次の方法で共有

SQL Server 用の Azure 拡張機能の Windows サービス アカウントとアクセス許可を構成する

  • [アーティクル]

適用対象:SQL Server

この記事では、 NT Service\SQLServerExtension アカウントの SQL Server セットに対する Azure 拡張機能のアクセス許可の一覧を示します。 このアカウントは、Azure Arc で有効になっている SQL Server を最小限の特権で する場合に使用

Note

2024 年 11 月 リリース以降の拡張機能を持つ既存のサーバーには、最小限の特権構成が自動的に適用されます。 この適用は段階的に実施させていただきます。

最小特権の自動適用を防ぐには、2024 年 11 月 リリース以降への拡張機能のアップグレードをブロックします。

エージェント アカウントのアクセス許可を手動で設定することはサポートされていません。

拡張機能は、Azure portal で機能を有効にするとアクセス許可を設定します。 機能を有効にしない場合、拡張機能はその機能のアクセス許可を設定しません。 機能を無効にすると、拡張機能によってアクセス許可が削除されます。

SQL のアクセス許可 機能が有効になっているときに拡張機能によって付与される機能に関連付けられているアクセス許可の一覧が表示されます。

Note

NT Authority\System には、一覧表示されているディレクトリとレジストリ キーに対するアクセス許可を変更するためのアクセス許可が必要です。 これは、 NT Authority\System が最小限の特権モードで NT Service\SqlServerExtension アカウントに必要なアクセス権を付与できるようにするために必要です。

ディレクトリのアクセス許可

ディレクトリ パス 必要なアクセス許可 詳細 機能
<SystemDrive>\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SQLServer フル コントロール 拡張子に関連する dlls ファイルと exe ファイル。 既定値
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\RuntimeSettings フル コントロール 拡張機能の設定ファイル。 既定値
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status フル コントロール 拡張機能の状態ファイル。 既定値
C:\ProgramData\GuestConfig\extension_logs\Microsoft.AzureData.WindowsAgent.SqlServer フル コントロール 拡張ログ ファイル。 既定値
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status\HeartBeat.Json フル コントロール 拡張ハートビート ファイル。 既定値
%ProgramFiles%\Sql Server Extension フル コントロール 拡張サービス ファイル。 既定値
<SystemDrive>\Windows\system32\extensionUpload フル コントロール 課金に必要な使用状況ファイルを書き込むには必要です。 既定値
<SystemDrive>\Windows\system32\ExtensionHandler.log フル コントロール 拡張機能によって作成されたログ前フォルダー。 既定値
<ProgramData>\AzureConnectedMachineAgent\Config 既読 Arc 構成ファイル ディレクトリ。 既定値
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft SQL Server Extension Agent フル コントロール 評価レポートと状態を記述するために必要です。 既定値
SQL ログ ディレクトリ (レジストリで設定) 1:
C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\log		 既読 SQL ログから SQL 仮想コア情報を抽出するために必要です。 既定値
SQL バックアップ ディレクトリ (レジストリに設定) 1:
C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\Backup		 ReadAndExecute/Write /Delete バックアップに必要 バックアップ

1 詳細については、「 ファイルの場所とレジストリ マッピングを参照してください。

レジストリの権限

基本キー: HKEY_LOCAL_MACHINE

レジストリ キー 必要なアクセス許可 詳細 機能
SOFTWARE\Microsoft\Microsoft SQL Server 既読 installedInstancesなどの SQL Server プロパティを読み取ります。 既定値
SOFTWARE\Microsoft\Microsoft SQL Server\<InstanceRegistryName>\MSSQLSERVER フル コントロール Microsoft Entra ID と Purview。 Microsoft Entra ID

Purview
SOFTWARE\Microsoft\SystemCertificates フル コントロール Microsoft Entra ID に必要です。 Microsoft Entra ID
SYSTEM\CurrentControlSet\Services 既読 SQL Server アカウント名。 既定値
SOFTWARE\Microsoft\AzureDefender\SQL 既読 Azure Defender の状態と最終更新時刻。 既定値
SOFTWARE\Microsoft\SqlServerExtension フル コントロール 拡張機能に関連する値。 既定値
SOFTWARE\Policies\Microsoft\Windows 読み取りと書き込み 拡張機能を使用して Windows の自動更新を有効にする。 自動更新

グループのアクセス許可

NT Service\SQLServerExtension は、ハイブリッド エージェント拡張機能アプリケーションに追加されます。 これにより、Azure Instance Metadata Service (IMDS) ハンドシェイクは、データ処理サービス (DPS) や課金の使用状況、拡張機能ログ、ダッシュボード データ収集の監視のために Azure データ プレーン サービスと通信するために必要なマシン リソースマネージド ID トークンを取得できます。

