SQL Server 用の Azure 拡張機能の Windows サービス アカウントとアクセス許可を構成する
適用対象: SQL Server
この記事では、 NT Service\SQLServerExtension
アカウントの SQL Server セットに対する Azure 拡張機能のアクセス許可の一覧を示します。 このアカウントは、Azure Arc で有効になっている SQL Server を最小限の特権で する場合に使用。
Note
2024 年 11 月 リリース以降の拡張機能を持つ既存のサーバーには、最小限の特権構成が自動的に適用されます。 この適用は段階的に実施させていただきます。
最小特権の自動適用を防ぐには、2024 年 11 月 リリース以降への拡張機能のアップグレードをブロックします。
エージェント アカウントのアクセス許可を手動で設定することはサポートされていません。
拡張機能は、Azure portal で機能を有効にするとアクセス許可を設定します。 機能を有効にしない場合、拡張機能はその機能のアクセス許可を設定しません。 機能を無効にすると、拡張機能によってアクセス許可が削除されます。
SQL のアクセス許可 機能が有効になっているときに拡張機能によって付与される機能に関連付けられているアクセス許可の一覧が表示されます。
Note
NT Authority\System
には、一覧表示されているディレクトリとレジストリ キーに対するアクセス許可を変更するためのアクセス許可が必要です。 これは、 NT Authority\System
が最小限の特権モードで NT Service\SqlServerExtension
アカウントに必要なアクセス権を付与できるようにするために必要です。
ディレクトリのアクセス許可
ディレクトリ パス | 必要なアクセス許可 | 詳細 | 機能 |
---|---|---|---|
<SystemDrive>\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SQLServer |
フル コントロール | 拡張子に関連する dlls ファイルと exe ファイル。 | 既定値 |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\RuntimeSettings |
フル コントロール | 拡張機能の設定ファイル。 | 既定値 |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status |
フル コントロール | 拡張機能の状態ファイル。 | 既定値 |
C:\ProgramData\GuestConfig\extension_logs\Microsoft.AzureData.WindowsAgent.SqlServer |
フル コントロール | 拡張ログ ファイル。 | 既定値 |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status\HeartBeat.Json |
フル コントロール | 拡張ハートビート ファイル。 | 既定値 |
%ProgramFiles%\Sql Server Extension |
フル コントロール | 拡張サービス ファイル。 | 既定値 |
<SystemDrive>\Windows\system32\extensionUpload |
フル コントロール | 課金に必要な使用状況ファイルを書き込むには必要です。 | 既定値 |
<SystemDrive>\Windows\system32\ExtensionHandler.log |
フル コントロール | 拡張機能によって作成されたログ前フォルダー。 | 既定値 |
<ProgramData>\AzureConnectedMachineAgent\Config |
既読 | Arc 構成ファイル ディレクトリ。 | 既定値 |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft SQL Server Extension Agent |
フル コントロール | 評価レポートと状態を記述するために必要です。 | 既定値 |
SQL ログ ディレクトリ (レジストリで設定) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\log |
既読 | SQL ログから SQL 仮想コア情報を抽出するために必要です。 | 既定値 |
SQL バックアップ ディレクトリ (レジストリに設定) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\Backup |
ReadAndExecute/Write /Delete | バックアップに必要 | バックアップ |
1 詳細については、「 ファイルの場所とレジストリ マッピングを参照してください。
レジストリの権限
基本キー: HKEY_LOCAL_MACHINE
レジストリ キー | 必要なアクセス許可 | 詳細 | 機能 |
---|---|---|---|
SOFTWARE\Microsoft\Microsoft SQL Server |
既読 | installedInstances などの SQL Server プロパティを読み取ります。 |
既定値 |
SOFTWARE\Microsoft\Microsoft SQL Server\<InstanceRegistryName>\MSSQLSERVER |
フル コントロール | Microsoft Entra ID と Purview。 | Microsoft Entra ID Purview |
SOFTWARE\Microsoft\SystemCertificates |
フル コントロール | Microsoft Entra ID に必要です。 | Microsoft Entra ID |
SYSTEM\CurrentControlSet\Services |
既読 | SQL Server アカウント名。 | 既定値 |
SOFTWARE\Microsoft\AzureDefender\SQL |
既読 | Azure Defender の状態と最終更新時刻。 | 既定値 |
