Criar servidor com a autenticação apenas do Microsoft Entra habilitada no SQL do Azure

Aplica-se a:Banco de Dados SQL do AzureInstância Gerenciada de SQL do Azure

Este guia de instruções descreve as etapas usadas para criar um servidor lógico para o Banco de Dados SQL do Azure ou uma Instância Gerenciada de SQL do Azure com a autenticação somente do Microsoft Entra habilitada durante o provisionamento. O recurso de autenticação somente Microsoft Entra impede que os usuários se conectem ao servidor ou à instância gerenciada usando a autenticação SQL e só permite conexões autenticadas com o Microsoft Entra ID (anteriormente Azure Active Directory).

Observação

O Microsoft Entra ID era anteriormente conhecido como Azure Active Directory (Azure AD).

Pré-requisitos

• A versão 2.26.1 ou posterior é necessária quando a CLI do Azure é usada. Para obter mais informações sobre a instalação e a última versão, confira Instalar a CLI do Azure.
• O módulo Az 6.1.0 ou superior é necessário quando o PowerShell é usado.
• Se você provisionou uma instância gerenciada usando a CLI do Azure, o PowerShell ou a API REST, será necessário criar uma rede virtual e uma sub-rede antes de começar. Para obter mais informações, confira Criar uma rede virtual para a Instância Gerenciada de SQL do Azure.

Permissões

Para provisionar um servidor lógico ou uma instância gerenciada, você precisará ter as permissões apropriadas para criar esses recursos. Os usuários do Azure com permissões mais elevadas, como Proprietários da assinatura, Colaboradores, Administradores de serviços e Coadministradores têm o privilégio necessário para criar um servidor SQL ou uma instância gerenciada. Para criar esses recursos com a função RBAC do Azure com menos privilégios, use a função Colaborador do SQL Server no Banco de Dados SQL e a função Colaborador da Instância Gerenciada de SQL na Instância Gerenciada de SQL.

A função RBAC do Azure Gerente de Segurança do SQL não tem permissões suficientes para criar um servidor ou uma instância com a autenticação somente do Microsoft Entra habilitada. A função Gerente de Segurança do SQL será necessária para gerenciar o recurso de autenticação somente do Microsoft Entra após a criação do servidor ou da instância.

Provisionamento com a autenticação somente do Microsoft Entra habilitada

A seção a seguir fornece exemplos e scripts sobre como criar um servidor lógico ou uma instância gerenciada com um administrador do Microsoft Entra definido para o servidor ou a instância e como habilitar a autenticação somente do Microsoft Entra durante a criação do servidor. Para obter mais informações sobre o recurso, confira Autenticação somente do Microsoft Entra.

Em nossos exemplos, habilitamos a autenticação somente do Microsoft Entra durante a criação do servidor ou da instância gerenciada, com um administrador de servidor e uma senha atribuídos ao sistema. Isso impedirá o acesso do administrador do servidor quando a autenticação somente do Microsoft Entra estiver habilitada e permitirá que o administrador do Microsoft Entra acesse o recurso. É opcional adicionar parâmetros às APIs para incluir seu administrador do servidor e a senha durante a criação do servidor. No entanto, a senha não poderá ser redefinida até que você desabilite a autenticação somente do Microsoft Entra. Um exemplo de como usar esses parâmetros opcionais para especificar o nome de logon do administrador do servidor é apresentado na guia do PowerShell nesta página.

Observação

Para alterar as propriedades existentes após a criação do servidor ou da instância gerenciada, outras APIs existentes devem ser usadas. Para obter mais informações, confira Como gerenciar a autenticação somente do Microsoft Entra usando APIs e Como configurar e gerenciar a autenticação do Microsoft Entra com o SQL do Azure.

Se a autenticação somente do Microsoft Entra estiver definida como falso, que é o padrão, um administrador do servidor e uma senha precisarão ser incluídos em todas as APIs durante a criação de uma instância gerenciada ou de um servidor.

