Server maken met alleen Microsoft Entra-verificatie ingeschakeld in Azure SQL

2025-08-25

Van toepassing op:Azure SQL Database Azure SQL Managed Instance

In deze instructiegids vindt u een overzicht van de stappen voor het maken van een logische server voor Azure SQL Database of een Azure SQL Managed Instance met alleen-Entra-verificatie ingeschakeld tijdens het inrichten. Met de verificatiefunctie alleen voor Microsoft Entra kunnen gebruikers geen verbinding maken met de server of het beheerde exemplaar met behulp van SQL-verificatie en kunnen alleen verbindingen worden geverifieerd met Microsoft Entra-id (voorheen Azure Active Directory).

Opmerking

Microsoft Entra-id werd voorheen Azure Active Directory (Azure AD) genoemd.

Vereiste voorwaarden

Versie 2.26.1 of hoger is nodig wanneer u De Azure CLI gebruikt. Zie De Azure CLI installeren voor meer informatie over de installatie en de nieuwste versie.
Az 6.1.0-module of hoger is nodig bij het gebruik van PowerShell.
Als u een beheerd exemplaar inricht met behulp van de Azure CLI, PowerShell of REST API, moet er een virtueel netwerk en subnet worden gemaakt voordat u begint. Zie Een virtueel netwerk maken voor Azure SQL Managed Instance voor meer informatie.

Machtigingen

Als u een logische server of een beheerinstantie wilt inrichten, moet u over de juiste machtigingen beschikken om deze bronnen te maken. Azure-gebruikers met hogere machtigingen, zoals abonnementseigenaren, inzenders, servicebeheerders en medebeheerders, hebben de bevoegdheid om een SQL-server of een beheerd exemplaar te maken. Als u deze resources wilt maken met de minst bevoegde Azure RBAC-rol, gebruikt u de rol SQL Server-inzender voor SQL Database en inzender voor SQL Managed Instance voor SQL Managed Instance.

De Azure RBAC-rol van SQL Security Manager heeft niet voldoende machtigingen om een server of exemplaar te maken waarvoor alleen verificatie van Microsoft Entra is ingeschakeld. De rol SQL Security Manager is vereist om de Microsoft Entra-verificatiefunctie te beheren nadat de server of de instantie is aangemaakt.

Inrichten met alleen Microsoft Entra-verificatie ingeschakeld

Het volgende gedeelte biedt voorbeelden en scripts voor het maken van een logische server of beheerd exemplaar met een Microsoft Entra-beheerder ingesteld voor de server of het exemplaar, waarbij de Microsoft Entra-only-verificatie is ingeschakeld tijdens het aanmaken van de server of het exemplaar. Zie Microsoft Entra-only-verificatie met Azure SQL voor meer informatie over de functie.

In onze voorbeelden schakelen we tijdens het maken van een server of beheerd exemplaar uitsluitend Microsoft Entra-verificatie in, met een door het systeem toegewezen serverbeheerder en wachtwoord. Hiermee voorkomt u serverbeheerderstoegang wanneer Microsoft Entra-verificatie is ingeschakeld en kan de Microsoft Entra-beheerder alleen toegang krijgen tot de resource. Het is optioneel om parameters toe te voegen aan de API's om uw eigen serveradmin en wachtwoord op te geven tijdens het maken van de server. Het wachtwoord kan echter pas opnieuw worden ingesteld als u Microsoft Entra-verificatie uitschakelt. Een voorbeeld van het gebruik van deze optionele parameters om de aanmeldingsnaam van de serverbeheerder op te geven, wordt weergegeven op het tabblad PowerShell op deze pagina.

Opmerking

Als u de eigenschap Microsoft Entra-only-verificatie wilt wijzigen nadat de server of het beheerde exemplaar is aangemaakt, dient u andere bestaande API's te gebruiken. Zie Microsoft Entra-only-verificatie beheren met behulp van API's voor meer informatie.

Als Microsoft Entra-only-verificatie is ingesteld op false, wat standaard zo is, moeten een serverbeheerder en wachtwoord worden opgenomen bij alle API-aanroepen tijdens het creëren van een server of een beheerd exemplaar.

