Cree un servidor con autenticación solo con Microsoft Entra habilitada en Azure SQL

Se aplica a:Azure SQL DatabaseAzure SQL Managed Instance

En esta guía paso a paso se describen los pasos para crear un servidor lógico para Azure SQL Database o Azure SQL Managed Instance con la autenticación solo de Microsoft Entra habilitada durante el aprovisionamiento. La característica de autenticación solo de Microsoft Entra impide que los usuarios se conecten al servidor o a la instancia administrada mediante la autenticación de SQL y solo permite las conexiones autenticadas mediante Microsoft Entra (anteriormente Azure Active Directory).

Nota:

Microsoft Entra ID era conocido anteriormente como Azure Active Directory (Azure AD).

Requisitos previos

• Se necesita la versión 2.26.1 o posterior cuando se usa la CLI de Azure. Para más información sobre la instalación la versión más reciente, consulte Instalación de la CLI de Azure 2.0.
• Se necesita el módulo Az 6.1.0 o posterior cuando se usa PowerShell.
• Si va a aprovisionar una instancia administrada mediante la CLI de Azure, PowerShell o API REST, es necesario crear una red virtual y una subred antes de empezar. Para más información, consulte Creación de una red virtual para Azure SQL Managed Instance.

Permisos

Para aprovisionar una instancia administrada o un servidor lógico debe tener los permisos adecuados para crear estos recursos. Los usuarios de Azure con permisos superiores, como Propietarios, Colaboradores, Administradores de servicios y Coadministradores de la suscripción tienen el privilegio de crear un servidor SQL o una instancia administrada. Para crear estos recursos con el rol RBAC de Azure con menos privilegios, use el rol Colaborador de SQL Server para SQL Database y el rol Colaborador de SQL Managed Instance para SQL Managed Instance.

El rol RBAC de Azure Administrador de seguridad de SQL no tiene permisos suficientes para crear un servidor o una instancia con la autenticación solo de Microsoft Entra habilitada. El rol Administrador de seguridad de SQL será necesario para administrar la característica de autenticación solo de Microsoft Entra después de la creación del servidor o la instancia.

Aprovisionamiento con la autenticación solo de Microsoft Entra habilitada

En la sección siguiente se proporcionan ejemplos y scripts sobre cómo crear un servidor lógico o una instancia administrada con un conjunto de administradores de Microsoft Entra para el servidor o la instancia, y tener habilitada la autenticación solo de Microsoft Entra durante la creación del servidor. Para más información sobre la característica, consulte Autenticación solo de Microsoft Entra.

En nuestros ejemplos, vamos a habilitar la autenticación solo de Microsoft Entra durante la creación del servidor o de la instancia administrada, con un administrador y una contraseña de servidor asignados por el sistema. Esto impedirá el acceso de administrador del servidor cuando esté habilitada la autenticación solo de Microsoft Entra y solo permite que el administrador de Microsoft Entra acceda al recurso. Es opcional agregar parámetros a las API para incluir su propio administrador de servidor y contraseña durante la creación del servidor. Sin embargo, la contraseña no se puede restablecer hasta que se deshabilite la autenticación solo de Microsoft Entra. En la pestaña PowerShell de esta página se muestra un ejemplo de cómo usar estos parámetros opcionales para especificar el nombre de inicio de sesión del administrador del servidor.

Nota

Para cambiar las propiedades existentes después de crear el servidor o la instancia administrada, se deben usar otras API existentes. Para obtener más información, consulte Administración de la autenticación solo de Microsoft Entra con API y Configuración y administración de la autenticación de Microsoft Entra con Azure SQL.

Si la autenticación solo de Microsoft Entra se establece en false, que es la opción predeterminada, se deben incluir un administrador del servidor y una contraseña en todas las API durante la creación del servidor o de la instancia administrada.

