Server maken met alleen Microsoft Entra-verificatie ingeschakeld in Azure SQL

Van toepassing op: Azure SQL DatabaseAzure SQL Managed Instance

In deze instructiegids vindt u een overzicht van de stappen voor het maken van een logische server voor Azure SQL Database of een Azure SQL Managed Instance met alleen-Entra-verificatie ingeschakeld tijdens het inrichten. Met de verificatiefunctie alleen voor Microsoft Entra kunnen gebruikers geen verbinding maken met de server of het beheerde exemplaar met behulp van SQL-verificatie en kunnen alleen verbindingen worden geverifieerd met Microsoft Entra-id (voorheen Azure Active Directory).

Notitie

Microsoft Entra-id is de nieuwe naam voor Azure Active Directory (Azure AD). Op dit moment wordt de documentatie bijgewerkt.

Vereisten

• Versie 2.26.1 of hoger is nodig wanneer u De Azure CLI gebruikt. Zie De Azure CLI installeren voor meer informatie over de installatie en de nieuwste versie.
• Az 6.1.0-module of hoger is nodig bij het gebruik van PowerShell.
• Als u een beheerd exemplaar inricht met behulp van de Azure CLI, PowerShell of REST API, moet er een virtueel netwerk en subnet worden gemaakt voordat u begint. Zie Een virtueel netwerk maken voor Azure SQL Managed Instance voor meer informatie.

Bevoegdheden

Als u een logische server of een beheerd exemplaar wilt inrichten, moet u over de juiste machtigingen beschikken om deze resources te maken. Azure-gebruikers met hogere machtigingen, zoals abonnementseigenaren, inzenders, service-Beheer istrators en co-Beheer beheerders hebben de bevoegdheid om een SQL-server of een beheerd exemplaar te maken. Als u deze resources wilt maken met de minst bevoegde Azure RBAC-rol, gebruikt u de rol SQL Server-inzender voor SQL Database en inzender voor SQL Managed Instance voor SQL Managed Instance.

De Azure RBAC-rol van SQL Security Manager heeft niet voldoende machtigingen om een server of exemplaar te maken waarvoor alleen verificatie van Microsoft Entra is ingeschakeld. De rol SQL Security Manager is vereist voor het beheren van de microsoft-entra-verificatiefunctie nadat de server of het exemplaar is gemaakt.

Inrichten met alleen Microsoft Entra-verificatie ingeschakeld

In de volgende sectie vindt u voorbeelden en scripts voor het maken van een logische server of beheerd exemplaar met een Microsoft Entra-beheerder die is ingesteld voor de server of het exemplaar, en microsoft Entra-verificatie is ingeschakeld tijdens het maken van de server. Zie Microsoft Entra-verificatie voor meer informatie over de functie.

In onze voorbeelden schakelen we Microsoft Entra-verificatie in tijdens het maken van een server of beheerd exemplaar, met een door het systeem toegewezen serverbeheerder en wachtwoord. Hiermee voorkomt u serverbeheerderstoegang wanneer Microsoft Entra-verificatie is ingeschakeld en kan de Microsoft Entra-beheerder alleen toegang krijgen tot de resource. Het is optioneel om parameters toe te voegen aan de API's om uw eigen serverbeheerder en wachtwoord op te nemen tijdens het maken van de server. Het wachtwoord kan echter pas opnieuw worden ingesteld als u Microsoft Entra-verificatie uitschakelt. Een voorbeeld van het gebruik van deze optionele parameters om de aanmeldingsnaam van de serverbeheerder op te geven, wordt weergegeven op het tabblad PowerShell op deze pagina.

Notitie

Als u de bestaande eigenschappen wilt wijzigen nadat de server of het beheerde exemplaar is gemaakt, moeten andere bestaande API's worden gebruikt. Zie Microsoft Entra-verificatie beheren met behulp van API's en Microsoft Entra-verificatie configureren en beheren met Azure SQL voor meer informatie.

Als Microsoft Entra-only-verificatie is ingesteld op false, wat standaard is, moet een serverbeheerder en wachtwoord worden opgenomen in alle API's tijdens het maken van een server of beheerd exemplaar.