Azure SQL Database

Ga naar Azure SQL Hub op aka.ms/azuresqlhub.
Selecteer Opties weergeven in het deelvenster voor Azure SQL Database.
Selecteer In het venster Opties voor Azure SQL Databasede optie SQL Database maken.
Selecteer op het tabblad Basisbeginselen van het formulier SQL Database maken onder Projectdetails het gewenste Azure-abonnement.
Selecteer Nieuwe maken voor de resourcegroep, voer een naam in voor uw resourcegroep en selecteer OK.
Voer voor databasenaam een naam in voor uw database.
Voor Server selecteert u Nieuw maken en vult u het nieuwe serverformulier in met de volgende waarden:
- Servernaam: Voer een unieke servernaam in. Servernamen moeten globaal uniek zijn voor alle servers in Azure, niet alleen uniek binnen een abonnement. Voer een waarde in en azure Portal laat u weten of deze wel of niet beschikbaar is.
- Locatie: Selecteer een locatie in de vervolgkeuzelijst
- Verificatiemethode: selecteer Alleen Microsoft Entra-verificatie gebruiken.
- Selecteer Beheerder instellen om het deelvenster Microsoft Entra-id te openen en selecteer een Microsoft Entra-principal als de Microsoft Entra-beheerder van uw logische server. Wanneer u klaar bent, gebruikt u de knop Selecteren om uw beheerder in te stellen.
Selecteer Volgende: Netwerken onder aan de pagina.
Selecteer op het tabblad Netwerken , voor de connectiviteitsmethode, het openbare eindpunt.
Voor firewallregels stelt u huidig IP-adres van client toevoegen in op Ja. Laat Azure-services en -resources toegang geven tot deze server ingesteld op Nee.
Laat het verbindingsbeleid en de minimale TLS-versie-instellingen staan als de standaardwaarde.
Selecteer Volgende: Beveiliging onderaan de pagina. Configureer een van de instellingen voor Microsoft Defender voor SQL, Grootboek, Identiteit en Transparante gegevensversleuteling voor uw omgeving. U kunt deze instellingen ook overslaan.

Opmerking

Het gebruik van een door de gebruiker toegewezen beheerde identiteit, omdat de serveridentiteit wordt ondersteund met alleen Microsoft Entra-verificatie. Als u verbinding wilt maken met het exemplaar als de identiteit, wijst u deze toe aan een virtuele Azure-machine en voert u SSMS uit op die VM. Voor productieomgevingen wordt het gebruik van een beheerde identiteit voor de Microsoft Entra-beheerder aanbevolen vanwege de verbeterde, vereenvoudigde beveiligingsmaatregelen met verificatie zonder wachtwoord voor Azure-resources.
Selecteer Beoordelen en maken onderaan de pagina.
Controleer op de pagina Beoordelen en maken de instellingen en selecteer daarna Maken.

De Azure CLI-opdracht az sql server create wordt gebruikt om een nieuwe logische server in te richten. Met de volgende opdracht wordt een nieuwe server ingericht met Microsoft Entra-verificatie alleen ingeschakeld.

De SQL-serverbeheerder wordt automatisch gemaakt en het wachtwoord wordt ingesteld op een willekeurig wachtwoord. Omdat sql-verificatieconnectiviteit is uitgeschakeld bij het maken van deze server, wordt de aanmelding van de SQL-beheerder niet gebruikt.

De Microsoft Entra-serverbeheerder is het account dat u hebt ingesteld <MSEntraAccount>en kan worden gebruikt om de server te beheren.

Vervang de volgende waarden in het voorbeeld:

<MSEntraAccount>: Kan een Microsoft Entra-gebruiker of -groep zijn. Bijvoorbeeld DummyLogin
<MSEntraAccountSID>: De Object-id van Microsoft Entra voor de gebruiker
<ResourceGroupName>: Naam van de resourcegroep voor uw logische server
<ServerName>: Een unieke logische servernaam gebruiken

az sql server create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <ServerName>

Zie az sql server create voor meer informatie.

Als u de serverstatus wilt controleren na het maken, raadpleegt u de volgende opdracht:

az sql server show --name <ServerName> --resource-group <ResourceGroupName> --expand-ad-admin

De PowerShell-opdracht New-AzSqlServer wordt gebruikt om een nieuwe logische server in te richten. Met de volgende opdracht wordt een nieuwe server ingericht met Microsoft Entra-verificatie alleen ingeschakeld.

