在 Azure SQL 中建立已啟用 Microsoft Entra 驗證的伺服器

發行項
01/19/2024

適用於：Azure SQL Database Azure SQL 受控執行個體

本操作指南概述為 Azure SQL 資料庫建立邏輯伺服器的步驟，或布建期間啟用僅限 Microsoft Entra 驗證的 Azure SQL 受控執行個體。僅限 Microsoft Entra 驗證功能可防止使用者使用 SQL 驗證連線到伺服器或受控實例，且只允許使用 Microsoft Entra ID（先前稱為 Azure Active Directory）驗證的連線。

注意

Microsoft Entra 標識符先前稱為 Azure Active Directory （Azure AD）。

必要條件

使用 Azure CLI 時，需要 2.26.1 版或更新版本。如需安裝和最新版本的詳細資訊，請參閱安裝 Azure CLI。
使用 PowerShell 時，需要 Az 6.1.0 模組或更新版本。
如果您要使用 Azure CLI、PowerShell 或 REST API 布建受控實例，必須先建立虛擬網路和子網，才能開始。如需詳細資訊，請參閱建立 Azure SQL 受控執行個體的虛擬網路。

權限

若要布建邏輯伺服器或受控實例，您必須具備適當的許可權才能建立這些資源。具有較高許可權的 Azure 使用者，例如訂用帳戶擁有者、參與者、服務管理員 istrators，以及共同管理員 istrators 具有建立 SQL Server 或受控實例的許可權。若要使用最低許可權的 Azure RBAC 角色來建立這些資源，請使用 SQL 資料庫的 SQL Server 參與者角色，並針對 SQL 受管理執行個體使用 SQL 受管理執行個體參與者角色。

SQL 安全性管理員 Azure RBAC 角色沒有足夠的許可權可建立已啟用 Microsoft Entra 驗證的伺服器或實例。建立伺服器或實例之後，需要 SQL 安全性管理員角色才能管理僅限 Microsoft Entra 驗證功能。

啟用僅限 Microsoft Entra 驗證的布建

下一節提供範例和腳本，說明如何為伺服器或實例設定 Microsoft Entra 系統管理員設定的邏輯伺服器或受控實例，並在伺服器建立期間啟用僅限 Microsoft Entra 驗證。如需此功能的詳細資訊，請參閱僅限 Microsoft Entra 驗證。

在我們的範例中，我們會使用系統指派的伺服器管理員和密碼，在伺服器或受控實例建立期間啟用僅限 Microsoft Entra 驗證。啟用僅限 Microsoft Entra 驗證時，這會防止伺服器管理員存取，而且只允許 Microsoft Entra 系統管理員存取資源。您可以選擇將參數新增至 API，以在伺服器建立期間包含您自己的伺服器管理員和密碼。不過，除非您停用僅限 Microsoft Entra 驗證，否則無法重設密碼。此頁面的 PowerShell 索引標籤中會顯示如何使用這些選擇性參數來指定伺服器管理員登入名稱的範例。

注意

若要在建立伺服器或受控實例之後變更現有的屬性，應該使用其他現有的 API。如需詳細資訊，請參閱使用 API 管理僅限 Microsoft Entra 驗證和使用 Azure SQL 設定和管理 Microsoft Entra 驗證。

