Создание сервера с включенной проверкой подлинности только в Microsoft Entra в SQL Azure

Применимо к:База данных SQL AzureУправляемый экземпляр SQL Azure

В этом руководстве рассматриваются шаги по созданию логического сервера для сервера базы данных Azure SQL или управляемого экземпляра Azure SQL с включенной аутентификацией только через Microsoft Entra в процессе развертывания. Функция проверки подлинности только для Microsoft Entra запрещает пользователям подключаться к серверу или управляемому экземпляру с помощью проверки подлинности SQL и разрешает только подключения, прошедшие проверку подлинности с помощью идентификатора Microsoft Entra (ранее — Azure Active Directory).

Примечание.

Идентификатор Microsoft Entra ранее был известен как Azure Active Directory (Azure AD).

Необходимые компоненты

При использовании Azure CLI требуется версия 2.26.1 или более поздняя. Дополнительные сведения об установке и последней версии см. в статье "Установка Azure CLI".
При использовании PowerShell требуется модуль Az 6.1.0 или более поздней версии.
Когда вы подготавливаете управляемый экземпляр с помощью Azure CLI, PowerShell или REST API, перед началом работы необходимо создать виртуальную сеть и подсеть. Дополнительные сведения см. в статье "Создание виртуальной сети для Управляемого экземпляра SQL Azure".

Разрешения

Чтобы подготовить к работе логический сервер или управляемый экземпляр, необходимы соответствующие разрешения для создания этих ресурсов. Пользователи Azure с более высокими разрешениями, такие как владельцы подписок, участники, администраторы служб и соадминистраторы , имеют права на создание СЕРВЕРА SQL Server или управляемого экземпляра. Чтобы создать эти ресурсы с наименее привилегированной ролью Azure RBAC, используйте роль Участника SQL Server для базы данных SQL и роль Участника SQL Managed Instance для Управляемого экземпляра SQL.

Роль Диспетчера безопасности SQL Azure RBAC не имеет достаточных разрешений для создания сервера или экземпляра с включенной проверкой подлинности только для Microsoft Entra. Роль менеджера безопасности SQL потребуется для управления функцией аутентификации с использованием только Microsoft Entra после создания сервера или экземпляра.

Подготовка с включенной проверкой подлинности только для Microsoft Entra

В следующем разделе приведены примеры и сценарии по созданию логического сервера или управляемого экземпляра с набором администраторов Microsoft Entra для сервера или экземпляра и включена проверка подлинности только для Microsoft Entra во время создания сервера. Дополнительные сведения о функции см. в Microsoft Entra-only authentication with Azure SQL.

В наших примерах мы включаем проверку подлинности только для Microsoft Entra во время создания сервера или управляемого экземпляра с администратором сервера и паролем назначаемого системой. Это позволит предотвратить доступ администратора сервера, если включена проверка подлинности только для Microsoft Entra, и только администратор Microsoft Entra может получить доступ к ресурсу. Необязательно добавлять параметры в интерфейсы API, чтобы включить собственный администратор сервера и пароль во время создания сервера. Однако пароль нельзя сбросить, пока не отключите проверку подлинности только для Microsoft Entra. Пример использования этих необязательных параметров для указания имени входа администратора сервера представлен на вкладке PowerShell на этой странице.

Примечание.

Чтобы изменить свойство проверки подлинности только для Microsoft Entra после создания сервера или управляемого экземпляра, следует использовать другие существующие API. Дополнительные сведения см. в разделе "Управление аутентификацией только Entra с помощью API".

Если для проверки подлинности microsoft Entra задано значение false, то по умолчанию администратор сервера и пароль должны быть включены во все API во время создания сервера или управляемого экземпляра.