De Microsoft Entra-serverbeheerder is het account dat u hebt ingesteld <MSEntraAccount>en kan worden gebruikt om de server te beheren.

Vervang de volgende waarden in het voorbeeld:

<ResourceGroupName>: Naam van de resourcegroep voor uw logische server
<Location>: locatie van de server, zoals West USof Central US
<ServerName>: Een unieke logische servernaam gebruiken
<MSEntraAccount>: Kan een Microsoft Entra-gebruiker of -groep zijn. Bijvoorbeeld DummyLogin

$server = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
}

New-AzSqlServer @server

Dit is een voorbeeld van het specificeren van de naam van de serverbeheerder (in plaats van de naam automatisch te laten genereren) wanneer de logische server wordt aangemaakt. Zoals eerder vermeld, kan deze aanmelding niet worden gebruikt wanneer alleen Microsoft Entra-verificatie is ingeschakeld.

$cred = Get-Credential
New-AzSqlServer -ResourceGroupName "<ResourceGroupName>" -Location "<Location>" -ServerName "<ServerName>" -ServerVersion "12.0" -ExternalAdminName "<MSEntraAccount>" -EnableActiveDirectoryOnlyAuthentication -SqlAdministratorCredentials $cred

Zie New-AzSqlServer voor meer informatie.

De Servers : REST API maken of bijwerken kan worden gebruikt om een logische server te maken met alleen Microsoft Entra-verificatie ingeschakeld tijdens het inrichten.

Met het onderstaande script wordt een logische server ingericht, de Microsoft Entra-beheerder als <MSEntraAccount> ingesteld, en Microsoft Entra-verificatie ingeschakeld. De SQL-serverbeheerder wordt ook automatisch gemaakt en het wachtwoord wordt ingesteld op een willekeurig wachtwoord. Omdat sql-verificatieconnectiviteit is uitgeschakeld met deze inrichting, wordt de aanmelding van de SQL-beheerder niet gebruikt.

De Microsoft Entra-beheerder <MSEntraAccount> kan worden gebruikt om de server te beheren wanneer het inrichten is voltooid.

Vervang de volgende waarden in het voorbeeld:

<tenantId>: u vindt deze door naar Azure Portal te gaan en naar uw Microsoft Entra ID-resource te gaan. In het deelvenster Overzicht ziet u de tenant-id
<subscriptionId>: Uw abonnements-id vindt u in De Azure-portal
<ServerName>: Een unieke logische servernaam gebruiken
<ResourceGroupName>: Naam van de resourcegroep voor uw logische server
<MicrosoftEntraAccount>: Kan een Microsoft Entra-gebruiker, -groep of -toepassing zijn. Bijvoorbeeld DummyLogin
<Location>: locatie van de server, zoals westus2of centralus
<objectId>: u vindt deze door naar Azure Portal te gaan en naar uw Microsoft Entra ID-resource te gaan. Zoek in het deelvenster Gebruiker naar de Microsoft Entra-gebruiker en zoek de object-id. Als u een toepassing (service-principal) gebruikt als Microsoft Entra-beheerder, vervangt u deze waarde door de toepassings-id. U moet ook het principalType bijwerken.
<principalType>: Een van de drie opties: Gebruiker, Groep, Toepassing. Het type Microsoft Entra-object dat wordt gebruikt als beheerder. Beheerde identiteiten en service-principals zijn toepassingen.

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$authUrl = "https://login.windows.net/$tenantId"
$serverName = "<ServerName>"
$resourceGroupName = "<ResourceGroupName>"

Login-AzAccount -tenantId $tenantId

# login as a user with SQL Server Contributor role or higher 

# Get a token

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes "https://management.core.windows.net/.default"

#Authentication header
$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

# Enable Microsoft Entra-only auth 
# No server admin is specified, Microsoft Entra admin is configured, and Microsoft Entra-only authentication is set to true
# Server admin (login and password) is randomly generated by the system

# Authentication body
# The sid is the Microsoft Entra Object ID for the user or group, and Application ID for applications. Update the principalType as well

