ユーザー割り当てマネージド ID を使用して Azure SQL Managed Instance を作成する

1. aka.ms/azuresqlhub の Azure SQL ハブに移動します。

2. Azure SQL Managed Instance のウィンドウで、[オプションの表示] を選択します。

3. Azure SQL Managed Instance のオプション ウィンドウで、[SQL Managed Instance の作成] を選択します。

   

4. [基本] タブの [プロジェクトの詳細] と [マネージド ドインスタンスの詳細] に必須情報を記入します。 これは、SQL Managed Instance をプロビジョニングするために必要な最小限の情報セットです。

   

   構成オプションの詳細については、「 クイック スタート: Azure SQL Managed Instance の作成」を参照してください。

5. [認証] で適切な認証モデルを選択します。 Microsoft Entra のみの認証を構成する場合は、「ガイド」を参照してください。

6. 次に、[ネットワーク] タブの構成を確認するか、既定の設定のままにします。

7. [セキュリティ] タブの [ID] で、[ID の構成] を選択します。

   

8. [ID]ウィンドウで、[ユーザー割り当てマネージド ID]の[追加]を選択します。 目的のサブスクリプションを選択し、[ユーザー割り当てマネージド ID] で、選択したサブスクリプションから目的のユーザー割り当てマネージド ID を選択します。 次に [選択] ボタンを選択します。

   

   

9. [プライマリ ID] で、前の手順で選択したのと同じユーザー割り当てマネージド ID を選択します。

   

   Note

   システム割り当てマネージド ID がプライマリ ID の場合は、[プライマリ ID] フィールドが空である必要があります。

10. [適用] を選択します

11. 残りの設定は既定値のまま使用できます。 その他のタブと設定の詳細については、「 クイック スタート: Azure SQL Managed Instance の作成」のガイドに従ってください。

12. [ 追加の設定 ] タブで、Azure タグの使用を検討します。 たとえば、リソースを作成したユーザーを識別する "所有者" タグまたは "CreatedBy" タグ、このリソースが運用、開発などにあるかどうかを識別する Environment タグなどです。詳細については、「 Azure リソースの名前付けおよびタグ付け戦略を開発する」を参照してください。

13. 設定の構成が完了したら、[確認と作成] を選択して続行します。 [作成] を選択して、マネージド インスタンスのプロビジョニングを開始します。

Azure CLI コマンド az sql mi create は、新しい Azure SQL Managed Instance をプロビジョニングするために使用されます。 次のコマンドでは、ユーザー割り当てマネージド ID を使用してマネージド インスタンスをプロビジョニングし、 Microsoft Entra 専用認証も有効にします。

マネージド インスタンス SQL 管理者ログインが自動的に作成され、パスワードはランダムなパスワードに設定されます。 このプロビジョニングでは SQL 認証接続が無効になるため、SQL 管理者ログインは使用されません。

AMicrosoft Entra は、<AzureADAccount> に設定したアカウントになり、プロビジョニングの完了時にインスタンスを管理するために使用できます。

この例では次の値を置き換えます。

• <subscriptionId>: サブスクリプション ID は Azure portal で確認できます
• <ResourceGroupName>: マネージド インスタンスのリソース グループの名前。 リソース グループには、作成された仮想ネットワークとサブネットも含める必要があります
• <managedIdentity>: ユーザー割り当てマネージド ID。 プライマリ ID として使用することもできます。
• <primaryIdentity>: インスタンス ID として使用するプライマリ ID
• <AzureADAccount>: Microsoft Entra ユーザーまたはグループを指定できます。 たとえば、DummyLogin のように指定します。
• <AzureADAccountSID>: ユーザーの Microsoft Entra オブジェクトの ID。
• <managedinstancename>: 作成するマネージド インスタンスの名前を指定します
• subnet パラメーターは、<subscriptionId>、<ResourceGroupName>、<VNetName>、および <SubnetName> を使用して更新する必要があります。

# Define variables for resources
subscriptionId="<subscriptionId>"
resourceGroupName="<ResourceGroupName>"
managedIdentity="<managedIdentity>"
primaryIdentity="<primaryIdentity>"
AzureADAccount="<AzureADAccount>"
AzureADAccountSID="<AzureADAccountSID>"
VNetName="<VNetName>"
SubnetName="<SubnetName>"
managedinstancename="<managedinstancename>"

# Create a managed instance with a user-assigned managed identity
az sql mi create \
  --assign-identity \
  --identity-type UserAssigned \
  --user-assigned-identity-id "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$managedIdentity" \
  --primary-user-assigned-identity-id "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$primaryIdentity" \
  --enable-ad-only-auth \
  --external-admin-principal-type User \
  --external-admin-name $AzureADAccount \
  --external-admin-sid $AzureADAccountSID \
  -g $resourceGroupName \
  -n $managedinstancename \
  --subnet "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Network/virtualNetworks/$VNetName/subnets/$SubnetName"

詳細については、「az sql mi create」を参照してください。

PowerShell コマンド New-AzSqlInstance は、新しい Azure SQL Managed Instance をプロビジョニングするために使用されます。 次のコマンドでは、ユーザー割り当てマネージド ID を持つマネージド インスタンスをプロビジョニングし、Microsoft Entra のみの認証を有効にします。