Azure SQL Database

Portal

1. Vaya a la página Seleccione una opción de implementación de SQL en Azure Portal.

2. Si aún no ha iniciado sesión en Azure Portal, hágalo cuando se le solicite.

3. En Bases de datos SQL, deje Tipo de recurso establecido en Base de datos única y seleccione Crear.

4. En la pestaña Básico del formulario Create SQL Database, en Detalles del proyecto, seleccione la suscripción de Azure correcta.

5. En Grupo de recursos, seleccione Crear nuevo, especifique un nombre válido para el grupo de recursos y seleccione Aceptar.

6. En Nombre de la base de datos, escriba un nombre para la base de datos.

7. En Servidor, seleccione Crear nuevo y rellene el formulario del nuevo servidor con los valores siguientes:

   • Nombre del servidor: escriba un nombre de servidor único. Los nombres de los servidores deben ser globalmente únicos en todos los servidores de Azure, no solo únicos dentro de una suscripción. Escriba un valor; Azure Portal le avisa de si está disponible o no.
   • Ubicación: seleccione una ubicación en la lista desplegable.
   • Método de autenticación: seleccione Usar la autenticación solo de Microsoft Entra.
   • Seleccione Establecer administrador para abrir el panel Microsoft Entra ID y seleccione una entidad de seguridad de Microsoft Entra como administrador de Microsoft Entra del servidor lógico. Cuando haya terminado, use el botón Seleccionar para establecer el administrador.

   

8. Seleccione Siguiente: Redes en la parte inferior de la página.

9. En la pestaña Redes, en Método de conectividad, seleccione Punto de conexión público.

10. En Reglas de firewall, establezca Agregar dirección IP del cliente actual en Sí. Deje la opción Permitir que los servicios y recursos de Azure accedan a este grupo de servidores establecida en No.

11. Deje los valores predeterminados de Directiva de conexión y Versión de TLS mínima.

12. Seleccione Siguiente: Seguridad en la parte inferior de la página. Configure cualquiera de los valores de Microsoft Defender para SQL, Libro de contabilidad, Identidad y Cifrado de datos transparente para el entorno. También puede omitirlos.

    Nota:

    No se permite el uso de una identidad administrada asignada por el usuario como la identidad del servidor con la autenticación solo de Microsoft Entra. Para conectarse a la instancia como identidad, asígnela a una máquina virtual de Azure y ejecute SSMS en esa máquina virtual. Para entornos de producción, se recomienda usar una identidad administrada para el administrador de Microsoft Entra debido a las medidas de seguridad mejoradas y simplificadas con autenticación sin contraseña a los recursos de Azure.

13. En la parte inferior de la página, seleccione Revisar y crear.

14. En la página Revisar y crear, después de revisar, seleccione Crear.

La CLI de Azure

El comando de la CLI de Azure az sql server create se usa para aprovisionar un nuevo servidor lógico. El comando siguiente aprovisionará un nuevo servidor con la autenticación solo de Microsoft Entra habilitada.

El inicio de sesión de administrador de SQL del servidor se creará automáticamente y la contraseña se establecerá en una contraseña aleatoria. Puesto que la conectividad de autenticación de SQL está deshabilitada con la creación de este servidor, no se usará el inicio de sesión de administrador de SQL.

El administrador de Microsoft Entra de servidor será la cuenta que establezca para <MSEntraAccount> y se puede usar para administrar el servidor.

Reemplace los valores siguientes del ejemplo:

• <MSEntraAccount>: puede ser un usuario o grupo de Microsoft Entra. Por ejemplo: DummyLogin
• <MSEntraAccountSID>: id. de objeto de Microsoft Entra del usuario.
• <ResourceGroupName>: nombre del grupo de recursos para el servidor lógico.
• <ServerName>: use un nombre de servidor lógico único.

az sql server create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <ServerName>

Para más información, consulte az sql server create.

Para comprobar el estado del servidor después de la creación, vea el siguiente comando:

az sql server show --name <ServerName> --resource-group <ResourceGroupName> --expand-ad-admin

PowerShell

El comando de PowerShell New-AzSqlServer se usa para aprovisionar un nuevo servidor lógico. El comando siguiente aprovisionará un nuevo servidor con la autenticación solo de Microsoft Entra habilitada.