$body = '{ 
"location": "<Location>",
"properties": { "administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true }
  }
}'

# Provision the server

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Als u de serverstatus wilt controleren, kunt u het volgende script gebruiken:

$uri = 'https://management.azure.com/subscriptions/'+$subscriptionId+'/resourceGroups/'+$resourceGroupName+'/providers/Microsoft.Sql/servers/'+$serverName+'?api-version=2020-11-01-preview&$expand=administrators/activedirectory'

$response=Invoke-WebRequest -Uri $uri -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

$response.statuscode

$response.content

Zie Azure Resource Manager-sjablonen voor Azure SQL Database voor meer informatie en ARM-sjablonen.

Als u een logische server wilt inrichten met een Microsoft Entra-beheerder die is ingesteld voor de server en alleen Microsoft Entra-verificatie met een ARM-sjabloon wilt inschakelen, raadpleegt u onze snelstartsjabloon voor logische Azure SQL-server met alleen Microsoft Entra-verificatie.

U kunt ook de volgende sjabloon gebruiken. Gebruik een aangepaste implementatie in Azure Portal en bouw uw eigen sjabloon in de editor. Sla vervolgens de configuratie op nadat u in het voorbeeld hebt geplakt.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "string",
            "defaultValue": "[uniqueString('sql', resourceGroup().id)]",
            "metadata": {
                "description": "The name of the logical server."
            }
        },
        "location": {
            "type": "string",
            "defaultValue": "[resourceGroup().location]",
            "metadata": {
                "description": "Location for all resources."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "properties": {
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Azure SQL Managed Instance (een beheerde database-instantie van Azure)

Ga naar Azure SQL Hub op aka.ms/azuresqlhub.
Selecteer Opties weergeven in het deelvenster voor Azure SQL Managed Instance.
Selecteer in het venster Opties voor Azure SQL Managed Instance de optie SQL Managed Instance maken.
Vul de verplichte gegevens in die vereist zijn op het tabblad Basisinformatie voor projectdetails en details van het beheerde exemplaar. Dit is een minimale set informatie die is vereist voor het inrichten van een met SQL beheerd exemplaar.

Zie quickstart: Azure SQL Managed Instance maken voor meer informatie over de configuratieopties.
Onder Verificatie, selecteer Gebruik alleen Microsoft Entra-verificatie voor de verificatiemethode.
Selecteer Beheerder instellen om het deelvenster Microsoft Entra ID te openen en selecteer een Microsoft Entra-principal als de Microsoft Entra-beheerder voor uw beheerde exemplaar. Wanneer u klaar bent, gebruikt u de knop Selecteren om uw beheerder in te stellen.
U kunt de rest van de standaardinstellingen laten staan. Voor meer informatie over het tabblad Netwerken, Beveiliging of andere tabbladen en instellingen, volgt u de handleiding in het artikel Quickstart: Azure SQL Managed Instance maken.
Zodra u klaar bent met het configureren van uw instellingen, selecteert u Controleren en maken om door te gaan. Selecteer Maken om te beginnen met het inrichten van het beheerde exemplaar.

De Azure CLI-opdracht az sql mi create wordt gebruikt om een nieuw met Azure SQL beheerd exemplaar in te richten. Met de onderstaande opdracht wordt een nieuw beheerd exemplaar ingericht met alleen Microsoft Entra-verificatie ingeschakeld.

Opmerking

Voor het script moeten een virtueel netwerk en subnet worden gemaakt als een vereiste.

De SQL-beheerder van het beheerde exemplaar wordt automatisch aangemaakt, en het wachtwoord wordt ingesteld op een willekeurig wachtwoord. Omdat SQL-verificatie is uitgeschakeld met deze inrichting, wordt de SQL-beheerder niet gebruikt.

De Microsoft Entra-beheerder zal het account zijn dat u instelt voor <MSEntraAccount>, en kan worden gebruikt om de instantie te beheren wanneer de inrichting is voltooid.

