Azure SQL에서 Microsoft Entra 전용 인증을 사용하도록 설정된 서버 만들기

1. Azure Portal에서 SQL 배포 선택 옵션 페이지로 이동합니다.

2. Azure Portal에 아직 로그인하지 않은 경우 메시지가 표시되면 로그인합니다.

3. SQL 데이터베이스에서 리소스 유형을 단일 데이터베이스로 설정한 상태로 두고 만들기를 선택합니다.

4. SQL 데이터베이스 만들기 양식의 기본 탭에 있는 프로젝트 세부 정보 아래에서 원하는 Azure 구독을 선택합니다.

5. 리소스 그룹에 새로 만들기를 선택하고, 새 리소스 그룹의 이름을 입력한 다음, 확인을 선택합니다.

6. 데이터베이스 이름에 데이터베이스 이름을 입력합니다.

7. 서버에 대해 새로 만들기를 선택하고 새 서버 양식을 다음 값으로 작성합니다.

   • 서버 이름: 고유한 서버 이름을 입력합니다. 서버 이름은 구독 내에서만 고유한 것이 아니라 Azure의 모든 서버에 대해 전역적으로 고유해야 합니다. 값을 입력하면 Azure Portal에서 사용 가능한지 여부를 알려줍니다.
   • 위치: 드롭다운 목록에서 위치를 선택합니다.
   • 인증 방법: Microsoft Entra 전용 인증 사용을 선택합니다.
   • 관리자 설정을 선택하여 Microsoft Entra ID 창을 열고 논리 서버 Microsoft Entra 관리자로 Microsoft Entra 보안 주체를 선택합니다. 완료되면 선택 단추를 사용하여 관리자를 설정합니다.

   

8. 완료되면 다음: 네트워킹을 선택합니다.

9. 네트워킹 탭에서 연결 방법에 대해 퍼블릭 엔드포인트를 선택합니다.

10. 방화벽 규칙의 경우 현재 클라이언트 IP 주소 추가를 예로 설정합니다. Azure 서비스 및 리소스가 이 서버에 액세스할 수 있도록 허용을 아니요로 설정된 상태로 둡니다.

11. 연결 정책 및 최소 TLS 버전 설정을 기본값으로 둡니다.

12. 페이지 하단에서 다음: 보안을 선택합니다. 환경에 대한 Microsoft Defender for SQL, Ledger, Identity 및 투명한 데이터 암호화에 대한 설정을 구성합니다. 이 설정을 건너뛸 수도 있습니다.

    참고 항목

    Microsoft Entra 전용 인증에서는 사용자 할당 관리 ID를 서버 ID로 사용할 수 있습니다. 인스턴스를 ID에 연결하려면 ID를 Azure Virtual Machine에 할당하고 해당 VM에서 SSMS를 실행합니다. 프로덕션 환경의 경우 Azure 리소스에 대한 암호 없는 인증을 사용하는 보안 조치가 향상되고 간소화되었으므로 Microsoft Entra 관리자에 대한 관리 ID를 사용하는 것을 권장합니다.

13. 페이지 아래쪽에서 검토 + 만들기를 선택합니다.

14. 검토 + 만들기 페이지에서 검토 후 만들기를 선택합니다.

Azure CLI 명령 az sql server create은 새 논리 서버를 프로비저닝하는 데 사용됩니다. 아래 명령은 새 서버가 Microsoft Entra 전용 인증을 사용하도록 설정하여 프로비저닝합니다.

서버 SQL 관리자가 자동으로 만들어지며 암호가 임의의 설정됩니다. 이 서버를 만들 때 SQL 인증 연결을 사용할 수 없으므로 SQL 관리자 로그인은 사용되지 않습니다.

서버 Microsoft Entra 관리자는 <MSEntraAccount>에 대해 설정한 계정이 되며 서버를 관리하는 데 사용할 수 있습니다.

예시에서 다음 값을 바꿉니다.

• <MSEntraAccount>: Microsoft Entra 사용자 또는 그룹일 수 있습니다. 예를 들어 DummyLogin
• <MSEntraAccountSID>: Microsoft Entra ID에 있는 사용자의 개체 ID입니다.
• <ResourceGroupName>: 논리 서버의 리소스 그룹 이름
• <ServerName>: 고유한 논리 서버 이름 사용

az sql server create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <ServerName>

자세한 내용은 az sql server create를 참조하세요.

