Skapa server med endast Microsoft Entra-autentisering aktiverat i Azure SQL

2025-08-25

gäller för:Azure SQL Database Azure SQL Managed Instance

Den här guiden beskriver stegen för att skapa en logisk server för Azure SQL Database eller en Azure SQL Managed Instance med endast Microsoft Entra-autentisering aktiverat under etableringen. Funktionen för endast Microsoft Entra-autentisering hindrar användare från att ansluta till servern eller den hanterade instansen med hjälp av SQL-autentisering och tillåter endast anslutningar som autentiseras med Microsoft Entra-ID (tidigare Azure Active Directory).

Anmärkning

Microsoft Entra-ID kallades tidigare Azure Active Directory (Azure AD).

Förutsättningar

Version 2.26.1 eller senare krävs när du använder Azure CLI. Mer information om installationen och den senaste versionen finns i Installera Azure CLI.
Az 6.1.0-modulen eller senare krävs när du använder PowerShell.
Om du etablerar en hanterad instans med hjälp av Azure CLI, PowerShell eller REST API måste ett virtuellt nätverk och undernät skapas innan du börjar. Mer information finns i Skapa ett virtuellt nätverk för Azure SQL Managed Instance.

Behörigheter

Om du vill etablera en logisk server eller hanterad instans måste du ha rätt behörighet för att skapa dessa resurser. Azure-användare med högre behörigheter, till exempel prenumerationsägare, deltagare, tjänstadministratörer och medadministratörer, har behörighet att skapa en SQL-server eller hanterad instans. Om du vill skapa dessa resurser med den minst privilegierade Azure RBAC-rollen använder du rollen SQL Server deltagare för SQL Database och rollen SQL Managed Instance-deltagare för SQL Managed Instance.

SQL Security Manager Azure RBAC-rollen har inte tillräcklig behörighet för att skapa en server eller instans med endast Microsoft Entra-autentisering aktiverad. Rollen SQL Security Manager krävs för att hantera autentiseringsfunktionen Endast Microsoft Entra när servern eller instansen har skapats.

Etablera med endast Microsoft Entra-autentisering aktiverat

I följande avsnitt får du exempel och skript om hur du skapar en logisk server eller hanterad instans med en Microsoft Entra-administratörsuppsättning för servern eller instansen och hur du aktiverar endast Microsoft Entra-autentisering när servern skapas. Mer information om funktionen finns i Microsoft Entra-autentisering med Azure SQL.

I våra exempel aktiverar vi endast Microsoft Entra-autentisering när servern eller den hanterade instansen skapas, med en systemtilldelad serveradministratör och ett lösenord. Detta förhindrar serveradministratörsåtkomst när endast Microsoft Entra-autentisering är aktiverat och tillåter endast Microsoft Entra-administratören att komma åt resursen. Det är valfritt att lägga till parametrar i API:erna för att inkludera din egen serveradministratör och ditt eget lösenord när servern skapas. Lösenordet kan dock inte återställas förrän du inaktiverar autentisering med endast Microsoft Entra. Ett exempel på hur du använder dessa valfria parametrar för att ange serveradministratörens inloggningsnamn visas på PowerShell-fliken på den här sidan.

Anmärkning

Om du vill ändra autentiseringsegenskapen Endast Microsoft Entra när servern eller den hanterade instansen har skapats bör andra befintliga API:er användas. Mer information finns i Hantera autentisering med endast Microsoft Entra med hjälp av API:er.

Om endast Microsoft Entra-autentisering är inställt på false, vilket det är som standard, måste en serveradministratör och ett lösenord inkluderas i alla API:er när servern eller den hanterade instansen skapas.

