Configurare gli account del servizio Windows e le autorizzazioni per l'estensione di Azure per SQL Server
Si applica a:
SQL Server
Questo articolo elenca le autorizzazioni impostate dall'estensione Azure per SQL Server per l'account NT Service\SQLServerExtension . Questo account viene usato quando si usa SQL Server abilitato da Azure Arc con privilegi minimi.
Nota
I server esistenti con l’estensione da novembre 2024 o versioni successive avranno automaticamente la configurazione con privilegi minimi. Questa applicazione verrà eseguita gradualmente.
Per impedire l'applicazione automatica dei privilegi minimi, bloccare gli aggiornamenti dell'estensione alla versione di novembre 2024.
L'impostazione manuale delle autorizzazioni per l'account agente non è supportata.
L'estensione imposta le autorizzazioni quando si abilitano le funzionalità nel portale di Azure. Se non si abilita una funzionalità, l'estensione non imposta le autorizzazioni per tale funzionalità. Se si disabilita una funzionalità, l'estensione rimuove le autorizzazioni.
Le autorizzazioni SQL elencano le autorizzazioni associate alle funzionalità concesse dall'estensione quando le funzionalità sono abilitate.
Nota
NT Authority\System deve avere accesso per modificare le autorizzazioni per le directory e le chiavi del Registro di sistema elencate. Questa operazione è necessaria in modo che NT Authority\System possa concedere l'accesso necessario all'account NT Service\SqlServerExtension per la modalità con privilegi minimi.
Autorizzazioni della directory
| Percorso directory | Autorizzazioni necessarie | Dettagli | Funzionalità |
|---|---|---|---|
<SystemDrive>\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SQLServer |
Controllo completo | Estensione dll e file exe correlati. | Predefiniti |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\RuntimeSettings |
Controllo completo | File delle impostazioni di estensione. | Predefiniti |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status |
Controllo completo | File di stato dell'estensione. | Predefiniti |
C:\ProgramData\GuestConfig\extension_logs\Microsoft.AzureData.WindowsAgent.SqlServer |
Controllo completo | File di log di estensione. | Predefiniti |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status\HeartBeat.Json |
Controllo completo | File heartbeat di estensione. | Predefiniti |
%ProgramFiles%\Sql Server Extension |
Controllo completo | File del servizio di estensione. | Predefiniti |
<SystemDrive>\Windows\system32\extensionUpload |
Controllo completo | Obbligatorio per scrivere il file di utilizzo necessario per la fatturazione. | Predefiniti |
<SystemDrive>\Windows\system32\ExtensionHandler.log |
Controllo completo | Cartella di pre-log creata dall'estensione. | Predefiniti |
<ProgramData>\AzureConnectedMachineAgent\Config |
Lettura | Directory dei file di configurazione arc. | Predefiniti |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft SQL Server Extension Agent |
Controllo completo | Obbligatorio per scrivere report e stato di valutazione. | Predefiniti |
Directory di log SQL (come impostato nel Registro di sistema) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\log |
Lettura | Obbligatorio per estrarre le informazioni di SQL vCore dai log SQL. | Predefiniti |
Directory di backup SQL (come impostato nel Registro di sistema) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\Backup |
ReadAndExecute/Write /Delete | Obbligatorio per i backup | Backup |
1 Per altre informazioni, vedere Percorsi dei file e Mapping del Registro di sistema.
Autorizzazioni del Registro di sistema
Chiave di base: HKEY_LOCAL_MACHINE
| Chiave del Registro di sistema | È necessaria l'autorizzazione | Dettagli | Funzionalità |
|---|---|---|---|
SOFTWARE\Microsoft\Microsoft SQL Server |
Lettura | Leggere le proprietà di SQL Server, ad esempio installedInstances. |
Predefiniti |
SOFTWARE\Microsoft\Microsoft SQL Server\<InstanceRegistryName>\MSSQLSERVER |
Controllo completo | Microsoft Entra ID e Purview. | Microsoft Entra ID Purview |
SOFTWARE\Microsoft\SystemCertificates |
Controllo completo | Obbligatorio per Microsoft Entra ID. | Microsoft Entra ID |
SYSTEM\CurrentControlSet\Services |
Lettura | Nome dell'account di SQL Server. | Predefiniti |
SOFTWARE\Microsoft\AzureDefender\SQL |
Lettura | Stato di Azure Defender e ora dell'ultimo aggiornamento. | Predefiniti |
SOFTWARE\Microsoft\SqlServerExtension |
Controllo completo | Valori correlati all'estensione. | Predefiniti |
SOFTWARE\Policies\Microsoft\Windows |
Lettura e scrittura | Abilitazione dell'aggiornamento automatico di Windows tramite estensione. | Aggiornamenti automatici |
Autorizzazioni di gruppo
NT Service\SQLServerExtension viene aggiunto alle applicazioni di estensione dell'agente ibrido. Ciò consente all'handshake del servizio metadati dell'istanza di Azure (IMDS) di recuperare il token di identità gestito delle risorse del computer necessario per comunicare con i servizi del piano dati di Azure, ad esempio il servizio di elaborazione dati (DPS) e l'endpoint di telemetria per l'utilizzo della fatturazione, i log delle estensioni e il monitoraggio della raccolta dei dati del dashboard.
Autorizzazioni SQL
NT Service\SQLServerExtension viene aggiunto:
- Come account di accesso SQL a tutte le istanze attualmente presenti nel computer
- Come utente in ogni database
L'estensione concede anche le autorizzazioni per gli oggetti di istanza e di database quando sono abilitate le funzionalità. La tabella seguente fornisce informazioni dettagliate.
