Erstellen einer Azure SQL Managed Instance mit einer benutzerseitig zugewiesenen verwalteten Identität

Gilt für:Azure SQL Managed Instance

In dieser Anleitung werden die Schritte zur Erstellung einer Azure SQL Managed Instance-Instanz mit einer benutzerseitig zugewiesenen verwalteten Identität von Microsoft Entra ID (früher Azure Active Directory) beschrieben. Weitere Informationen zu den Vorteilen der Verwendung einer vom Benutzer zugewiesenen verwalteten Identität für die Serveridentität in azure SQL-Datenbank finden Sie unter Verwaltete Identitäten in Microsoft Entra für Azure SQL.

Hinweis

Microsoft Entra ID war zuvor als Azure Active Directory (Azure AD) bekannt.

Voraussetzungen

Erstellen Sie eine benutzerseitig zugewiesene verwaltete Identität und weisen Sie ihr die erforderlichen Berechtigungen zu, um eine Server- oder verwaltete Instanzidentität zu sein. Weitere Informationen finden Sie unter Verwalten von benutzerseitig zugewiesenen verwalteten Identitäten und Berechtigungen für eine benutzerseitig zugewiesene verwaltete Identität für Azure SQL.
Im Regelfall muss der verwalteten Identität die Rolle SQL Managed Instance-Mitwirkender auf Abonnementebene zugewiesen sein. Darüber hinaus muss sie über eine Azure RBAC-Rolle mit der Berechtigung „Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action“ (z. B. Managed Identity-Operator) im Abonnementbereich verfügen.
Wenn die Bereitstellung in einem Subnetz erfolgt, das bereits an die Azure SQL Managed Instance-Instanz delegiert wurde, muss der verwalteten Identität lediglich die Berechtigung „Microsoft.Sql/managedInstances/write“ im Abonnementbereich zugewiesen werden.
Az.Sql module 3.4 oder höher ist erforderlich, wenn PowerShell für benutzerseitig zugewiesene verwaltete Identitäten verwendet wird.
Die Azure CLI 2.26.0 oder höher ist erforderlich, um die Azure CLI mit benutzerseitig zugewiesenen verwalteten Identitäten zu verwenden.
Eine Liste der Einschränkungen und bekannten Probleme bei der Verwendung einer benutzerseitig zugewiesenen verwalteten Identität finden Sie unter Benutzerseitig zugewiesene verwaltete Identität in Microsoft Entra für Azure SQL

Erstellen einer verwalteten SQL-Instanz mit einer vom Benutzer zugewiesenen verwalteten Identität

Sie können Ihre Instanz mithilfe des Azure-Portals, der Azure CLI, der Azure PowerShell, der REST-API oder einer ARM-Vorlage erstellen.

Führen Sie die folgenden Schritte aus, um Ihre sql-verwaltete Instanz mit einer vom Benutzer zugewiesenen verwalteten Identität im Azure-Portal zu erstellen:

Wechseln Sie zum Azure SQL-Hub bei aka.ms/azuresqlhub.
Wählen Sie unter azure SQL Managed Instancesql managed instances aus, um den Bereich für verwaltete SQL-Instanzen zu öffnen.
Wählen Sie im Bereich SQL-verwaltete Instanzen+ Erstellen aus, und wählen Sie dann die SQL-verwaltete Instanz-Auswahl aus, um die Seite SQL-verwaltete Instanz erstellen zu öffnen.

Führen Sie auf der Seite "Verwaltete Azure SQL-Instanz erstellen " die folgenden Schritte aus:

Geben Sie die für Projektdetails undDetails der verwalteten Instanz erforderlichen Informationen auf der Registerkarte Grundlagen an. Hierbei handelt es sich um die mindestens erforderlichen Informationen, die zum Bereitstellen einer verwalteten SQL-Instanz benötigt werden.

Weitere Informationen zu den Konfigurationsoptionen finden Sie in der Schnellstartanleitung: Erstellen einer verwalteten Azure SQL-Instanz.
Wählen Sie unter Authentifizierung ein bevorzugtes Authentifizierungsmodell aus. Wenn Sie eine reine Microsoft Entra-Authentifizierung konfigurieren möchten, lesen Sie den Leitfaden.
Gehen Sie als Nächstes die Konfiguration auf der Registerkarte Netzwerke durch, oder belassen Sie die Standardeinstellungen.
Wählen Sie auf der Registerkarte Sicherheit unter Identität die Option Identitäten konfigurieren aus.
Wählen Sie im Bereich Identität unter Benutzerseitig zugewiesene verwaltete Identität die Option Hinzufügen aus. Wählen Sie das gewünschte Abonnement und dann unter Benutzerseitig zugewiesene verwaltete Identitäten die gewünschte benutzerseitig zugewiesene verwaltete Identität aus dem ausgewählten Abonnement aus. Wählen Sie dann die Schaltfläche Auswählen.
Wählen Sie unter Primäre Identität die im vorherigen Schritt ausgewählte benutzerseitig zugewiesene verwaltete Identität aus.

