Configurer des comptes de service Windows et des autorisations pour l’extension Azure pour SQL Server
S'applique à :
SQL Server
Cet article répertorie les autorisations d’extension Azure pour les jeux SQL Server pour le NT Service\SQLServerExtension compte. Ce compte est utilisé lorsque vous utilisez SQL Server activé par Azure Arc avec des privilèges minimum.
Remarque
Les serveurs existants avec l’extension de la version de novembre 2024 ou une version ultérieure auront automatiquement une configuration avec privilèges minimum. Cette application se produira progressivement.
Pour empêcher l’application automatique des privilèges minimum, bloquez les mises à niveau d’extension vers la version de novembre 2024.
La définition manuelle des autorisations pour le compte d’agent n’est pas prise en charge.
L’extension définit les autorisations lorsque vous activez des fonctionnalités sur le Portail Azure. Si vous n’activez pas de fonctionnalité, l’extension ne définit pas les autorisations pour cette fonctionnalité. Si vous désactivez une fonctionnalité, l’extension supprime les autorisations.
Les autorisations SQL répertorient les autorisations liées aux fonctionnalités accordées par l’extension lorsque les fonctionnalités sont activées.
Remarque
NT Authority\System doit avoir accès à la modification des autorisations sur les répertoires répertoriés et les clés de Registre. Cela est nécessaire pour pouvoir NT Authority\System accorder l’accès requis au NT Service\SqlServerExtension compte pour le mode privilèges minimum.
Autorisations d’annuaire
| Chemin du répertoire | Autorisations requises | Détails | Fonctionnalité |
|---|---|---|---|
<SystemDrive>\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SQLServer |
Contrôle total | Dll et fichiers exe associés à l’extension. | Par défaut |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\RuntimeSettings |
Contrôle total | Fichier de paramètres d’extension. | Par défaut |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status |
Contrôle total | Fichier d’état de l’extension. | Par défaut |
C:\ProgramData\GuestConfig\extension_logs\Microsoft.AzureData.WindowsAgent.SqlServer |
Contrôle total | Fichiers journaux d’extension. | Par défaut |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status\HeartBeat.Json |
Contrôle total | Fichier de pulsation d’extension. | Par défaut |
%ProgramFiles%\Sql Server Extension |
Contrôle total | Fichiers de service d’extension. | Par défaut |
<SystemDrive>\Windows\system32\extensionUpload |
Contrôle total | Requis pour écrire le fichier d’utilisation nécessaire à la facturation. | Par défaut |
<SystemDrive>\Windows\system32\ExtensionHandler.log |
Contrôle total | Dossier de pré-journal créé par l’extension. | Par défaut |
<ProgramData>\AzureConnectedMachineAgent\Config |
Lire | Répertoire des fichiers de configuration Arc. | Par défaut |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft SQL Server Extension Agent |
Contrôle total | Requis pour écrire des rapports d’évaluation et un état. | Par défaut |
Répertoire du journal SQL (tel que défini dans le Registre) 1 :C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\log |
Lire | Requis pour extraire des informations sql vCores à partir des journaux SQL. | Par défaut |
Répertoire de sauvegarde SQL (tel que défini dans le Registre) 1 :C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\Backup |
ReadAndExecute/Write /Delete | Requis pour les sauvegardes | Sauvegarde |
1 Pour plus d’informations, consultez Emplacements de fichier et Mappage du Registre.
Autorisations de Registre
Clé de base : HKEY_LOCAL_MACHINE
| Clé de registre | Autorisation requise | Détails | Fonctionnalité |
|---|---|---|---|
SOFTWARE\Microsoft\Microsoft SQL Server |
Lire | Lisez les propriétés SQL Server comme installedInstances. |
Par défaut |
SOFTWARE\Microsoft\Microsoft SQL Server\<InstanceRegistryName>\MSSQLSERVER |
Contrôle total | ID Microsoft Entra et Purview. | Microsoft Entra ID Purview |
SOFTWARE\Microsoft\SystemCertificates |
Contrôle total | Obligatoire pour l’ID Microsoft Entra. | Microsoft Entra ID |
SYSTEM\CurrentControlSet\Services |
Lire | Nom du compte SQL Server. | Par défaut |
SOFTWARE\Microsoft\AzureDefender\SQL |
Lire | État d’Azure Defender et heure de la dernière mise à jour. | Par défaut |
SOFTWARE\Microsoft\SqlServerExtension |
Contrôle total | Valeurs associées à l’extension. | Par défaut |
SOFTWARE\Policies\Microsoft\Windows |
Lecture et écriture | Activation de la mise à jour automatique de Windows via l’extension. | Mises à jour automatiques |
Autorisations de groupe
NT Service\SQLServerExtension est ajouté aux applications d’extension d’agent hybride. Cela permet à l’établissement d’une liaison IMDS (Azure Instance Metadata Service) de récupérer le jeton d’identité managée de ressource machine requis pour communiquer avec les services de plan de données Azure tels que le service de traitement des données (DPS) et le point de terminaison de télémétrie pour l’utilisation de la facturation, les journaux d’extension et la surveillance de la collecte des données du tableau de bord.
Autorisations SQL
NT Service\SQLServerExtension est ajouté :
- En tant que connexion SQL à toutes les instances présentes actuellement sur l’ordinateur
- En tant qu’utilisateur dans chaque base de données
L’extension accorde également des autorisations aux objets d’instance et de base de données en tant que fonctionnalités activées. Le tableau ci-dessous fournit des détails.