マネージド インスタンス SQL 管理者ログインが自動的に作成され、パスワードはランダムなパスワードに設定されます。 このプロビジョニングでは SQL 認証接続が無効になるため、SQL 管理者ログインは使用されません。

AMicrosoft Entra は、<AzureADAccount> に設定したアカウントになり、プロビジョニングの完了時にインスタンスを管理するために使用できます。

この例では次の値を置き換えます。

• <managedinstancename>: 作成するマネージド インスタンスの名前を指定します
• <ResourceGroupName>: マネージド インスタンスのリソース グループの名前。 リソース グループには、作成された仮想ネットワークとサブネットも含める必要があります
• <subscriptionId>: サブスクリプション ID は Azure portal で確認できます
• <managedIdentity>: ユーザー割り当てマネージド ID。 プライマリ ID として使用することもできます。
• <primaryIdentity>: インスタンス ID として使用するプライマリ ID
• <Location>: マネージド インスタンスの場所 (West US、Central US など)
• <AzureADAccount>: Microsoft Entra ユーザーまたはグループを指定できます。 たとえば、DummyLogin のように指定します。
• SubnetId パラメーターは、<subscriptionId>、<ResourceGroupName>、<VNetName>、および <SubnetName> を使用して更新する必要があります。

$instanceName = @{
    Name = "<managedinstancename>"
    ResourceGroupName = "<ResourceGroupName>"
    AssignIdentity = $true
    IdentityType = "UserAssigned"
    UserAssignedIdentityId = "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>"
    PrimaryUserAssignedIdentityId = "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<primaryIdentity>"
    ExternalAdminName = "<AzureADAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
    Location = "<Location>"
    SubnetId = "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>"
    LicenseType = "LicenseIncluded"
    StorageSizeInGB = 1024
    VCore = 16
    Edition = "GeneralPurpose"
    ComputeGeneration = "Gen5"
}

New-AzSqlInstance @instanceName

詳細については、「New-AzSqlInstance」をご覧ください。

SQL Managed Instances - Create Or Updateの REST API を使用して、ユーザー割り当てマネージド ID を持つマネージド インスタンスを作成できます。

次のスクリプトでは、ユーザー割り当てマネージド ID を持つマネージド インスタンスをプロビジョニングし、Microsoft Entra 管理者を <AzureADAccount> として設定して、Microsoft Entra 専用認証を有効にします。 インスタンス SQL 管理者ログインも自動的に作成され、パスワードはランダムなパスワードに設定されます。 このプロビジョニングでは SQL 認証接続が無効になるため、SQL 管理者ログインは使用されません。

プロビジョニングが完了したら、Microsoft Entra 管理者 <AzureADAccount> を使用してインスタンスを管理できます。

この例では次の値を置き換えます。

• <tenantId>: Azure portal に移動し、Microsoft Entra ID リソースに移動すると確認できます。 [概要] ペインに [テナント ID] が表示されます
• <subscriptionId>: サブスクリプション ID は Azure portal で確認できます
• <instanceName>: 一意のマネージド インスタンス名を使用します
• <ResourceGroupName>: 論理サーバーのリソース グループの名前
• <AzureADAccount>: Microsoft Entra ユーザーまたはグループを指定できます。 たとえば、DummyLogin のように指定します。
• <Location>: サーバーの場所 (westus2、centralus など)
• <objectId>: Azure portal に移動し、Microsoft Entra ID リソースに移動すると確認できます。 [ユーザー] ペインで、Microsoft Entra ユーザーを検索し、オブジェクト IDを特定します
• subnetId パラメーターは、<ResourceGroupName>、Subscription ID、<VNetName>、および <SubnetName> を使用して更新する必要があります。

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$instanceName = "<instanceName>"
$resourceGroupName = "<ResourceGroupName>"
$scopes ="https://management.core.windows.net/.default"

Login-AzAccount -tenantId $tenantId

# Login as an Azure AD user with permission to provision a managed instance

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes $scopes

$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

$body = '{
"name": "<instanceName>", "type": "Microsoft.Sql/managedInstances", "identity": {"type" : "UserAssigned", "UserAssignedIdentities" : {"/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>" : {}}},"___location": "<Location>", "sku": {"name": "GP_Gen5", "tier": "GeneralPurpose", "family":"Gen5","capacity": 8},
"properties": { "PrimaryUserAssignedIdentityId":"/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<primaryIdentity>","administrators":{ "login":"<AzureADAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true },
"subnetId": "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>",
"licenseType": "LicenseIncluded", "vCores": 8, "storageSizeInGB": 2048, "collation": "SQL_Latin1_General_CP1_CI_AS", "proxyOverride": "Proxy", "timezoneId": "UTC", "privateEndpointConnections": [], "storageAccountType": "GRS", "zoneRedundant": false 
  }
}'

# To provision the instance, execute the `PUT` command

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

結果を確認するには、次のように GET コマンドを実行します。

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method GET -Headers $authHeader  | Format-List