Hinweis

Wenn die systemseitig zugewiesene verwaltete Identität die primäre Identität ist, muss das Feld Primäre Identität leer sein.
Wählen Sie Übernehmen aus.
Sie können den Rest der Einstellungen unverändert lassen. Weitere Informationen zu anderen Registerkarten und Einstellungen finden Sie im Artikel Schnellstart: Erstellen einer verwalteten Azure SQL-Instanz.
Ziehen Sie auf der Registerkarte "Zusätzliche Einstellungen " die Verwendung von Azure-Tags in Betracht. Beispielsweise das Tag "Owner" oder "CreatedBy", um zu identifizieren, wer die Ressource erstellt hat, und das Environment-Tag, um zu identifizieren, ob sich diese Ressource in Produktion, Entwicklung usw. befindet. Weitere Informationen finden Sie unter Entwickeln Ihrer Benennungs- und Kategorisierungsstrategie für Azure-Ressourcen.
Wenn Sie mit dem Konfigurieren Ihrer Einstellungen fertig sind, wählen Sie Überprüfen + erstellen aus, um fortzufahren. Wählen Sie Erstellen aus, um die Bereitstellung der verwalteten Instanz zu starten.

Der Azure CLI-Befehl az sql mi create wird verwendet, um eine neue Azure SQL Managed Instance bereitzustellen. Der folgende Befehl stellt eine verwaltete Instanz mit einer vom Benutzer zugewiesenen verwalteten Identität bereit und aktiviert außerdem die Microsoft Entra-only-Authentifizierung.

Hinweis

Für das Skript müssen als Voraussetzung ein virtuelles Netzwerk und ein Subnetz erstellt werden.

Die SQL-Administratoranmeldung für die verwaltete Instanz wird automatisch erstellt, und das Kennwort wird nach dem Zufallsprinzip festgelegt. Da die SQL-Authentifizierungs-Konnektivität in dieser Umgebung deaktiviert ist, wird das SQL-Administratorkonto nicht verwendet.

Der Microsoft Entra-Administrator ist das Konto, das Sie für <AzureADAccount> festgelegt haben, und kann nach Abschluss der Bereitstellung zum Verwalten der Instanz verwendet werden.

Ersetzen Sie im Beispiel die folgenden Werte:

<subscriptionId>: Ihre Abonnement-ID können Sie über das Azure-Portal ermitteln.
<ResourceGroupName>: Name der Ressourcengruppe für Ihre verwaltete Instanz. Die Ressourcengruppe sollte auch das erstellte virtuelle Netzwerk und das Subnetz enthalten.
<managedIdentity>: Die benutzerseitig zugewiesene verwaltete Identität. Kann auch als primäre Identität verwendet werden.
<primaryIdentity>: Die primäre Identität, die Sie als Instanzidentität verwenden möchten
<AzureADAccount>: Kann ein Microsoft Entra-Benutzer oder eine -Gruppe sein. Beispiel: DummyLogin
<AzureADAccountSID>: Die Microsoft Entra-Objekt-ID für den Benutzer
<managedinstancename>: Name der verwalteten Instanz, die Sie erstellen möchten.
Der Parameter subnet muss mit den Angaben für <subscriptionId>, <ResourceGroupName>, <VNetName> und <SubnetName> aktualisiert werden.

# Define variables for resources
subscriptionId="<subscriptionId>"
resourceGroupName="<ResourceGroupName>"
managedIdentity="<managedIdentity>"
primaryIdentity="<primaryIdentity>"
AzureADAccount="<AzureADAccount>"
AzureADAccountSID="<AzureADAccountSID>"
VNetName="<VNetName>"
SubnetName="<SubnetName>"
managedinstancename="<managedinstancename>"

# Create a managed instance with a user-assigned managed identity
az sql mi create \
  --assign-identity \
  --identity-type UserAssigned \
  --user-assigned-identity-id "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$managedIdentity" \
  --primary-user-assigned-identity-id "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$primaryIdentity" \
  --enable-ad-only-auth \
  --external-admin-principal-type User \
  --external-admin-name $AzureADAccount \
  --external-admin-sid $AzureADAccountSID \
  -g $resourceGroupName \
  -n $managedinstancename \
  --subnet "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Network/virtualNetworks/$VNetName/subnets/$SubnetName"

Weitere Informationen finden Sie unter az sql mi create.