El inicio de sesión de administrador de SQL del servidor se creará automáticamente y la contraseña se establecerá en una contraseña aleatoria. Puesto que la conectividad de autenticación de SQL está deshabilitada con la creación de este servidor, no se usará el inicio de sesión de administrador de SQL.

El administrador de Microsoft Entra de servidor será la cuenta que establezca para <MSEntraAccount> y se puede usar para administrar el servidor.

Reemplace los valores siguientes del ejemplo:

• <ResourceGroupName>: nombre del grupo de recursos para el servidor lógico.
• <Location>: ubicación del servidor, como West US o Central US
• <ServerName>: use un nombre de servidor lógico único.
• <MSEntraAccount>: puede ser un usuario o grupo de Microsoft Entra. Por ejemplo: DummyLogin

$server = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
}

New-AzSqlServer @server

Aquí se muestra cómo asignar el nombre del administrador del servidor (en lugar de dejar que el nombre del administrador del servidor se cree automáticamente) en el momento en que se crea el servidor lógico. Como se mencionó anteriormente, este inicio de sesión no se puede usar cuando la autenticación solo de Microsoft Entra está habilitada.

$cred = Get-Credential
New-AzSqlServer -ResourceGroupName "<ResourceGroupName>" -Location "<Location>" -ServerName "<ServerName>" -ServerVersion "12.0" -ExternalAdminName "<MSEntraAccount>" -EnableActiveDirectoryOnlyAuthentication -SqlAdministratorCredentials $cred

Para más información, consulte New-AzSqlServer.

REST API

La API de REST Servidores: creación o actualización se puede usar para crear un servidor lógico con la autenticación solo de Microsoft Entra habilitada durante el aprovisionamiento.

El script siguiente aprovisionará un servidor lógico, establecerá el administrador de Microsoft Entra como <MSEntraAccount> y habilitará la autenticación solo de Microsoft Entra. El inicio de sesión de administrador de SQL del servidor también se creará automáticamente y la contraseña se establecerá en una contraseña aleatoria. Puesto que la conectividad de autenticación de SQL está deshabilitada con este aprovisionamiento, no se usará el inicio de sesión de administrador de SQL.

El administrador de Microsoft Entra, <MSEntraAccount>, se puede usar para administrar el servidor una vez completado el aprovisionamiento.

Reemplace los valores siguientes del ejemplo:

• <tenantId>: se puede encontrar si va a Azure Portal, en el recurso de Microsoft Entra ID. En el panel Información general, debe ver el Identificador de inquilino.
• <subscriptionId>: su identificador de suscripción se puede encontrar en Azure Portal.
• <ServerName>: use un nombre de servidor lógico único.
• <ResourceGroupName>: nombre del grupo de recursos para el servidor lógico.
• <MicrosoftEntraAccount>: puede ser un usuario, grupo o aplicación de Microsoft Entra. Por ejemplo: DummyLogin
• <Location>: ubicación del servidor, como westus2 o centralus.
• <objectId>: se puede encontrar en Azure Portal, en el recurso de Microsoft Entra ID. En el panel Usuario, busque el usuario de Microsoft Entra y su id. de objeto. Si usa una aplicación (entidad de servicio) como administrador de Microsoft Entra, reemplace este valor por el id. de aplicación. También tendrá que actualizar principalType.
• <principalType>: una de las tres opciones: usuario, grupo o aplicación. Tipo del objeto de Microsoft Entra usado como administrador. Las identidades administradas y las entidades de servicio son aplicaciones.