База данных SQL Azure

Перейдите в Центр SQL Azure в aka.ms/azuresqlhub.
В области базы данных SQL Azure выберите "Показать параметры".
В окне параметров базы данных SQL Azure выберите "Создать базу данных SQL".
На вкладке "Основы " формы "Создание базы данных SQL " в разделе "Сведения о проекте" выберите нужную подписку Azure.
Для группы ресурсов выберите "Создать", введите имя для группы ресурсов и нажмите кнопку "ОК".
В поле "Имя базы данных" введите имя базы данных.
Для сервера выберите "Создать" и заполните новую форму сервера следующими значениями:
- Имя сервера: введите уникальное имя сервера. Имена серверов должны быть глобально уникальными для всех серверов в Azure, а не только в рамках подписки. Введите значение, и портал Azure сообщит вам, доступно оно или нет.
- Расположение: выберите расположение из раскрывающегося списка
- Метод проверки подлинности: выбор проверки подлинности только для Microsoft Entra.
- Выберите "Задать администратора", чтобы открыть область идентификатора Microsoft Entra и выбрать субъект Microsoft Entra в качестве администратора логического сервера Microsoft Entra. По завершении нажмите кнопку «Выбрать», чтобы задать администратора.
Нажмите кнопку "Далее" — сеть в нижней части страницы.
На вкладке "Сеть" для метода подключения выберите общедоступную конечную точку.
Для правил брандмауэра задайте для параметра "Добавить текущий IP-адрес клиента" значение "Да". Оставьте разрешение доступа службам и ресурсам Azure к этому серверу установленным на Нет.
Оставьте политику подключения и параметры минимальной версии TLS в качестве значения по умолчанию.
Нажмите кнопку "Далее": безопасность в нижней части страницы. Настройте любой из параметров Microsoft Defender для SQL, реестра, удостоверения и прозрачного шифрования данных для вашей среды. Вы также можете пропустить эти параметры.

Примечание.

Использование управляемого удостоверения, назначаемого пользователем, в качестве удостоверения сервера поддерживается только для проверки подлинности Microsoft Entra. Чтобы подключиться к экземпляру в качестве удостоверения, назначьте его виртуальной машине Azure и запустите SSMS на этой виртуальной машине. Для рабочих сред рекомендуется использовать управляемое удостоверение администратора Microsoft Entra из-за расширенных упрощенных мер безопасности с проверкой подлинности без пароля в ресурсах Azure.
Выберите "Рецензирование" и "Создать " в нижней части страницы.
На странице "Просмотр и создание " после проверки нажмите кнопку "Создать".

Команда Azure CLI az sql server create используется для подготовки нового логического сервера. Следующая команда подготовит новый сервер с включенной проверкой подлинности только для Microsoft Entra.

Администратор SQL сервера будет автоматически создан, а пароль будет задан случайным паролем. Так как подключение к проверке подлинности SQL отключено при создании этого сервера, имя входа администратора SQL не будет использоваться.

Администратор Microsoft Entra будет учетной записью, которую <MSEntraAccount>вы задали, и может использоваться для управления сервером.

Замените в примере приведенные ниже значения.

<MSEntraAccount>: может быть пользователем или группой Microsoft Entra. Например: DummyLogin
<MSEntraAccountSID>: идентификатор объекта Microsoft Entra для пользователя
<ResourceGroupName>: имя группы ресурсов для логического сервера.
<ServerName>: используйте уникальное имя логического сервера.

az sql server create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <ServerName>

Дополнительные сведения см. в статье az sql server create.

Чтобы проверить состояние сервера после создания, используйте следующую команду:

az sql server show --name <ServerName> --resource-group <ResourceGroupName> --expand-ad-admin

Команда New-AzSqlServer PowerShell используется для подготовки нового логического сервера. Следующая команда подготовит новый сервер с включенной проверкой подлинности только для Microsoft Entra.

Замените в примере приведенные ниже значения.

<ResourceGroupName>: имя группы ресурсов для логического сервера.
<Location>: расположение сервера, например West US или Central US.
<ServerName>: используйте уникальное имя логического сервера.
<MSEntraAccount>: может быть пользователем или группой Microsoft Entra. Например: DummyLogin

$server = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
}

New-AzSqlServer @server

Ниже приведен пример того, как можно указать имя администратора сервера (а не создавать его автоматически) во время создания логического сервера. Как упоминалось ранее, это имя входа невозможно использовать, если включена проверка подлинности только для Microsoft Entra.

$cred = Get-Credential
New-AzSqlServer -ResourceGroupName "<ResourceGroupName>" -Location "<Location>" -ServerName "<ServerName>" -ServerVersion "12.0" -ExternalAdminName "<MSEntraAccount>" -EnableActiveDirectoryOnlyAuthentication -SqlAdministratorCredentials $cred

Дополнительные сведения см. в статье New-AzSqlServer.

Серверы — создание или обновление REST API можно использовать для создания логического сервера с включенной аутентификацией, доступной только через Microsoft Entra, во время развёртывания.

