsoft Entra 管理員並啟用僅限 Microsoft Entra 驗證的新受控執行個體、虛擬網路和子網路，請使用下列範本。

使用 Azure 入口網站中的自訂部署，然後在編輯器中建置您自己的範本。接下來，將設定貼進範例之後，加以儲存。

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "managedInstanceName": {
            "type": "String",
            "metadata": {
                "description": "Enter managed instance name."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL managed instance."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin. The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "location": {
            "defaultValue": "[resourceGroup().location]",
            "type": "String",
            "metadata": {
                "description": "Enter location. If you leave this field blank resource group location would be used."
            }
        },
        "virtualNetworkName": {
            "type": "String",
            "defaultValue": "SQLMI-VNET",
            "metadata": {
                "description": "Enter virtual network name. If you leave this field blank name will be created by the template."
            }
        },
        "addressPrefix": {
            "defaultValue": "10.0.0.0/16",
            "type": "String",
            "metadata": {
                "description": "Enter virtual network address prefix."
            }
        },
        "subnetName": {
            "type": "String",
            "defaultValue": "ManagedInstances",
            "metadata": {
                "description": "Enter subnet name. If you leave this field blank name will be created by the template."
            }
        },
        "subnetPrefix": {
            "defaultValue": "10.0.0.0/24",
            "type": "String",
            "metadata": {
                "description": "Enter subnet address prefix."
            }
        },
        "skuName": {
            "defaultValue": "GP_Gen5",
            "allowedValues": [
                "GP_Gen5",
                "BC_Gen5"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter sku name."
            }
        },
        "vCores": {
            "defaultValue": 16,
            "allowedValues": [
                8,
                16,
                24,
                32,
                40,
                64,
                80
            ],
            "type": "Int",
            "metadata": {
                "description": "Enter number of vCores."
            }
        },
        "storageSizeInGB": {
            "defaultValue": 256,
            "minValue": 32,
            "maxValue": 8192,
            "type": "Int",
            "metadata": {
                "description": "Enter storage size."
            }
        },
        "licenseType": {
            "defaultValue": "LicenseIncluded",
            "allowedValues": [
                "BasePrice",
                "LicenseIncluded"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter license type."
            }
        }
    },
    "variables": {
        "networkSecurityGroupName": "[concat('SQLMI-', parameters('managedInstanceName'), '-NSG')]",
        "routeTableName": "[concat('SQLMI-', parameters('managedInstanceName'), '-Route-Table')]"
    },
    "resources": [
        {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2020-06-01",
            "name": "[variables('networkSecurityGroupName')]",
            "location": "[parameters('location')]",
            "properties": {
                "securityRules": [
                    {
                        "name": "allow_tds_inbound",
                        "properties": {
                            "description": "Allow access to data",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "1433",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1000,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "allow_redirect_inbound",
                        "properties": {
                            "description": "Allow inbound redirect traffic to SQL Managed Instance inside the virtual network",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "11000-11999",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1100,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_inbound",
                        "properties": {
                            "description": "Deny all other inbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_outbound",
                        "properties": {
                            "description": "Deny all other outbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Outbound"
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Network/routeTables",
            "apiVersion": "2020-06-01",
            "name": "[variables('routeTableName')]",
            "location": "[parameters('location')]",
            "properties": {
                "disableBgpRoutePropagation": false
            }
        },
        {
            "type": "Microsoft.Network/virtualNetworks",
            "apiVersion": "2020-06-01",
            "name": "[parameters('virtualNetworkName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[variables('routeTableName')]",
                "[variables('networkSecurityGroupName')]"
            ],
            "properties": {
                "addressSpace": {
                    "addressPrefixes": [
                        "[parameters('addressPrefix')]"
                    ]
                },
                "subnets": [
                    {
                        "name": "[parameters('subnetName')]",
                        "properties": {
                            "addressPrefix": "[parameters('subnetPrefix')]",
                            "routeTable": {
                                "id": "[resourceId('Microsoft.Network/routeTables', variables('routeTableName'))]"
                            },
                            "networkSecurityGroup": {
                                "id": "[resourceId('Microsoft.Network/networkSecurityGroups', variables('networkSecurityGroupName'))]"
                            },
                            "delegations": [
                                {
                                    "name": "miDelegation",
                                    "properties": {
                                        "serviceName": "Microsoft.Sql/managedInstances"
                                    }
                                }
                            ]
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('managedInstanceName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[parameters('virtualNetworkName')]"
            ],
            "sku": {
                "name": "[parameters('skuName')]"
            },
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "subnetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('virtualNetworkName'), parameters('subnetName'))]",
                "storageSizeInGB": "[parameters('storageSizeInGB')]",
                "vCores": "[parameters('vCores')]",
                "licenseType": "[parameters('licenseType')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

授與目錄讀取者權限

一旦受控執行個體的部署完成，您可能會注意到 SQL 受控執行個體需要讀取權限才能存取 Microsoft Entra ID。具有足夠權限的人員可以透過點按 Azure 入口網站中顯示的訊息來授與讀取權限。如需詳細資訊，請參閱適用於 Azure SQL 的 Microsoft Entra ID 中的目錄讀取者角色。

限制

若要重設伺服器管理員密碼，必須停用僅限 Microsoft Entra 驗證。
如果僅限 Microsoft Entra 驗證停用，必須在使用所有 API 時，使用伺服器管理員和密碼來建立伺服器。

如果您已經有邏輯伺服器或 SQL 受控執行個體，而且只想啟用僅限 Microsoft Entra 驗證，請參閱教學課程：使用 Azure SQL 啟用僅限 Microsoft Entra 驗證。
如需有關僅限 Microsoft Entra 驗證功能的詳細資訊，請參閱使用 Azure SQL 進行僅限 Microsoft Entra 驗證。
如果想要強制建立啟用僅限 Microsoft Entra 驗證的伺服器，請參閱使用 Azure SQL 進行僅限 Microsoft Entra 驗證的 Azure 原則

共用方式為

在 Azure SQL 中建立伺服器並啟用僅限 Microsoft Entra 的驗證

必要條件

權限

在啟用僅限 Microsoft Entra 驗證的情況下佈建

Azure SQL 資料庫

Azure SQL 受控執行個體

授與目錄讀取者權限

限制

意見反應

其他資源

共用方式為

在 Azure SQL 中建立伺服器並啟用僅限 Microsoft Entra 的驗證

必要條件

權限

在啟用僅限 Microsoft Entra 驗證的情況下佈建

Azure SQL 資料庫

Azure SQL 受控執行個體

授與目錄讀取者權限

限制

相關內容

意見反應

其他資源