만든 후 서버 상태를 확인하려면 다음 명령을 참조하세요.

az sql server show --name <ServerName> --resource-group <ResourceGroupName> --expand-ad-admin

PowerShell 명령 New-AzSqlServer은(는) 새 논리 서버를 프로비저닝하는 데 사용됩니다. 아래 명령은 새 서버가 Microsoft Entra 전용 인증을 사용하도록 설정하여 프로비저닝합니다.

서버 SQL 관리자가 자동으로 만들어지며 암호가 임의의 설정됩니다. 이 서버를 만들 때 SQL 인증 연결을 사용할 수 없으므로 SQL 관리자 로그인은 사용되지 않습니다.

서버 Microsoft Entra 관리자는 <MSEntraAccount>에 대해 설정한 계정이 되며 서버를 관리하는 데 사용할 수 있습니다.

예시에서 다음 값을 바꿉니다.

• <ResourceGroupName>: 논리 서버의 리소스 그룹 이름
• <Location>: 서버의 위치(예: West US 또는 Central US)
• <ServerName>: 고유한 논리 서버 이름 사용
• <MSEntraAccount>: Microsoft Entra 사용자 또는 그룹일 수 있습니다. 예를 들어 DummyLogin

$server = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
}

New-AzSqlServer @server

다음은 논리 서버 만들기 시 서버 관리자 이름을 자동으로 만들 수 있는 대신 서버 관리자 이름을 지정하는 예시입니다. 앞에서 설명한 대로 이 로그인은 Microsoft Entra 전용 인증을 사용할 때 사용할 수 없습니다.

$cred = Get-Credential
New-AzSqlServer -ResourceGroupName "<ResourceGroupName>" -Location "<Location>" -ServerName "<ServerName>" -ServerVersion "12.0" -ExternalAdminName "<MSEntraAccount>" -EnableActiveDirectoryOnlyAuthentication -SqlAdministratorCredentials $cred

자세한 내용은 New-AzSqlServer를 참조하세요.

서버 - 만들기 또는 업데이트 REST API를 사용하여 프로비저닝 중에 Microsoft Entra 전용 인증을 사용하도록 설정된 논리 서버를 만들 수 있습니다.

아래 스크립트는 논리 서버를 프로비저닝하고 Microsoft Entra 관리자를 <MSEntraAccount>(으)로 설정하고 Microsoft Entra 전용 인증을 사용하도록 설정합니다. 서버 SQL 관리자가 자동으로 만들어지며 암호가 임의로 설정됩니다. 이 프로비저닝 동안 SQL 인증 연결을 사용할 수 없으므로 SQL 관리자 로그인은 사용되지 않습니다.

프로비저닝이 완료되면 Microsoft Entra 관리자 <MSEntraAccount>(을)를 사용하여 서버를 관리할 수 있습니다.

예시에서 다음 값을 바꿉니다.

• <tenantId>: Azure Portal로 이동한 다음, Microsoft Entra ID 리소스로 이동하여 찾을 수 있습니다. 개요 창에 테넌트 ID가 표시됩니다.
• <subscriptionId>: 구독 ID는 Azure Portal에서 확인할 수 있습니다.
• <ServerName>: 고유한 논리 서버 이름 사용
• <ResourceGroupName>: 논리 서버의 리소스 그룹 이름
• <MicrosoftEntraAccount>: Microsoft Entra 사용자, 그룹 또는 애플리케이션일 수 있습니다. 예를 들어 DummyLogin
• <Location>: 서버의 위치(예: westus2 또는 centralus)
• <objectId>: Azure Portal로 이동한 다음, Microsoft Entra ID 리소스로 이동하여 찾을 수 있습니다. 사용자 창에서 Microsoft Entra 사용자를 검색하고 해당 개체 ID를 찾습니다. 애플리케이션(서비스 주체)을 Microsoft Entra 관리자로 사용하는 경우 이 값을 애플리케이션 ID로 바꿉니다. principalType도 업데이트해야 합니다.
• <principalType>: 사용자, 그룹, 애플리케이션 셋 중 하나입니다. 관리자로 사용되는 Microsoft Entra 개체의 형식입니다. 관리 ID 및 서비스 주체는 애플리케이션입니다.