SQL アクセス許可

NT Service\SQLServerExtension が追加されます。

  • マシン上に現在存在するすべてのインスタンスへの SQL ログインとして
  • 各データベースのユーザーとして

拡張機能は、機能が有効になっているとき、インスタンス オブジェクトとデータベース オブジェクトへのアクセス許可も付与します。 次の表に詳細を示します。

Note

最小アクセス許可は、有効な機能によって異なります。 アクセス許可は、不要になったときに更新されます。 機能が有効になっている場合、必要なアクセス許可が付与されます。

機能別の SQL 特権

最小システム要件

これらのアクセス許可は、Azure Extension for SQL Server によって提供される基本的なレベルの機能に必要であり、適用する必要があります。

オブジェクトの種類 データベース名またはオブジェクト名 特権
データベース 主人 VIEW DATABASE STATE
データベース Msdb ALTER ANY SCHEMA
データベース Msdb CREATE TABLE
データベース Msdb CREATE TYPE
データベース Msdb DB DATA READER
データベース Msdb DB DATA WRITER
データベース Msdb EXECUTE
データベース Msdb SELECT dbo.backupfile
データベース Msdb SELECT dbo.backupmediaset
データベース Msdb SELECT dbo.backupmediafamily
データベース Msdb SELECT dbo.backupset
データベース Msdb SELECT dbo.syscategories
データベース Msdb SELECT dbo.sysjobactivity
データベース Msdb SELECT dbo.sysjobhistory
データベース Msdb SELECT dbo.sysjobs
データベース Msdb SELECT dbo.sysjobsteps
データベース Msdb SELECT dbo.syssessions
データベース Msdb SELECT dbo.sysoperators
データベース Msdb SELECT dbo.suspectpages
サーバー CONNECT ANY DATABASE
サーバー CONNECT SQL
サーバー VIEW ANY DATABASE
サーバー VIEW ANY DEFINITION
サーバー VIEW SERVER STATE

ベスト プラクティス評価

ベスト プラクティスの評価は、既定では無効になっています。 有効になっている場合、これらのアクセス許可がまだ付与されていない場合、これらのアクセス許可は自動的に付与されます。

オブジェクトの種類 データベース名またはオブジェクト名 特権
データベース 主人 SELECT
データベース 主人 VIEW DATABASE STATE
データベース Msdb SELECT
サーバー VIEW ANY DATABASE
サーバー VIEW ANY DEFINITION
サーバー VIEW SERVER STATE
StoredProcedure EnumErrorLogsSP EXECUTE
StoredProcedure ReadErrorLogsSP EXECUTE

バックアップ

自動バックアップは既定で無効になっています。 バックアップのアクセス許可は、バックアップが有効になっているすべてのデータベースに付与されます。 バックアップ機能を有効にすると、特定の時点の復元機能も有効になるため、データベースを作成する権限も付与されます。

オブジェクトの種類 データベース名またはオブジェクト名 特権
データベース すべてのデータベース DB BACKUP OPERATOR
サーバー CREATE ANY DATABASE
サーバー 主人 DB CREATOR

可用性グループ

フェールオーバーなどの可用性グループの検出と管理機能は既定で有効になっていますが、AvailabilityGroupDiscovery 機能フラグを使用して無効にすることができます。

オブジェクトの種類 データベース名またはオブジェクト名 特権
サーバー ALTER ANY AVAILABILITY GROUP
サーバー VIEW ANY DEFINITION

Purview

Purview 機能は既定で無効になっています。

オブジェクトの種類 データベース名またはオブジェクト名 特権
データベース すべてのデータベース EXECUTE
データベース すべてのデータベース SELECT
サーバー CONNECT ANY DATABASE
サーバー VIEW ANY DATABASE

移行の評価

移行評価は既定で有効になっています。 この機能が無効になっている場合、有効になっている他の機能で必要な場合を除き、以下のアクセス許可は削除されます。

オブジェクトの種類 データベース名またはオブジェクト名 特権
データベース すべてのデータベース SELECT sys.sqlexpressiondependencies
データベース Msdb EXECUTE dbo.agentdatetime
データベース Msdb SELECT dbo.syscategories
データベース Msdb SELECT dbo.sysjobhistory
データベース Msdb SELECT dbo.sysjobs
データベース Msdb SELECT dbo.sysjobsteps
データベース Msdb SELECT dbo.sysmailaccount
データベース Msdb SELECT dbo.sysmailprofile
データベース Msdb SELECT dbo.sysmailprofileaccount
データベース Msdb SELECT dbo.syssubsystems

追加の権限

  • 拡張機能サービスにアクセスし、自動回復を構成するためのサービス アカウントへのアクセス許可。
  • サービス アカウントに対するサービスとしてのログオン権限。

関連するコンテンツ