Vervang de volgende waarden in het voorbeeld:

<MSEntraAccount>: Kan een Microsoft Entra-gebruiker of -groep zijn. Bijvoorbeeld DummyLogin
<MSEntraAccountSID>: De Object-id van Microsoft Entra voor de gebruiker
<managedinstancename>: Noem het beheerde exemplaar dat u wilt aanmaken
<ResourceGroupName>: Naam van de resourcegroep voor uw beheerde exemplaar. De resourcegroep moet ook het virtuele netwerk en het gemaakte subnet bevatten
De subnet parameter moet worden bijgewerkt met de <Subscription ID>, <ResourceGroupName>, en <VNetName><SubnetName>. Uw abonnements-id vindt u in Azure Portal

az sql mi create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <managedinstancename> \
    --subnet /subscriptions/<Subscription ID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>

Zie az sql mi create voor meer informatie.

De PowerShell-opdracht New-AzSqlInstance wordt gebruikt om een nieuw met Azure SQL beheerd exemplaar in te richten. Met de onderstaande opdracht wordt een nieuw beheerd exemplaar ingericht met alleen Microsoft Entra-verificatie ingeschakeld.

Opmerking

Voor het script moeten een virtueel netwerk en subnet worden gemaakt als een vereiste.

De SQL-beheerder van het beheerde exemplaar wordt automatisch aangemaakt, en het wachtwoord wordt ingesteld op een willekeurig wachtwoord. Omdat sql-verificatieconnectiviteit is uitgeschakeld met deze inrichting, wordt de aanmelding van de SQL-beheerder niet gebruikt.

De Microsoft Entra-beheerder zal het account zijn dat u instelt voor <MSEntraAccount>, en kan worden gebruikt om de instantie te beheren wanneer de inrichting is voltooid.

Vervang de volgende waarden in het voorbeeld:

<managedinstancename>: Noem het beheerde exemplaar dat u wilt aanmaken
<ResourceGroupName>: Naam van de resourcegroep voor uw beheerde exemplaar. De resourcegroep moet ook het virtuele netwerk en het gemaakte subnet bevatten
<MSEntraAccount>: Kan een Microsoft Entra-gebruiker of -groep zijn. Bijvoorbeeld DummyLogin
<Location>: locatie van de server, zoals West USof Central US
De SubnetId parameter moet worden bijgewerkt met de <Subscription ID>, <ResourceGroupName>, en <VNetName><SubnetName>. Uw abonnements-id vindt u in Azure Portal

$instanceName = @{
    Name = "<managedinstancename>"
    ResourceGroupName = "<ResourceGroupName>"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
    Location = "<Location>"
    SubnetId = "/subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>"
    LicenseType = "LicenseIncluded"
    StorageSizeInGB = 128
    VCore = 4
    Edition = "GeneralPurpose"
    ComputeGeneration = "Gen5"
}

New-AzSqlInstance $instanceName

Zie New-AzSqlInstance voor meer informatie.

De SQL Managed Instances - REST API maken of bijwerken kan worden gebruikt voor het maken van een beheerd exemplaar met alleen Microsoft Entra-verificatie ingeschakeld tijdens het inrichten.

Opmerking

Voor het script moeten een virtueel netwerk en subnet worden gemaakt als een vereiste.

Met het onderstaande script wordt een beheerd exemplaar ingericht, de Microsoft Entra-beheerder ingesteld als <MSEntraAccount>, en wordt Microsoft Entra-verificatie ingeschakeld. De SQL-instantiebeheerder wordt ook automatisch gemaakt en het wachtwoord wordt ingesteld op een willekeurig wachtwoord. Omdat sql-verificatieconnectiviteit is uitgeschakeld met deze inrichting, wordt de aanmelding van de SQL-beheerder niet gebruikt.

De Microsoft Entra-beheerder <MSEntraAccount> kan worden gebruikt om het exemplaar te beheren wanneer het inrichten is voltooid.