Banco de Dados SQL do Azure

Portal

1. Navegue até a página com a opção Selecionar implantação do SQL no portal do Azure.

2. Se você ainda não entrou no portal do Azure, entre quando solicitado.

3. Em Bancos de dados SQL, deixe Tipo de recurso definido como Banco de dados individual e selecione Criar.

4. Na guia Noções básicas do formulário Criar Banco de Dados SQL, em Detalhes do projeto, selecione a Assinatura do Azure desejada.

5. Para Grupo de recursos, selecione Criar, insira um nome para o grupo de recursos e selecione OK.

6. Para Nome do banco de dados, insira um nome para o seu banco de dados.

7. Para Servidor, selecione Criar e preencha o formulário de novo servidor com os seguintes valores:

   • Nome do servidor: insira um nome exclusivo para o servidor. Os nomes dos servidores devem ser globalmente exclusivos para todos os servidores no Azure, não apenas para uma assinatura. Insira um valor e o portal do Azure informará se ele está disponível ou não.
   • Localização: Selecione uma localização na lista suspensa
   • Método de autenticação: selecione Usar autenticação do Microsoft Entra somente.
   • Selecione Definir administrador para abrir o painel Microsoft Entra ID e selecione uma entidade de segurança do Microsoft Entra como administrador do Microsoft Entra do servidor lógico. Quando terminar, use o botão Selecionar para definir o administrador.

   

8. Selecione Avançar: Rede na parte inferior da página.

9. Na guia Rede, para Método de conectividade, selecione Ponto de extremidade público.

10. Para Regras de firewall, defina Adicionar endereço IP do cliente atual como Sim. Deixe Permitir que serviços e recursos do Azure acessem este servidor definido como Não.

11. Deixe as configurações Política de conexão e Versão mínima do TLS com seus valores padrões.

12. Selecione Próximo: Segurança na parte inferior da página. Defina qualquer uma das configurações no Microsoft Defender para SQL, Razão, Identidadee Criptografia de dados transparente no ambiente. Você também pode pular essas configurações.

    Observação

    Há suporte para o uso de uma identidade gerenciada atribuída pelo usuário como a identidade do servidor com a autenticação somente do Microsoft Entra. Para se conectar à instância como identidade, atribua-a a uma Máquina Virtual do Azure e execute o SSMS nessa VM. Para ambientes de produção, o uso de uma identidade gerenciada para o administrador do Microsoft Entra é recomendado devido às medidas de segurança aprimoradas e simplificadas com autenticação sem senha para recursos do Azure.

13. Selecione Revisar + criar na parte inferior da página.

14. Na página Examinar + criar, após examinar, selecione Criar.

A CLI do Azure

O comando az sql server create da CLI do Azure é usado para provisionar um novo servidor lógico. O comando abaixo provisionará um novo servidor com a autenticação somente do Microsoft Entra habilitada.

O administrador do SQL do servidor será criado automaticamente, e a senha será definida como uma senha aleatória. Como a conectividade da autenticação do SQL está desabilitada com a criação desse servidor, o logon do administrador do SQL não será usado.

O administrador do Microsoft Entra do servidor será a conta que você definiu para a <MSEntraAccount> e pode ser usado para gerenciar o servidor.

Substitua os seguintes valores no exemplo:

• <MSEntraAccount>: pode ser um usuário ou grupo do Microsoft Entra. Por exemplo, DummyLogin
• <MSEntraAccountSID>: a ID do objeto do Microsoft Entra para o usuário
• <ResourceGroupName>: nome do grupo de recursos para o servidor lógico
• <ServerName>: use um nome do servidor lógico exclusivo

az sql server create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <ServerName>

Para obter mais informações, confira az sql server create.

Para verificar o status do servidor após a criação, confira o seguinte comando:

az sql server show --name <ServerName> --resource-group <ResourceGroupName> --expand-ad-admin

PowerShell

O comando New-AzSqlServer do PowerShell é usado para provisionar um novo servidor lógico. O comando abaixo provisionará um novo servidor com a autenticação somente do Microsoft Entra habilitada.