Azure SQL-database

Portal

1. Blader naar de optiepagina sql-implementatie selecteren in Azure Portal.

2. Als u nog niet bent aangemeld bij Azure Portal, meldt u zich aan wanneer u hierom wordt gevraagd.

3. Laat onder SQL-databases de optie Resourcetype ingesteld op Eén database en selecteer Maken.

4. Selecteer op het tabblad Basisinformatie van het formulier SQL-database maken, onder Projectgegevens, het gewenste Azure-abonnement.

5. Selecteer Nieuwe maken voor de resourcegroep, voer een naam in voor uw resourcegroep en selecteer OK.

6. Voer voor databasenaam een naam in voor uw database.

7. Voor Server selecteert u Nieuw maken en vult u het nieuwe serverformulier in met de volgende waarden:

   • Servernaam: Voer een unieke servernaam in. Servernamen moeten globaal uniek zijn voor alle servers in Azure, niet alleen uniek binnen een abonnement. Voer een waarde in en azure Portal laat u weten of deze wel of niet beschikbaar is.
   • Locatie: Selecteer een locatie in de vervolgkeuzelijst
   • Verificatiemethode: selecteer Alleen Microsoft Entra-verificatie gebruiken.
   • Selecteer Beheerder instellen om het deelvenster Microsoft Entra-id te openen en selecteer een Microsoft Entra-principal als de Microsoft Entra-beheerder van uw logische server. Wanneer u klaar bent, gebruikt u de knop Selecteren om uw beheerder in te stellen.

   

8. Selecteer Volgende: Netwerken onder aan de pagina.

9. Selecteer op het tabblad Netwerken voor Verbindingsmethode de optie Openbaar eindpunt.

10. Stel voor Firewallregels de optie Huidig IP-adres van client toevoegen in op Ja. Laat de instelling voor Toestaan dat Azure-services en -resources toegang tot deze server krijgen ongewijzigd op Nee.

11. Laat Verbinding maken ionbeleid en minimale TLS-versie-instellingen staan als standaardwaarde.

12. Selecteer Volgende: Beveiliging onderaan de pagina. Configureer een van de instellingen voor Microsoft Defender voor SQL, Grootboek, Identiteit en Transparante gegevensversleuteling voor uw omgeving. U kunt deze instellingen ook overslaan.

    Notitie

    Het gebruik van een door de gebruiker toegewezen beheerde identiteit, omdat de serveridentiteit wordt ondersteund met alleen Microsoft Entra-verificatie. Als u verbinding wilt maken met het exemplaar als de identiteit, wijst u deze toe aan een virtuele Azure-machine en voert u SSMS uit op die VM. Voor productieomgevingen wordt het gebruik van een beheerde identiteit voor de Microsoft Entra-beheerder aanbevolen vanwege de verbeterde, vereenvoudigde beveiligingsmaatregelen met verificatie zonder wachtwoord voor Azure-resources.

13. Selecteer Controleren en maken onderaan de pagina.

14. Selecteer op de pagina Controleren en maken na het controleren de optie Maken.

De Azure CLI

De Azure CLI-opdracht az sql server create wordt gebruikt om een nieuwe logische server in te richten. Met de onderstaande opdracht wordt een nieuwe server ingericht met alleen-Entra-verificatie ingeschakeld.

De SQL-serverbeheerder wordt automatisch gemaakt en het wachtwoord wordt ingesteld op een willekeurig wachtwoord. Omdat sql-verificatieconnectiviteit is uitgeschakeld bij het maken van deze server, wordt de aanmelding van de SQL-beheerder niet gebruikt.

De Microsoft Entra-serverbeheerder is het account dat u hebt ingesteld <MSEntraAccount>en kan worden gebruikt om de server te beheren.

Vervang de volgende waarden in het voorbeeld:

• <MSEntraAccount>: Kan een Microsoft Entra-gebruiker of -groep zijn. Bijvoorbeeld DummyLogin
• <MSEntraAccountSID>: De Object-id van Microsoft Entra voor de gebruiker
• <ResourceGroupName>: Naam van de resourcegroep voor uw logische server
• <ServerName>: Een unieke logische servernaam gebruiken

az sql server create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <ServerName>

Zie az sql server create voor meer informatie.