Azure SQL Database

Gå till Azure SQL Hub på aka.ms/azuresqlhub.
I fönstret för Azure SQL Database väljer du Visa alternativ.
I fönstret Azure SQL Database-alternativ väljer du Skapa SQL Database.
På fliken Grundläggande i formuläret Skapa SQL Database går du till Projektinformationoch väljer önskad Azure -prenumeration.
För Resursgruppväljer du Skapa ny, anger ett namn för resursgruppen och väljer OK.
För Databasnamn anger du ett namn för databasen.
För Server väljer du Skapa ny och fyller i det nya serverformuläret med följande värden:
- Servernamn: Ange ett unikt servernamn. Servernamn måste vara globalt unika för alla servrar i Azure, inte bara unika i en prenumeration. Ange ett värde så meddelar Azure Portal dig om det är tillgängligt eller inte.
- Plats: Välj en plats i listrutan
- Autentiseringsmetod: Välj Använd endast Microsoft Entra-autentisering.
- Välj Ange administratör för att öppna fönstret Microsoft Entra-ID och välj ett Microsoft Entra-huvudnamn som din logiska server Microsoft Entra-administratör. När du är klar använder du knappen Välj för att ange din admin.
Välj Nästa: Nätverk längst ned på sidan.
På fliken Nätverk väljer du offentlig slutpunktför Anslutningsmetod.
För brandväggsregleranger du Lägg till aktuell klient-IP-adress till Ja. Låt Tillåt att Azure-tjänster och resurser får åtkomst till den här servern anges till Nej.
Lämna inställningarna för Anslutningsprincip och Lägsta TLS-version som standardvärde.
Välj Nästa: Säkerhets längst ned på sidan. Konfigurera någon av inställningarna för Microsoft Defender för SQL,transaktionsregister, identitet och transparent datakryptering för din miljö. Du kan också hoppa över dessa inställningar.

Anmärkning

Det går att använda en användartilldelad hanterad identitet som serveridentitet med endast Microsoft Entra-autentisering. Om du vill ansluta till instansen som identitet tilldelar du den till en virtuell Azure-dator och kör SSMS på den virtuella datorn. För produktionsmiljöer rekommenderar vi att du använder en hanterad identitet för Microsoft Entra-administratören på grund av de förbättrade, förenklade säkerhetsåtgärderna med lösenordsfri autentisering till Azure-resurser.
Välj Granska och skapa längst ned på sidan.
På sidan Granska + skapa, efter granskning, väljer du Skapa.

Azure CLI-kommandot az sql server create används för att etablera en ny logisk server. Kommandot nedan etablerar en ny server med endast Microsoft Entra-autentisering aktiverad.

Serverns SQL-administratör skapas automatiskt och lösenordet ställs in på ett slumpmässigt lösenord. Eftersom SQL-autentiseringsanslutningen är inaktiverad när den här servern skapas används inte SQL-administratörsinloggningen.

Serverns Microsoft Entra-administratör är det konto som du har angett för <MSEntraAccount>och kan användas för att hantera servern.

Ersätt följande värden i exemplet:

<MSEntraAccount>: Kan vara en Microsoft Entra-användare eller grupp. Till exempel: DummyLogin
<MSEntraAccountSID>: Microsoft Entra-objekt-ID för användaren
<ResourceGroupName>: Namnet på resursgruppen för den logiska servern
<ServerName>: Använd ett unikt namn på den logiska servern

az sql server create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <ServerName>

För mer information, se az sql server create.

Information om hur du kontrollerar serverstatusen när du har skapat finns i följande kommando:

az sql server show --name <ServerName> --resource-group <ResourceGroupName> --expand-ad-admin

PowerShell-kommandot New-AzSqlServer används för att etablera en ny logisk server. Kommandot nedan etablerar en ny server med endast Microsoft Entra-autentisering aktiverad.

Serverns Microsoft Entra-administratör är det konto som du har angett för <MSEntraAccount>och kan användas för att hantera servern.

Ersätt följande värden i exemplet:

<ResourceGroupName>: Namnet på resursgruppen för den logiska servern
<Location>: Plats för servern, till exempel West USeller Central US
<ServerName>: Använd ett unikt namn på den logiska servern
<MSEntraAccount>: Kan vara en Microsoft Entra-användare eller grupp. Till exempel: DummyLogin

$server = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
}

New-AzSqlServer @server

Här är ett exempel på hur du anger serveradministratörens namn (i stället för att låta serveradministratörsnamnet skapas automatiskt) när den logiska servern skapas. Som tidigare nämnts kan den här inloggningen inte användas när endast Microsoft Entra-autentisering är aktiverat.

$cred = Get-Credential
New-AzSqlServer -ResourceGroupName "<ResourceGroupName>" -Location "<Location>" -ServerName "<ServerName>" -ServerVersion "12.0" -ExternalAdminName "<MSEntraAccount>" -EnableActiveDirectoryOnlyAuthentication -SqlAdministratorCredentials $cred

Mer information finns i New-AzSqlServer.

REST-API:et Servrar – Skapa eller uppdatera kan användas för att skapa en logisk server med endast Microsoft Entra-autentisering aktiverat under etableringen.