Приведенный ниже сценарий подготавливает логический сервер, задает администратора Microsoft Entra как <MSEntraAccount>и включает проверку подлинности только для Microsoft Entra. Администратор SQL сервера также будет создан автоматически, и пароль будет задан случайным паролем. Так как подключение к проверке подлинности SQL отключено с этой подготовкой, имя входа администратора SQL не будет использоваться.

Администратор <MSEntraAccount> Microsoft Entra может использоваться для управления сервером после завершения подготовки.

Замените в примере приведенные ниже значения.

<tenantId>: можно найти, войдя в портал Azure и перейдя к ресурсу Microsoft Entra ID. В области "Обзор" должен отобразиться идентификатор клиента.
<subscriptionId>: ваш идентификатор подписки можно найти на портале Azure.
<ServerName>: используйте уникальное имя логического сервера.
<ResourceGroupName>: имя группы ресурсов для логического сервера.
<MicrosoftEntraAccount>: может быть пользователем, группой или приложением Microsoft Entra. Например: DummyLogin
<Location>: расположение сервера, например westus2 или centralus.
<objectId>: можно найти, войдя в портал Azure и перейдя к ресурсу Microsoft Entra ID. На панели "Пользователь" найдите пользователя Microsoft Entra и найдите свой идентификатор объекта. Если вы используете приложение (субъект-службу) в качестве администратора Microsoft Entra, замените это значение идентификатором приложения. Вам также потребуется обновить principalType.
<principalType>: один из трех вариантов: пользователь, группа, приложение. Тип объекта Microsoft Entra, используемого в качестве администратора. Управляемые удостоверения и субъекты-службы — приложения.

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$authUrl = "https://login.windows.net/$tenantId"
$serverName = "<ServerName>"
$resourceGroupName = "<ResourceGroupName>"

Login-AzAccount -tenantId $tenantId

# login as a user with SQL Server Contributor role or higher 

# Get a token

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes "https://management.core.windows.net/.default"

#Authentication header
$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

# Enable Microsoft Entra-only auth 
# No server admin is specified, Microsoft Entra admin is configured, and Microsoft Entra-only authentication is set to true
# Server admin (login and password) is randomly generated by the system

# Authentication body
# The sid is the Microsoft Entra Object ID for the user or group, and Application ID for applications. Update the principalType as well

$body = '{ 
"location": "<Location>",
"properties": { "administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true }
  }
}'

# Provision the server

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Чтобы проверить состояние сервера, можно использовать следующий скрипт:

$uri = 'https://management.azure.com/subscriptions/'+$subscriptionId+'/resourceGroups/'+$resourceGroupName+'/providers/Microsoft.Sql/servers/'+$serverName+'?api-version=2020-11-01-preview&$expand=administrators/activedirectory'

$response=Invoke-WebRequest -Uri $uri -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

$response.statuscode

$response.content

Дополнительные сведения и шаблоны ARM см. в шаблонах Azure Resource Manager для Базы данных SQL Azure.

Чтобы подготовить виртуальный сервер с установкой администратора Microsoft Entra для сервера и аутентификацией только через Microsoft Entra с помощью шаблона ARM, ознакомьтесь с нашим шаблоном быстрого запуска для виртуального сервера Azure SQL с аутентификацией только через Microsoft Entra.

Вы также можете использовать указанный ниже шаблон. Используйте настраиваемое развертывание на портале Azure и создайте собственный шаблон в редакторе. Затем сохраните конфигурацию после вставки примера.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "string",
            "defaultValue": "[uniqueString('sql', resourceGroup().id)]",
            "metadata": {
                "description": "The name of the logical server."
            }
        },
        "location": {
            "type": "string",
            "defaultValue": "[resourceGroup().location]",
            "metadata": {
                "description": "Location for all resources."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "properties": {
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Управляемый экземпляр SQL Azure

Перейдите в Центр SQL Azure в aka.ms/azuresqlhub.
В панели для Управляемого экземпляра Azure SQL выберите Показать параметры.
В окне параметров Управляемого экземпляра SQL Azure выберите "Создать управляемый экземпляр SQL".
Заполните обязательные сведения, необходимые на вкладке "Основные сведения" для сведений о проекте и сведениях об управляемом экземпляре. Это минимальный набор необходимых сведений для подготовки Управляемого экземпляра SQL.