Als u de serverstatus wilt controleren na het maken, raadpleegt u de volgende opdracht:

az sql server show --name <ServerName> --resource-group <ResourceGroupName> --expand-ad-admin

PowerShell

De PowerShell-opdracht New-AzSqlServer wordt gebruikt om een nieuwe logische server in te richten. Met de onderstaande opdracht wordt een nieuwe server ingericht met alleen-Entra-verificatie ingeschakeld.

De SQL-serverbeheerder wordt automatisch gemaakt en het wachtwoord wordt ingesteld op een willekeurig wachtwoord. Omdat sql-verificatieconnectiviteit is uitgeschakeld bij het maken van deze server, wordt de aanmelding van de SQL-beheerder niet gebruikt.

De Microsoft Entra-serverbeheerder is het account dat u hebt ingesteld <MSEntraAccount>en kan worden gebruikt om de server te beheren.

Vervang de volgende waarden in het voorbeeld:

• <ResourceGroupName>: Naam van de resourcegroep voor uw logische server
• <Location>: locatie van de server, zoals West US, of Central US
• <ServerName>: Een unieke logische servernaam gebruiken
• <MSEntraAccount>: Kan een Microsoft Entra-gebruiker of -groep zijn. Bijvoorbeeld DummyLogin

$server = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
}

New-AzSqlServer @server

Hier volgt een voorbeeld van het opgeven van de naam van de serverbeheerder (in plaats van de naam van de serverbeheerder automatisch te laten maken) op het moment dat de logische server wordt gemaakt. Zoals eerder vermeld, kan deze aanmelding niet worden gebruikt wanneer alleen Microsoft Entra-verificatie is ingeschakeld.

$cred = Get-Credential
New-AzSqlServer -ResourceGroupName "<ResourceGroupName>" -Location "<Location>" -ServerName "<ServerName>" -ServerVersion "12.0" -ExternalAdminName "<MSEntraAccount>" -EnableActiveDirectoryOnlyAuthentication -SqlAdministratorCredentials $cred

Zie New-AzSqlServer voor meer informatie.

REST API

De Servers : REST API maken of bijwerken kan worden gebruikt om een logische server te maken met alleen Microsoft Entra-verificatie ingeschakeld tijdens het inrichten.

Met het onderstaande script wordt een logische server ingericht, de Microsoft Entra-beheerder ingesteld als <MSEntraAccount>en wordt microsoft Entra-verificatie ingeschakeld. De SQL-serverbeheerder wordt ook automatisch gemaakt en het wachtwoord wordt ingesteld op een willekeurig wachtwoord. Omdat sql-verificatieconnectiviteit is uitgeschakeld met deze inrichting, wordt de aanmelding van de SQL-beheerder niet gebruikt.

De Microsoft Entra-beheerder <MSEntraAccount> kan worden gebruikt om de server te beheren wanneer het inrichten is voltooid.

Vervang de volgende waarden in het voorbeeld:

• <tenantId>: u vindt deze door naar Azure Portal te gaan en naar uw Microsoft Entra ID-resource te gaan. In het deelvenster Overzicht ziet u de tenant-id
• <subscriptionId>: Uw abonnements-id vindt u in De Azure-portal
• <ServerName>: Een unieke logische servernaam gebruiken
• <ResourceGroupName>: Naam van de resourcegroep voor uw logische server
• <MicrosoftEntraAccount>: Kan een Microsoft Entra-gebruiker, -groep of -toepassing zijn. Bijvoorbeeld DummyLogin
• <Location>: locatie van de server, zoals westus2, of centralus
• <objectId>: u vindt deze door naar Azure Portal te gaan en naar uw Microsoft Entra ID-resource te gaan. Zoek in het deelvenster Gebruiker naar de Microsoft Entra-gebruiker en zoek de object-id. Als u een toepassing (service-principal) gebruikt als Microsoft Entra-beheerder, vervangt u deze waarde door de toepassings-id. U moet het principalType ook bijwerken.
• <principalType>: Een van de drie opties: Gebruiker, Groep, Toepassing. Het type Microsoft Entra-object dat wordt gebruikt als beheerder. Beheerde identiteiten en service-principals zijn toepassingen.

