在 Azure SQL 中创建启用了“仅限 Microsoft Entra 身份验证”的服务器

1. 浏览到 Azure 门户中的选择 SQL 部署选项页。

2. 如果你尚未登录到 Azure 门户，请按提示登录。

3. 在“SQL 数据库”下将“资源类型”设置保留为“单一数据库”，然后选择“创建” 。

4. 在“创建 SQL 数据库”窗体的“基本信息”选项卡上的“项目详细信息”下，选择所需的 Azure订阅 。

5. 对于“资源组”，请选择“新建”，输入资源组的名称，然后选择“确定” 。

6. 在“数据库名称”处，输入数据库的名称。

7. 对于“服务器”，选择“新建”，并使用以下值填写“新服务器”窗体 ：

   • 服务器名称：输入唯一的服务器名称。 对于 Azure 中的所有服务器，服务器名称必须全局唯一，而不只是在订阅中唯一。 输入一个值，Azure 门户将告知你是否可用。
   • 位置：从下拉列表中选择一个位置
   • 身份验证方法：选择“使用仅限 Microsoft Entra 身份验证”。
   • 选择“设置管理员”以打开“Microsoft Entra ID”窗格，并选择 Microsoft Entra 主体作为逻辑服务器 Microsoft Entra 管理员。 完成后，使用“选择”按钮设置管理员。

   

8. 在完成时选择“下一步:网络”。

9. 在“网络”选项卡上，对于“连接方法”，选择“公共终结点” 。

10. 对于“防火墙规则”，将“添加当前客户端 IP 地址”设置为“是” 。 将“允许 Azure 服务和资源访问此服务器”设置保留为“否” 。

11. 将“连接策略”和“最低 TLS 版本”设置保留为其默认值 。

12. 在页面底部选择“下一步: 安全”。 为环境配置 Microsoft Defender for SQL、账本、标识和透明数据加密的任何设置 。 也可以跳过这些设置。

    注意

    “仅限 Microsoft Entra 身份验证”中不支持使用用户分配的托管标识。 要以标识身份连接到实例，请将其分配给 Azure 虚拟机，并在该虚拟机上运行 SSMS。 对于生产环境，建议使用 Microsoft Entra 管理员的托管标识，因为该标识可以通过对 Azure 资源进行无密码身份验证来增强、简化安全措施。

13. 在页面底部选择查看 + 创建。

14. 在“查看 + 创建”页上，查看后选择“创建”。

Azure CLI命令 az sql server create 用于预配新的逻辑服务器。 以下命令将预配启用了“仅限 Microsoft Entra 身份验证”的新服务器。

将自动创建服务器 SQL 管理员，并将密码设置为随机密码。 由于在服务器创建过程中禁用了 SQL 身份验证连接，因此不会使用 SQL 管理员登录名。

服务器 Microsoft Entra 管理员将是你为 <MSEntraAccount> 设置的帐户，可用于管理服务器。

替换示例中的以下值：

• <MSEntraAccount>：可以是 Microsoft Entra 用户或组。 例如： DummyLogin
• <MSEntraAccountSID>：用户的 Microsoft Entra 对象 ID
• <ResourceGroupName>：逻辑服务器的资源组名称
• <ServerName>：使用唯一的逻辑服务器名称

az sql server create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <ServerName>

有关详细信息，请参阅 az sql server create。

要在创建后检查服务器状态，请参阅以下命令：

az sql server show --name <ServerName> --resource-group <ResourceGroupName> --expand-ad-admin

PowerShell 命令 New-AzSqlServer 用于预配新的逻辑服务器。 以下命令将预配启用了“仅限 Microsoft Entra 身份验证”的新服务器。

将自动创建服务器 SQL 管理员，并将密码设置为随机密码。 由于在服务器创建过程中禁用了 SQL 身份验证连接，因此不会使用 SQL 管理员登录名。

服务器 Microsoft Entra 管理员将是你为 <MSEntraAccount> 设置的帐户，可用于管理服务器。

替换示例中的以下值：

• <ResourceGroupName>：逻辑服务器的资源组名称
• <Location>：服务器的位置，例如 China East 2 或 China North 2
• <ServerName>：使用唯一的逻辑服务器名称
• <MSEntraAccount>：可以是 Microsoft Entra 用户或组。 例如： DummyLogin

