Partager via


Configurer des comptes de service Windows et des autorisations pour l’extension Azure pour SQL Server

S'applique à : SQL Server

Cet article répertorie les autorisations d’extension Azure pour les jeux SQL Server pour le NT Service\SQLServerExtension compte. Ce compte est utilisé lorsque vous utilisez SQL Server activé par Azure Arc avec des privilèges minimum.

Remarque

Les serveurs existants avec l’extension de la version de novembre 2024 ou une version ultérieure auront automatiquement une configuration avec privilèges minimum. Cette application se produira progressivement.

Pour empêcher l’application automatique des privilèges minimum, bloquez les mises à niveau d’extension vers la version de novembre 2024.

La définition manuelle des autorisations pour le compte d’agent n’est pas prise en charge.

L’extension définit les autorisations lorsque vous activez des fonctionnalités sur le Portail Azure. Si vous n’activez pas de fonctionnalité, l’extension ne définit pas les autorisations pour cette fonctionnalité. Si vous désactivez une fonctionnalité, l’extension supprime les autorisations.

Les autorisations SQL répertorient les autorisations liées aux fonctionnalités accordées par l’extension lorsque les fonctionnalités sont activées.

Remarque

NT Authority\System doit avoir accès à la modification des autorisations sur les répertoires répertoriés et les clés de Registre. Cela est nécessaire pour pouvoir NT Authority\System accorder l’accès requis au NT Service\SqlServerExtension compte pour le mode privilèges minimum.

Autorisations d’annuaire

Chemin du répertoire Autorisations requises Détails Fonctionnalité
<SystemDrive>\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SQLServer Contrôle total Dll et fichiers exe associés à l’extension. Par défaut
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\RuntimeSettings Contrôle total Fichier de paramètres d’extension. Par défaut
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status Contrôle total Fichier d’état de l’extension. Par défaut
C:\ProgramData\GuestConfig\extension_logs\Microsoft.AzureData.WindowsAgent.SqlServer Contrôle total Fichiers journaux d’extension. Par défaut
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status\HeartBeat.Json Contrôle total Fichier de pulsation d’extension. Par défaut
%ProgramFiles%\Sql Server Extension Contrôle total Fichiers de service d’extension. Par défaut
<SystemDrive>\Windows\system32\extensionUpload Contrôle total Requis pour écrire le fichier d’utilisation nécessaire à la facturation. Par défaut
<SystemDrive>\Windows\system32\ExtensionHandler.log Contrôle total Dossier de pré-journal créé par l’extension. Par défaut
<ProgramData>\AzureConnectedMachineAgent\Config Lire Répertoire des fichiers de configuration Arc. Par défaut
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft SQL Server Extension Agent Contrôle total Requis pour écrire des rapports d’évaluation et un état. Par défaut
Répertoire du journal SQL (tel que défini dans le Registre) 1 :
C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\log
Lire Requis pour extraire des informations sql vCores à partir des journaux SQL. Par défaut
Répertoire de sauvegarde SQL (tel que défini dans le Registre) 1 :
C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\Backup
ReadAndExecute/Write /Delete Requis pour les sauvegardes Sauvegarde

1 Pour plus d’informations, consultez Emplacements de fichier et Mappage du Registre.

Autorisations de Registre

Clé de base : HKEY_LOCAL_MACHINE

Clé de registre Autorisation requise Détails Fonctionnalité
SOFTWARE\Microsoft\Microsoft SQL Server Lire Lisez les propriétés SQL Server comme installedInstances. Par défaut
SOFTWARE\Microsoft\Microsoft SQL Server\<InstanceRegistryName>\MSSQLSERVER Contrôle total ID Microsoft Entra et Purview. Microsoft Entra ID

Purview
SOFTWARE\Microsoft\SystemCertificates Contrôle total Obligatoire pour l’ID Microsoft Entra. Microsoft Entra ID
SYSTEM\CurrentControlSet\Services Lire Nom du compte SQL Server. Par défaut
SOFTWARE\Microsoft\AzureDefender\SQL Lire État d’Azure Defender et heure de la dernière mise à jour. Par défaut
SOFTWARE\Microsoft\SqlServerExtension Contrôle total Valeurs associées à l’extension. Par défaut
SOFTWARE\Policies\Microsoft\Windows Lecture et écriture Activation de la mise à jour automatique de Windows via l’extension. Mises à jour automatiques

Autorisations de groupe

NT Service\SQLServerExtension est ajouté aux applications d’extension d’agent hybride. Prend en charge l’établissement d’une liaison imDS (Azure Instance Metadata Service).