如果 Microsoft Entra 唯一驗證設定為 false，依預設，伺服器管理員和密碼必須包含在伺服器或受控實例建立期間的所有 API 中。

Azure SQL Database

瀏覽至 Azure 入口網站中的 [選取 SQL 部署] 選項頁面。
如果您尚未登入 Azure 入口網站，請在出現提示時登入。
在 SQL 資料庫下，將資源類型設定為單一資料庫，然後選取 [建立]。
在建立 SQL 資料庫表單的基本資料索引標籤上，在專案詳細資料下，選取想要的 Azure 訂用帳戶。
針對 [資源群組]，選取 [新建]，輸入您的資源群組名稱，然後選取 [確定]。
針對 [ 資料庫名稱]，輸入資料庫的名稱。
針對 [ 伺服器]，選取 [ 新建]，並使用下列值填寫新的伺服器窗體：
- 伺服器名稱：輸入唯一的伺服器名稱。伺服器名稱對於 Azure 中所有伺服器必須為全域唯一，而不只是在訂閱中是唯一的。輸入值，Azure 入口網站會讓您知道其是否可用。
- 位置：從下拉式清單中選取位置
- 驗證方法：選取 [ 使用僅限 Microsoft Entra 驗證]。
- 選取 [ 設定系統管理員]，以開啟 [ Microsoft Entra 標識符 ] 窗格，然後選取 Microsoft Entra 主體作為邏輯伺服器 Microsoft Entra 系統管理員。當您完成時，請使用 [ 選取 ] 按鈕來設定系統管理員。
完成時，選取 [下一步:網路功能]，為於頁面底部。
在網路功能索引標籤的連線方法中，選取 [公用端點]。
針對 [防火牆規則]，將 [新增目前的用戶端 IP 位址] 設定為 [是]。將 [允許 Azure 服務和資源存取此伺服器] 設定為 [否]。
保留 連線原則和最低 TLS 版本設定作為預設值。
選取頁面底部的 [下一步：安全性]。為您的環境設定適用於 SQL、總賬、身分識別和透明數據加密的 Microsoft Defender 的任何設定。您也可以略過這些設定。

注意

Microsoft Entra-only 驗證支援使用使用者指派的受控識別作為伺服器身分識別。若要以身分識別身分連線到實例，請將它指派給 Azure 虛擬機，並在該 VM 上執行 SSMS。針對生產環境，建議使用 Microsoft Entra 系統管理員的受控識別，因為已增強且簡化的安全性措施，且對 Azure 資源進行無密碼驗證。
選取頁面底部的 [檢閱 + 建立] 。
檢閱 [檢閱 + 建立] 頁面之後，選取 [建立]。

Azure CLI 命令 az sql server create 用來佈建新的邏輯伺服器。下列命令會布建已啟用僅限 Microsoft Entra 驗證的新伺服器。

伺服器 SQL 系統管理員會自動建立，並將密碼設定為隨機密碼。由於建立此伺服器時會停用 SQL 驗證連線，因此不會使用 SQL 系統管理員登入。

Microsoft Entra 系統管理員伺服器會是您設定 <MSEntraAccount>的帳戶，而且可用來管理伺服器。

取代範例中的下列值：

<MSEntraAccount>：可以是 Microsoft Entra 使用者或群組。例如，DummyLogin
<MSEntraAccountSID>：使用者的 Microsoft Entra 物件識別碼
<ResourceGroupName>：您邏輯伺服器的資源群組名稱
<ServerName>：使用唯一的邏輯伺服器名稱

az sql server create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <ServerName>

如需詳細資訊，請參閱 az sql server create。

若要在建立後檢查伺服器狀態，請參閱下列命令：

az sql server show --name <ServerName> --resource-group <ResourceGroupName> --expand-ad-admin

PowerShell 命令 New-AzSqlServer 可用來布建新的邏輯伺服器。下列命令會布建已啟用僅限 Microsoft Entra 驗證的新伺服器。

伺服器 SQL 系統管理員會自動建立，並將密碼設定為隨機密碼。由於建立此伺服器時會停用 SQL 驗證連線，因此不會使用 SQL 系統管理員登入。

Microsoft Entra 系統管理員伺服器會是您設定 <MSEntraAccount>的帳戶，而且可用來管理伺服器。

取代範例中的下列值：

<ResourceGroupName>：您邏輯伺服器的資源群組名稱
<Location>：伺服器的位置，例如 West US 或 Central US
<ServerName>：使用唯一的邏輯伺服器名稱
<MSEntraAccount>：可以是 Microsoft Entra 使用者或群組。例如，DummyLogin

$server = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
}

New-AzSqlServer @server

以下是在邏輯伺服器建立時指定伺服器管理員名稱（而不是讓伺服器管理員名稱自動建立）的範例。如先前所述，啟用僅限 Microsoft Entra 驗證時，將無法使用此登入。

$cred = Get-Credential
New-AzSqlServer -ResourceGroupName "<ResourceGroupName>" -Location "<Location>" -ServerName "<ServerName>" -ServerVersion "12.0" -ExternalAdminName "<MSEntraAccount>" -EnableActiveDirectoryOnlyAuthentication -SqlAdministratorCredentials $cred

如需詳細資訊，請參閱 New-AzSqlServer。

伺服器 - 建立或更新 REST API 可用來建立邏輯伺服器，在布建期間啟用僅限 Microsoft Entra 驗證。

下列腳本會布建邏輯伺服器、將 Microsoft Entra 系統管理員設定為 <MSEntraAccount>，並啟用僅限 Microsoft Entra 驗證。伺服器 SQL 系統管理員也會自動建立，並將密碼設定為隨機密碼。由於 SQL 驗證連線已停用此佈建，因此不會使用 SQL 系統管理員登入。