Microsoft Entra 管理者、ユーザー割り当てマネージド ID、および Microsoft Entra のみの認証で構成された新しい仮想ネットワーク、サブネット、および新しいマネージド インスタンスをプロビジョニングするには、次のテンプレートを使用します。

Azure portal のカスタム デプロイを使用し、エディターで独自のテンプレートを作成します。 次に、例に貼り付けたら、構成を保存します。

ユーザー割り当てマネージド ID のリソース ID を取得するには、Azure portal でマネージド ID を検索します。 マネージド ID を見つけて、[プロパティ] に移動します。 UMI リソース ID の例は /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity> のようになります。

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "managedInstanceName": {
            "type": "String",
            "metadata": {
                "description": "Enter managed instance name."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL managed instance."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity, in the form of /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>."
            }
        },
        "___location": {
            "defaultValue": "[resourceGroup().___location]",
            "type": "String",
            "metadata": {
                "description": "Enter ___location. If you leave this field blank resource group ___location would be used."
            }
        },
        "virtualNetworkName": {
            "type": "String",
            "defaultValue": "SQLMI-VNET",
            "metadata": {
                "description": "Enter virtual network name. If you leave this field blank name will be created by the template."
            }
        },
        "addressPrefix": {
            "defaultValue": "10.0.0.0/16",
            "type": "String",
            "metadata": {
                "description": "Enter virtual network address prefix."
            }
        },
        "subnetName": {
            "type": "String",
            "defaultValue": "ManagedInstances",
            "metadata": {
                "description": "Enter subnet name. If you leave this field blank name will be created by the template."
            }
        },
        "subnetPrefix": {
            "defaultValue": "10.0.0.0/24",
            "type": "String",
            "metadata": {
                "description": "Enter subnet address prefix."
            }
        },
        "skuName": {
            "defaultValue": "GP_Gen5",
            "allowedValues": [
                "GP_Gen5",
                "BC_Gen5"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter sku name."
            }
        },
        "vCores": {
            "defaultValue": 16,
            "allowedValues": [
                8,
                16,
                24,
                32,
                40,
                64,
                80
            ],
            "type": "Int",
            "metadata": {
                "description": "Enter number of vCores."
            }
        },
        "storageSizeInGB": {
            "defaultValue": 256,
            "minValue": 32,
            "maxValue": 8192,
            "type": "Int",
            "metadata": {
                "description": "Enter storage size."
            }
        },
        "licenseType": {
            "defaultValue": "LicenseIncluded",
            "allowedValues": [
                "BasePrice",
                "LicenseIncluded"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter license type."
            }
        }
    },
    "variables": {
        "networkSecurityGroupName": "[concat('SQLMI-', parameters('managedInstanceName'), '-NSG')]",
        "routeTableName": "[concat('SQLMI-', parameters('managedInstanceName'), '-Route-Table')]"
    },
    "resources": [
        {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2020-06-01",
            "name": "[variables('networkSecurityGroupName')]",
            "___location": "[parameters('___location')]",
            "properties": {
                "securityRules": [
                    {
                        "name": "allow_tds_inbound",
                        "properties": {
                            "description": "Allow access to data",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "1433",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1000,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_inbound",
                        "properties": {
                            "description": "Deny all other inbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_outbound",
                        "properties": {
                            "description": "Deny all other outbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Outbound"
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Network/routeTables",
            "apiVersion": "2020-06-01",
            "name": "[variables('routeTableName')]",
            "___location": "[parameters('___location')]",
            "properties": {
                "disableBgpRoutePropagation": false
            }
        },
        {
            "type": "Microsoft.Network/virtualNetworks",
            "apiVersion": "2020-06-01",
            "name": "[parameters('virtualNetworkName')]",
            "___location": "[parameters('___location')]",
            "dependsOn": [
                "[variables('routeTableName')]",
                "[variables('networkSecurityGroupName')]"
            ],
            "properties": {
                "addressSpace": {
                    "addressPrefixes": [
                        "[parameters('addressPrefix')]"
                    ]
                },
                "subnets": [
                    {
                        "name": "[parameters('subnetName')]",
                        "properties": {
                            "addressPrefix": "[parameters('subnetPrefix')]",
                            "routeTable": {
                                "id": "[resourceId('Microsoft.Network/routeTables', variables('routeTableName'))]"
                            },
                            "networkSecurityGroup": {
                                "id": "[resourceId('Microsoft.Network/networkSecurityGroups', variables('networkSecurityGroupName'))]"
                            },
                            "delegations": [
                                {
                                    "name": "miDelegation",
                                    "properties": {
                                        "serviceName": "Microsoft.Sql/managedInstances"
                                    }
                                }
                            ]
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('managedInstanceName')]",
            "___location": "[parameters('___location')]",
            "dependsOn": [
                "[parameters('virtualNetworkName')]"
            ],
            "sku": {
                "name": "[parameters('skuName')]"
            },
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "subnetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('virtualNetworkName'), parameters('subnetName'))]",
                "storageSizeInGB": "[parameters('storageSizeInGB')]",
                "vCores": "[parameters('vCores')]",
                "licenseType": "[parameters('licenseType')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}