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$authUrl = "https://login.windows.net/$tenantId"
$serverName = "<ServerName>"
$resourceGroupName = "<ResourceGroupName>"

Login-AzAccount -tenantId $tenantId

# login as a user with SQL Server Contributor role or higher 

# Get a token

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes "https://management.core.windows.net/.default"

#Authetication header
$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

# Enable Microsoft Entra-only auth 
# No server admin is specified, Microsoft Entra admin is configured, and Microsoft Entra-only authentication is set to true
# Server admin (login and password) is randomly generated by the system

# Authentication body
# The sid is the Microsoft Entra Object ID for the user or group, and Application ID for applications. Update the principalType as well

$body = '{ 
"location": "<Location>",
"properties": { "administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true }
  }
}'

# Provision the server

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Als u de serverstatus wilt controleren, kunt u het volgende script gebruiken:

$uri = 'https://management.azure.com/subscriptions/'+$subscriptionId+'/resourceGroups/'+$resourceGroupName+'/providers/Microsoft.Sql/servers/'+$serverName+'?api-version=2020-11-01-preview&$expand=administrators/activedirectory'

$responce=Invoke-WebRequest -Uri $uri -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

$responce.statuscode

$responce.content

Azure VPN-gateway

Zie Azure Resource Manager-sjablonen voor Azure SQL Database & SQL Managed Instance voor meer informatie en ARM-sjablonen.

Als u een logische server wilt inrichten met een Microsoft Entra-beheerder die is ingesteld voor de server en alleen-entra-verificatie die is ingeschakeld met behulp van een ARM-sjabloon, raadpleegt u onze logische Azure SQL-server met de snelstartsjabloon voor microsoft Entra-verificatie .

U kunt ook de volgende sjabloon gebruiken. Gebruik een aangepaste implementatie in Azure Portal en bouw uw eigen sjabloon in de editor. Sla vervolgens de configuratie op nadat u in het voorbeeld hebt geplakt.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "string",
            "defaultValue": "[uniqueString('sql', resourceGroup().id)]",
            "metadata": {
                "description": "The name of the logical server."
            }
        },
        "location": {
            "type": "string",
            "defaultValue": "[resourceGroup().location]",
            "metadata": {
                "description": "Location for all resources."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "properties": {
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Azure SQL Managed Instance

Portal

1. Blader naar de optiepagina sql-implementatie selecteren in Azure Portal.

2. Als u nog niet bent aangemeld bij Azure Portal, meldt u zich aan wanneer u hierom wordt gevraagd.

3. Laat onder MET SQL beheerde exemplaren het resourcetype ingesteld op Één exemplaar en selecteer Maken.

4. Vul de verplichte gegevens in die vereist zijn op het tabblad Basisinformatie voor projectdetails en details van het beheerde exemplaar. Dit is een set informatie die minimaal is vereist voor het inrichten van een met SQL beheerd exemplaar.

   

   Zie quickstart: Een beheerd exemplaar van Azure SQL maken voor meer informatie over de configuratieopties.

5. Selecteer Onder Verificatie de optie Alleen-Microsoft Entra-verificatie gebruiken voor de verificatiemethode.

6. Selecteer Beheerder instellen om het deelvenster Microsoft Entra-id te openen en selecteer een Microsoft Entra-principal als uw Microsoft Entra-beheerder van uw beheerde exemplaar. Wanneer u klaar bent, gebruikt u de knop Selecteren om uw beheerder in te stellen.

   

7. U kunt de rest van de standaardinstellingen laten staan. Voor meer informatie over de tabbladen netwerken, beveiliging of andere tabbladen en instellingen, volgt u de handleiding in het artikel Quickstart: Een beheerd exemplaar van Azure SQL maken.

8. Zodra u klaar bent met het configureren van uw instellingen, selecteert u Controleren en maken om door te gaan. Selecteer Maken om het inrichten van het beheerde exemplaar te starten.

De Azure CLI

De Azure CLI-opdracht az sql mi create wordt gebruikt om een nieuw met Azure SQL beheerd exemplaar in te richten. Met de onderstaande opdracht wordt een nieuw beheerd exemplaar ingericht met alleen Microsoft Entra-verificatie ingeschakeld.

Notitie

Voor het script moeten een virtueel netwerk en subnet worden gemaakt als een vereiste.

De SQL-beheerder van het beheerde exemplaar wordt automatisch gemaakt en het wachtwoord wordt ingesteld op een willekeurig wachtwoord. Omdat SQL-verificatie is uitgeschakeld met deze inrichting, wordt de SQL-beheerder niet gebruikt.