Autorisations SQL

NT Service\SQLServerExtension est ajouté :

  • En tant que connexion SQL à toutes les instances présentes actuellement sur l’ordinateur
  • En tant qu’utilisateur dans chaque base de données

L’extension accorde également des autorisations aux objets d’instance et de base de données en tant que fonctionnalités activées. Le tableau ci-dessous fournit des détails.

Fonctionnalité Autorisation Niveau Exigence
Par défaut VIEW DATABASE STATE Niveau serveur Essential
VIEW SERVER STATE Niveau serveur Essential
CONNECT SQL Niveau serveur Essential
Base de données en tant que ressource Rôle public par défaut Niveau du serveur (cela est accordé par défaut aux connexions nouvellement ajoutées) Essential
Évaluation des bonnes pratiques VIEW ANY DEFINITION Niveau serveur Dépendant de la fonctionnalité
VIEW ANY DATABASE Niveau serveur Dépendant de la fonctionnalité
SELECT master Dépendant de la fonctionnalité
SELECT msdb Dépendant de la fonctionnalité
EXECUTE ON sys.xp_enumerrorlogs master Dépendant de la fonctionnalité
EXECUTE ON sys.xp_readerrorlog master Dépendant de la fonctionnalité
Sauvegarde CREATE ANY DATABASE Niveau serveur Dépendant de la fonctionnalité
rôle db_backupoperator Toutes les bases de données Dépendant de la fonctionnalité
dbcreator Rôle serveur Dépendant de la fonctionnalité
Plan de contrôle Azure CREATE TABLE msdb Essential
ALTER ANY SCHEMA msdb Essential
CREATE TYPE msdb Essential
EXECUTE msdb Essential
rôle db_datawriter msdb Dépendant de la fonctionnalité
rôle db_datareader msdb Dépendant de la fonctionnalité
Découverte de groupes de disponibilité VIEW ANY DEFINITION Niveau serveur Essential
Purview SELECT Toutes les bases de données Dépendant de la fonctionnalité
EXECUTE Toutes les bases de données Dépendant de la fonctionnalité
CONNECT ANY DATABASE Niveau serveur Dépendant de la fonctionnalité
VIEW ANY DATABASE Niveau serveur Dépendant de la fonctionnalité
Surveillance SELECT dbo.sysjobactivity msdb Essential
SELECT dbo.sysjobs msdb Essential
SELECT dbo.syssessions msdb Essential
SELECT dbo.sysjobHistory msdb Essential
SELECT dbo.sysjobSteps msdb Essential
SELECT dbo.syscategories msdb Essential
SELECT dbo.sysoperators msdb Essential
SELECT dbo.suspectpages msdb Essential
SELECT dbo.backupset msdb Essential
SELECT dbo.backupmediaset msdb Essential
SELECT dbo.backupmediafamily msdb Essential
SELECT dbo.backupfile msdb Essential
CONNECT ANY DATABASE Niveau serveur Essential
VIEW ANY DATABASE Niveau serveur Essential
VIEW ANY DEFINITION Niveau serveur Essential
Évaluation de la migration EXECUTE dbo.agent_datetime msdb Essential
SELECT dbo.syscategories msdb Essential
SELECT dbo.sysjobHistory msdb Essential
SELECT dbo.sysjobs msdb Essential
SELECT dbo.sysjobSteps msdb Essential
SELECT dbo.sysmail_account msdb Essential
SELECT dbo.sysmail_profile msdb Essential
SELECT dbo.sysmail_profileaccount msdb Essential
SELECT dbo.syssubsystems msdb Essential
SELECT sys.sql_expression_dependencies Toutes les bases de données Essential

Remarque

Les autorisations minimales dépendent des fonctionnalités activées. Les autorisations sont mises à jour lorsqu’elles ne sont plus nécessaires. Les autorisations nécessaires sont accordées lorsque les fonctionnalités sont activées.

Autorisations supplémentaires

  • Autorisations pour le compte de service pour accéder au service d’extension et configurer la récupération automatique.
  • Droits de connexion en tant que service au compte de service.