Hinweis

Im obigen Beispiel wird eine verwaltete Instanz mit nur einer benutzerzugewiesenen verwalteten Identität bereitgestellt. Sie können --identity-type auf UserAssigned,SystemAssigned festlegen, wenn beide Arten von verwalteten Identitäten mit der Instanz erstellt werden sollen.

Der PowerShell-Befehl New-AzSqlInstance wird verwendet, um eine neue Azure SQL Managed Instance bereitzustellen. Mit dem folgenden Befehl wird eine verwaltete Instanz mit einer benutzerseitig zugewiesenen verwalteten Identität bereitgestellt und außerdem die reine Microsoft Entra-Authentifizierung aktiviert.

Hinweis

Für das Skript müssen als Voraussetzung ein virtuelles Netzwerk und ein Subnetz erstellt werden.

Die SQL-Administratoranmeldung für die verwaltete Instanz wird automatisch erstellt, und das Kennwort wird nach dem Zufallsprinzip festgelegt. Da die SQL-Authentifizierungskonnektivität bei dieser Bereitstellung deaktiviert ist, wird die SQL-Administratoranmeldung nicht verwendet.

Der Microsoft Entra-Administrator ist das Konto, das Sie für <AzureADAccount> festgelegt haben, und kann nach Abschluss der Bereitstellung zum Verwalten der Instanz verwendet werden.

Ersetzen Sie im Beispiel die folgenden Werte:

<managedinstancename>: Name der verwalteten Instanz, die Sie erstellen möchten.
<ResourceGroupName>: Name der Ressourcengruppe für Ihre verwaltete Instanz. Die Ressourcengruppe sollte auch das erstellte virtuelle Netzwerk und das Subnetz enthalten.
<subscriptionId>: Ihre Abonnement-ID können Sie über das Azure-Portal ermitteln.
<managedIdentity>: Die benutzerseitig zugewiesene verwaltete Identität. Kann auch als primäre Identität verwendet werden.
<primaryIdentity>: Die primäre Identität, die Sie als Instanzidentität verwenden möchten
<Location>: Speicherort der verwalteten Instanz, z. B. West US oder Central US
<AzureADAccount>: Kann ein Microsoft Entra-Benutzer oder eine -Gruppe sein. Beispiel: DummyLogin
Der Parameter SubnetId muss mit den Angaben für <subscriptionId>, <ResourceGroupName>, <VNetName> und <SubnetName> aktualisiert werden.

$instanceName = @{
    Name = "<managedinstancename>"
    ResourceGroupName = "<ResourceGroupName>"
    AssignIdentity = $true
    IdentityType = "UserAssigned"
    UserAssignedIdentityId = "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>"
    PrimaryUserAssignedIdentityId = "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<primaryIdentity>"
    ExternalAdminName = "<AzureADAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
    Location = "<Location>"
    SubnetId = "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>"
    LicenseType = "LicenseIncluded"
    StorageSizeInGB = 1024
    VCore = 16
    Edition = "GeneralPurpose"
    ComputeGeneration = "Gen5"
}

New-AzSqlInstance @instanceName

Weitere Informationen finden Sie unter New-AzSqlInstance.

Hinweis

Im obigen Beispiel wird eine Instanz mit Verwaltung nur mit einer vom Benutzer zugewiesenen verwalteten Identität bereitgestellt. Sie können -IdentityType auf "UserAssigned,SystemAssigned" festlegen, wenn beide Arten von verwalteten Identitäten mit der Instanz erstellt werden sollen.

Die REST-API "Managed Instances – Create Or Update" kann verwendet werden, um eine verwaltete Instanz mit einer vom Benutzer zugewiesenen Managed Identity zu erstellen.

Hinweis

Für das Skript müssen als Voraussetzung ein virtuelles Netzwerk und ein Subnetz erstellt werden.