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$authUrl = "https://login.windows.net/$tenantId"
$serverName = "<ServerName>"
$resourceGroupName = "<ResourceGroupName>"

Login-AzAccount -tenantId $tenantId

# login as a user with SQL Server Contributor role or higher 

# Get a token

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes "https://management.core.windows.net/.default"

#Authetication header
$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

# Enable Microsoft Entra-only auth 
# No server admin is specified, Microsoft Entra admin is configured, and Microsoft Entra-only authentication is set to true
# Server admin (login and password) is randomly generated by the system

# Authentication body
# The sid is the Microsoft Entra Object ID for the user or group, and Application ID for applications. Update the principalType as well

$body = '{ 
"location": "<Location>",
"properties": { "administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true }
  }
}'

# Provision the server

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Para comprobar el estado del servidor, puede usar el siguiente script:

$uri = 'https://management.azure.com/subscriptions/'+$subscriptionId+'/resourceGroups/'+$resourceGroupName+'/providers/Microsoft.Sql/servers/'+$serverName+'?api-version=2020-11-01-preview&$expand=administrators/activedirectory'

$responce=Invoke-WebRequest -Uri $uri -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

$responce.statuscode

$responce.content

Plantilla de ARM

Para más información y las plantillas de ARM, consulte Plantillas de Azure Resource Manager para Azure SQL Database y SQL Managed Instance.

Para aprovisionar un servidor lógico con un conjunto de administradores de Microsoft Entra para el servidor y la autenticación solo de Microsoft Entra habilitada mediante una plantilla de ARM, consulte nuestra plantilla de inicio rápido Servidor lógico de Azure SQL con autenticación solo de Microsoft Entra.

También se puede utilizar la siguiente plantilla. Use una implementación personalizada en Azure Portal y cree su propia plantilla en el editor. A continuación, guarde la configuración una vez pegada en el ejemplo.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "string",
            "defaultValue": "[uniqueString('sql', resourceGroup().id)]",
            "metadata": {
                "description": "The name of the logical server."
            }
        },
        "location": {
            "type": "string",
            "defaultValue": "[resourceGroup().location]",
            "metadata": {
                "description": "Location for all resources."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "properties": {
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Instancia administrada de Azure SQL

Portal

1. Vaya a la página Seleccione una opción de implementación de SQL en Azure Portal.

2. Si aún no ha iniciado sesión en Azure Portal, hágalo cuando se le solicite.

3. En Instancias administradas de SQL, deje Tipo de recurso establecido en Instancia única y seleccione Crear.

4. Rellene la información obligatoria necesaria en la pestaña Aspectos básicos, en Detalles del proyecto y Detalles de la instancia administrada. Es un conjunto mínimo de información necesaria para aprovisionar una instancia administrada de SQL.

   

   Para obtener más información sobre las opciones de configuración, vea Inicio rápido: Creación de una instancia administrada de Azure SQL.

5. En Autenticación, seleccione Usar la autenticación solo de Microsoft Entra como Método de autenticación.

6. Seleccione Establecer administrador para abrir el panel Microsoft Entra ID y seleccione una entidad de seguridad de Microsoft Entra como administrador de Microsoft Entra de la instancia administrada. Cuando haya terminado, use el botón Seleccionar para establecer el administrador.

   

7. Puede dejar el resto de la configuración predeterminada. Para obtener más información sobre las opciones Redes, Seguridad u otras pestañas y valores, siga la guía del artículo Inicio rápido:Creación de una instancia administrada de Azure SQL.

8. Cuando haya terminado de establecer la configuración, seleccione Revisar y crear para continuar. Seleccione Crear para iniciar el aprovisionamiento de la instancia administrada.

La CLI de Azure

El comando de la CLI de Azure az sql mi create se usa para aprovisionar una nueva instancia de Azure SQL Managed Instance. El comando siguiente aprovisionará una nueva instancia administrada con la autenticación solo de Microsoft Entra habilitada.

Nota:

El script requiere que se creen una red virtual y una subred como requisito previo.

El administrador de SQL de la instancia administrada se creará automáticamente y la contraseña se establecerá en una contraseña aleatoria. Puesto que la autenticación de SQL está deshabilitada con este aprovisionamiento, no se usará la administrador de SQL.

El administrador de Microsoft Entra será la cuenta que establezca para <MSEntraAccount> y se puede usar para administrar la instancia cuando se complete el aprovisionamiento.