Microsoft Entra 系統管理員 <MSEntraAccount> 可用來在布建完成時管理伺服器。

取代範例中的下列值：

<tenantId>：您可以移至 Azure 入口網站，並前往您的 Microsoft Entra ID 資源。在 [概觀] 窗格中，應該會看到您的租用戶識別碼
<subscriptionId>您可以在 Azure 入口網站中找到訂閱識別碼
<ServerName>：使用唯一的邏輯伺服器名稱
<ResourceGroupName>：您邏輯伺服器的資源群組名稱
<MicrosoftEntraAccount>：可以是 Microsoft Entra 使用者、群組或應用程式。例如， DummyLogin
<Location>：伺服器的位置，例如 westus2 或 centralus
<objectId>：您可以前往 Azure 入口網站，並前往您的 Microsoft Entra ID 資源。在 [ 使用者 ] 窗格中，搜尋 Microsoft Entra 使用者並尋找其 物件識別碼。如果您使用應用程式（服務主體）作為 Microsoft Entra 系統管理員，請將此值取代為 應用程式識別碼。您必須更新 principalType 。
<principalType>：三個選項之一：使用者、群組、應用程式。做為系統管理員的 Microsoft Entra 物件類型。受控識別和服務主體是應用程式。

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$authUrl = "https://login.windows.net/$tenantId"
$serverName = "<ServerName>"
$resourceGroupName = "<ResourceGroupName>"

Login-AzAccount -tenantId $tenantId

# login as a user with SQL Server Contributor role or higher 

# Get a token

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes "https://management.core.windows.net/.default"

#Authetication header
$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

# Enable Microsoft Entra-only auth 
# No server admin is specified, Microsoft Entra admin is configured, and Microsoft Entra-only authentication is set to true
# Server admin (login and password) is randomly generated by the system

# Authentication body
# The sid is the Microsoft Entra Object ID for the user or group, and Application ID for applications. Update the principalType as well

$body = '{ 
"location": "<Location>",
"properties": { "administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true }
  }
}'

# Provision the server

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

若要檢查伺服器狀態，您可以使用下列指令碼：

$uri = 'https://management.azure.com/subscriptions/'+$subscriptionId+'/resourceGroups/'+$resourceGroupName+'/providers/Microsoft.Sql/servers/'+$serverName+'?api-version=2020-11-01-preview&$expand=administrators/activedirectory'

$responce=Invoke-WebRequest -Uri $uri -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

$responce.statuscode

$responce.content

如需詳細資訊和 ARM 範本，請參閱適用於 Azure SQL 資料庫和 SQL 受管理執行個體的 Azure Resource Manager 範本。

若要為伺服器布建具有 Microsoft Entra 管理員集的邏輯伺服器，以及使用 ARM 範本啟用的僅限 Microsoft Entra 驗證，請參閱我們的 Azure SQL 邏輯伺服器與僅限 Microsoft Entra 驗證快速入門範本。

您也可以使用下列範本。使用 Azure 入口網站中的自訂部署，然後在編輯器中建置您自己的範本。接下來，將設定貼進範例之後，加以儲存。

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "string",
            "defaultValue": "[uniqueString('sql', resourceGroup().id)]",
            "metadata": {
                "description": "The name of the logical server."
            }
        },
        "location": {
            "type": "string",
            "defaultValue": "[resourceGroup().location]",
            "metadata": {
                "description": "Location for all resources."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "properties": {
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Azure SQL 受控執行個體

瀏覽至 Azure 入口網站中的 [選取 SQL 部署] 選項頁面。
如果您尚未登入 Azure 入口網站，請在出現提示時登入。
在 [SQL 受控實例] 下，將 [資源類型] 保留為 [單一實例]，然後選取 [建立]。
針對 [專案詳細數據] 和 [受控執行個體詳細數據，填寫 [基本] 索引標籤上所需的必要資訊。這是布建 SQL 受管理執行個體所需的最小資訊集。