Vervang de volgende waarden in het voorbeeld:

<tenantId>: u vindt deze door naar Azure Portal te gaan en naar uw Microsoft Entra ID-resource te gaan. In het deelvenster Overzicht ziet u de tenant-id
<subscriptionId>: Uw abonnements-id vindt u in De Azure-portal
<instanceName>: Een unieke naam voor een beheerd exemplaar gebruiken
<ResourceGroupName>: Naam van de resourcegroep voor uw logische server
<MSEntraAccount>: Kan een Microsoft Entra-gebruiker of -groep zijn. Bijvoorbeeld DummyLogin
<Location>: locatie van de server, zoals westus2of centralus
<objectId>: u vindt deze door naar Azure Portal te gaan en naar uw Microsoft Entra ID-resource te gaan. Zoek in het deelvenster Gebruiker naar de Microsoft Entra-gebruiker en zoek de object-id. Als u een toepassing (service-principal) gebruikt als Microsoft Entra-beheerder, vervangt u deze waarde door de toepassings-id. U moet het principalType ook bijwerken.
De subnetId parameter moet worden bijgewerkt met de <ResourceGroupName>, de Subscription ID, <VNetName>en <SubnetName>

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$instanceName = "<instanceName>"
$resourceGroupName = "<ResourceGroupName>"
$scopes ="https://management.core.windows.net/.default"

Login-AzAccount -tenantId $tenantId

# Login as an Microsoft Entra user with permission to provision a managed instance

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes $scopes

$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

$body = '{
"name": "<instanceName>", "type": "Microsoft.Sql/managedInstances", "identity": { "type": "SystemAssigned"},"location": "<Location>", "sku": {"name": "GP_Gen5", "tier": "GeneralPurpose", "family":"Gen5","capacity": 8},
"properties": {"administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true },
"subnetId": "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>",
"licenseType": "LicenseIncluded", "vCores": 8, "storageSizeInGB": 2048, "collation": "SQL_Latin1_General_CP1_CI_AS", "proxyOverride": "Proxy", "timezoneId": "UTC", "privateEndpointConnections": [], "storageAccountType": "GRS", "zoneRedundant": false 
  }
}'

# To provision the instance, execute the `PUT` command

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Voer de GET opdracht uit om de resultaten te controleren:

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method GET -Headers $authHeader  | Format-List

Gebruik de volgende sjabloon om een nieuw beheerd exemplaar, virtueel netwerk en subnet in te richten, waarbij een Microsoft Entra-beheerder is ingesteld voor de instantie en alleen Microsoft Entra-verificatie is ingeschakeld.

