SQL の検出と評価のために、最小限の特権でカスタム アカウントをプロビジョニングする
この記事では、検出と評価のための最小限のアクセス許可を持つカスタム アカウントを作成する方法について説明します。
検出の準備段階では、Azure Migrate アプライアンスに SQL Server インスタンスとの接続を確立するためのアカウントを構成する必要があります。 sysadmin 権限を持つアカウントの使用を避けたい場合は、検出と評価に必要なメタデータを取得するために必要な最小限のアクセス許可セット持つカスタム アカウントを作成できます。 SQL の検出と評価のために、このカスタム アカウントをアプライアンス構成に追加します。 最小特権アカウント プロビジョニング ユーティリティは、これらのカスタム アカウントのプロビジョニングに役立ちます。
前提条件
SQL Server インスタンスの一覧を使用して準備された CSV。 一覧表示されているすべての SQL Server で TCP/IP プロトコルが有効になっていることを確認します。
CSV に一覧表示されたすべての SQL Server インスタンスに対する sysadmin 権限を持つアカウント。
Note
- この管理者レベルのアカウントは、最少特権アカウントのプロビジョニングにのみ使用されます。 最小特権アカウントが作成されたら、実際の検出と評価のために、それをアプライアンス構成に指定します。
- 管理者レベルのアカウントが複数必要な場合は、同じ CSV ファイルを使用して、次の管理者レベルの資格情報でユーティリティを再度実行します。 既に正常に更新されているインスタンスはスキップされます。 すべての SQL インスタンスの [状態] フィールドが [成功] に設定されているまで、さまざまな管理者レベルの資格情報でこの操作を繰り返します。
SQL Server インスタンスの一覧を準備する
このユーティリティでは、指定された順序で次の列を含む CSV として作成された SQL Server インスタンスの一覧が必要になります。
- FqdnOrIpAddress (必須): このフィールドには、SQL Server インスタンスを実行しているサーバーの完全修飾ドメイン名 (または必要に応じて、SQL Server 認証用の IP アドレス) が含まれている必要があります。
- InstanceName (必須): このフィールドには、名前付きインスタンスの場合はインスタンス名、既定のインスタンスの場合は MSSQLSERVER を含める必要があります。
- ポート (必須): SQL Server がリッスンしているポート。
- 状態 (省略可能/出力): このフィールドは、最初は空白のままにしておくことができます。 ここで「Success」以外の値を指定すると、ユーティリティは対応するインスタンスに対して最小特権アカウントのプロビジョニングを試みます。 成功か失敗かは、実行終了時にこのフィールドで更新されます。
- ErrorSummary (省略可能/出力): 空白のままにします。 ユーティリティは、最小特権アカウントのプロビジョニング中に発生したエラー (ある場合) の概要情報でこのフィールドを更新します。
- ErrorGuidance (省略可能/出力): 空白のままにします。 ユーティリティは、最小特権アカウントのプロビジョニング中に発生したエラー メッセージ (ある場合) の詳細情報でこのフィールドを更新します。
カスタム アカウントのプロビジョニング
- コマンド プロンプトを開き、%ProgramFiles%\Microsoft Azure Appliance Configuration Manager\Tools\SQLMinPrivilege フォルダーに移動します。
- 次のコマンドを使用して、最小特権アカウント プロビジョニング ユーティリティを起動します:
MinimumPrivilegedUser.exe
- AzureMigrate アプライアンスから実行している場合は 1、それ以外の場合は 2 を入力して、環境の種類を選択します。
- SQL Server インスタンスの CSV 一覧へのパスを入力します。
- カスタム アカウントのカスタム セキュリティ識別子 (SID) を作成するための一意識別子 (GUID) を指定します。 ユーティリティのすべての実行に同じ既知の GUID を使用することをお勧めします。 たとえば、Azure サブスクリプション ID を使用できます。
- 管理者レベルのアクセス許可を持つアカウントの資格情報を入力します。
- "SQL アカウント" の場合は 1、"Windows/ドメイン アカウント" の場合は 2 を入力して、資格情報の種類を選択します。
- 管理者レベルのアカウントのユーザー名とパスワードを入力する
- ここで、作成する最小特権アカウントの資格情報を入力します。
- "SQL アカウント" の場合は 1、"Windows/ドメイン アカウント" の場合は 2 を入力して、資格情報の種類を選択します。
- 前の手順で "SQL アカウント" を選択した場合、一覧にある SQL Server インスタンスで SQL Server 認証 (混合モード) が有効になっている必要があります。 一覧にある SQL Server インスタンスで SQL 認証が有効になっていない場合、スクリプトはオプションでアカウントをプロビジョニングし、SQL 認証を有効にすることができます。 ただし、新しい SQL アカウントを使用する前に、インスタンスを再起動する必要があります。 SQL アカウントのプロビジョニングを続行しない場合は、N または n を入力して前の手順に戻り、もう一度資格情報の種類を選択します。
- プロビジョニングする最小特権アカウントのユーザー名とパスワードを入力します。
- 使用する管理者レベルの資格情報がさらに存在する場合は、同じ CSV ファイルを使用して再度開始します。 ユーティリティは、正常に構成されたインスタンスをスキップします。
Note
Azure Migrate Appliance の構成を簡素化するために、同じ最小特権アカウントの資格情報を使用することをお勧めします。
検出と評価にカスタム アカウントを使用する
これで、カスタム アカウントがプロビジョニングされたので、アプライアンス構成でこの資格情報を入力します。
次のステップ
Azure SQL に移行するために、SQL Server を実行しているサーバーを評価する方法について学習します。