Skriptet nedan etablerar en logisk server, anger Microsoft Entra-administratören som <MSEntraAccount>och aktiverar endast Microsoft Entra-autentisering. Serverns SQL-administratör kommer också att skapas automatiskt och lösenordet kommer att ställas in på ett slumpmässigt lösenord. Eftersom SQL-autentiseringsanslutningen är inaktiverad med den här etableringen används inte SQL-administratörsinloggningen.

Microsoft Entra-administratören <MSEntraAccount> kan användas för att hantera servern när etableringen är klar.

Ersätt följande värden i exemplet:

<tenantId>: Du hittar den genom att gå till Azure-portalen och gå till din Microsoft Entra-ID-resurs . I fönstret Översikt bör du se ditt Hyresgäst-ID
<subscriptionId>: Ditt prenumerations-ID finns i Azure-portalen
<ServerName>: Använd ett unikt namn på den logiska servern
<ResourceGroupName>: Namnet på resursgruppen för den logiska servern
<MicrosoftEntraAccount>: Kan vara en Microsoft Entra-användare, grupp eller program. Till exempel: DummyLogin
<Location>: Plats för servern, till exempel westus2eller centralus
<objectId>: Du hittar den genom att gå till Azure-portalen och gå till din Microsoft Entra-ID-resurs . I fönstret Användare söker du efter Microsoft Entra-användaren och letar reda på deras objekt-ID. Om du använder ett program (tjänstens huvudnamn) som Microsoft Entra-administratör ersätter du det här värdet med program-ID:t. Du måste också uppdatera.principalType
<principalType>: Ett av tre alternativ: Användare, Grupp, Program. Typen av Microsoft Entra-objekt som används som administratör. Hanterade identiteter och tjänstens huvudnamn är program.

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$authUrl = "https://login.windows.net/$tenantId"
$serverName = "<ServerName>"
$resourceGroupName = "<ResourceGroupName>"

Login-AzAccount -tenantId $tenantId

# login as a user with SQL Server Contributor role or higher 

# Get a token

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes "https://management.core.windows.net/.default"

#Authentication header
$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

# Enable Microsoft Entra-only auth 
# No server admin is specified, Microsoft Entra admin is configured, and Microsoft Entra-only authentication is set to true
# Server admin (login and password) is randomly generated by the system

# Authentication body
# The sid is the Microsoft Entra Object ID for the user or group, and Application ID for applications. Update the principalType as well

$body = '{ 
"location": "<Location>",
"properties": { "administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true }
  }
}'

# Provision the server

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Om du vill kontrollera serverstatusen kan du använda följande skript:

$uri = 'https://management.azure.com/subscriptions/'+$subscriptionId+'/resourceGroups/'+$resourceGroupName+'/providers/Microsoft.Sql/servers/'+$serverName+'?api-version=2020-11-01-preview&$expand=administrators/activedirectory'

$response=Invoke-WebRequest -Uri $uri -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

$response.statuscode

$response.content

Mer information och ARM-mallar finns i Azure Resource Manager-mallar för Azure SQL Database.

Information om hur du etablerar en logisk server med en Microsoft Entra-administratörsuppsättning för servern och endast Microsoft Entra-autentisering aktiverad med hjälp av en ARM-mall finns i vår snabbstartsmall för Azure SQL logisk server med endast Microsoft Entra-autentisering .

Du kan också använda följande mall. Använd en anpassad distribution i Azure-portalenoch Skapa en egen mall i redigeraren. Sedan Spara konfigurationen när du har klistrat in exemplet.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "string",
            "defaultValue": "[uniqueString('sql', resourceGroup().id)]",
            "metadata": {
                "description": "The name of the logical server."
            }
        },
        "location": {
            "type": "string",
            "defaultValue": "[resourceGroup().location]",
            "metadata": {
                "description": "Location for all resources."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "properties": {
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Hanterad instans i Azure SQL

Gå till Azure SQL Hub på aka.ms/azuresqlhub.
I fönstret för Azure SQL Managed Instance väljer du Visa alternativ.
I fönstret Alternativ för Azure SQL Managed Instance väljer du Skapa SQL Managed Instance.
Fyll i den obligatoriska information som krävs på fliken Grundläggande för Projektinformation och Information om hanterad instans. Det här är en minsta uppsättning information som krävs för att etablera en SQL Managed Instance.