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$authUrl = "https://login.windows.net/$tenantId"
$serverName = "<ServerName>"
$resourceGroupName = "<ResourceGroupName>"

Login-AzAccount -tenantId $tenantId

# login as a user with SQL Server Contributor role or higher 

# Get a token

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes "https://management.core.windows.net/.default"

#Authentication header
$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

# Enable Microsoft Entra-only auth 
# No server admin is specified, Microsoft Entra admin is configured, and Microsoft Entra-only authentication is set to true
# Server admin (login and password) is randomly generated by the system

# Authentication body
# The sid is the Microsoft Entra Object ID for the user or group, and Application ID for applications. Update the principalType as well

$body = '{ 
"___location": "<Location>",
"properties": { "administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true }
  }
}'

# Provision the server

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

서버 상태를 확인하려면 다음 스크립트를 사용할 수 있습니다.

$uri = 'https://management.azure.com/subscriptions/'+$subscriptionId+'/resourceGroups/'+$resourceGroupName+'/providers/Microsoft.Sql/servers/'+$serverName+'?api-version=2020-11-01-preview&$expand=administrators/activedirectory'

$response=Invoke-WebRequest -Uri $uri -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

$response.statuscode

$response.content

ARM 템플릿에 대한 자세한 내용은 Azure SQL 데이터베이스용 Azure 리소스 관리자 템플릿을 참조하세요.

ARM 템플릿을 사용하여 서버에 대한 Microsoft Entra 관리자를 설정하고 Microsoft Entra 전용 인증을 사용하도록 설정하여 논리 서버를 프로비저닝하려면 Microsoft Entra 전용 인증을 사용하는 Azure SQL 논리 서버 빠른 시작 템플릿을 참조하세요.

다음 템플릿도 사용할 수 있습니다. Azure Portal의 사용자 지정 배포를 사용하고 편집기에서 사용자 고유의 템플릿을 빌드합니다. 다음으로, 예시에 붙여넣은 후에 구성을 저장합니다.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "string",
            "defaultValue": "[uniqueString('sql', resourceGroup().id)]",
            "metadata": {
                "description": "The name of the logical server."
            }
        },
        "___location": {
            "type": "string",
            "defaultValue": "[resourceGroup().___location]",
            "metadata": {
                "description": "Location for all resources."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "___location": "[parameters('___location')]",
            "properties": {
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

1. Azure Portal에서 SQL 배포 선택 옵션 페이지로 이동합니다.

2. Azure Portal에 아직 로그인하지 않은 경우 메시지가 표시되면 로그인합니다.

3. SQL 관리되는 인스턴스에서 리소스 종류를 단일 인스턴스로 설정된 상태로 두고 만들기를 선택합니다.

4. 프로젝트 세부 정보 및 Managed Instance 세부 정보의 기본 탭에서 필수 정보를 작성합니다. SQL Managed Instance를 프로비저닝하기 위한 최소 정보 세트입니다.

   

   구성 옵션에 대한 자세한 내용은 빠른 시작: Azure SQL Managed Instance 만들기를 참조하세요.

5. 인증에서 인증 방법으로 Microsoft Entra 인증 사용을 선택합니다.

6. 관리자 설정을 선택하여 Microsoft Entra ID 창을 열고 관리된 인스턴스 Microsoft Entra 관리자로 Microsoft Entra 주체를 선택합니다. 완료되면 선택 단추를 사용하여 관리자를 설정합니다.

   

7. 나머지 설정은 기본값으로 둘 수 있습니다. 네트워킹, 보안 또는 기타 탭과 설정에 대한 자세한 내용은 빠른 시작: Azure SQL Managed Instance 만들기 문서의 가이드를 따르세요.

8. 설정 구성이 완료되면 검토 + 만들기를 선택하여 계속 진행합니다. 만들기를 선택하여 관리형 인스턴스를 프로비저닝하기 시작합니다.

Azure CLI 명령 az sql mi create은(는) 새 Azure SQL Managed Instance를 프로비전하는 데 사용됩니다. 아래 명령은 새 관리되는 인스턴스가 Microsoft Entra 전용 인증을 사용하도록 설정하여 프로비저닝합니다.

관리되는 인스턴스 SQL 관리자가 자동으로 만들어지며 임의로 암호가 설정됩니다. 이 프로비저닝 동안 SQL 인증 연결을 사용할 수 없으므로 SQL 관리자는 사용되지 않습니다.