O administrador do SQL do servidor será criado automaticamente, e a senha será definida como uma senha aleatória. Como a conectividade da autenticação do SQL está desabilitada com a criação desse servidor, o logon do administrador do SQL não será usado.

O administrador do Microsoft Entra do servidor será a conta que você definiu para a <MSEntraAccount> e pode ser usado para gerenciar o servidor.

Substitua os seguintes valores no exemplo:

• <ResourceGroupName>: nome do grupo de recursos para o servidor lógico
• <Location>: localização do servidor, como West US ou Central US
• <ServerName>: use um nome do servidor lógico exclusivo
• <MSEntraAccount>: pode ser um usuário ou grupo do Microsoft Entra. Por exemplo, DummyLogin

$server = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
}

New-AzSqlServer @server

Aqui está um exemplo de especificação do nome de administrador do servidor (em vez de permitir que o nome de administrador do servidor seja criado automaticamente) no momento da criação lógica do servidor. Como mencionado anteriormente, esse logon não pode ser usável quando a autenticação somente do Microsoft Entra está habilitada.

$cred = Get-Credential
New-AzSqlServer -ResourceGroupName "<ResourceGroupName>" -Location "<Location>" -ServerName "<ServerName>" -ServerVersion "12.0" -ExternalAdminName "<MSEntraAccount>" -EnableActiveDirectoryOnlyAuthentication -SqlAdministratorCredentials $cred

Para obter mais informações, confira New-AzSqlServer.

REST API

A API REST Servidores – Criar ou Atualizar pode ser usada para criar um servidor lógico com autenticação somente do Microsoft Entra habilitada durante o provisionamento.

O script abaixo provisionará um servidor lógico, definirá o administrador do Microsoft Entra como <MSEntraAccount> e habilitará a autenticação somente do Microsoft Entra. O administrador do SQL do servidor também será criado automaticamente, e a senha será definida como uma senha aleatória. Como a conectividade da autenticação do SQL está desabilitada com esse provisionamento, o logon do administrador do SQL não será usado.

O administrador do Microsoft Entra, <MSEntraAccount>, poderá ser usado para gerenciar o servidor quando o provisionamento for concluído.

Substitua os seguintes valores no exemplo:

• <tenantId>: encontra-se acessando o portal do Azure e o recurso Microsoft Entra ID. No painel Visão geral, você verá a ID de Locatário
• <subscriptionId>: sua ID da assinatura pode ser encontrada no portal do Azure
• <ServerName>: use um nome do servidor lógico exclusivo
• <ResourceGroupName>: nome do grupo de recursos para o servidor lógico
• <MicrosoftEntraAccount>: pode ser um usuário, grupo ou aplicativo do Microsoft Entra. Por exemplo, DummyLogin
• <Location>: localização do servidor, como westus2 ou centralus
• <objectId>: encontre-a acessando o portal do Azure e seu recurso do Microsoft Entra ID. No painel Usuário, pesquise o usuário do Microsoft Entra e encontre a ID de Objeto dele. Se você estiver usando um aplicativo (entidade de serviço) como administrador do Microsoft Entra, substitua esse valor pela ID do Aplicativo. Você também precisará atualizar o principalType.
• <principalType>: uma das três opções: Usuário, Grupo, Aplicativo. O tipo do objeto Microsoft Entra usado como administrador. As identidades gerenciadas e as entidades de serviço Aplicativos.