$server = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
}

New-AzSqlServer @server

以下示例将在逻辑服务器创建时（而不是在自动创建服务器管理员名称时）指定服务器管理员名称。 如前所述，如果启用了“仅限 Microsoft Entra 身份验证”，则此登录名将不可使用。

$cred = Get-Credential
New-AzSqlServer -ResourceGroupName "<ResourceGroupName>" -Location "<Location>" -ServerName "<ServerName>" -ServerVersion "12.0" -ExternalAdminName "<MSEntraAccount>" -EnableActiveDirectoryOnlyAuthentication -SqlAdministratorCredentials $cred

有关详细信息，请参阅 New-AzSqlServer。

服务器 - 创建或更新 REST API 可用于在预配期间创建启用了“仅限 Microsoft Entra 身份验证”的逻辑服务器。

以下脚本将预配逻辑服务器，将 Microsoft Entra 管理员设置为 <MSEntraAccount>，并启用“仅限 Microsoft Entra 身份验证”。 此外，还将自动创建服务器 SQL 管理员，并将密码设置为随机密码。 由于在预配过程中禁用了 SQL 身份验证连接，因此不会使用 SQL 管理员登录名。

预配完成后，可使用 Microsoft Entra 管理员 <MSEntraAccount> 管理服务器。

替换示例中的以下值：

• <tenantId>：可通过转到 Azure 门户并进入 Microsoft Entra ID 资源找到。 在“概述”窗格中，应会看到“租户 ID”
• <subscriptionId>：可以在 Azure 门户中找到订阅 ID
• <ServerName>：使用唯一的逻辑服务器名称
• <ResourceGroupName>：逻辑服务器的资源组名称
• <MicrosoftEntraAccount>：可以是 Microsoft Entra 用户、组或应用程序。 例如： DummyLogin
• <Location>：服务器的位置，例如 chinaeast2 或 chinanorth2
• <objectId>：可以通过转到 Azure 门户，然后转到 Microsoft Entra ID 资源来找到此值。 在“用户”窗格中，搜索 Microsoft Entra 用户并查找其“对象 ID”。 如果使用应用程序（服务主体）作为 Microsoft Entra 管理员，请将此值替换为应用程序 ID。 还需要更新 principalType。
• <principalType>：三个选项之一：用户、组、应用程序。 用作管理员的 Microsoft Entra 对象的类型。托管标识和服务主体属于应用程序。

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$authUrl = "https://login.chinacloudapi.cn/$tenantId"
$serverName = "<ServerName>"
$resourceGroupName = "<ResourceGroupName>"

Login-AzAccount -tenantId $tenantId -Environment AzureChinaCloud

# login as a user with SQL Server Contributor role or higher 

# Get a token

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes "https://management.core.chinacloudapi.cn/.default"

#Authetication header
$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

# Enable Microsoft Entra-only auth 
# No server admin is specified, Microsoft Entra admin is configured, and Microsoft Entra-only authentication is set to true
# Server admin (login and password) is randomly generated by the system

# Authentication body
# The sid is the Microsoft Entra Object ID for the user or group, and Application ID for applications. Update the principalType as well

$body = '{ 
"location": "<Location>",
"properties": { "administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true }
  }
}'

# Provision the server

Invoke-RestMethod -Uri https://management.chinacloudapi.cn/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

若要检查服务器状态，可以使用以下脚本：

$uri = 'https://management.chinacloudapi.cn/subscriptions/'+$subscriptionId+'/resourceGroups/'+$resourceGroupName+'/providers/Microsoft.Sql/servers/'+$serverName+'?api-version=2020-11-01-preview&$expand=administrators/activedirectory'

$responce=Invoke-WebRequest -Uri $uri -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

$responce.statuscode

$responce.content

有关 ARM 模板的详细信息，请参阅 Azure SQL 数据库和 SQL 托管实例的 Azure 资源管理器模板。

要使用 ARM 模板预配逻辑服务器，同时为服务器设置 Microsoft Entra 管理员并且启用了“仅限 Microsoft Entra 身份验证”，请参阅我们的启用“仅限 Microsoft Entra 身份验证”的 Azure SQL 逻辑服务器快速入门模板。