Microsoft Entra 관리자는 <MSEntraAccount>에 대해 사용자가 설정한 계정이며 프로비전이 완료되면 인스턴스를 관리하는 데 사용할 수 있습니다.

예시에서 다음 값을 바꿉니다.

• <MSEntraAccount>: Microsoft Entra 사용자 또는 그룹일 수 있습니다. 예를 들어 DummyLogin
• <MSEntraAccountSID>: Microsoft Entra ID에 있는 사용자의 개체 ID입니다.
• <managedinstancename>: 만들려는 관리되는 인스턴스의 이름을 지정합니다.
• <ResourceGroupName>: 관리되는 인스턴스에 대한 리소스 그룹의 이름입니다. 리소스 그룹는 생성된 가상 네트워크 및 서브넷를 포함해야 합니다.
• subnet 매개 변수는 <Subscription ID>, <ResourceGroupName>, <VNetName>, <SubnetName>(으)로 업데이트해야 합니다. 구독 ID는 Azure Portal에서 확인할 수 있습니다.

az sql mi create \
    --enable-ad-only-auth \
    --external-admin-principal-type User \
    --external-admin-name <MSEntraAccount> \
    --external-admin-sid <MSEntraAccountSID> \
    -g <ResourceGroupName> \
    -n <managedinstancename> \
    --subnet /subscriptions/<Subscription ID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>

자세한 내용은 az sql mi create를 참조하세요.

PowerShell 명령 New-AzSqlInstance는 새 Azure SQL Managed Instance를 프로비저닝하는 데 사용됩니다. 아래 명령은 새 관리되는 인스턴스가 Microsoft Entra 전용 인증을 사용하도록 설정하여 프로비저닝합니다.

관리되는 인스턴스 SQL 관리자가 자동으로 만들어지며 임의로 암호가 설정됩니다. 이 프로비저닝 동안 SQL 인증 연결을 사용할 수 없으므로 SQL 관리자 로그인은 사용되지 않습니다.

Microsoft Entra 관리자는 <MSEntraAccount>에 대해 사용자가 설정한 계정이며 프로비전이 완료되면 인스턴스를 관리하는 데 사용할 수 있습니다.

예시에서 다음 값을 바꿉니다.

• <managedinstancename>: 만들려는 관리되는 인스턴스의 이름을 지정합니다.
• <ResourceGroupName>: 관리되는 인스턴스에 대한 리소스 그룹의 이름입니다. 리소스 그룹는 생성된 가상 네트워크 및 서브넷를 포함해야 합니다.
• <MSEntraAccount>: Microsoft Entra 사용자 또는 그룹일 수 있습니다. 예를 들어 DummyLogin
• <Location>: 서버의 위치(예: West US 또는 Central US)
• SubnetId 매개 변수는 <Subscription ID>, <ResourceGroupName>, <VNetName>, <SubnetName>(으)로 업데이트해야 합니다. 구독 ID는 Azure Portal에서 확인할 수 있습니다.

$instanceName = @{
    Name = "<managedinstancename>"
    ResourceGroupName = "<ResourceGroupName>"
    ExternalAdminName = "<MSEntraAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
    Location = "<Location>"
    SubnetId = "/subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>"
    LicenseType = "LicenseIncluded"
    StorageSizeInGB = 128
    VCore = 4
    Edition = "GeneralPurpose"
    ComputeGeneration = "Gen5"
}

New-AzSqlInstance $instanceName

자세한 내용은 ew-AzSqlInstance를 참조하세요.

SQL Managed Instances - 만들기 또는 업데이트 REST API를 사용하여 프로비저닝하는 동안 Microsoft Entra 전용 인증을 사용하도록 설정하여 관리되는 인스턴스를 만들 수 있습니다.

아래 스크립트는 관리되는 인스턴스를 프로비저닝하고 Microsoft Entra 관리자를 <MSEntraAccount>(으)로 설정하고 Microsoft Entra 전용 인증을 사용하도록 설정합니다. 인스턴스 SQL 관리자가 자동으로 만들어지며 임의로 암호가 설정됩니다. 이 프로비저닝 동안 SQL 인증 연결을 사용할 수 없으므로 SQL 관리자 로그인은 사용되지 않습니다.

Microsoft Entra 관리자 <MSEntraAccount>(은)는 프로비전이 완료되면 인스턴스를 관리하는 데 사용할 수 있습니다.