Reemplace los valores siguientes del ejemplo:

• <MSEntraAccount>: puede ser un usuario o grupo de Microsoft Entra. Por ejemplo: DummyLogin
• <MSEntraAccountSID>: id. de objeto de Microsoft Entra ID para el usuario
• <managedinstancename>: asigne un nombre a la instancia administrada que desea crear.
• <ResourceGroupName>: abra el grupo de recursos de la instancia administrada. El grupo de recursos también debe incluir la red virtual y la subred creadas.
• El parámetro subnet debe actualizarse con <Subscription ID>, <ResourceGroupName>, <VNetName> y <SubnetName>. Su identificador de suscripción se puede encontrar en Azure Portal.

az sql mi create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <managedinstancename> \
    --subnet /subscriptions/<Subscription ID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>

Para más información, consulte az sql mi create.

PowerShell

El comando de PowerShell New-AzSqlInstance se usa para aprovisionar una nueva instancia de Azure SQL Managed Instance. El comando siguiente aprovisionará una nueva instancia administrada con la autenticación solo de Microsoft Entra habilitada.

Nota:

El script requiere que se creen una red virtual y una subred como requisito previo.

El administrador de SQL de la instancia administrada se creará automáticamente y la contraseña se establecerá en una contraseña aleatoria. Puesto que la conectividad de autenticación de SQL está deshabilitada con este aprovisionamiento, no se usará el inicio de sesión de administrador de SQL.

El administrador de Microsoft Entra será la cuenta que establezca para <MSEntraAccount> y se puede usar para administrar la instancia cuando se complete el aprovisionamiento.

Reemplace los valores siguientes del ejemplo:

• <managedinstancename>: asigne un nombre a la instancia administrada que desea crear.
• <ResourceGroupName>: abra el grupo de recursos de la instancia administrada. El grupo de recursos también debe incluir la red virtual y la subred creadas.
• <MSEntraAccount>: puede ser un usuario o grupo de Microsoft Entra. Por ejemplo: DummyLogin
• <Location>: ubicación del servidor, como West US o Central US.
• El parámetro SubnetId debe actualizarse con <Subscription ID>, <ResourceGroupName>, <VNetName> y <SubnetName>. Su identificador de suscripción se puede encontrar en Azure Portal.

$instanceName = @{
    Name = "<managedinstancename>"
    ResourceGroupName = "<ResourceGroupName>"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
    Location = "<Location>"
    SubnetId = "/subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>"
    LicenseType = "LicenseIncluded"
    StorageSizeInGB = 128
    VCore = 4
    Edition = "GeneralPurpose"
    ComputeGeneration = "Gen5"
}

New-AzSqlInstance $instanceName

Para más información, consulte New-AzSqlInstance.

REST API

La API REST SQL Managed Instances: creación o actualización se puede usar para crear una instancia administrada con la autenticación de solo Microsoft Entra habilitada durante el aprovisionamiento.

Nota:

El script requiere que se creen una red virtual y una subred como requisito previo.

El script siguiente aprovisionará una instancia administrada, establecerá el administrador de Microsoft Entra como <MSEntraAccount> y habilitará la autenticación solo de Microsoft Entra. El administrador de SQL de la instancia también se creará automáticamente y la contraseña se establecerá en una contraseña aleatoria. Puesto que la conectividad de autenticación de SQL está deshabilitada con este aprovisionamiento, no se usará el inicio de sesión de administrador de SQL.

El administrador de Microsoft Entra, <MSEntraAccount>, se puede usar para administrar la instancia una vez que se complete el aprovisionamiento.