如需設定選項的詳細資訊，請參閱快速入門：建立 Azure SQL 受控執行個體。
在 [驗證] 底下，針對 [驗證方法] 選取 [僅使用 Microsoft Entra 驗證]。
選取 [ 設定系統管理員 ] 以開啟 [ Microsoft Entra 標識符 ] 窗格，然後選取 Microsoft Entra 主體作為受控實例 Microsoft Entra 系統管理員。當您完成時，請使用 [ 選取 ] 按鈕來設定系統管理員。
您可以保留其餘的設定預設值。如需網路功能、安全性或其他索引標籤和設定的詳細資訊，請遵循快速入門：建立 Azure SQL 受控執行個體一文中的指南。
完成設定之後，請選取 [ 檢閱 + 建立 ] 以繼續進行。選取 [建立] 以開始佈建受控執行個體。

Azure CLI 命令az sql mi create可用來布建新的 Azure SQL 受控執行個體。下列命令會布建已啟用僅限 Microsoft Entra 驗證的新受控實例。

注意

腳本需要建立虛擬網路和子網作為必要條件。

受控實例 SQL 系統管理員會自動建立，並將密碼設定為隨機密碼。由於 SQL 驗證已停用此布建，因此不會使用 SQL 系統管理員。

Microsoft Entra 系統管理員將會是您設定 <MSEntraAccount>的帳戶，而且可用來在布建完成時管理實例。

取代範例中的下列值：

<MSEntraAccount>：可以是 Microsoft Entra 使用者或群組。例如，DummyLogin
<MSEntraAccountSID>：使用者的 Microsoft Entra 物件識別碼
<managedinstancename>：將您想要建立的受控實例命名為
<ResourceGroupName>：受控實例的資源群組名稱。資源群組也應該包含建立的虛擬網路和子網
subnet參數必須以<Subscription ID>、 <ResourceGroupName><VNetName>、和<SubnetName>更新。您可以在 Azure 入口網站中找到訂閱識別碼

az sql mi create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <managedinstancename> \
    --subnet /subscriptions/<Subscription ID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>

如需詳細資訊，請參閱 az sql mi create。

PowerShell 命令New-AzSqlInstance可用來布建新的 Azure SQL 受控執行個體。下列命令會布建已啟用僅限 Microsoft Entra 驗證的新受控實例。

注意

腳本需要建立虛擬網路和子網作為必要條件。

受控實例 SQL 系統管理員會自動建立，並將密碼設定為隨機密碼。由於 SQL 驗證連線已使用此佈建停用，因此不會使用 SQL 系統管理員登入。

Microsoft Entra 系統管理員將會是您設定 <MSEntraAccount>的帳戶，而且可用來在布建完成時管理實例。

取代範例中的下列值：

<managedinstancename>：將您想要建立的受控實例命名為
<ResourceGroupName>：受控實例的資源群組名稱。資源群組也應該包含建立的虛擬網路和子網
<MSEntraAccount>：可以是 Microsoft Entra 使用者或群組。例如， DummyLogin
<Location>：伺服器的位置，例如 West US 或 Central US
SubnetId參數必須以<Subscription ID>、 <ResourceGroupName><VNetName>、和<SubnetName>更新。您可以在 Azure 入口網站中找到訂閱識別碼

$instanceName = @{
    Name = "<managedinstancename>"
    ResourceGroupName = "<ResourceGroupName>"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
    Location = "<Location>"
    SubnetId = "/subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>"
    LicenseType = "LicenseIncluded"
    StorageSizeInGB = 128
    VCore = 4
    Edition = "GeneralPurpose"
    ComputeGeneration = "Gen5"
}

New-AzSqlInstance $instanceName

如需詳細資訊，請參閱 New-AzSqlInstance。

SQL 受管理執行個體 - 建立或更新 REST API 可用來在布建期間啟用僅限 Microsoft Entra 驗證的受控實例。

注意

腳本需要建立虛擬網路和子網作為必要條件。

下列腳本會布建受控實例、將 Microsoft Entra 系統管理員設定為 <MSEntraAccount>，並啟用僅限 Microsoft Entra 驗證。實例 SQL 系統管理員也會自動建立，並將密碼設定為隨機密碼。由於 SQL 驗證連線已停用此佈建，因此不會使用 SQL 系統管理員登入。