Mer information om konfigurationsalternativen finns i Snabbstart: Skapa Azure SQL Managed Instance.
Under Autentisering väljer du Använd endast Microsoft Entra-autentisering för autentiseringsmetoden.
Välj Ange administratör för att öppna fönstret Microsoft Entra-ID och välj ett Microsoft Entra-huvudnamn som Microsoft Entra-administratör för den hanterade instansen. När du är klar använder du knappen Välj för att ange din admin.
Du kan lämna resten av inställningarna som standard. Om du vill ha mer information om Nätverk, Säkerhet eller andra flikar och inställningar följer du guiden i artikeln Snabbstart: Skapa Azure SQL Managed Instance.
När du är klar med att konfigurera inställningarna väljer du Granska + skapa för att fortsätta. Välj Skapa för att börja etablera den hanterade instansen.

Kommandot az sql mi create Azure CLI används för att etablera en ny Azure SQL Managed Instance. Kommandot nedan etablerar en ny hanterad instans med endast Microsoft Entra-autentisering aktiverad.

Anmärkning

Skriptet kräver att ett virtuellt nätverk och ett undernät skapas som en förutsättning.

SQL-administratören för den hanterade instansen skapas automatiskt och lösenordet anges till ett slumpmässigt lösenord. Eftersom SQL-autentisering är inaktiverat med den här etableringen används inte SQL-administratören.

Microsoft Entra-administratören är det konto som du har angett för och kan användas för <MSEntraAccount>att hantera instansen när etableringen är klar.

Ersätt följande värden i exemplet:

<MSEntraAccount>: Kan vara en Microsoft Entra-användare eller grupp. Till exempel: DummyLogin
<MSEntraAccountSID>: Microsoft Entra-objekt-ID för användaren
<managedinstancename>: Namnge den hanterade instans som du vill skapa
<ResourceGroupName>: Namnet på resursgruppen för den hanterade instansen. Resursgruppen bör även innehålla det virtuella nätverket och undernätet som skapats
Parametern subnet måste uppdateras med , <Subscription ID><ResourceGroupName>, <VNetName>, och <SubnetName>. Ditt prenumerations-ID finns i Azure-portalen

az sql mi create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <managedinstancename> \
    --subnet /subscriptions/<Subscription ID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>

Mer information finns i az sql mi create.

PowerShell-kommandot New-AzSqlInstance används för att etablera en ny Azure SQL Managed Instance. Kommandot nedan etablerar en ny hanterad instans med endast Microsoft Entra-autentisering aktiverad.

Anmärkning

Skriptet kräver att ett virtuellt nätverk och ett undernät skapas som en förutsättning.

SQL-administratören för den hanterade instansen skapas automatiskt och lösenordet anges till ett slumpmässigt lösenord. Eftersom SQL-autentiseringsanslutningen är inaktiverad med den här etableringen används inte SQL-administratörsinloggningen.

Microsoft Entra-administratören är det konto som du har angett för och kan användas för <MSEntraAccount>att hantera instansen när etableringen är klar.

Ersätt följande värden i exemplet:

<managedinstancename>: Namnge den hanterade instans som du vill skapa
<ResourceGroupName>: Namnet på resursgruppen för den hanterade instansen. Resursgruppen bör även innehålla det virtuella nätverket och undernätet som skapats
<MSEntraAccount>: Kan vara en Microsoft Entra-användare eller grupp. Till exempel: DummyLogin
<Location>: Plats för servern, till exempel West USeller Central US
Parametern SubnetId måste uppdateras med , <Subscription ID><ResourceGroupName>, <VNetName>, och <SubnetName>. Ditt prenumerations-ID finns i Azure-portalen

$instanceName = @{
    Name = "<managedinstancename>"
    ResourceGroupName = "<ResourceGroupName>"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
    Location = "<Location>"
    SubnetId = "/subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>"
    LicenseType = "LicenseIncluded"
    StorageSizeInGB = 128
    VCore = 4
    Edition = "GeneralPurpose"
    ComputeGeneration = "Gen5"
}

New-AzSqlInstance $instanceName

Mer information finns i New-AzSqlInstance.

SQL Managed Instances – Skapa eller uppdatera REST API kan användas för att skapa en hanterad instans med endast Microsoft Entra-autentisering aktiverat under etableringen.

Anmärkning

Skriptet kräver att ett virtuellt nätverk och ett undernät skapas som en förutsättning.

Skriptet nedan etablerar en hanterad instans, anger Microsoft Entra-administratören som <MSEntraAccount>och aktiverar endast Microsoft Entra-autentisering. Instansen SQL-administratören skapas också automatiskt och lösenordet ställs in på ett slumpmässigt lösenord. Eftersom SQL-autentiseringsanslutningen är inaktiverad med den här etableringen används inte SQL-administratörsinloggningen.