Das folgende Skript stellt eine verwaltete Instanz mit einer benutzerseitig zugewiesenen verwalteten Identität bereit, legt den Microsoft Entra-Administrator als <AzureADAccount> fest und aktiviert die reine Microsoft Entra-Authentifizierung. Die SQL-Administratoranmeldung für die Instanz wird ebenfalls automatisch erstellt, und das Kennwort wird nach dem Zufallsprinzip festgelegt. Da die Verbindung für die SQL-Authentifizierung in dieser Bereitstellung deaktiviert ist, wird die SQL-Administratoranmeldung nicht verwendet.

Der Microsoft Entra-Administrator <AzureADAccount> kann nach Abschluss der Bereitstellung zum Verwalten der Instanz verwendet werden.

Ersetzen Sie im Beispiel die folgenden Werte:

<tenantId>: Kann ermittelt werden, indem Sie zum Azure-Portal und dann zu Ihrer Microsoft Entra ID-Ressource navigieren. Im Bereich Übersicht sollte Ihre Mandanten-ID angezeigt werden.
<subscriptionId>: Ihre Abonnement-ID können Sie über das Azure-Portal ermitteln.
<instanceName>: Verwenden Sie einen eindeutigen Namen für die verwaltete Instanz.
<ResourceGroupName>: Name der Ressourcengruppe für Ihren logischen Server
<AzureADAccount>: Kann ein Microsoft Entra-Benutzer oder eine -Gruppe sein. Beispiel: DummyLogin
<Location>: Standort des Servers, z. B. westus2 oder centralus.
<objectId>: Kann ermittelt werden, indem Sie zum Azure-Portal und dann zu Ihrer Microsoft Entra ID-Ressource navigieren. Suchen Sie im Bereich Benutzer nach dem Microsoft Entra-Benutzer und der zugehörigen Objekt-ID.
Der Parameter subnetId muss mit den Angaben für <ResourceGroupName>, Subscription ID, <VNetName> und <SubnetName> aktualisiert werden.

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$instanceName = "<instanceName>"
$resourceGroupName = "<ResourceGroupName>"
$scopes ="https://management.core.windows.net/.default"

Login-AzAccount -tenantId $tenantId

# Login as an Azure AD user with permission to provision a managed instance

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes $scopes

$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

$body = '{
"name": "<instanceName>", "type": "Microsoft.Sql/managedInstances", "identity": {"type" : "UserAssigned", "UserAssignedIdentities" : {"/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>" : {}}},"location": "<Location>", "sku": {"name": "GP_Gen5", "tier": "GeneralPurpose", "family":"Gen5","capacity": 8},
"properties": { "PrimaryUserAssignedIdentityId":"/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<primaryIdentity>","administrators":{ "login":"<AzureADAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true },
"subnetId": "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>",
"licenseType": "LicenseIncluded", "vCores": 8, "storageSizeInGB": 2048, "collation": "SQL_Latin1_General_CP1_CI_AS", "proxyOverride": "Proxy", "timezoneId": "UTC", "privateEndpointConnections": [], "storageAccountType": "GRS", "zoneRedundant": false 
  }
}'

# To provision the instance, execute the `PUT` command

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Führen Sie den Befehl GET aus, um die Ergebnisse zu überprüfen:

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method GET -Headers $authHeader  | Format-List

Verwenden Sie die folgende Vorlage, um ein neues virtuelles Netzwerk, ein Subnetz und eine neue verwaltete Instanz bereitzustellen, die mit einem Microsoft Entra-Administrator, einer dem Benutzer zugewiesenen verwalteten Identität und einer reinen Microsoft Entra-Authentifizierung konfiguriert ist.

Verwenden Sie eine benutzerdefinierte Bereitstellung im Azure-Portal, und erstellen Sie im Editor Ihre eigene Vorlage. Speichern Sie als Nächstes die Konfiguration, nachdem Sie das Beispiel eingefügt haben.