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$authUrl = "https://login.windows.net/$tenantId"
$serverName = "<ServerName>"
$resourceGroupName = "<ResourceGroupName>"

Login-AzAccount -tenantId $tenantId

# login as a user with SQL Server Contributor role or higher 

# Get a token

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes "https://management.core.windows.net/.default"

#Authetication header
$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

# Enable Microsoft Entra-only auth 
# No server admin is specified, Microsoft Entra admin is configured, and Microsoft Entra-only authentication is set to true
# Server admin (login and password) is randomly generated by the system

# Authentication body
# The sid is the Microsoft Entra Object ID for the user or group, and Application ID for applications. Update the principalType as well

$body = '{ 
"location": "<Location>",
"properties": { "administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true }
  }
}'

# Provision the server

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Para verificar o status do servidor, use o seguinte script:

$uri = 'https://management.azure.com/subscriptions/'+$subscriptionId+'/resourceGroups/'+$resourceGroupName+'/providers/Microsoft.Sql/servers/'+$serverName+'?api-version=2020-11-01-preview&$expand=administrators/activedirectory'

$responce=Invoke-WebRequest -Uri $uri -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

$responce.statuscode

$responce.content

Modelo do ARM

Para obter mais informações e modelos do ARM, confira Modelos do Azure Resource Manager para o Banco de Dados SQL do Azure e a Instância Gerenciada de SQL.

Para provisionar um servidor lógico com um conjunto de administradores do Microsoft Entra para o servidor e a autenticação somente do Microsoft Entra habilitada por meio de um modelo do ARM, confira o modelo de início rápido Servidor lógico do SQL do Azure com a autenticação somente do Microsoft Entra.

Use também o modelo a seguir. Use uma implantação personalizada no portal do Azure e crie um modelo próprio no editor. Em seguida, salve a configuração depois de colá-la no exemplo.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "string",
            "defaultValue": "[uniqueString('sql', resourceGroup().id)]",
            "metadata": {
                "description": "The name of the logical server."
            }
        },
        "location": {
            "type": "string",
            "defaultValue": "[resourceGroup().location]",
            "metadata": {
                "description": "Location for all resources."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "properties": {
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Instância Gerenciada do Azure SQL

Portal

1. Navegue até a página com a opção Selecionar implantação do SQL no portal do Azure.

2. Se você ainda não entrou no portal do Azure, entre quando solicitado.

3. Em Instâncias gerenciadas de SQL, deixe Tipo de recurso definido como Instância individual e selecione Criar.

4. Preencha as informações obrigatórias necessárias na guia Noções básicas para obter Detalhes de projeto e Detalhes de Instância Gerenciada. Este é um conjunto mínimo de informações exigido para provisionar uma Instância Gerenciada de SQL.

   

   Para obter mais informações sobre as opções de configuração, consulte Início Rápido: criar uma Instância Gerenciada de SQL do Azure.

5. Em Autenticação, selecione Usar somente a autenticação do Microsoft Entra para o Método de autenticação.

6. Selecione Definir administrador para abrir o painel Microsoft Entra ID e selecione uma entidade de segurança do Microsoft Entra como seu administrador do Microsoft Entra de instância gerenciada. Quando terminar, use o botão Selecionar para definir o administrador.

   

7. Você pode deixar o restante das configurações padrão. Para obter mais informações sobre Rede, Segurança ou outras guias e configurações, siga o guia no artigo Início Rápido: criar uma Instância Gerenciada de SQL do Azure.

8. Quando terminar de definir suas configurações, selecione Revisar + criar para continuar. Selecione Criar para iniciar o provisionamento da instância gerenciada.

A CLI do Azure

O comando az sql mi create da CLI do Azure é usado para provisionar uma nova Instância Gerenciada de SQL do Azure. O comando abaixo provisionará uma nova instância gerenciada com a autenticação somente do Microsoft Entra habilitada.

Observação

O script exige a criação de uma rede virtual e de uma sub-rede como um pré-requisito.

O administrador do SQL da instância gerenciada será criado automaticamente, e a senha será definida como uma senha aleatória. Como a autenticação do SQL está desabilitada com esse provisionamento, o administrador do SQL não será usado.

O administrador do Microsoft Entra será a conta configurada para <MSEntraAccount> e poderá ser usado para gerenciar a instância quando o provisionamento for concluído.