Microsoft Entra-administratören <MSEntraAccount> kan användas för att hantera instansen när etableringen är klar.

Ersätt följande värden i exemplet:

<tenantId>: Du hittar den genom att gå till Azure-portalen och gå till din Microsoft Entra-ID-resurs . I fönstret Översikt bör du se ditt Hyresgäst-ID
<subscriptionId>: Ditt prenumerations-ID finns i Azure-portalen
<instanceName>: Använd ett unikt namn på en hanterad instans
<ResourceGroupName>: Namnet på resursgruppen för den logiska servern
<MSEntraAccount>: Kan vara en Microsoft Entra-användare eller grupp. Till exempel: DummyLogin
<Location>: Plats för servern, till exempel westus2eller centralus
<objectId>: Du hittar den genom att gå till Azure-portalen och gå till din Microsoft Entra-ID-resurs . I fönstret Användare söker du efter Microsoft Entra-användaren och letar reda på deras objekt-ID. Om du använder ett program (tjänstens huvudnamn) som Microsoft Entra-administratör ersätter du det här värdet med program-ID:t. Du måste också uppdatera.principalType
Parametern subnetId måste uppdateras med <ResourceGroupName>, , Subscription ID<VNetName>, och<SubnetName>

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$instanceName = "<instanceName>"
$resourceGroupName = "<ResourceGroupName>"
$scopes ="https://management.core.windows.net/.default"

Login-AzAccount -tenantId $tenantId

# Login as an Microsoft Entra user with permission to provision a managed instance

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes $scopes

$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

$body = '{
"name": "<instanceName>", "type": "Microsoft.Sql/managedInstances", "identity": { "type": "SystemAssigned"},"location": "<Location>", "sku": {"name": "GP_Gen5", "tier": "GeneralPurpose", "family":"Gen5","capacity": 8},
"properties": {"administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true },
"subnetId": "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>",
"licenseType": "LicenseIncluded", "vCores": 8, "storageSizeInGB": 2048, "collation": "SQL_Latin1_General_CP1_CI_AS", "proxyOverride": "Proxy", "timezoneId": "UTC", "privateEndpointConnections": [], "storageAccountType": "GRS", "zoneRedundant": false 
  }
}'

# To provision the instance, execute the `PUT` command

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Kör kommandot GET för att kontrollera resultatet:

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method GET -Headers $authHeader  | Format-List

Om du vill etablera en ny hanterad instans, ett virtuellt nätverk och ett undernät, med en Microsoft Entra-administratör inställd för instansen och endast Microsoft Entra-autentisering aktiverad, använder du följande mall.

