Partager via

Approvisionner des comptes personnalisés avec des privilèges minimum pour la découverte et l’évaluation SQL

  • Article

Cet article explique comment créer un compte personnalisé avec des autorisations minimales pour la découverte et l’évaluation.

Dans le cadre de la préparation à la découverte, l’appliance Azure Migrate doit être configurée avec les comptes pour l’établissement des connexions avec les instances SQL Server. Si vous préférez éviter d’utiliser des comptes avec des privilèges sysadmin, un compte personnalisé avec un ensemble minimal d’autorisations requises pour obtenir les métadonnées nécessaires à la découverte et à l’évaluation peut être créé. Ajoutez ce compte personnalisé dans la configuration de l’appliance pour la découverte et l’évaluation SQL. L’utilitaire d’approvisionnement de compte le moins privilégié peut aider à approvisionner ces comptes personnalisés.

Prérequis

  • Un fichier CSV préparé avec la liste des instances SQL Server. Vérifiez que tous les serveurs SQL répertoriés ont le protocole TCP/IP activé.

  • Des comptes disposant d’autorisations sysadmin sur toutes les instances SQL Server répertoriées dans le fichier CSV.

    Remarque

    • Le compte de niveau administrateur est utilisé uniquement pour approvisionner le compte le moins privilégié. Une fois le compte le moins privilégié créé, spécifiez-le dans la configuration de l’appliance pour la découverte et l’évaluation réelles.
    • Si plusieurs comptes de niveau administrateur sont requis, utilisez le même fichier CSV pour réexécuter l’utilitaire avec les informations d’identification de niveau administrateur suivantes. Les instances qui ont déjà été mises à jour sont ignorées. Répétez cette opération avec des informations d’identification de niveau administrateur différentes jusqu’à ce que toutes les instances SQL aient le champ Status défini sur Success.

Préparer la liste des instances SQL Server

L’utilitaire requiert que la liste des instances SQL Server soit créée au format CSV avec les colonnes suivantes dans l’ordre indiqué :

  1. FqdnOrIpAddress (obligatoire) : ce champ doit contenir le nom de domaine complet (ou éventuellement l’adresse IP pour l’authentification SQL Server) du serveur sur lequel l’instance SQL Server s’exécute.
  2. InstanceName (obligatoire) : ce champ doit contenir le nom d’instance d’une instance nommée ou MSSQLSERVER pour une instance par défaut.
  3. Port (obligatoire) : port sur lequel SQL Server écoute.
  4. Status (facultatif/sortie) : ce champ peut être laissé vide initialement. Toute valeur ici autre que Success permet à l’utilitaire de tenter d’approvisionner le compte le moins privilégié sur l’instance correspondante. La valeur de réussite ou d’échec est ensuite mise à jour dans ce champ à la fin de l’exécution.
  5. ErrorSummary (facultatif/sortie) : laissez ce champ vide. L’utilitaire met à jour ce champ avec un résumé des erreurs (le cas échéant) rencontrées lors de l’approvisionnement du compte le moins privilégié.
  6. ErrorGuidance (facultatif/sortie) : laissez ce champ vide. L’utilitaire met à jour ce champ avec les messages d’erreur détaillés (le cas échéant) rencontrés lors de l’approvisionnement du compte le moins privilégié.

Approvisionner les comptes personnalisés

  1. Ouvrez une invite de commandes et accédez au dossier %ProgramFiles%\Microsoft Azure Appliance Configuration Manager\Tools\SQLMinPrivilege.
  2. Lancez l’utilitaire d’approvisionnement de compte le moins privilégié à l’aide de la commande MinimumPrivilegedUser.exe.
  3. Sélectionnez le type d’environnement en entrant 1 si vous l’exécutez à partir d’une appliance AzureMigrate, ou 2 dans le cas contraire.
  4. Indiquez le chemin d’accès à la liste CSV des instances SQL Server.
  5. Fournissez un identificateur unique (GUID) pour la création d’un identificateur de sécurité personnalisé (SID) pour le compte personnalisé. Nous vous recommandons d’utiliser le même GUID bien connu pour toutes les exécutions de l’utilitaire. Par exemple, vous pouvez utiliser l’ID d’abonnement Azure.
  6. Fournissez les informations d’identification du compte avec des autorisations de niveau administrateur.
    1. Sélectionnez le type d’informations d’identification en entrant 1 pour Compte SQL ou 2 pour Compte de domaine/Windows.
    2. Indiquez le nom d’utilisateur et le mot de passe du compte de niveau administrateur
  7. Fournissez maintenant les informations d’identification pour le compte le moins privilégié à créer.
    1. Sélectionnez le type d’informations d’identification en entrant 1 pour Compte SQL ou 2 pour Compte de domaine/Windows.
    2. Si vous avez choisi Compte SQL à l’étape précédente, les instances SQL Server de la liste doivent avoir l’authentification SQL Server (mode mixte) activée. Si une instance SQL Server de la liste n’a pas l’authentification SQL activée, le script peut éventuellement approvisionner quand même le compte et activer l’authentification SQL. Toutefois, l’instance doit être redémarrée avant l’utilisation du nouveau compte SQL. Si vous ne souhaitez pas procéder à l’approvisionnement du compte SQL, entrez N ou n pour revenir à l’étape précédente, et choisissez à nouveau le type d’informations d’identification.
    3. Indiquez le nom d’utilisateur et le mot de passe du compte le moins privilégié à approvisionner.
  8. S’il existe davantage d’informations d’identification de niveau administrateur à utiliser, recommencez avec le même fichier CSV. L’utilitaire ignore les instances correctement configurées.

Remarque

Nous vous recommandons d’utiliser les mêmes informations d’identification de compte le moins privilégié pour simplifier la configuration de l’appliance Azure Migrate.

Utiliser un compte personnalisé pour la découverte et l’évaluation

Maintenant que le compte personnalisé est approvisionné, fournissez ces informations d’identification dans la configuration de l’appliance.

Étapes suivantes

Découvrez comment évaluer les serveurs exécutant SQL Server à migrer vers Azure SQL.