Remarque
Les autorisations minimales dépendent des fonctionnalités activées. Les autorisations sont mises à jour lorsqu’elles ne sont plus nécessaires. Les autorisations nécessaires sont accordées lorsque les fonctionnalités sont activées.
Privilèges SQL par fonctionnalité
Configuration minimale requise
Ces autorisations sont requises pour le niveau de base des fonctionnalités fournies par l’extension Azure pour SQL Server et doivent être appliquées.
| Type d’objet | Nom de la base de données ou de l’objet | Privilège |
|---|---|---|
| Base de données | Maître | VIEW DATABASE STATE |
| Base de données | Msdb | ALTER ANY SCHEMA |
| Base de données | Msdb | CREATE TABLE |
| Base de données | Msdb | CREATE TYPE |
| Base de données | Msdb | DB DATA READER |
| Base de données | Msdb | DB DATA WRITER |
| Base de données | Msdb | EXECUTE |
| Base de données | Msdb | SELECT dbo.backupfile |
| Base de données | Msdb | SELECT dbo.backupmediaset |
| Base de données | Msdb | SELECT dbo.backupmediafamily |
| Base de données | Msdb | SELECT dbo.backupset |
| Base de données | Msdb | SELECT dbo.syscategories |
| Base de données | Msdb | SELECT dbo.sysjobactivity |
| Base de données | Msdb | SELECT dbo.sysjobhistory |
| Base de données | Msdb | SELECT dbo.sysjobs |
| Base de données | Msdb | SELECT dbo.sysjobsteps |
| Base de données | Msdb | SELECT dbo.syssessions |
| Base de données | Msdb | SELECT dbo.sysoperators |
| Base de données | Msdb | SELECT dbo.suspectpages |
| Serveur | CONNECT ANY DATABASE |
|
| Serveur | CONNECT SQL |
|
| Serveur | VIEW ANY DATABASE |
|
| Serveur | VIEW ANY DEFINITION |
|
| Serveur | VIEW SERVER STATE |
Évaluation des meilleures pratiques
L’évaluation des meilleures pratiques est désactivée par défaut. Si elle est activée, ces autorisations sont automatiquement accordées s’ils ne sont pas déjà accordés.
| Type d’objet | Nom de la base de données ou de l’objet | Privilège |
|---|---|---|
| Base de données | Maître | SELECT |
| Base de données | Maître | VIEW DATABASE STATE |
| Base de données | Msdb | SELECT |
| Serveur | VIEW ANY DATABASE |
|
| Serveur | VIEW ANY DEFINITION |
|
| Serveur | VIEW SERVER STATE |
|
| StoredProcedure | EnumErrorLogsSP | EXECUTE |
| StoredProcedure | ReadErrorLogsSP | EXECUTE |
Sauvegarde
Les sauvegardes automatisées sont désactivées par défaut. Les autorisations de sauvegarde sont accordées à n’importe quelle base de données pour laquelle les sauvegardes sont activées. L’activation de la fonctionnalité de sauvegarde active également la fonctionnalité de restauration dans le temps, de sorte que l’autorisation de créer une base de données est également accordée.
| Type d’objet | Nom de la base de données ou de l’objet | Privilège |
|---|---|---|
| Base de données | Toutes les bases de données | DB BACKUP OPERATOR |
| Serveur | CREATE ANY DATABASE |
|
| Serveur | Maître | DB CREATOR |
Groupes de disponibilité
Les fonctionnalités de découverte et de gestion du groupe de disponibilité, telles que le basculement, sont activées par défaut, mais elles peuvent être désactivées via l’indicateur de fonctionnalité AvailabilityGroupDiscovery.
| Type d’objet | Nom de la base de données ou de l’objet | Privilège |
|---|---|---|
| Serveur | ALTER ANY AVAILABILITY GROUP |
|
| Serveur | VIEW ANY DEFINITION |
Purview
Les fonctionnalités Purview sont désactivées par défaut.
| Type d’objet | Nom de la base de données ou de l’objet | Privilège |
|---|---|---|
| Base de données | Toutes les bases de données | EXECUTE |
| Base de données | Toutes les bases de données | SELECT |
| Serveur | CONNECT ANY DATABASE |
|
| Serveur | VIEW ANY DATABASE |
Évaluation de la migration
Les évaluations de migration sont activées par défaut. Si la fonctionnalité est désactivée, les autorisations ci-dessous sont supprimées, sauf si d’autres fonctionnalités activées les nécessitent.
| Type d’objet | Nom de la base de données ou de l’objet | Privilège |
|---|---|---|
| Base de données | Toutes les bases de données | SELECT sys.sqlexpressiondependencies |
| Base de données | Msdb | EXECUTE dbo.agentdatetime |
| Base de données | Msdb | SELECT dbo.syscategories |
| Base de données | Msdb | SELECT dbo.sysjobhistory |
| Base de données | Msdb | SELECT dbo.sysjobs |
| Base de données | Msdb | SELECT dbo.sysjobsteps |
| Base de données | Msdb | SELECT dbo.sysmailaccount |
| Base de données | Msdb | SELECT dbo.sysmailprofile |
| Base de données | Msdb | SELECT dbo.sysmailprofileaccount |
| Base de données | Msdb | SELECT dbo.syssubsystems |
Autorisations supplémentaires
- Autorisations pour le compte de service pour accéder au service d’extension et configurer la récupération automatique.
- Droits de connexion en tant que service au compte de service.