Substitua os seguintes valores no exemplo:

• <MSEntraAccount>: pode ser um usuário ou grupo do Microsoft Entra. Por exemplo, DummyLogin
• <MSEntraAccountSID>: a ID de objeto do Microsoft Entra para o usuário
• <managedinstancename>: nome da instância gerenciada que você deseja criar
• <ResourceGroupName>: nome do grupo de recursos para sua instância gerenciada. O grupo de recursos também deve incluir a rede virtual e a sub-rede criadas
• O parâmetro subnet precisa ser atualizado com <Subscription ID>, <ResourceGroupName>, <VNetName> e <SubnetName>. Sua ID da assinatura pode ser encontrada no portal do Azure

az sql mi create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <managedinstancename> \
    --subnet /subscriptions/<Subscription ID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>

Para obter mais informações, confira az sql mi create.

PowerShell

O comando New-AzSqlInstance do PowerShell é usado para provisionar uma nova Instância Gerenciada de SQL do Azure. O comando abaixo provisionará uma nova instância gerenciada com a autenticação somente do Microsoft Entra habilitada.

Observação

O script exige a criação de uma rede virtual e de uma sub-rede como um pré-requisito.

O administrador do SQL da instância gerenciada será criado automaticamente, e a senha será definida como uma senha aleatória. Como a conectividade da autenticação do SQL está desabilitada com essa provisão, o logon do administrador do SQL não será usado.

O administrador do Microsoft Entra será a conta configurada para <MSEntraAccount> e poderá ser usado para gerenciar a instância quando o provisionamento for concluído.

Substitua os seguintes valores no exemplo:

• <managedinstancename>: nome da instância gerenciada que você deseja criar
• <ResourceGroupName>: nome do grupo de recursos para sua instância gerenciada. O grupo de recursos também deve incluir a rede virtual e a sub-rede criadas
• <MSEntraAccount>: pode ser um usuário ou grupo do Microsoft Entra. Por exemplo, DummyLogin
• <Location>: localização do servidor, como West US ou Central US
• O parâmetro SubnetId precisa ser atualizado com <Subscription ID>, <ResourceGroupName>, <VNetName> e <SubnetName>. Sua ID da assinatura pode ser encontrada no portal do Azure

$instanceName = @{
    Name = "<managedinstancename>"
    ResourceGroupName = "<ResourceGroupName>"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
    Location = "<Location>"
    SubnetId = "/subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>"
    LicenseType = "LicenseIncluded"
    StorageSizeInGB = 128
    VCore = 4
    Edition = "GeneralPurpose"
    ComputeGeneration = "Gen5"
}

New-AzSqlInstance $instanceName

Para obter mais informações, confira New-AzSqlInstance.

REST API

A API REST Instâncias Gerenciadas de SQL – Criar ou Atualizar pode ser usada para criar uma instância gerenciada com autenticação apenas do Microsoft Entra habilitada durante o provisionamento.

Observação

O script exige a criação de uma rede virtual e de uma sub-rede como um pré-requisito.

O script abaixo provisionará uma instância gerenciada, definirá o administrador do Microsoft Entra como <MSEntraAccount> e habilitará a autenticação somente do Microsoft Entra. O administrador do SQL da instância também será criado automaticamente, e a senha será definida como uma senha aleatória. Como a conectividade da autenticação do SQL está desabilitada com esse provisionamento, o logon do administrador do SQL não será usado.

O administrador do Microsoft Entra, <MSEntraAccount>, pode ser usado para gerenciar a instância quando o provisionamento for concluído.