还可使用以下模板。 使用 Azure 门户中的自定义部署，在编辑器中生成自己的模板。 接下来，粘贴到示例中后保存配置。

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "string",
            "defaultValue": "[uniqueString('sql', resourceGroup().id)]",
            "metadata": {
                "description": "The name of the logical server."
            }
        },
        "location": {
            "type": "string",
            "defaultValue": "[resourceGroup().location]",
            "metadata": {
                "description": "Location for all resources."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "properties": {
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

1. 浏览到 Azure 门户中的选择 SQL 部署选项页。

2. 如果你尚未登录到 Azure 门户，请按提示登录。

3. 在“SQL 托管实例”下将“资源类型”设置保留为“单一实例”，然后选择“创建” 。

4. 在“基本信息”选项卡的“项目详细信息”和“托管实例详细信息”中填写所需的必填信息。 这是预配 SQL 托管实例所需的最少量信息。

   

   有关配置选项的详细信息，请参阅快速入门：创建 Azure SQL 托管实例。

5. 在“身份验证”下的“身份验证方法”中选择“使用仅限 Microsoft Entra 身份验证”。

6. 选择“设置管理员”以打开“Microsoft Entra ID”窗格，并选择 Microsoft Entra 主体作为托管实例 Microsoft Entra 管理员。 完成后，使用“选择”按钮设置管理员。

   

7. 可将其余设置保留为默认值。 有关“网络”、“安全性”或其他选项卡和设置的详细信息，请按照快速入门：创建 Azure SQL 托管实例文章中的指南进行操作。

8. 配置完设置后，选择“查看 + 创建”以继续。 选择“创建”，开始预配托管实例。

Azure CLI 命令 az sql mi create 用于预配新的 Azure SQL 托管实例。 以下命令将预配启用了“仅限 Microsoft Entra 身份验证”的新托管实例。

将自动创建托管实例 SQL 管理员，并将密码设置为随机密码。 由于在预配过程中禁用了 SQL 身份验证，因此不会使用 SQL 管理员。

Microsoft Entra 管理员是为 <MSEntraAccount> 设置的帐户，可用于在预配完成时管理实例。

替换示例中的以下值：

• <MSEntraAccount>：可以是 Microsoft Entra 用户或组。 例如： DummyLogin
• <MSEntraAccountSID>：用户的 Microsoft Entra 对象 ID
• <managedinstancename>：命名要创建的托管实例
• <ResourceGroupName>：托管实例的资源组的名称。 资源组还应包括创建的虚拟网络和子网
• 需要使用 <Subscription ID>、<ResourceGroupName>、<VNetName> 和 <SubnetName> 更新 subnet 参数。 可以在 Azure 门户中找到订阅 ID

az sql mi create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <managedinstancename> \
    --subnet /subscriptions/<Subscription ID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>

有关详细信息，请参阅 az sql mi create。

PowerShell 命令 New-AzSqlInstance 用于预配新的 Azure SQL 托管实例。 以下命令将预配启用了“仅限 Microsoft Entra 身份验证”的新托管实例。

将自动创建托管实例 SQL 管理员，并将密码设置为随机密码。 由于在预配过程中禁用了 SQL 身份验证连接，因此不会使用 SQL 管理员登录名。

Microsoft Entra 管理员是为 <MSEntraAccount> 设置的帐户，可用于在预配完成时管理实例。

替换示例中的以下值：

• <managedinstancename>：命名要创建的托管实例
• <ResourceGroupName>：托管实例的资源组的名称。 资源组还应包括创建的虚拟网络和子网
• <MSEntraAccount>：可以是 Microsoft Entra 用户或组。 例如： DummyLogin
• <Location>：服务器的位置，例如 chinaeast2 或 chinanorth2
• 需要使用 <Subscription ID>、<ResourceGroupName>、<VNetName> 和 <SubnetName> 更新 SubnetId 参数。 可以在 Azure 门户中找到订阅 ID