Дополнительные сведения о параметрах конфигурации см. в кратком руководстве по созданию управляемого экземпляра SQL Azure.
В разделе "Проверка подлинности" выберите "Использовать проверку подлинности только для Microsoft Entra " для метода проверки подлинности.
Выберите "Задать администратора", чтобы открыть панель Microsoft Entra ID и выбрать субъект Microsoft Entra в качестве администратора управляемого экземпляра Microsoft Entra. По завершении нажмите кнопку «Выбрать», чтобы задать администратора.
Для остальных параметров можно оставить значения по умолчанию. Для получения дополнительной информации о сетевых, безопасности или других вкладках и параметрах, следуйте руководству в статье Начало работы: создание управляемого экземпляра SQL Azure.
После настройки параметров нажмите кнопку "Проверить и создать ", чтобы продолжить. Выберите Создать, чтобы начать развертывание управляемого экземпляра.

Команда Azure CLI az sql mi create используется для подготовки нового Управляемого экземпляра SQL Azure. Следующая команда подготовит новый управляемый экземпляр с включенной проверкой подлинности только для Microsoft Entra.

Примечание.

Для данного сценария требуется создать виртуальную сеть и подсеть в качестве необходимого компонента.

Администратор SQL управляемого экземпляра будет автоматически создан, а пароль будет задан случайным паролем. Так как проверка подлинности SQL отключена с этой подготовкой, администратор SQL не будет использоваться.

Администратор Microsoft Entra будет учетной записью, которую <MSEntraAccount>вы задали, и может использоваться для управления экземпляром после завершения подготовки.

Замените в примере приведенные ниже значения.

<MSEntraAccount>: может быть пользователем или группой Microsoft Entra. Например: DummyLogin
<MSEntraAccountSID>: идентификатор объекта Microsoft Entra для пользователя
<managedinstancename>: имя управляемого экземпляра, который требуется создать.
<ResourceGroupName>: имя группы ресурсов для управляемого экземпляра. Группа ресурсов также должна включать созданные виртуальную сеть и подсеть.
Параметр subnet необходимо обновить с помощью <Subscription ID>, <ResourceGroupName>, <VNetName> и <SubnetName>. Ваш идентификатор подписки можно найти на портале Azure.

az sql mi create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <managedinstancename> \
    --subnet /subscriptions/<Subscription ID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>

Дополнительные сведения см. в статье az sql mi create.

Команда PowerShell New-AzSqlInstance используется для подготовки нового Управляемого экземпляра SQL Azure. Следующая команда подготовит новый управляемый экземпляр с включенной проверкой подлинности только для Microsoft Entra.

Примечание.

Для данного сценария требуется создать виртуальную сеть и подсеть в качестве необходимого компонента.

Администратор SQL управляемого экземпляра будет автоматически создан, а пароль будет задан случайным паролем. Так как подключение к проверке подлинности SQL отключено с этой подготовкой, имя входа администратора SQL не будет использоваться.

Замените в примере приведенные ниже значения.

<managedinstancename>: имя управляемого экземпляра, который требуется создать.
<ResourceGroupName>: имя группы ресурсов для управляемого экземпляра. Группа ресурсов также должна включать созданные виртуальную сеть и подсеть.
<MSEntraAccount>: может быть пользователем или группой Microsoft Entra. Например: DummyLogin
<Location>: расположение сервера, например West US или Central US.
Параметр SubnetId необходимо обновить с помощью <Subscription ID>, <ResourceGroupName>, <VNetName> и <SubnetName>. Ваш идентификатор подписки можно найти на портале Azure.

$instanceName = @{
    Name = "<managedinstancename>"
    ResourceGroupName = "<ResourceGroupName>"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
    Location = "<Location>"
    SubnetId = "/subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>"
    LicenseType = "LicenseIncluded"
    StorageSizeInGB = 128
    VCore = 4
    Edition = "GeneralPurpose"
    ComputeGeneration = "Gen5"
}

New-AzSqlInstance $instanceName

Дополнительные сведения см. в разделе New-AzSqlInstance.

Управляемые экземпляры SQL — создание или обновление REST API можно использовать для создания управляемого экземпляра с включенной аутентификацией только Microsoft Entra в процессе настройки.

Примечание.

Для данного сценария требуется создать виртуальную сеть и подсеть в качестве необходимого компонента.

Приведенный ниже сценарий подготавливает управляемый экземпляр, задает администратора Microsoft Entra как <MSEntraAccount>и включает проверку подлинности только для Microsoft Entra. Администратор SQL экземпляра также будет создан автоматически, и пароль будет задан случайным паролем. Так как подключение к проверке подлинности SQL отключено с этой подготовкой, имя входа администратора SQL не будет использоваться.

