Configurer des comptes de service Windows et des autorisations pour l’extension Azure pour SQL Server
S'applique à : SQL Server
Cet article répertorie les autorisations d’extension Azure pour les jeux SQL Server pour le NT Service\SQLServerExtension
compte. Ce compte est utilisé lorsque vous utilisez SQL Server activé par Azure Arc avec des privilèges minimum.
Remarque
Les serveurs existants avec l’extension de la version de novembre 2024 ou une version ultérieure auront automatiquement une configuration avec privilèges minimum. Cette application se produira progressivement.
Pour empêcher l’application automatique des privilèges minimum, bloquez les mises à niveau d’extension vers la version de novembre 2024.
La définition manuelle des autorisations pour le compte d’agent n’est pas prise en charge.
L’extension définit les autorisations lorsque vous activez des fonctionnalités sur le Portail Azure. Si vous n’activez pas de fonctionnalité, l’extension ne définit pas les autorisations pour cette fonctionnalité. Si vous désactivez une fonctionnalité, l’extension supprime les autorisations.
Les autorisations SQL répertorient les autorisations liées aux fonctionnalités accordées par l’extension lorsque les fonctionnalités sont activées.
Remarque
NT Authority\System
doit avoir accès à la modification des autorisations sur les répertoires répertoriés et les clés de Registre. Cela est nécessaire pour pouvoir NT Authority\System
accorder l’accès requis au NT Service\SqlServerExtension
compte pour le mode privilèges minimum.
Autorisations d’annuaire
Chemin du répertoire | Autorisations requises | Détails | Fonctionnalité |
---|---|---|---|
<SystemDrive>\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SQLServer |
Contrôle total | Dll et fichiers exe associés à l’extension. | Par défaut |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\RuntimeSettings |
Contrôle total | Fichier de paramètres d’extension. | Par défaut |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status |
Contrôle total | Fichier d’état de l’extension. | Par défaut |
C:\ProgramData\GuestConfig\extension_logs\Microsoft.AzureData.WindowsAgent.SqlServer |
Contrôle total | Fichiers journaux d’extension. | Par défaut |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status\HeartBeat.Json |
Contrôle total | Fichier de pulsation d’extension. | Par défaut |
%ProgramFiles%\Sql Server Extension |
Contrôle total | Fichiers de service d’extension. | Par défaut |
<SystemDrive>\Windows\system32\extensionUpload |
Contrôle total | Requis pour écrire le fichier d’utilisation nécessaire à la facturation. | Par défaut |
<SystemDrive>\Windows\system32\ExtensionHandler.log |
Contrôle total | Dossier de pré-journal créé par l’extension. | Par défaut |
<ProgramData>\AzureConnectedMachineAgent\Config |
Lire | Répertoire des fichiers de configuration Arc. | Par défaut |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft SQL Server Extension Agent |
Contrôle total | Requis pour écrire des rapports d’évaluation et un état. | Par défaut |
Répertoire du journal SQL (tel que défini dans le Registre) 1 :C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\log |
Lire | Requis pour extraire des informations sql vCores à partir des journaux SQL. | Par défaut |
Répertoire de sauvegarde SQL (tel que défini dans le Registre) 1 :C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\Backup |
ReadAndExecute/Write /Delete | Requis pour les sauvegardes | Sauvegarde |
1 Pour plus d’informations, consultez Emplacements de fichier et Mappage du Registre.
Autorisations de Registre
Clé de base : HKEY_LOCAL_MACHINE
Clé de registre | Autorisation requise | Détails | Fonctionnalité |
---|---|---|---|
SOFTWARE\Microsoft\Microsoft SQL Server |
Lire | Lisez les propriétés SQL Server comme installedInstances . |
Par défaut |
SOFTWARE\Microsoft\Microsoft SQL Server\<InstanceRegistryName>\MSSQLSERVER |
Contrôle total | ID Microsoft Entra et Purview. | Microsoft Entra ID Purview |
SOFTWARE\Microsoft\SystemCertificates |
Contrôle total | Obligatoire pour l’ID Microsoft Entra. | Microsoft Entra ID |
SYSTEM\CurrentControlSet\Services |
Lire | Nom du compte SQL Server. | Par défaut |
SOFTWARE\Microsoft\AzureDefender\SQL |
Lire | État d’Azure Defender et heure de la dernière mise à jour. | Par défaut |
SOFTWARE\Microsoft\SqlServerExtension |
Contrôle total | Valeurs associées à l’extension. | Par défaut |
SOFTWARE\Policies\Microsoft\Windows |
Lecture et écriture | Activation de la mise à jour automatique de Windows via l’extension. | Mises à jour automatiques |
Autorisations de groupe
NT Service\SQLServerExtension
est ajouté aux applications d’extension d’agent hybride. Prend en charge l’établissement d’une liaison imDS (Azure Instance Metadata Service).