SOFTWARE\Microsoft\SqlServerExtension |
フル コントロール | 拡張機能に関連する値。 | 既定値 |
SOFTWARE\Policies\Microsoft\Windows |
読み取りと書き込み | 拡張機能を使用して Windows の自動更新を有効にする。 | 自動更新 |
グループのアクセス許可
NT Service\SQLServerExtension
は、ハイブリッド エージェント拡張機能アプリケーションに追加されます。 Azure Instance Metadata Service (IMDS) ハンドシェイクをサポートします。
SQL アクセス許可
NT Service\SQLServerExtension
が追加されます。
- マシン上に現在存在するすべてのインスタンスへの SQL ログインとして
- 各データベースのユーザーとして
拡張機能は、機能が有効になっているとき、インスタンス オブジェクトとデータベース オブジェクトへのアクセス許可も付与します。 次の表に詳細を示します。
機能 | 権限 | Level | 要件 |
---|---|---|---|
既定値 | VIEW DATABASE STATE |
サーバーのレベル | 必須 |
VIEW SERVER STATE |
サーバーのレベル | 必須 | |
CONNECT SQL |
サーバーのレベル | 必須 | |
リソースとしてのデータベース | 既定のパブリック ロール | サーバー レベル (これは、新しく追加されたログインに既定で付与されます) | 必須 |
ベスト プラクティス アセスメント | VIEW ANY DEFINITION |
サーバーのレベル | 機能に依存 |
VIEW ANY DATABASE |
サーバーのレベル | 機能に依存 | |
SELECT |
master |
機能に依存 | |
SELECT |
msdb |
機能に依存 | |
EXECUTE ON sys.xp_enumerrorlogs |
master |
機能に依存 | |
EXECUTE ON sys.xp_readerrorlog |
master |
機能に依存 | |
Backup | CREATE ANY DATABASE |
サーバーのレベル | 機能に依存 |
db_backupoperator ロール | [すべてのデータベース] | 機能に依存 | |
dbcreator | サーバー ロール | 機能に依存 | |
Azure コントロール プレーン | CREATE TABLE |
msdb |
必須 |
ALTER ANY SCHEMA |
msdb |
必須 | |
CREATE TYPE |
msdb |
必須 | |
EXECUTE |
msdb |
必須 | |
db_datawriter ロール | msdb |
機能に依存 | |
db_datareader ロール | msdb |
機能に依存 | |
可用性グループの検出 | VIEW ANY DEFINITION |
サーバーのレベル | 必須 |
Purview | SELECT |
[すべてのデータベース] | 機能に依存 |
EXECUTE |
[すべてのデータベース] | 機能に依存 | |
CONNECT ANY DATABASE |
サーバーのレベル | 機能に依存 | |
VIEW ANY DATABASE |
サーバーのレベル | 機能に依存 | |
Monitoring | SELECT dbo.sysjobactivity |
msdb |
必須 |
SELECT dbo.sysjobs |
msdb |
必須 | |
SELECT dbo.syssessions |
msdb |
必須 | |
SELECT dbo.sysjobHistory |
msdb |
必須 | |
SELECT dbo.sysjobSteps |
msdb |
必須 | |
SELECT dbo.syscategories |
msdb |
必須 | |
SELECT dbo.sysoperators |
msdb |
必須 | |
SELECT dbo.suspectpages |
msdb |
必須 | |
SELECT dbo.backupset |
msdb |
必須 | |
SELECT dbo.backupmediaset |
msdb |
必須 | |
SELECT dbo.backupmediafamily |
msdb |
必須 | |
SELECT dbo.backupfile |
msdb |
必須 | |
CONNECT ANY DATABASE |
サーバーのレベル | 必須 | |
VIEW ANY DATABASE |
サーバーのレベル | 必須 | |
VIEW ANY DEFINITION |
サーバーのレベル | 必須 | |
移行の評価 | EXECUTE dbo.agent_datetime |
msdb |
必須 |
SELECT dbo.syscategories |
msdb |
必須 | |
SELECT dbo.sysjobHistory |
msdb |
必須 | |
SELECT dbo.sysjobs |
msdb |
必須 | |
SELECT dbo.sysjobSteps |
msdb |
必須 | |
SELECT dbo.sysmail_account |
msdb |
必須 | |
SELECT dbo.sysmail_profile |
msdb |
必須 | |
SELECT dbo.sysmail_profileaccount |
msdb |
必須 | |
SELECT dbo.syssubsystems |
msdb |
必須 | |
SELECT sys.sql_expression_dependencies |
[すべてのデータベース] | 必須 |
Note
最小アクセス許可は、有効な機能によって異なります。 アクセス許可は、不要になったときに更新されます。 機能が有効になっている場合、必要なアクセス許可が付与されます。
追加の権限
- 拡張機能サービスにアクセスし、自動回復を構成するためのサービス アカウントへのアクセス許可。
- サービス アカウントに対するサービスとしてのログオン権限。