Администратор <MSEntraAccount> Microsoft Entra может использоваться для управления экземпляром после завершения подготовки.

Замените в примере приведенные ниже значения.

<tenantId>: можно найти, войдя в портал Azure и перейдя к ресурсу Microsoft Entra ID. В области "Обзор" должен отобразиться идентификатор клиента.
<subscriptionId>: ваш идентификатор подписки можно найти на портале Azure.
<instanceName>: используйте уникальное имя управляемого экземпляра.
<ResourceGroupName>: имя группы ресурсов для логического сервера.
<MSEntraAccount>: может быть пользователем или группой Microsoft Entra. Например: DummyLogin
<Location>: расположение сервера, например westus2 или centralus.
<objectId>: можно найти, войдя в портал Azure и перейдя к ресурсу Microsoft Entra ID. На панели "Пользователь" найдите пользователя Microsoft Entra и найдите свой идентификатор объекта. Если вы используете приложение (субъект-службу) в качестве администратора Microsoft Entra, замените это значение идентификатором приложения. Вам также потребуется обновить principalType.
Параметр subnetId необходимо обновить с помощью <ResourceGroupName>, Subscription ID, <VNetName> и <SubnetName>.

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$instanceName = "<instanceName>"
$resourceGroupName = "<ResourceGroupName>"
$scopes ="https://management.core.windows.net/.default"

Login-AzAccount -tenantId $tenantId

# Login as an Microsoft Entra user with permission to provision a managed instance

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes $scopes

$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

$body = '{
"name": "<instanceName>", "type": "Microsoft.Sql/managedInstances", "identity": { "type": "SystemAssigned"},"location": "<Location>", "sku": {"name": "GP_Gen5", "tier": "GeneralPurpose", "family":"Gen5","capacity": 8},
"properties": {"administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true },
"subnetId": "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>",
"licenseType": "LicenseIncluded", "vCores": 8, "storageSizeInGB": 2048, "collation": "SQL_Latin1_General_CP1_CI_AS", "proxyOverride": "Proxy", "timezoneId": "UTC", "privateEndpointConnections": [], "storageAccountType": "GRS", "zoneRedundant": false 
  }
}'

# To provision the instance, execute the `PUT` command

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Чтобы проверить результаты, выполните команду GET:

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method GET -Headers $authHeader  | Format-List

Для подготовки нового управляемого экземпляра, виртуальной сети и подсети с помощью администратора Microsoft Entra для экземпляра и включенной проверки подлинности только для Microsoft Entra используйте следующий шаблон.