Microsoft Entra 系統管理員 <MSEntraAccount> 可用來管理布建完成時的實例。

取代範例中的下列值：

<tenantId>：您可以前往 Azure 入口網站，然後前往您的 Microsoft Entra ID 資源。在 [概觀] 窗格中，應該會看到您的租用戶識別碼
<subscriptionId>您可以在 Azure 入口網站中找到訂閱識別碼
<instanceName>：使用唯一的受控實例名稱
<ResourceGroupName>：您邏輯伺服器的資源群組名稱
<MSEntraAccount>：可以是 Microsoft Entra 使用者或群組。例如， DummyLogin
<Location>：伺服器的位置，例如 westus2 或 centralus
<objectId>：移至 Azure 入口網站，並移至您的 Microsoft Entra ID 資源即可找到。在 [ 使用者 ] 窗格中，搜尋 Microsoft Entra 使用者並尋找其 物件識別碼。如果您使用應用程式（服務主體）作為 Microsoft Entra 系統管理員，請將此值取代為 應用程式識別碼。您必須更新 principalType 。
參數 subnetId 必須以 <ResourceGroupName>、 Subscription ID、和 <VNetName>更新 <SubnetName>

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$instanceName = "<instanceName>"
$resourceGroupName = "<ResourceGroupName>"
$scopes ="https://management.core.windows.net/.default"

Login-AzAccount -tenantId $tenantId

# Login as an Microsoft Entra user with permission to provision a managed instance

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes $scopes

$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

$body = '{
"name": "<instanceName>", "type": "Microsoft.Sql/managedInstances", "identity": { "type": "SystemAssigned"},"location": "<Location>", "sku": {"name": "GP_Gen5", "tier": "GeneralPurpose", "family":"Gen5","capacity": 8},
"properties": {"administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true },
"subnetId": "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>",
"licenseType": "LicenseIncluded", "vCores": 8, "storageSizeInGB": 2048, "collation": "SQL_Latin1_General_CP1_CI_AS", "proxyOverride": "Proxy", "timezoneId": "UTC", "privateEndpointConnections": [], "storageAccountType": "GRS", "zoneRedundant": false 
  }
}'

# To provision the instance, execute the `PUT` command

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

若要檢查結果，請執行 GET 命令：

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method GET -Headers $authHeader  | Format-List