Um die Ressourcen-ID der benutzerseitig zugewiesenen verwalteten Identität zu erhalten, suchen Sie im Azure-Portal nach Verwalteten Identitäten. Suchen Sie Ihre verwaltete Identität und gehen Sie zu Eigenschaften. Ein Beispiel für Ihre UMI-Ressourcen-ID sieht wie /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity> aus.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "managedInstanceName": {
            "type": "String",
            "metadata": {
                "description": "Enter managed instance name."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL managed instance."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity, in the form of /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>."
            }
        },
        "location": {
            "defaultValue": "[resourceGroup().location]",
            "type": "String",
            "metadata": {
                "description": "Enter location. If you leave this field blank resource group location would be used."
            }
        },
        "virtualNetworkName": {
            "type": "String",
            "defaultValue": "SQLMI-VNET",
            "metadata": {
                "description": "Enter virtual network name. If you leave this field blank name will be created by the template."
            }
        },
        "addressPrefix": {
            "defaultValue": "10.0.0.0/16",
            "type": "String",
            "metadata": {
                "description": "Enter virtual network address prefix."
            }
        },
        "subnetName": {
            "type": "String",
            "defaultValue": "ManagedInstances",
            "metadata": {
                "description": "Enter subnet name. If you leave this field blank name will be created by the template."
            }
        },
        "subnetPrefix": {
            "defaultValue": "10.0.0.0/24",
            "type": "String",
            "metadata": {
                "description": "Enter subnet address prefix."
            }
        },
        "skuName": {
            "defaultValue": "GP_Gen5",
            "allowedValues": [
                "GP_Gen5",
                "BC_Gen5"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter sku name."
            }
        },
        "vCores": {
            "defaultValue": 16,
            "allowedValues": [
                8,
                16,
                24,
                32,
                40,
                64,
                80
            ],
            "type": "Int",
            "metadata": {
                "description": "Enter number of vCores."
            }
        },
        "storageSizeInGB": {
            "defaultValue": 256,
            "minValue": 32,
            "maxValue": 8192,
            "type": "Int",
            "metadata": {
                "description": "Enter storage size."
            }
        },
        "licenseType": {
            "defaultValue": "LicenseIncluded",
            "allowedValues": [
                "BasePrice",
                "LicenseIncluded"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter license type."
            }
        }
    },
    "variables": {
        "networkSecurityGroupName": "[concat('SQLMI-', parameters('managedInstanceName'), '-NSG')]",
        "routeTableName": "[concat('SQLMI-', parameters('managedInstanceName'), '-Route-Table')]"
    },
    "resources": [
        {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2020-06-01",
            "name": "[variables('networkSecurityGroupName')]",
            "location": "[parameters('location')]",
            "properties": {
                "securityRules": [
                    {
                        "name": "allow_tds_inbound",
                        "properties": {
                            "description": "Allow access to data",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "1433",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1000,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_inbound",
                        "properties": {
                            "description": "Deny all other inbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_outbound",
                        "properties": {
                            "description": "Deny all other outbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Outbound"
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Network/routeTables",
            "apiVersion": "2020-06-01",
            "name": "[variables('routeTableName')]",
            "location": "[parameters('location')]",
            "properties": {
                "disableBgpRoutePropagation": false
            }
        },
        {
            "type": "Microsoft.Network/virtualNetworks",
            "apiVersion": "2020-06-01",
            "name": "[parameters('virtualNetworkName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[variables('routeTableName')]",
                "[variables('networkSecurityGroupName')]"
            ],
            "properties": {
                "addressSpace": {
                    "addressPrefixes": [
                        "[parameters('addressPrefix')]"
                    ]
                },
                "subnets": [
                    {
                        "name": "[parameters('subnetName')]",
                        "properties": {
                            "addressPrefix": "[parameters('subnetPrefix')]",
                            "routeTable": {
                                "id": "[resourceId('Microsoft.Network/routeTables', variables('routeTableName'))]"
                            },
                            "networkSecurityGroup": {
                                "id": "[resourceId('Microsoft.Network/networkSecurityGroups', variables('networkSecurityGroupName'))]"
                            },
                            "delegations": [
                                {
                                    "name": "miDelegation",
                                    "properties": {
                                        "serviceName": "Microsoft.Sql/managedInstances"
                                    }
                                }
                            ]
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('managedInstanceName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[parameters('virtualNetworkName')]"
            ],
            "sku": {
                "name": "[parameters('skuName')]"
            },
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "subnetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('virtualNetworkName'), parameters('subnetName'))]",
                "storageSizeInGB": "[parameters('storageSizeInGB')]",
                "vCores": "[parameters('vCores')]",
                "licenseType": "[parameters('licenseType')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Verwaltete Identitäten in Microsoft Entra für Azure SQL

Feedback

War diese Seite hilfreich?

Last updated on 2026-03-18

Freigeben über

Erstellen einer Azure SQL Managed Instance mit einer benutzerseitig zugewiesenen verwalteten Identität

Voraussetzungen

Erstellen einer verwalteten SQL-Instanz mit einer vom Benutzer zugewiesenen verwalteten Identität

Zugehöriger Inhalt

Feedback

Zusätzliche Ressourcen