Используйте настраиваемое развертывание на портале Azure и создайте собственный шаблон в редакторе. Затем сохраните конфигурацию после вставки примера.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "managedInstanceName": {
            "type": "String",
            "metadata": {
                "description": "Enter managed instance name."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL managed instance."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin. The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "location": {
            "defaultValue": "[resourceGroup().location]",
            "type": "String",
            "metadata": {
                "description": "Enter location. If you leave this field blank resource group location would be used."
            }
        },
        "virtualNetworkName": {
            "type": "String",
            "defaultValue": "SQLMI-VNET",
            "metadata": {
                "description": "Enter virtual network name. If you leave this field blank name will be created by the template."
            }
        },
        "addressPrefix": {
            "defaultValue": "10.0.0.0/16",
            "type": "String",
            "metadata": {
                "description": "Enter virtual network address prefix."
            }
        },
        "subnetName": {
            "type": "String",
            "defaultValue": "ManagedInstances",
            "metadata": {
                "description": "Enter subnet name. If you leave this field blank name will be created by the template."
            }
        },
        "subnetPrefix": {
            "defaultValue": "10.0.0.0/24",
            "type": "String",
            "metadata": {
                "description": "Enter subnet address prefix."
            }
        },
        "skuName": {
            "defaultValue": "GP_Gen5",
            "allowedValues": [
                "GP_Gen5",
                "BC_Gen5"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter sku name."
            }
        },
        "vCores": {
            "defaultValue": 16,
            "allowedValues": [
                8,
                16,
                24,
                32,
                40,
                64,
                80
            ],
            "type": "Int",
            "metadata": {
                "description": "Enter number of vCores."
            }
        },
        "storageSizeInGB": {
            "defaultValue": 256,
            "minValue": 32,
            "maxValue": 8192,
            "type": "Int",
            "metadata": {
                "description": "Enter storage size."
            }
        },
        "licenseType": {
            "defaultValue": "LicenseIncluded",
            "allowedValues": [
                "BasePrice",
                "LicenseIncluded"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter license type."
            }
        }
    },
    "variables": {
        "networkSecurityGroupName": "[concat('SQLMI-', parameters('managedInstanceName'), '-NSG')]",
        "routeTableName": "[concat('SQLMI-', parameters('managedInstanceName'), '-Route-Table')]"
    },
    "resources": [
        {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2020-06-01",
            "name": "[variables('networkSecurityGroupName')]",
            "location": "[parameters('location')]",
            "properties": {
                "securityRules": [
                    {
                        "name": "allow_tds_inbound",
                        "properties": {
                            "description": "Allow access to data",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "1433",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1000,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_inbound",
                        "properties": {
                            "description": "Deny all other inbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_outbound",
                        "properties": {
                            "description": "Deny all other outbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Outbound"
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Network/routeTables",
            "apiVersion": "2020-06-01",
            "name": "[variables('routeTableName')]",
            "location": "[parameters('location')]",
            "properties": {
                "disableBgpRoutePropagation": false
            }
        },
        {
            "type": "Microsoft.Network/virtualNetworks",
            "apiVersion": "2020-06-01",
            "name": "[parameters('virtualNetworkName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[variables('routeTableName')]",
                "[variables('networkSecurityGroupName')]"
            ],
            "properties": {
                "addressSpace": {
                    "addressPrefixes": [
                        "[parameters('addressPrefix')]"
                    ]
                },
                "subnets": [
                    {
                        "name": "[parameters('subnetName')]",
                        "properties": {
                            "addressPrefix": "[parameters('subnetPrefix')]",
                            "routeTable": {
                                "id": "[resourceId('Microsoft.Network/routeTables', variables('routeTableName'))]"
                            },
                            "networkSecurityGroup": {
                                "id": "[resourceId('Microsoft.Network/networkSecurityGroups', variables('networkSecurityGroupName'))]"
                            },
                            "delegations": [
                                {
                                    "name": "miDelegation",
                                    "properties": {
                                        "serviceName": "Microsoft.Sql/managedInstances"
                                    }
                                }
                            ]
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('managedInstanceName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[parameters('virtualNetworkName')]"
            ],
            "sku": {
                "name": "[parameters('skuName')]"
            },
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "subnetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('virtualNetworkName'), parameters('subnetName'))]",
                "storageSizeInGB": "[parameters('storageSizeInGB')]",
                "vCores": "[parameters('vCores')]",
                "licenseType": "[parameters('licenseType')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Предоставление разрешений для роли "Читатели каталогов"

После завершения развертывания для управляемого экземпляра можно заметить, что управляемому экземпляру SQL требуются разрешения на чтение для доступа к идентификатору Microsoft Entra. Разрешения на чтение можно предоставить, выбрав отображаемое сообщение в портал Azure человека с достаточными привилегиями. Для получения дополнительной информации см. роль "Читатели каталогов" в Microsoft Entra ID для Azure SQL.

Ограничения

Чтобы сбросить пароль администратора сервера, необходимо отключить проверку подлинности только для Microsoft Entra.
Если проверка подлинности только для Microsoft Entra отключена, необходимо создать сервер с администратором сервера и паролем при использовании всех API.

Если у вас уже есть логический сервер или управляемый экземпляр SQL и требуется включить проверку подлинности только для Microsoft Entra, см. руководство. Включение проверки подлинности только для Microsoft Entra с помощью SQL Azure.
Дополнительные сведения о функции аутентификации только с использованием Microsoft Entra см. в разделе Аутентификация только с Microsoft Entra в Azure SQL.
Если вы хотите обеспечить создание серверов с включенной аутентификацией только для Microsoft Entra, ознакомьтесь с политикой Azure для аутентификации только Microsoft Entra с использованием Azure SQL

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2025-08-25

Поделиться через

Создание сервера с включенной проверкой подлинности только в Microsoft Entra в SQL Azure

Необходимые компоненты

Разрешения

Подготовка с включенной проверкой подлинности только для Microsoft Entra

База данных SQL Azure

Управляемый экземпляр SQL Azure

Предоставление разрешений для роли "Читатели каталогов"

Ограничения

Связанный контент

Обратная связь

Дополнительные ресурсы