Substitua os seguintes valores no exemplo:

• <tenantId>: encontra-se acessando o portal do Azure e o recurso Microsoft Entra ID. No painel Visão geral, você verá a ID de Locatário
• <subscriptionId>: sua ID da assinatura pode ser encontrada no portal do Azure
• <instanceName>: use um nome exclusivo para a instância gerenciada
• <ResourceGroupName>: nome do grupo de recursos para o servidor lógico
• <MSEntraAccount>: pode ser um usuário ou grupo do Microsoft Entra. Por exemplo, DummyLogin
• <Location>: localização do servidor, como westus2 ou centralus
• <objectId>: encontre-a acessando o portal do Azure e seu recurso do Microsoft Entra ID. No painel Usuário, pesquise o usuário do Microsoft Entra e encontre a ID de Objeto dele. Se você estiver usando um aplicativo (entidade de serviço) como administrador do Microsoft Entra, substitua esse valor pela ID do Aplicativo. Você também precisará atualizar o principalType.
• O parâmetro subnetId precisa ser atualizado com <ResourceGroupName>, Subscription ID, <VNetName> e <SubnetName>

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$instanceName = "<instanceName>"
$resourceGroupName = "<ResourceGroupName>"
$scopes ="https://management.core.windows.net/.default"

Login-AzAccount -tenantId $tenantId

# Login as an Microsoft Entra user with permission to provision a managed instance

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes $scopes

$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

$body = '{
"name": "<instanceName>", "type": "Microsoft.Sql/managedInstances", "identity": { "type": "SystemAssigned"},"location": "<Location>", "sku": {"name": "GP_Gen5", "tier": "GeneralPurpose", "family":"Gen5","capacity": 8},
"properties": {"administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true },
"subnetId": "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>",
"licenseType": "LicenseIncluded", "vCores": 8, "storageSizeInGB": 2048, "collation": "SQL_Latin1_General_CP1_CI_AS", "proxyOverride": "Proxy", "timezoneId": "UTC", "privateEndpointConnections": [], "storageAccountType": "GRS", "zoneRedundant": false 
  }
}'

# To provision the instance, execute the `PUT` command

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Para verificar os resultados, execute o comando GET:

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method GET -Headers $authHeader  | Format-List

Modelo do ARM

Para provisionar uma nova instância gerenciada, uma rede virtual e uma sub-rede, com um administrador do Microsoft Entra definido para a instância e a autenticação somente do Microsoft Entra habilitada, use o modelo a seguir.