若要布建新的受控實例、虛擬網路和子網，且已啟用實例且已啟用 Microsoft Entra 驗證的 Microsoft Entra 系統管理員，請使用下列範本。

使用 Azure 入口網站中的自訂部署，然後在編輯器中建置您自己的範本。接下來，將設定貼進範例之後，加以儲存。

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "managedInstanceName": {
            "type": "String",
            "metadata": {
                "description": "Enter managed instance name."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL managed instance."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin. The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "location": {
            "defaultValue": "[resourceGroup().location]",
            "type": "String",
            "metadata": {
                "description": "Enter location. If you leave this field blank resource group location would be used."
            }
        },
        "virtualNetworkName": {
            "type": "String",
            "defaultValue": "SQLMI-VNET",
            "metadata": {
                "description": "Enter virtual network name. If you leave this field blank name will be created by the template."
            }
        },
        "addressPrefix": {
            "defaultValue": "10.0.0.0/16",
            "type": "String",
            "metadata": {
                "description": "Enter virtual network address prefix."
            }
        },
        "subnetName": {
            "type": "String",
            "defaultValue": "ManagedInstances",
            "metadata": {
                "description": "Enter subnet name. If you leave this field blank name will be created by the template."
            }
        },
        "subnetPrefix": {
            "defaultValue": "10.0.0.0/24",
            "type": "String",
            "metadata": {
                "description": "Enter subnet address prefix."
            }
        },
        "skuName": {
            "defaultValue": "GP_Gen5",
            "allowedValues": [
                "GP_Gen5",
                "BC_Gen5"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter sku name."
            }
        },
        "vCores": {
            "defaultValue": 16,
            "allowedValues": [
                8,
                16,
                24,
                32,
                40,
                64,
                80
            ],
            "type": "Int",
            "metadata": {
                "description": "Enter number of vCores."
            }
        },
        "storageSizeInGB": {
            "defaultValue": 256,
            "minValue": 32,
            "maxValue": 8192,
            "type": "Int",
            "metadata": {
                "description": "Enter storage size."
            }
        },
        "licenseType": {
            "defaultValue": "LicenseIncluded",
            "allowedValues": [
                "BasePrice",
                "LicenseIncluded"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter license type."
            }
        }
    },
    "variables": {
        "networkSecurityGroupName": "[concat('SQLMI-', parameters('managedInstanceName'), '-NSG')]",
        "routeTableName": "[concat('SQLMI-', parameters('managedInstanceName'), '-Route-Table')]"
    },
    "resources": [
        {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2020-06-01",
            "name": "[variables('networkSecurityGroupName')]",
            "location": "[parameters('location')]",
            "properties": {
                "securityRules": [
                    {
                        "name": "allow_tds_inbound",
                        "properties": {
                            "description": "Allow access to data",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "1433",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1000,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "allow_redirect_inbound",
                        "properties": {
                            "description": "Allow inbound redirect traffic to SQL Managed Instance inside the virtual network",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "11000-11999",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1100,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_inbound",
                        "properties": {
                            "description": "Deny all other inbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_outbound",
                        "properties": {
                            "description": "Deny all other outbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Outbound"
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Network/routeTables",
            "apiVersion": "2020-06-01",
            "name": "[variables('routeTableName')]",
            "location": "[parameters('location')]",
            "properties": {
                "disableBgpRoutePropagation": false
            }
        },
        {
            "type": "Microsoft.Network/virtualNetworks",
            "apiVersion": "2020-06-01",
            "name": "[parameters('virtualNetworkName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[variables('routeTableName')]",
                "[variables('networkSecurityGroupName')]"
            ],
            "properties": {
                "addressSpace": {
                    "addressPrefixes": [
                        "[parameters('addressPrefix')]"
                    ]
                },
                "subnets": [
                    {
                        "name": "[parameters('subnetName')]",
                        "properties": {
                            "addressPrefix": "[parameters('subnetPrefix')]",
                            "routeTable": {
                                "id": "[resourceId('Microsoft.Network/routeTables', variables('routeTableName'))]"
                            },
                            "networkSecurityGroup": {
                                "id": "[resourceId('Microsoft.Network/networkSecurityGroups', variables('networkSecurityGroupName'))]"
                            },
                            "delegations": [
                                {
                                    "name": "miDelegation",
                                    "properties": {
                                        "serviceName": "Microsoft.Sql/managedInstances"
                                    }
                                }
                            ]
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('managedInstanceName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[parameters('virtualNetworkName')]"
            ],
            "sku": {
                "name": "[parameters('skuName')]"
            },
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "subnetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('virtualNetworkName'), parameters('subnetName'))]",
                "storageSizeInGB": "[parameters('storageSizeInGB')]",
                "vCores": "[parameters('vCores')]",
                "licenseType": "[parameters('licenseType')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

授與目錄讀取者許可權

一旦受控實例的部署完成，您可能會注意到 SQL 受管理執行個體需要讀取許可權才能存取 Microsoft Entra ID。您可以按下具有足夠許可權的人員在 Azure 入口網站中顯示的訊息，來授與讀取許可權。如需詳細資訊，請參閱 Microsoft Entra for Azure SQL 中的目錄讀取者角色。

Screenshot of the Microsoft Entra admin menu in Azure portal showing Read permissions needed.

限制

若要重設伺服器管理員密碼，必須停用僅限 Microsoft Entra 驗證。
如果停用僅限 Microsoft Entra 驗證，您必須在使用所有 API 時，使用伺服器管理員和密碼來建立伺服器。

如果您已經有邏輯伺服器或 SQL 受控實例，而且只想啟用僅限 Microsoft Entra 驗證，請參閱教學課程：使用 Azure SQL 啟用僅限 Microsoft Entra 驗證。
如需僅限 Microsoft Entra 驗證功能的詳細資訊，請參閱使用 Azure SQL 進行僅限 Microsoft Entra 驗證。
如果您想要強制執行已啟用 Microsoft Entra 驗證的伺服器建立，請參閱使用 Azure SQL 進行僅限 Microsoft Entra 驗證的 Azure 原則

在 Azure SQL 中建立已啟用 Microsoft Entra 驗證的伺服器

必要條件

權限

啟用僅限 Microsoft Entra 驗證的布建

Azure SQL Database

Azure SQL 受控執行個體

授與目錄讀取者許可權

限制

意見反應

意見反應

其他資源

在 Azure SQL 中建立已啟用 Microsoft Entra 驗證的伺服器

必要條件

權限

啟用僅限 Microsoft Entra 驗證的布建

Azure SQL Database

Azure SQL 受控執行個體

授與目錄讀取者許可權

限制

相關內容

意見反應

意見反應

其他資源