Gebruik een aangepaste implementatie in Azure Portal en bouw uw eigen sjabloon in de editor. Sla vervolgens de configuratie op nadat u in het voorbeeld hebt geplakt.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "managedInstanceName": {
            "type": "String",
            "metadata": {
                "description": "Enter managed instance name."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL managed instance."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin. The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "location": {
            "defaultValue": "[resourceGroup().location]",
            "type": "String",
            "metadata": {
                "description": "Enter location. If you leave this field blank resource group location would be used."
            }
        },
        "virtualNetworkName": {
            "type": "String",
            "defaultValue": "SQLMI-VNET",
            "metadata": {
                "description": "Enter virtual network name. If you leave this field blank name will be created by the template."
            }
        },
        "addressPrefix": {
            "defaultValue": "10.0.0.0/16",
            "type": "String",
            "metadata": {
                "description": "Enter virtual network address prefix."
            }
        },
        "subnetName": {
            "type": "String",
            "defaultValue": "ManagedInstances",
            "metadata": {
                "description": "Enter subnet name. If you leave this field blank name will be created by the template."
            }
        },
        "subnetPrefix": {
            "defaultValue": "10.0.0.0/24",
            "type": "String",
            "metadata": {
                "description": "Enter subnet address prefix."
            }
        },
        "skuName": {
            "defaultValue": "GP_Gen5",
            "allowedValues": [
                "GP_Gen5",
                "BC_Gen5"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter sku name."
            }
        },
        "vCores": {
            "defaultValue": 16,
            "allowedValues": [
                8,
                16,
                24,
                32,
                40,
                64,
                80
            ],
            "type": "Int",
            "metadata": {
                "description": "Enter number of vCores."
            }
        },
        "storageSizeInGB": {
            "defaultValue": 256,
            "minValue": 32,
            "maxValue": 8192,
            "type": "Int",
            "metadata": {
                "description": "Enter storage size."
            }
        },
        "licenseType": {
            "defaultValue": "LicenseIncluded",
            "allowedValues": [
                "BasePrice",
                "LicenseIncluded"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter license type."
            }
        }
    },
    "variables": {
        "networkSecurityGroupName": "[concat('SQLMI-', parameters('managedInstanceName'), '-NSG')]",
        "routeTableName": "[concat('SQLMI-', parameters('managedInstanceName'), '-Route-Table')]"
    },
    "resources": [
        {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2020-06-01",
            "name": "[variables('networkSecurityGroupName')]",
            "location": "[parameters('location')]",
            "properties": {
                "securityRules": [
                    {
                        "name": "allow_tds_inbound",
                        "properties": {
                            "description": "Allow access to data",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "1433",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1000,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_inbound",
                        "properties": {
                            "description": "Deny all other inbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_outbound",
                        "properties": {
                            "description": "Deny all other outbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Outbound"
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Network/routeTables",
            "apiVersion": "2020-06-01",
            "name": "[variables('routeTableName')]",
            "location": "[parameters('location')]",
            "properties": {
                "disableBgpRoutePropagation": false
            }
        },
        {
            "type": "Microsoft.Network/virtualNetworks",
            "apiVersion": "2020-06-01",
            "name": "[parameters('virtualNetworkName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[variables('routeTableName')]",
                "[variables('networkSecurityGroupName')]"
            ],
            "properties": {
                "addressSpace": {
                    "addressPrefixes": [
                        "[parameters('addressPrefix')]"
                    ]
                },
                "subnets": [
                    {
                        "name": "[parameters('subnetName')]",
                        "properties": {
                            "addressPrefix": "[parameters('subnetPrefix')]",
                            "routeTable": {
                                "id": "[resourceId('Microsoft.Network/routeTables', variables('routeTableName'))]"
                            },
                            "networkSecurityGroup": {
                                "id": "[resourceId('Microsoft.Network/networkSecurityGroups', variables('networkSecurityGroupName'))]"
                            },
                            "delegations": [
                                {
                                    "name": "miDelegation",
                                    "properties": {
                                        "serviceName": "Microsoft.Sql/managedInstances"
                                    }
                                }
                            ]
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('managedInstanceName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[parameters('virtualNetworkName')]"
            ],
            "sku": {
                "name": "[parameters('skuName')]"
            },
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "subnetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('virtualNetworkName'), parameters('subnetName'))]",
                "storageSizeInGB": "[parameters('storageSizeInGB')]",
                "vCores": "[parameters('vCores')]",
                "licenseType": "[parameters('licenseType')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Machtigingen voor adreslijstlezers verlenen

Zodra de implementatie voor uw beheerde exemplaar is voltooid, ziet u mogelijk dat het sql Managed Instance leesmachtigingen nodig heeft voor toegang tot Microsoft Entra-id. Leesmachtigingen kunnen worden verleend door het weergegeven bericht in Azure Portal te selecteren door een persoon met voldoende bevoegdheden. Zie voor meer informatie de rol Directory Readers in Microsoft Entra ID voor Azure SQL.

Beperkingen

Om het beheerderswachtwoord van de server opnieuw in te stellen, moet Microsoft Entra-verificatie zijn uitgeschakeld.
Als Microsoft Entra-verificatie is uitgeschakeld, moet u een server met een serverbeheerder en wachtwoord maken wanneer u alle API's gebruikt.

Als u al een logische server of sql managed instance hebt en alleen Microsoft Entra-verificatie wilt inschakelen, raadpleegt u de zelfstudie: Alleen Microsoft Entra-verificatie inschakelen met Azure SQL.
Zie Microsoft Entra-only-verificatie met Azure SQL voor meer informatie over de Microsoft Entra-only-authenticatiefunctie.
Als u het maken van servers met alleen Microsoft Entra-verificatie wilt afdwingen, raadpleegt u Azure Policy voor Microsoft Entra-only-verificatie met Azure SQL

Feedback

Is deze pagina nuttig?

Delen via

Server maken met alleen Microsoft Entra-verificatie ingeschakeld in Azure SQL

Vereiste voorwaarden

Machtigingen

Inrichten met alleen Microsoft Entra-verificatie ingeschakeld

Azure SQL Database

Azure SQL Managed Instance (een beheerde database-instantie van Azure)

Machtigingen voor adreslijstlezers verlenen

Beperkingen

Verwante inhoud

Feedback

Aanvullende resources