Nota
Le autorizzazioni minime dipendono dalle funzionalità abilitate. Le autorizzazioni vengono aggiornate quando non sono più necessarie. Le autorizzazioni necessarie vengono concesse quando le funzionalità sono abilitate.
Privilegi SQL per funzionalità
Requisiti minimi di sistema
Queste autorizzazioni sono necessarie per il livello di funzionalità di base fornito dall'estensione di Azure per SQL Server e devono essere applicate.
| Tipo di oggetto | Nome database o oggetto | Privilegio |
|---|---|---|
| Banca dati | Padrone | VIEW DATABASE STATE |
| Banca dati | Msdb | ALTER ANY SCHEMA |
| Banca dati | Msdb | CREATE TABLE |
| Banca dati | Msdb | CREATE TYPE |
| Banca dati | Msdb | DB DATA READER |
| Banca dati | Msdb | DB DATA WRITER |
| Banca dati | Msdb | EXECUTE |
| Banca dati | Msdb | SELECT dbo.backupfile |
| Banca dati | Msdb | SELECT dbo.backupmediaset |
| Banca dati | Msdb | SELECT dbo.backupmediafamily |
| Banca dati | Msdb | SELECT dbo.backupset |
| Banca dati | Msdb | SELECT dbo.syscategories |
| Banca dati | Msdb | SELECT dbo.sysjobactivity |
| Banca dati | Msdb | SELECT dbo.sysjobhistory |
| Banca dati | Msdb | SELECT dbo.sysjobs |
| Banca dati | Msdb | SELECT dbo.sysjobsteps |
| Banca dati | Msdb | SELECT dbo.syssessions |
| Banca dati | Msdb | SELECT dbo.sysoperators |
| Banca dati | Msdb | SELECT dbo.suspectpages |
| Server | CONNECT ANY DATABASE |
|
| Server | CONNECT SQL |
|
| Server | VIEW ANY DATABASE |
|
| Server | VIEW ANY DEFINITION |
|
| Server | VIEW SERVER STATE |
Valutazione delle procedure consigliate
La valutazione delle procedure consigliate è disabilitata per impostazione predefinita. Se è abilitata, queste autorizzazioni verranno concesse automaticamente se non sono già concesse.
| Tipo di oggetto | Nome database o oggetto | Privilegio |
|---|---|---|
| Banca dati | Padrone | SELECT |
| Banca dati | Padrone | VIEW DATABASE STATE |
| Banca dati | Msdb | SELECT |
| Server | VIEW ANY DATABASE |
|
| Server | VIEW ANY DEFINITION |
|
| Server | VIEW SERVER STATE |
|
| StoredProcedure | EnumErrorLogsSP | EXECUTE |
| StoredProcedure | ReadErrorLogsSP | EXECUTE |
Backup
I backup automatici sono disabilitati per impostazione predefinita. Le autorizzazioni di backup verranno concesse a qualsiasi database per cui sono abilitati i backup. L'abilitazione della funzionalità di backup abilita anche la funzionalità di ripristino temporizzato, pertanto viene concessa anche l'autorizzazione per creare un database.
| Tipo di oggetto | Nome database o oggetto | Privilegio |
|---|---|---|
| Banca dati | Tutti i database | DB BACKUP OPERATOR |
| Server | CREATE ANY DATABASE |
|
| Server | Padrone | DB CREATOR |
Gruppi di disponibilità
Le funzionalità di individuazione e gestione dei gruppi di disponibilità, ad esempio il failover, sono abilitate per impostazione predefinita, ma possono essere disabilitate tramite il flag di funzionalità AvailabilityGroupDiscovery.
| Tipo di oggetto | Nome database o oggetto | Privilegio |
|---|---|---|
| Server | ALTER ANY AVAILABILITY GROUP |
|
| Server | VIEW ANY DEFINITION |
Purview
Le funzionalità di Purview sono disabilitate per impostazione predefinita.
| Tipo di oggetto | Nome database o oggetto | Privilegio |
|---|---|---|
| Banca dati | Tutti i database | EXECUTE |
| Banca dati | Tutti i database | SELECT |
| Server | CONNECT ANY DATABASE |
|
| Server | VIEW ANY DATABASE |
Valutazione della migrazione
Le valutazioni della migrazione sono abilitate per impostazione predefinita. Se la funzionalità è disabilitata, le autorizzazioni seguenti verranno rimosse a meno che non siano necessarie altre funzionalità abilitate.
| Tipo di oggetto | Nome database o oggetto | Privilegio |
|---|---|---|
| Banca dati | Tutti i database | SELECT sys.sqlexpressiondependencies |
| Banca dati | Msdb | EXECUTE dbo.agentdatetime |
| Banca dati | Msdb | SELECT dbo.syscategories |
| Banca dati | Msdb | SELECT dbo.sysjobhistory |
| Banca dati | Msdb | SELECT dbo.sysjobs |
| Banca dati | Msdb | SELECT dbo.sysjobsteps |
| Banca dati | Msdb | SELECT dbo.sysmailaccount |
| Banca dati | Msdb | SELECT dbo.sysmailprofile |
| Banca dati | Msdb | SELECT dbo.sysmailprofileaccount |
| Banca dati | Msdb | SELECT dbo.syssubsystems |
Autorizzazioni aggiuntive
- Autorizzazioni per l'account del servizio per accedere al servizio di estensione e configurare la funzionalità di salvataggio automatico.
- Diritti di accesso come servizio per l'account del servizio.