De Microsoft Entra-beheerder is het account dat u hebt ingesteld <MSEntraAccount>en kan worden gebruikt om het exemplaar te beheren wanneer het inrichten is voltooid.

Vervang de volgende waarden in het voorbeeld:

• <MSEntraAccount>: Kan een Microsoft Entra-gebruiker of -groep zijn. Bijvoorbeeld DummyLogin
• <MSEntraAccountSID>: De Object-id van Microsoft Entra voor de gebruiker
• <managedinstancename>: Geef het beheerde exemplaar de naam die u wilt maken
• <ResourceGroupName>: Naam van de resourcegroep voor uw beheerde exemplaar. De resourcegroep moet ook het virtuele netwerk en het gemaakte subnet bevatten
• De subnet parameter moet worden bijgewerkt met de <Subscription ID>, <ResourceGroupName>, en <VNetName><SubnetName>. Uw abonnements-id vindt u in Azure Portal

az sql mi create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <managedinstancename> \
    --subnet /subscriptions/<Subscription ID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>

Zie az sql mi create voor meer informatie.

PowerShell

De PowerShell-opdracht New-AzSqlInstance wordt gebruikt om een nieuw met Azure SQL beheerd exemplaar in te richten. Met de onderstaande opdracht wordt een nieuw beheerd exemplaar ingericht met alleen Microsoft Entra-verificatie ingeschakeld.

Notitie

Voor het script moeten een virtueel netwerk en subnet worden gemaakt als een vereiste.

De SQL-beheerder van het beheerde exemplaar wordt automatisch gemaakt en het wachtwoord wordt ingesteld op een willekeurig wachtwoord. Omdat sql-verificatieconnectiviteit is uitgeschakeld met deze inrichting, wordt de aanmelding van de SQL-beheerder niet gebruikt.

De Microsoft Entra-beheerder is het account dat u hebt ingesteld <MSEntraAccount>en kan worden gebruikt om het exemplaar te beheren wanneer het inrichten is voltooid.

Vervang de volgende waarden in het voorbeeld:

• <managedinstancename>: Geef het beheerde exemplaar de naam die u wilt maken
• <ResourceGroupName>: Naam van de resourcegroep voor uw beheerde exemplaar. De resourcegroep moet ook het virtuele netwerk en het gemaakte subnet bevatten
• <MSEntraAccount>: Kan een Microsoft Entra-gebruiker of -groep zijn. Bijvoorbeeld DummyLogin
• <Location>: locatie van de server, zoals West US, of Central US
• De SubnetId parameter moet worden bijgewerkt met de <Subscription ID>, <ResourceGroupName>, en <VNetName><SubnetName>. Uw abonnements-id vindt u in Azure Portal

$instanceName = @{
    Name = "<managedinstancename>"
    ResourceGroupName = "<ResourceGroupName>"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
    Location = "<Location>"
    SubnetId = "/subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>"
    LicenseType = "LicenseIncluded"
    StorageSizeInGB = 128
    VCore = 4
    Edition = "GeneralPurpose"
    ComputeGeneration = "Gen5"
}

New-AzSqlInstance $instanceName

Zie New-AzSqlInstance voor meer informatie.

REST API

De SQL Managed Instances - REST API maken of bijwerken kan worden gebruikt voor het maken van een beheerd exemplaar met alleen Microsoft Entra-verificatie ingeschakeld tijdens het inrichten.

Notitie

Voor het script moeten een virtueel netwerk en subnet worden gemaakt als een vereiste.

Met het onderstaande script wordt een beheerd exemplaar ingericht, de Microsoft Entra-beheerder ingesteld als <MSEntraAccount>en wordt microsoft Entra-verificatie ingeschakeld. De SQL-instantiebeheerder wordt ook automatisch gemaakt en het wachtwoord wordt ingesteld op een willekeurig wachtwoord. Omdat sql-verificatieconnectiviteit is uitgeschakeld met deze inrichting, wordt de aanmelding van de SQL-beheerder niet gebruikt.

De Microsoft Entra-beheerder <MSEntraAccount> kan worden gebruikt om het exemplaar te beheren wanneer het inrichten is voltooid.