Use uma implantação personalizada no portal do Azure e crie um modelo próprio no editor. Em seguida, salve a configuração depois de colá-la no exemplo.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "managedInstanceName": {
            "type": "String",
            "metadata": {
                "description": "Enter managed instance name."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL managed instance."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin. The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "location": {
            "defaultValue": "[resourceGroup().location]",
            "type": "String",
            "metadata": {
                "description": "Enter location. If you leave this field blank resource group location would be used."
            }
        },
        "virtualNetworkName": {
            "type": "String",
            "defaultValue": "SQLMI-VNET",
            "metadata": {
                "description": "Enter virtual network name. If you leave this field blank name will be created by the template."
            }
        },
        "addressPrefix": {
            "defaultValue": "10.0.0.0/16",
            "type": "String",
            "metadata": {
                "description": "Enter virtual network address prefix."
            }
        },
        "subnetName": {
            "type": "String",
            "defaultValue": "ManagedInstances",
            "metadata": {
                "description": "Enter subnet name. If you leave this field blank name will be created by the template."
            }
        },
        "subnetPrefix": {
            "defaultValue": "10.0.0.0/24",
            "type": "String",
            "metadata": {
                "description": "Enter subnet address prefix."
            }
        },
        "skuName": {
            "defaultValue": "GP_Gen5",
            "allowedValues": [
                "GP_Gen5",
                "BC_Gen5"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter sku name."
            }
        },
        "vCores": {
            "defaultValue": 16,
            "allowedValues": [
                8,
                16,
                24,
                32,
                40,
                64,
                80
            ],
            "type": "Int",
            "metadata": {
                "description": "Enter number of vCores."
            }
        },
        "storageSizeInGB": {
            "defaultValue": 256,
            "minValue": 32,
            "maxValue": 8192,
            "type": "Int",
            "metadata": {
                "description": "Enter storage size."
            }
        },
        "licenseType": {
            "defaultValue": "LicenseIncluded",
            "allowedValues": [
                "BasePrice",
                "LicenseIncluded"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter license type."
            }
        }
    },
    "variables": {
        "networkSecurityGroupName": "[concat('SQLMI-', parameters('managedInstanceName'), '-NSG')]",
        "routeTableName": "[concat('SQLMI-', parameters('managedInstanceName'), '-Route-Table')]"
    },
    "resources": [
        {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2020-06-01",
            "name": "[variables('networkSecurityGroupName')]",
            "location": "[parameters('location')]",
            "properties": {
                "securityRules": [
                    {
                        "name": "allow_tds_inbound",
                        "properties": {
                            "description": "Allow access to data",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "1433",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1000,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "allow_redirect_inbound",
                        "properties": {
                            "description": "Allow inbound redirect traffic to SQL Managed Instance inside the virtual network",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "11000-11999",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1100,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_inbound",
                        "properties": {
                            "description": "Deny all other inbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_outbound",
                        "properties": {
                            "description": "Deny all other outbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Outbound"
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Network/routeTables",
            "apiVersion": "2020-06-01",
            "name": "[variables('routeTableName')]",
            "location": "[parameters('location')]",
            "properties": {
                "disableBgpRoutePropagation": false
            }
        },
        {
            "type": "Microsoft.Network/virtualNetworks",
            "apiVersion": "2020-06-01",
            "name": "[parameters('virtualNetworkName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[variables('routeTableName')]",
                "[variables('networkSecurityGroupName')]"
            ],
            "properties": {
                "addressSpace": {
                    "addressPrefixes": [
                        "[parameters('addressPrefix')]"
                    ]
                },
                "subnets": [
                    {
                        "name": "[parameters('subnetName')]",
                        "properties": {
                            "addressPrefix": "[parameters('subnetPrefix')]",
                            "routeTable": {
                                "id": "[resourceId('Microsoft.Network/routeTables', variables('routeTableName'))]"
                            },
                            "networkSecurityGroup": {
                                "id": "[resourceId('Microsoft.Network/networkSecurityGroups', variables('networkSecurityGroupName'))]"
                            },
                            "delegations": [
                                {
                                    "name": "miDelegation",
                                    "properties": {
                                        "serviceName": "Microsoft.Sql/managedInstances"
                                    }
                                }
                            ]
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('managedInstanceName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[parameters('virtualNetworkName')]"
            ],
            "sku": {
                "name": "[parameters('skuName')]"
            },
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "subnetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('virtualNetworkName'), parameters('subnetName'))]",
                "storageSizeInGB": "[parameters('storageSizeInGB')]",
                "vCores": "[parameters('vCores')]",
                "licenseType": "[parameters('licenseType')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Conceder permissões de Leitores de diretório

Depois que a implantação for concluída para sua instância gerenciada, você observará que a Instância Gerenciada de SQL precisa ter permissões de Leitura para acessar o Microsoft Entra ID. As permissões de Leitura poderão ser concedidas se uma pessoa com privilégios suficientes clicar na mensagem exibida no portal do Azure. Para obter mais informações, confira Função Leitores de diretório no Microsoft Entra para o SQL do Azure.

Limitações

• Para redefinir a senha do administrador do servidor, a autenticação somente do Microsoft Entra precisa ser desabilitada.
• Se a autenticação apenas do Microsoft Entra estiver desabilitada, você precisará criar um servidor com um administrador do servidor e uma senha ao usar todas as APIs.

Conteúdo relacionado

• Se você já tiver um servidor lógico ou uma instância gerenciada de SQL e quiser apenas habilitar a autenticação apenas do Microsoft Entra, confira Tutorial: Habilitar a autenticação apenas do Microsoft Entra com o SQL do Azure.
• Para obter mais informações sobre o recurso de autenticação somente do Microsoft Entra, confira Autenticação somente do Microsoft Entra com o SQL do Azure.
• Se você estiver procurando impor a criação do servidor com a autenticação somente do Microsoft Entra habilitada, confira Azure Policy para autenticação somente do Microsoft Entra com o SQL do Azure