Reemplace los valores siguientes del ejemplo:

• <tenantId>: se puede encontrar si va a Azure Portal, en el recurso de Microsoft Entra ID. En el panel Información general, debe ver el Identificador de inquilino.
• <subscriptionId>: su identificador de suscripción se puede encontrar en Azure Portal.
• <instanceName>: use un nombre de instancia administrada único.
• <ResourceGroupName>: nombre del grupo de recursos para el servidor lógico.
• <MSEntraAccount>: puede ser un usuario o grupo de Microsoft Entra. Por ejemplo: DummyLogin
• <Location>: ubicación del servidor, como westus2 o centralus.
• <objectId>: se puede encontrar en Azure Portal, en el recurso de Microsoft Entra ID. En el panel Usuario, busque el usuario de Microsoft Entra y su id. de objeto. Si usa una aplicación (entidad de servicio) como administrador de Microsoft Entra, reemplace este valor por el id. de aplicación. También tendrá que actualizar principalType.
• El parámetro subnetId debe actualizarse con <ResourceGroupName>, Subscription ID, <VNetName> y <SubnetName>.

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$instanceName = "<instanceName>"
$resourceGroupName = "<ResourceGroupName>"
$scopes ="https://management.core.windows.net/.default"

Login-AzAccount -tenantId $tenantId

# Login as an Microsoft Entra user with permission to provision a managed instance

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes $scopes

$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

$body = '{
"name": "<instanceName>", "type": "Microsoft.Sql/managedInstances", "identity": { "type": "SystemAssigned"},"location": "<Location>", "sku": {"name": "GP_Gen5", "tier": "GeneralPurpose", "family":"Gen5","capacity": 8},
"properties": {"administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true },
"subnetId": "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>",
"licenseType": "LicenseIncluded", "vCores": 8, "storageSizeInGB": 2048, "collation": "SQL_Latin1_General_CP1_CI_AS", "proxyOverride": "Proxy", "timezoneId": "UTC", "privateEndpointConnections": [], "storageAccountType": "GRS", "zoneRedundant": false 
  }
}'

# To provision the instance, execute the `PUT` command

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Para comprobar los resultados, ejecute el comando GET:

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method GET -Headers $authHeader  | Format-List

Plantilla de ARM

Para aprovisionar una nueva instancia administrada, una red virtual y una subred, con un conjunto de administradores de Microsoft Entra para la instancia y la autenticación solo de Microsoft Entra habilitada, use la plantilla siguiente.