Vervang de volgende waarden in het voorbeeld:

• <tenantId>: u vindt deze door naar Azure Portal te gaan en naar uw Microsoft Entra ID-resource te gaan. In het deelvenster Overzicht ziet u de tenant-id
• <subscriptionId>: Uw abonnements-id vindt u in De Azure-portal
• <instanceName>: Een unieke naam voor een beheerd exemplaar gebruiken
• <ResourceGroupName>: Naam van de resourcegroep voor uw logische server
• <MSEntraAccount>: Kan een Microsoft Entra-gebruiker of -groep zijn. Bijvoorbeeld DummyLogin
• <Location>: locatie van de server, zoals westus2, of centralus
• <objectId>: u vindt deze door naar Azure Portal te gaan en naar uw Microsoft Entra ID-resource te gaan. Zoek in het deelvenster Gebruiker naar de Microsoft Entra-gebruiker en zoek de object-id. Als u een toepassing (service-principal) gebruikt als Microsoft Entra-beheerder, vervangt u deze waarde door de toepassings-id. U moet het principalType ook bijwerken.
• De subnetId parameter moet worden bijgewerkt met de <ResourceGroupName>, de Subscription ID, <VNetName>en <SubnetName>

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$instanceName = "<instanceName>"
$resourceGroupName = "<ResourceGroupName>"
$scopes ="https://management.core.windows.net/.default"

Login-AzAccount -tenantId $tenantId

# Login as an Microsoft Entra user with permission to provision a managed instance

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes $scopes

$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

$body = '{
"name": "<instanceName>", "type": "Microsoft.Sql/managedInstances", "identity": { "type": "SystemAssigned"},"location": "<Location>", "sku": {"name": "GP_Gen5", "tier": "GeneralPurpose", "family":"Gen5","capacity": 8},
"properties": {"administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true },
"subnetId": "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>",
"licenseType": "LicenseIncluded", "vCores": 8, "storageSizeInGB": 2048, "collation": "SQL_Latin1_General_CP1_CI_AS", "proxyOverride": "Proxy", "timezoneId": "UTC", "privateEndpointConnections": [], "storageAccountType": "GRS", "zoneRedundant": false 
  }
}'

# To provision the instance, execute the `PUT` command

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Voer de GET opdracht uit om de resultaten te controleren:

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method GET -Headers $authHeader  | Format-List

Azure VPN-gateway

Gebruik de volgende sjabloon om een nieuw beheerd exemplaar, virtueel netwerk en subnet in te richten, waarbij een Microsoft Entra-beheerder is ingesteld voor de instantie en alleen-microsoft Entra-verificatie ingeschakeld.