$instanceName = @{
    Name = "<managedinstancename>"
    ResourceGroupName = "<ResourceGroupName>"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
    Location = "<Location>"
    SubnetId = "/subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>"
    LicenseType = "LicenseIncluded"
    StorageSizeInGB = 128
    VCore = 4
    Edition = "GeneralPurpose"
    ComputeGeneration = "Gen5"
}

New-AzSqlInstance $instanceName

有关详细信息，请参阅 New-AzSqlInstance。

SQL 托管实例 - 创建或更新 REST API 可用于在预配期间创建启用了“仅限 Microsoft Entra 的身份验证”的托管实例。

以下脚本将预配托管实例，将 Microsoft Entra 管理员设置为 <MSEntraAccount>，并启用“仅限 Microsoft Entra 身份验证”。 此外，还将自动创建实例 SQL 管理员，并将密码设置为随机密码。 由于在预配过程中禁用了 SQL 身份验证连接，因此不会使用 SQL 管理员登录名。

Microsoft Entra 管理员 <MSEntraAccount> 可用于在预配完成时管理实例。

替换示例中的以下值：

• <tenantId>：可通过转到 Azure 门户并进入 Microsoft Entra ID 资源找到。 在“概述”窗格中，应会看到“租户 ID”
• <subscriptionId>：可以在 Azure 门户中找到订阅 ID
• <instanceName>：使用唯一的托管实例名称
• <ResourceGroupName>：逻辑服务器的资源组名称
• <MSEntraAccount>：可以是 Microsoft Entra 用户或组。 例如： DummyLogin
• <Location>：服务器的位置，例如 chinaeast2 或 chinanorth2
• <objectId>：可以通过转到 Azure 门户，然后转到 Microsoft Entra ID 资源来找到此值。 在“用户”窗格中，搜索 Microsoft Entra 用户并查找其“对象 ID”。 如果使用应用程序（服务主体）作为 Microsoft Entra 管理员，请将此值替换为应用程序 ID。 还需要更新 principalType。
• 需要使用 <ResourceGroupName>、Subscription ID、<VNetName> 和 <SubnetName> 更新 subnetId 参数

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$instanceName = "<instanceName>"
$resourceGroupName = "<ResourceGroupName>"
$scopes ="https://management.core.chinacloudapi.cn/.default"

Login-AzAccount -tenantId $tenantId -Environment AzureChinaCloud

# Login as an Microsoft Entra user with permission to provision a managed instance

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes $scopes

$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

$body = '{
"name": "<instanceName>", "type": "Microsoft.Sql/managedInstances", "identity": { "type": "SystemAssigned"},"location": "<Location>", "sku": {"name": "GP_Gen5", "tier": "GeneralPurpose", "family":"Gen5","capacity": 8},
"properties": {"administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true },
"subnetId": "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>",
"licenseType": "LicenseIncluded", "vCores": 8, "storageSizeInGB": 2048, "collation": "SQL_Latin1_General_CP1_CI_AS", "proxyOverride": "Proxy", "timezoneId": "UTC", "privateEndpointConnections": [], "storageAccountType": "GRS", "zoneRedundant": false 
  }
}'

# To provision the instance, execute the `PUT` command

Invoke-RestMethod -Uri https://management.chinacloudapi.cn/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

要检查结果，请执行 GET 命令：

Invoke-RestMethod -Uri https://management.chinacloudapi.cn/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method GET -Headers $authHeader  | Format-List

若要预配新的托管实例、虚拟网络和子网，为实例设置 Microsoft Entra 管理员并启用“仅限 Microsoft Entra 身份验证”，请使用以下模板。