Use una implementación personalizada en Azure Portal y cree su propia plantilla en el editor. A continuación, guarde la configuración una vez pegada en el ejemplo.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "managedInstanceName": {
            "type": "String",
            "metadata": {
                "description": "Enter managed instance name."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL managed instance."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin. The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "location": {
            "defaultValue": "[resourceGroup().location]",
            "type": "String",
            "metadata": {
                "description": "Enter location. If you leave this field blank resource group location would be used."
            }
        },
        "virtualNetworkName": {
            "type": "String",
            "defaultValue": "SQLMI-VNET",
            "metadata": {
                "description": "Enter virtual network name. If you leave this field blank name will be created by the template."
            }
        },
        "addressPrefix": {
            "defaultValue": "10.0.0.0/16",
            "type": "String",
            "metadata": {
                "description": "Enter virtual network address prefix."
            }
        },
        "subnetName": {
            "type": "String",
            "defaultValue": "ManagedInstances",
            "metadata": {
                "description": "Enter subnet name. If you leave this field blank name will be created by the template."
            }
        },
        "subnetPrefix": {
            "defaultValue": "10.0.0.0/24",
            "type": "String",
            "metadata": {
                "description": "Enter subnet address prefix."
            }
        },
        "skuName": {
            "defaultValue": "GP_Gen5",
            "allowedValues": [
                "GP_Gen5",
                "BC_Gen5"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter sku name."
            }
        },
        "vCores": {
            "defaultValue": 16,
            "allowedValues": [
                8,
                16,
                24,
                32,
                40,
                64,
                80
            ],
            "type": "Int",
            "metadata": {
                "description": "Enter number of vCores."
            }
        },
        "storageSizeInGB": {
            "defaultValue": 256,
            "minValue": 32,
            "maxValue": 8192,
            "type": "Int",
            "metadata": {
                "description": "Enter storage size."
            }
        },
        "licenseType": {
            "defaultValue": "LicenseIncluded",
            "allowedValues": [
                "BasePrice",
                "LicenseIncluded"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter license type."
            }
        }
    },
    "variables": {
        "networkSecurityGroupName": "[concat('SQLMI-', parameters('managedInstanceName'), '-NSG')]",
        "routeTableName": "[concat('SQLMI-', parameters('managedInstanceName'), '-Route-Table')]"
    },
    "resources": [
        {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2020-06-01",
            "name": "[variables('networkSecurityGroupName')]",
            "location": "[parameters('location')]",
            "properties": {
                "securityRules": [
                    {
                        "name": "allow_tds_inbound",
                        "properties": {
                            "description": "Allow access to data",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "1433",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1000,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "allow_redirect_inbound",
                        "properties": {
                            "description": "Allow inbound redirect traffic to SQL Managed Instance inside the virtual network",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "11000-11999",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1100,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_inbound",
                        "properties": {
                            "description": "Deny all other inbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_outbound",
                        "properties": {
                            "description": "Deny all other outbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Outbound"
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Network/routeTables",
            "apiVersion": "2020-06-01",
            "name": "[variables('routeTableName')]",
            "location": "[parameters('location')]",
            "properties": {
                "disableBgpRoutePropagation": false
            }
        },
        {
            "type": "Microsoft.Network/virtualNetworks",
            "apiVersion": "2020-06-01",
            "name": "[parameters('virtualNetworkName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[variables('routeTableName')]",
                "[variables('networkSecurityGroupName')]"
            ],
            "properties": {
                "addressSpace": {
                    "addressPrefixes": [
                        "[parameters('addressPrefix')]"
                    ]
                },
                "subnets": [
                    {
                        "name": "[parameters('subnetName')]",
                        "properties": {
                            "addressPrefix": "[parameters('subnetPrefix')]",
                            "routeTable": {
                                "id": "[resourceId('Microsoft.Network/routeTables', variables('routeTableName'))]"
                            },
                            "networkSecurityGroup": {
                                "id": "[resourceId('Microsoft.Network/networkSecurityGroups', variables('networkSecurityGroupName'))]"
                            },
                            "delegations": [
                                {
                                    "name": "miDelegation",
                                    "properties": {
                                        "serviceName": "Microsoft.Sql/managedInstances"
                                    }
                                }
                            ]
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('managedInstanceName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[parameters('virtualNetworkName')]"
            ],
            "sku": {
                "name": "[parameters('skuName')]"
            },
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "subnetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('virtualNetworkName'), parameters('subnetName'))]",
                "storageSizeInGB": "[parameters('storageSizeInGB')]",
                "vCores": "[parameters('vCores')]",
                "licenseType": "[parameters('licenseType')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Concesión de permisos de lectores de directorios

Una vez completada la implementación de la instancia administrada, es posible que observe que SQL Managed Instance necesita permisos de lectura para acceder a Microsoft Entra ID. Los permisos de lectura se pueden conceder haciendo clic en el mensaje mostrado en Azure Portal a través de una persona con privilegios suficientes. Para más información, consulte Rol Lectores de directorio en Microsoft Entra de Azure SQL.

Limitaciones

• Para restablecer la contraseña del administrador del servidor, la autenticación solo de Microsoft Entra debe estar deshabilitada.
• Si la autenticación de solo Microsoft Entra está deshabilitada, debe crear un servidor con un administrador del servidor y una contraseña cuando use todas las API.

Contenido relacionado

• Si ya dispone de un servidor lógico o de una instancia administrada SQL, y solo desea habilitar la autenticación solo de Microsoft Entra, consulte Tutorial: Habilitar la autenticación solo de Microsoft Entra con Azure SQL.
• Para más información sobre la característica de autenticación solo de Microsoft Entra, consulte Autenticación solo de Microsoft Entra con Azure SQL.
• Si intenta aplicar la creación de servidores con la autenticación solo de Microsoft Entra habilitada, consulte Azure Policy para la autenticación solo de Microsoft Entra con Azure SQL.