Gebruik een aangepaste implementatie in Azure Portal en bouw uw eigen sjabloon in de editor. Sla vervolgens de configuratie op nadat u in het voorbeeld hebt geplakt.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "managedInstanceName": {
            "type": "String",
            "metadata": {
                "description": "Enter managed instance name."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL managed instance."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin. The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "location": {
            "defaultValue": "[resourceGroup().location]",
            "type": "String",
            "metadata": {
                "description": "Enter location. If you leave this field blank resource group location would be used."
            }
        },
        "virtualNetworkName": {
            "type": "String",
            "defaultValue": "SQLMI-VNET",
            "metadata": {
                "description": "Enter virtual network name. If you leave this field blank name will be created by the template."
            }
        },
        "addressPrefix": {
            "defaultValue": "10.0.0.0/16",
            "type": "String",
            "metadata": {
                "description": "Enter virtual network address prefix."
            }
        },
        "subnetName": {
            "type": "String",
            "defaultValue": "ManagedInstances",
            "metadata": {
                "description": "Enter subnet name. If you leave this field blank name will be created by the template."
            }
        },
        "subnetPrefix": {
            "defaultValue": "10.0.0.0/24",
            "type": "String",
            "metadata": {
                "description": "Enter subnet address prefix."
            }
        },
        "skuName": {
            "defaultValue": "GP_Gen5",
            "allowedValues": [
                "GP_Gen5",
                "BC_Gen5"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter sku name."
            }
        },
        "vCores": {
            "defaultValue": 16,
            "allowedValues": [
                8,
                16,
                24,
                32,
                40,
                64,
                80
            ],
            "type": "Int",
            "metadata": {
                "description": "Enter number of vCores."
            }
        },
        "storageSizeInGB": {
            "defaultValue": 256,
            "minValue": 32,
            "maxValue": 8192,
            "type": "Int",
            "metadata": {
                "description": "Enter storage size."
            }
        },
        "licenseType": {
            "defaultValue": "LicenseIncluded",
            "allowedValues": [
                "BasePrice",
                "LicenseIncluded"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter license type."
            }
        }
    },
    "variables": {
        "networkSecurityGroupName": "[concat('SQLMI-', parameters('managedInstanceName'), '-NSG')]",
        "routeTableName": "[concat('SQLMI-', parameters('managedInstanceName'), '-Route-Table')]"
    },
    "resources": [
        {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2020-06-01",
            "name": "[variables('networkSecurityGroupName')]",
            "location": "[parameters('location')]",
            "properties": {
                "securityRules": [
                    {
                        "name": "allow_tds_inbound",
                        "properties": {
                            "description": "Allow access to data",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "1433",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1000,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "allow_redirect_inbound",
                        "properties": {
                            "description": "Allow inbound redirect traffic to SQL Managed Instance inside the virtual network",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "11000-11999",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1100,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_inbound",
                        "properties": {
                            "description": "Deny all other inbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_outbound",
                        "properties": {
                            "description": "Deny all other outbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Outbound"
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Network/routeTables",
            "apiVersion": "2020-06-01",
            "name": "[variables('routeTableName')]",
            "location": "[parameters('location')]",
            "properties": {
                "disableBgpRoutePropagation": false
            }
        },
        {
            "type": "Microsoft.Network/virtualNetworks",
            "apiVersion": "2020-06-01",
            "name": "[parameters('virtualNetworkName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[variables('routeTableName')]",
                "[variables('networkSecurityGroupName')]"
            ],
            "properties": {
                "addressSpace": {
                    "addressPrefixes": [
                        "[parameters('addressPrefix')]"
                    ]
                },
                "subnets": [
                    {
                        "name": "[parameters('subnetName')]",
                        "properties": {
                            "addressPrefix": "[parameters('subnetPrefix')]",
                            "routeTable": {
                                "id": "[resourceId('Microsoft.Network/routeTables', variables('routeTableName'))]"
                            },
                            "networkSecurityGroup": {
                                "id": "[resourceId('Microsoft.Network/networkSecurityGroups', variables('networkSecurityGroupName'))]"
                            },
                            "delegations": [
                                {
                                    "name": "miDelegation",
                                    "properties": {
                                        "serviceName": "Microsoft.Sql/managedInstances"
                                    }
                                }
                            ]
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('managedInstanceName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[parameters('virtualNetworkName')]"
            ],
            "sku": {
                "name": "[parameters('skuName')]"
            },
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "subnetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('virtualNetworkName'), parameters('subnetName'))]",
                "storageSizeInGB": "[parameters('storageSizeInGB')]",
                "vCores": "[parameters('vCores')]",
                "licenseType": "[parameters('licenseType')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Machtigingen voor adreslijstlezers verlenen

Zodra de implementatie voor uw beheerde exemplaar is voltooid, ziet u mogelijk dat het sql Managed Instance leesmachtigingen nodig heeft voor toegang tot Microsoft Entra-id. Leesmachtigingen kunnen worden verleend door te klikken op het weergegeven bericht in Azure Portal door een persoon met voldoende bevoegdheden. Zie de rol Directory Readers in Microsoft Entra voor Azure SQL voor meer informatie.

Beperkingen

• Als u het beheerderswachtwoord van de server opnieuw wilt instellen, moet microsoft-entra-verificatie zijn uitgeschakeld.
• Als Microsoft Entra-verificatie is uitgeschakeld, moet u een server met een serverbeheerder en wachtwoord maken wanneer u alle API's gebruikt.

Gerelateerde inhoud

• Als u al een logische server of sql managed instance hebt en alleen Microsoft Entra-verificatie wilt inschakelen, raadpleegt u de zelfstudie: Alleen Microsoft Entra-verificatie inschakelen met Azure SQL.
• Zie Microsoft Entra-only-verificatie met Azure SQL voor meer informatie over de microsoft-entra-verificatiefunctie.
• Als u het maken van servers wilt afdwingen met alleen Microsoft Entra-verificatie ingeschakeld, raadpleegt u Azure Policy voor Microsoft Entra-only-verificatie met Azure SQL