使用 Azure 门户中的自定义部署，在编辑器中生成自己的模板。 接下来，粘贴到示例中后保存配置。

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "managedInstanceName": {
            "type": "String",
            "metadata": {
                "description": "Enter managed instance name."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL managed instance."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin. The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "location": {
            "defaultValue": "[resourceGroup().location]",
            "type": "String",
            "metadata": {
                "description": "Enter location. If you leave this field blank resource group location would be used."
            }
        },
        "virtualNetworkName": {
            "type": "String",
            "defaultValue": "SQLMI-VNET",
            "metadata": {
                "description": "Enter virtual network name. If you leave this field blank name will be created by the template."
            }
        },
        "addressPrefix": {
            "defaultValue": "10.0.0.0/16",
            "type": "String",
            "metadata": {
                "description": "Enter virtual network address prefix."
            }
        },
        "subnetName": {
            "type": "String",
            "defaultValue": "ManagedInstances",
            "metadata": {
                "description": "Enter subnet name. If you leave this field blank name will be created by the template."
            }
        },
        "subnetPrefix": {
            "defaultValue": "10.0.0.0/24",
            "type": "String",
            "metadata": {
                "description": "Enter subnet address prefix."
            }
        },
        "skuName": {
            "defaultValue": "GP_Gen5",
            "allowedValues": [
                "GP_Gen5",
                "BC_Gen5"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter sku name."
            }
        },
        "vCores": {
            "defaultValue": 16,
            "allowedValues": [
                8,
                16,
                24,
                32,
                40,
                64,
                80
            ],
            "type": "Int",
            "metadata": {
                "description": "Enter number of vCores."
            }
        },
        "storageSizeInGB": {
            "defaultValue": 256,
            "minValue": 32,
            "maxValue": 8192,
            "type": "Int",
            "metadata": {
                "description": "Enter storage size."
            }
        },
        "licenseType": {
            "defaultValue": "LicenseIncluded",
            "allowedValues": [
                "BasePrice",
                "LicenseIncluded"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter license type."
            }
        }
    },
    "variables": {
        "networkSecurityGroupName": "[concat('SQLMI-', parameters('managedInstanceName'), '-NSG')]",
        "routeTableName": "[concat('SQLMI-', parameters('managedInstanceName'), '-Route-Table')]"
    },
    "resources": [
        {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2020-06-01",
            "name": "[variables('networkSecurityGroupName')]",
            "location": "[parameters('location')]",
            "properties": {
                "securityRules": [
                    {
                        "name": "allow_tds_inbound",
                        "properties": {
                            "description": "Allow access to data",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "1433",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1000,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "allow_redirect_inbound",
                        "properties": {
                            "description": "Allow inbound redirect traffic to SQL Managed Instance inside the virtual network",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "11000-11999",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1100,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_inbound",
                        "properties": {
                            "description": "Deny all other inbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_outbound",
                        "properties": {
                            "description": "Deny all other outbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Outbound"
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Network/routeTables",
            "apiVersion": "2020-06-01",
            "name": "[variables('routeTableName')]",
            "location": "[parameters('location')]",
            "properties": {
                "disableBgpRoutePropagation": false
            }
        },
        {
            "type": "Microsoft.Network/virtualNetworks",
            "apiVersion": "2020-06-01",
            "name": "[parameters('virtualNetworkName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[variables('routeTableName')]",
                "[variables('networkSecurityGroupName')]"
            ],
            "properties": {
                "addressSpace": {
                    "addressPrefixes": [
                        "[parameters('addressPrefix')]"
                    ]
                },
                "subnets": [
                    {
                        "name": "[parameters('subnetName')]",
                        "properties": {
                            "addressPrefix": "[parameters('subnetPrefix')]",
                            "routeTable": {
                                "id": "[resourceId('Microsoft.Network/routeTables', variables('routeTableName'))]"
                            },
                            "networkSecurityGroup": {
                                "id": "[resourceId('Microsoft.Network/networkSecurityGroups', variables('networkSecurityGroupName'))]"
                            },
                            "delegations": [
                                {
                                    "name": "miDelegation",
                                    "properties": {
                                        "serviceName": "Microsoft.Sql/managedInstances"
                                    }
                                }
                            ]
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('managedInstanceName')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[parameters('virtualNetworkName')]"
            ],
            "sku": {
                "name": "[parameters('skuName')]"
            },
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "subnetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('virtualNetworkName'), parameters('subnetName'))]",
                "storageSizeInGB": "[parameters('storageSizeInGB')]",
                "vCores": "[parameters('vCores')]",
                "licenseType": "[parameters('licenseType')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}