Använd en anpassad distribution i Azure-portalenoch Skapa en egen mall i redigeraren. Sedan Spara konfigurationen när du har klistrat in exemplet.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "managedInstanceName": {
            "type": "String",
            "metadata": {
                "description": "Enter managed instance name."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL managed instance."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin. The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "location": {
            "defaultValue": "[resourceGroup().location]",
            "type": "String",
            "metadata": {
                "description": "Enter location. If you leave this field blank resource group location would be used."
            }
        },
        "virtualNetworkName": {
            "type": "String",
            "defaultValue": "SQLMI-VNET",
            "metadata": {
                "description": "Enter virtual network name. If you leave this field blank name will be created by the template."
            }
        },
        "addressPrefix": {
            "defaultValue": "10.0.0.0/16",
            "type": "String",
            "metadata": {
                "description": "Enter virtual network address prefix."
            }
        },
        "subnetName": {
            "type": "String",
            "defaultValue": "ManagedInstances",
            "metadata": {
                "description": "Enter subnet name. If you leave this field blank name will be created by the template."
            }
        },
        "subnetPrefix": {
            "defaultValue": "10.0.0.0/24",
            "type": "String",
            "metadata": {
                "description": "Enter subnet address prefix."
            }
        },
        "skuName": {
            "defaultValue": "GP_Gen5",
            "allowedValues": [
                "GP_Gen5",
                "BC_Gen5"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter sku name."
            }
        },
        "vCores": {
            "defaultValue": 16,
            "allowedValues": [
                8,
                16,
                24,
                32,
                40,
                64,
                80
            ],
            "type": "Int",
            "metadata": {
                "description": "Enter number of vCores."
            }
        },
        "storageSizeInGB": {
            "defaultValue": 256,
            "minValue": 32,
            "maxValue": 8192,
            "type": "Int",
            "metadata": {
                "description": "Enter storage size."
            }
        },
        "licenseType": {
            "defaultValue": "LicenseIncluded",
            "allowedValues": [
                "BasePrice",
                "LicenseIncluded"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter license type."
            }
        }
    },
    "variables": {
        "networkSecurityGroupName": "[concat('SQLMI-', parameters('managedInstanceName'), '-NSG')]",
        "routeTableName": "[concat('SQLMI-', parameters('managedInstanceName'), '-Route-Table')]"
    },
    "resources": [
        {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2020-06-01",
            "name": "[variables('networkSecurityGroupName')]",
            "location": "[parameters('location')]",
            "properties": {
                "securityRules": [
                    {
                        "name": "allow_tds_inbound",
                        "properties": {
                            "description": "Allow access to data",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "1433",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1000,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_inbound",
                        "properties": {
                            "description": "Deny all other inbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_outbound",
                        "properties": {
                            "description": "Deny all other outbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Outbound"
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Network/routeTables",
            "apiVersion": "2020-06-01",
            "name": "[variables('routeTableName')]",
            "location": "[parameters('location')]",
            "properties": {
                "disableBgpRoutePropagation": false
            }
        },
        {
            "type": "Microsoft.Network/virtualNetworks",
            "apiVersion": "2020-06-01",
            "name": "[parameters('virtualNetworkName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[variables('routeTableName')]",
                "[variables('networkSecurityGroupName')]"
            ],
            "properties": {
                "addressSpace": {
                    "addressPrefixes": [
                        "[parameters('addressPrefix')]"
                    ]
                },
                "subnets": [
                    {
                        "name": "[parameters('subnetName')]",
                        "properties": {
                            "addressPrefix": "[parameters('subnetPrefix')]",
                            "routeTable": {
                                "id": "[resourceId('Microsoft.Network/routeTables', variables('routeTableName'))]"
                            },
                            "networkSecurityGroup": {
                                "id": "[resourceId('Microsoft.Network/networkSecurityGroups', variables('networkSecurityGroupName'))]"
                            },
                            "delegations": [
                                {
                                    "name": "miDelegation",
                                    "properties": {
                                        "serviceName": "Microsoft.Sql/managedInstances"
                                    }
                                }
                            ]
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('managedInstanceName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[parameters('virtualNetworkName')]"
            ],
            "sku": {
                "name": "[parameters('skuName')]"
            },
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "subnetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('virtualNetworkName'), parameters('subnetName'))]",
                "storageSizeInGB": "[parameters('storageSizeInGB')]",
                "vCores": "[parameters('vCores')]",
                "licenseType": "[parameters('licenseType')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Bevilja behörigheter för katalogläsare

När distributionen är klar för din hanterade instans kanske du märker att SQL Managed Instance behöver läsbehörighet för att få åtkomst till Microsoft Entra ID. Läsbehörigheter kan beviljas genom att välja det meddelande som visas i Azure Portal av en person med tillräcklig behörighet. Mer information finns i Katalogläsarens roll i Microsoft Entra-ID för Azure SQL.

Begränsningar

Om du vill återställa serveradministratörslösenordet måste endast Microsoft Entra-autentisering inaktiveras.
Om endast Microsoft Entra-autentisering är inaktiverat måste du skapa en server med en serveradministratör och ett lösenord när du använder alla API:er.

Om du redan har en logisk server eller SQL-hanterad instans och bara vill aktivera Microsoft Entra-autentisering kan du gå till Självstudie: Aktivera endast Microsoft Entra-autentisering med Azure SQL.
Mer information om funktionen Endast Microsoft Entra autentisering finns i Microsoft Entra-autentisering med Azure SQL.
Om du vill framtvinga serverskapande med endast Microsoft Entra-autentisering aktiverat kan du läsa Azure Policy för endast Microsoft Entra-autentisering med Azure SQL

Feedback

Var den här sidan till hjälp?

Dela via

Skapa server med endast Microsoft Entra-autentisering aktiverat i Azure SQL

Förutsättningar

Behörigheter

Etablera med endast Microsoft Entra-autentisering aktiverat

Azure SQL Database

Hanterad instans i Azure SQL

Bevilja behörigheter för katalogläsare

Begränsningar

Relaterat innehåll

Feedback

Ytterligare resurser