예시에서 다음 값을 바꿉니다.

• <tenantId>: Azure Portal로 이동한 다음, Microsoft Entra ID 리소스로 이동하여 찾을 수 있습니다. 개요 창에 테넌트 ID가 표시됩니다.
• <subscriptionId>: 구독 ID는 Azure Portal에서 확인할 수 있습니다.
• <instanceName>: 고유한 관리되는 인스턴스 이름 사용
• <ResourceGroupName>: 논리 서버의 리소스 그룹 이름
• <MSEntraAccount>: Microsoft Entra 사용자 또는 그룹일 수 있습니다. 예를 들어 DummyLogin
• <Location>: 서버의 위치(예: westus2 또는 centralus)
• <objectId>: Azure Portal로 이동한 다음, Microsoft Entra ID 리소스로 이동하여 찾을 수 있습니다. 사용자 창에서 Microsoft Entra 사용자를 검색하고 해당 개체 ID를 찾습니다. 애플리케이션(서비스 주체)을 Microsoft Entra 관리자로 사용하는 경우 이 값을 애플리케이션 ID로 바꿉니다. principalType도 업데이트해야 합니다.
• subnetId 매개 변수는 <ResourceGroupName>, Subscription ID, <VNetName> 및 <SubnetName>으로 업데이트해야 합니다.

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$instanceName = "<instanceName>"
$resourceGroupName = "<ResourceGroupName>"
$scopes ="https://management.core.windows.net/.default"

Login-AzAccount -tenantId $tenantId

# Login as an Microsoft Entra user with permission to provision a managed instance

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes $scopes

$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

$body = '{
"name": "<instanceName>", "type": "Microsoft.Sql/managedInstances", "identity": { "type": "SystemAssigned"},"___location": "<Location>", "sku": {"name": "GP_Gen5", "tier": "GeneralPurpose", "family":"Gen5","capacity": 8},
"properties": {"administrators":{ "login":"<MSEntraAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true },
"subnetId": "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>",
"licenseType": "LicenseIncluded", "vCores": 8, "storageSizeInGB": 2048, "collation": "SQL_Latin1_General_CP1_CI_AS", "proxyOverride": "Proxy", "timezoneId": "UTC", "privateEndpointConnections": [], "storageAccountType": "GRS", "zoneRedundant": false 
  }
}'

# To provision the instance, execute the `PUT` command

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

GET 명령을 실행하여 결과를 확인합니다.

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/managedInstances/$instanceName/?api-version=2020-11-01-preview -Method GET -Headers $authHeader  | Format-List

인스턴스에 대해 Microsoft Entra 관리자를 설정하고 Microsoft Entra 전용 인증을 사용하도록 설정하여 새로운 관리되는 인스턴스, 가상 네트워크 및 서브넷을 프로비저닝하려면 다음 템플릿을 사용하세요.