Autorisations SQL
NT Service\SQLServerExtension
est ajouté :
- En tant que connexion SQL à toutes les instances présentes actuellement sur l’ordinateur
- En tant qu’utilisateur dans chaque base de données
L’extension accorde également des autorisations aux objets d’instance et de base de données en tant que fonctionnalités activées. Le tableau ci-dessous fournit des détails.
Fonctionnalité | Autorisation | Niveau | Exigence |
---|---|---|---|
Par défaut | VIEW DATABASE STATE |
Niveau serveur | Essential |
VIEW SERVER STATE |
Niveau serveur | Essential | |
CONNECT SQL |
Niveau serveur | Essential | |
Base de données en tant que ressource | Rôle public par défaut | Niveau du serveur (cela est accordé par défaut aux connexions nouvellement ajoutées) | Essential |
Évaluation des bonnes pratiques | VIEW ANY DEFINITION |
Niveau serveur | Dépendant de la fonctionnalité |
VIEW ANY DATABASE |
Niveau serveur | Dépendant de la fonctionnalité | |
SELECT |
master |
Dépendant de la fonctionnalité | |
SELECT |
msdb |
Dépendant de la fonctionnalité | |
EXECUTE ON sys.xp_enumerrorlogs |
master |
Dépendant de la fonctionnalité | |
EXECUTE ON sys.xp_readerrorlog |
master |
Dépendant de la fonctionnalité | |
Sauvegarde | CREATE ANY DATABASE |
Niveau serveur | Dépendant de la fonctionnalité |
rôle db_backupoperator | Toutes les bases de données | Dépendant de la fonctionnalité | |
dbcreator | Rôle serveur | Dépendant de la fonctionnalité | |
Plan de contrôle Azure | CREATE TABLE |
msdb |
Essential |
ALTER ANY SCHEMA |
msdb |
Essential | |
CREATE TYPE |
msdb |
Essential | |
EXECUTE |
msdb |
Essential | |
rôle db_datawriter | msdb |
Dépendant de la fonctionnalité | |
rôle db_datareader | msdb |
Dépendant de la fonctionnalité | |
Découverte de groupes de disponibilité | VIEW ANY DEFINITION |
Niveau serveur | Essential |
Purview | SELECT |
Toutes les bases de données | Dépendant de la fonctionnalité |
EXECUTE |
Toutes les bases de données | Dépendant de la fonctionnalité | |
CONNECT ANY DATABASE |
Niveau serveur | Dépendant de la fonctionnalité | |
VIEW ANY DATABASE |
Niveau serveur | Dépendant de la fonctionnalité | |
Surveillance | SELECT dbo.sysjobactivity |
msdb |
Essential |
SELECT dbo.sysjobs |
msdb |
Essential | |
SELECT dbo.syssessions |
msdb |
Essential | |
SELECT dbo.sysjobHistory |
msdb |
Essential | |
SELECT dbo.sysjobSteps |
msdb |
Essential | |
SELECT dbo.syscategories |
msdb |
Essential | |
SELECT dbo.sysoperators |
msdb |
Essential | |
SELECT dbo.suspectpages |
msdb |
Essential | |
SELECT dbo.backupset |
msdb |
Essential | |
SELECT dbo.backupmediaset |
msdb |
Essential | |
SELECT dbo.backupmediafamily |
msdb |
Essential | |
SELECT dbo.backupfile |
msdb |
Essential | |
CONNECT ANY DATABASE |
Niveau serveur | Essential | |
VIEW ANY DATABASE |
Niveau serveur | Essential | |
VIEW ANY DEFINITION |
Niveau serveur | Essential | |
Évaluation de la migration | EXECUTE dbo.agent_datetime |
msdb |
Essential |
SELECT dbo.syscategories |
msdb |
Essential | |
SELECT dbo.sysjobHistory |
msdb |
Essential | |
SELECT dbo.sysjobs |
msdb |
Essential | |
SELECT dbo.sysjobSteps |
msdb |
Essential | |
SELECT dbo.sysmail_account |
msdb |
Essential | |
SELECT dbo.sysmail_profile |
msdb |
Essential | |
SELECT dbo.sysmail_profileaccount |
msdb |
Essential | |
SELECT dbo.syssubsystems |
msdb |
Essential | |
SELECT sys.sql_expression_dependencies |
Toutes les bases de données | Essential |
Remarque
Les autorisations minimales dépendent des fonctionnalités activées. Les autorisations sont mises à jour lorsqu’elles ne sont plus nécessaires. Les autorisations nécessaires sont accordées lorsque les fonctionnalités sont activées.
Autorisations supplémentaires
- Autorisations pour le compte de service pour accéder au service d’extension et configurer la récupération automatique.
- Droits de connexion en tant que service au compte de service.