Azure Portal의 사용자 지정 배포를 사용하고 편집기에서 사용자 고유의 템플릿을 빌드합니다. 다음으로, 예시에 붙여넣은 후에 구성을 저장합니다.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "managedInstanceName": {
            "type": "String",
            "metadata": {
                "description": "Enter managed instance name."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL managed instance."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin. The Object ID of the Azure AD admin if the admin is a user or group. For Applications, use the Application ID."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "___location": {
            "defaultValue": "[resourceGroup().___location]",
            "type": "String",
            "metadata": {
                "description": "Enter ___location. If you leave this field blank resource group ___location would be used."
            }
        },
        "virtualNetworkName": {
            "type": "String",
            "defaultValue": "SQLMI-VNET",
            "metadata": {
                "description": "Enter virtual network name. If you leave this field blank name will be created by the template."
            }
        },
        "addressPrefix": {
            "defaultValue": "10.0.0.0/16",
            "type": "String",
            "metadata": {
                "description": "Enter virtual network address prefix."
            }
        },
        "subnetName": {
            "type": "String",
            "defaultValue": "ManagedInstances",
            "metadata": {
                "description": "Enter subnet name. If you leave this field blank name will be created by the template."
            }
        },
        "subnetPrefix": {
            "defaultValue": "10.0.0.0/24",
            "type": "String",
            "metadata": {
                "description": "Enter subnet address prefix."
            }
        },
        "skuName": {
            "defaultValue": "GP_Gen5",
            "allowedValues": [
                "GP_Gen5",
                "BC_Gen5"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter sku name."
            }
        },
        "vCores": {
            "defaultValue": 16,
            "allowedValues": [
                8,
                16,
                24,
                32,
                40,
                64,
                80
            ],
            "type": "Int",
            "metadata": {
                "description": "Enter number of vCores."
            }
        },
        "storageSizeInGB": {
            "defaultValue": 256,
            "minValue": 32,
            "maxValue": 8192,
            "type": "Int",
            "metadata": {
                "description": "Enter storage size."
            }
        },
        "licenseType": {
            "defaultValue": "LicenseIncluded",
            "allowedValues": [
                "BasePrice",
                "LicenseIncluded"
            ],
            "type": "String",
            "metadata": {
                "description": "Enter license type."
            }
        }
    },
    "variables": {
        "networkSecurityGroupName": "[concat('SQLMI-', parameters('managedInstanceName'), '-NSG')]",
        "routeTableName": "[concat('SQLMI-', parameters('managedInstanceName'), '-Route-Table')]"
    },
    "resources": [
        {
            "type": "Microsoft.Network/networkSecurityGroups",
            "apiVersion": "2020-06-01",
            "name": "[variables('networkSecurityGroupName')]",
            "___location": "[parameters('___location')]",
            "properties": {
                "securityRules": [
                    {
                        "name": "allow_tds_inbound",
                        "properties": {
                            "description": "Allow access to data",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "1433",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1000,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "allow_redirect_inbound",
                        "properties": {
                            "description": "Allow inbound redirect traffic to SQL Managed Instance inside the virtual network",
                            "protocol": "Tcp",
                            "sourcePortRange": "*",
                            "destinationPortRange": "11000-11999",
                            "sourceAddressPrefix": "VirtualNetwork",
                            "destinationAddressPrefix": "*",
                            "access": "Allow",
                            "priority": 1100,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_inbound",
                        "properties": {
                            "description": "Deny all other inbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Inbound"
                        }
                    },
                    {
                        "name": "deny_all_outbound",
                        "properties": {
                            "description": "Deny all other outbound traffic",
                            "protocol": "*",
                            "sourcePortRange": "*",
                            "destinationPortRange": "*",
                            "sourceAddressPrefix": "*",
                            "destinationAddressPrefix": "*",
                            "access": "Deny",
                            "priority": 4096,
                            "direction": "Outbound"
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Network/routeTables",
            "apiVersion": "2020-06-01",
            "name": "[variables('routeTableName')]",
            "___location": "[parameters('___location')]",
            "properties": {
                "disableBgpRoutePropagation": false
            }
        },
        {
            "type": "Microsoft.Network/virtualNetworks",
            "apiVersion": "2020-06-01",
            "name": "[parameters('virtualNetworkName')]",
            "___location": "[parameters('___location')]",
            "dependsOn": [
                "[variables('routeTableName')]",
                "[variables('networkSecurityGroupName')]"
            ],
            "properties": {
                "addressSpace": {
                    "addressPrefixes": [
                        "[parameters('addressPrefix')]"
                    ]
                },
                "subnets": [
                    {
                        "name": "[parameters('subnetName')]",
                        "properties": {
                            "addressPrefix": "[parameters('subnetPrefix')]",
                            "routeTable": {
                                "id": "[resourceId('Microsoft.Network/routeTables', variables('routeTableName'))]"
                            },
                            "networkSecurityGroup": {
                                "id": "[resourceId('Microsoft.Network/networkSecurityGroups', variables('networkSecurityGroupName'))]"
                            },
                            "delegations": [
                                {
                                    "name": "miDelegation",
                                    "properties": {
                                        "serviceName": "Microsoft.Sql/managedInstances"
                                    }
                                }
                            ]
                        }
                    }
                ]
            }
        },
        {
            "type": "Microsoft.Sql/managedInstances",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('managedInstanceName')]",
            "___location": "[parameters('___location')]",
            "dependsOn": [
                "[parameters('virtualNetworkName')]"
            ],
            "sku": {
                "name": "[parameters('skuName')]"
            },
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "subnetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('virtualNetworkName'), parameters('subnetName'))]",
                "storageSizeInGB": "[parameters('storageSizeInGB')]",
                "vCores": "[parameters('vCores')]",
                "licenseType": "[parameters('licenseType')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}