Configurare gli account del servizio Windows e le autorizzazioni per l'estensione di Azure per SQL Server

Si applica a: SQL Server

Questo articolo elenca le autorizzazioni impostate dall'estensione Azure per SQL Server per l'account NT Service\SQLServerExtension . Questo account viene usato quando si usa SQL Server abilitato da Azure Arc con privilegi minimi.

Nota

I server esistenti con estensione dalla versione di novembre 2024 o versioni successive avranno automaticamente la configurazione con privilegi minimi applicati. Questa applicazione verrà eseguita gradualmente.

Per impedire l'applicazione automatica dei privilegi minimi, bloccare gli aggiornamenti dell'estensione alla versione di novembre 2024.

L'impostazione manuale delle autorizzazioni per l'account agente non è supportata.

L'estensione imposta le autorizzazioni quando si abilitano le funzionalità nel portale di Azure. Se non si abilita una funzionalità, l'estensione non imposta le autorizzazioni per tale funzionalità. Se si disabilita una funzionalità, l'estensione rimuove le autorizzazioni.

Le autorizzazioni SQL elencano le autorizzazioni associate alle funzionalità concesse dall'estensione quando le funzionalità sono abilitate.

Nota

NT Authority\System deve avere accesso per modificare le autorizzazioni per le directory e le chiavi del Registro di sistema elencate. Questa operazione è necessaria in modo che NT Authority\System possa concedere l'accesso necessario all'account NT Service\SqlServerExtension per la modalità con privilegi minimi.

Autorizzazioni della directory

Percorso directory Autorizzazioni necessarie Dettagli Funzionalità
<SystemDrive>\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SQLServer Controllo completo Estensione dll e file exe correlati. Predefiniti
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\RuntimeSettings Controllo completo File delle impostazioni di estensione. Predefiniti
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status Controllo completo File di stato dell'estensione. Predefiniti
C:\ProgramData\GuestConfig\extension_logs\Microsoft.AzureData.WindowsAgent.SqlServer Controllo completo File di log di estensione. Predefiniti
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status\HeartBeat.Json Controllo completo File heartbeat di estensione. Predefiniti
%ProgramFiles%\Sql Server Extension Controllo completo File del servizio di estensione. Predefiniti
<SystemDrive>\Windows\system32\extensionUpload Controllo completo Obbligatorio per scrivere il file di utilizzo necessario per la fatturazione. Predefiniti
<SystemDrive>\Windows\system32\ExtensionHandler.log Controllo completo Cartella di pre-log creata dall'estensione. Predefiniti
<ProgramData>\AzureConnectedMachineAgent\Config Lettura Directory dei file di configurazione arc. Predefiniti
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft SQL Server Extension Agent Controllo completo Obbligatorio per scrivere report e stato di valutazione. Predefiniti
Directory di log SQL (come impostato nel Registro di sistema) 1:
C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\log
Lettura Obbligatorio per estrarre le informazioni di SQL vCore dai log SQL. Predefiniti
Directory di backup SQL (come impostato nel Registro di sistema) 1:
C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\Backup
ReadAndExecute/Write /Delete Obbligatorio per i backup Backup

1 Per altre informazioni, vedere Percorsi dei file e Mapping del Registro di sistema.

Autorizzazioni del Registro di sistema

Chiave di base: HKEY_LOCAL_MACHINE

Chiave del Registro di sistema È necessaria l'autorizzazione Dettagli Funzionalità
SOFTWARE\Microsoft\Microsoft SQL Server Lettura Leggere le proprietà di SQL Server, ad esempio installedInstances. Predefiniti
SOFTWARE\Microsoft\Microsoft SQL Server\<InstanceRegistryName>\MSSQLSERVER Controllo completo Microsoft Entra ID e Purview. Microsoft Entra ID

Purview
SOFTWARE\Microsoft\SystemCertificates Controllo completo Obbligatorio per Microsoft Entra ID. Microsoft Entra ID
SYSTEM\CurrentControlSet\Services Lettura Nome dell'account di SQL Server. Predefiniti
SOFTWARE\Microsoft\AzureDefender\SQL Lettura Stato di Azure Defender e ora dell'ultimo aggiornamento. Predefiniti
SOFTWARE\Microsoft\SqlServerExtension Controllo completo Valori correlati all'estensione. Predefiniti
SOFTWARE\Policies\Microsoft\Windows Lettura e scrittura Abilitazione dell'aggiornamento automatico di Windows tramite estensione. Aggiornamenti automatici

Autorizzazioni di gruppo

NT Service\SQLServerExtension viene aggiunto alle applicazioni di estensione dell'agente ibrido. Supporta l'handshake IMDS (Azure Instance Metadata Service).

Autorizzazioni SQL

NT Service\SQLServerExtension viene aggiunto:

  • Come account di accesso SQL a tutte le istanze attualmente presenti nel computer
  • Come utente in ogni database

L'estensione concede anche le autorizzazioni per gli oggetti di istanza e di database quando sono abilitate le funzionalità. La tabella seguente fornisce informazioni dettagliate.

Funzionalità Autorizzazione Livello Requisito
Predefinita VIEW DATABASE STATE Livello server Essential
VIEW SERVER STATE Livello server Essential
CONNECT SQL Livello server Essential
Database come risorsa Ruolo pubblico predefinito Livello server (concesso per impostazione predefinita agli account di accesso appena aggiunti) Essential
Valutazione delle procedure consigliate VIEW ANY DEFINITION Livello server Dipendente dalla funzionalità
VIEW ANY DATABASE Livello server Dipendente dalla funzionalità
SELECT master Dipendente dalla funzionalità
SELECT msdb Dipendente dalla funzionalità
EXECUTE ON sys.xp_enumerrorlogs master Dipendente dalla funzionalità
EXECUTE ON sys.xp_readerrorlog master Dipendente dalla funzionalità
Backup CREATE ANY DATABASE Livello server Dipendente dalla funzionalità
ruolo db_backupoperator Tutti i database Dipendente dalla funzionalità
dbcreator Ruolo del server Dipendente dalla funzionalità
Piano di controllo di Azure CREATE TABLE msdb Essential
ALTER ANY SCHEMA msdb Essential
CREATE TYPE msdb Essential
EXECUTE msdb Essential
ruolo db_datawriter msdb Dipendente dalla funzionalità
ruolo db_datareader msdb Dipendente dalla funzionalità
Individuazione del gruppo di disponibilità VIEW ANY DEFINITION Livello server Essential
Competenza SELECT Tutti i database Dipendente dalla funzionalità
EXECUTE Tutti i database Dipendente dalla funzionalità
CONNECT ANY DATABASE Livello server Dipendente dalla funzionalità
VIEW ANY DATABASE Livello server Dipendente dalla funzionalità
Monitoraggio SELECT dbo.sysjobactivity msdb Essential
SELECT dbo.sysjobs msdb Essential
SELECT dbo.syssessions msdb Essential
SELECT dbo.sysjobHistory msdb Essential
SELECT dbo.sysjobSteps msdb Essential
SELECT dbo.syscategories msdb Essential
SELECT dbo.sysoperators msdb Essential
SELECT dbo.suspectpages msdb Essential
SELECT dbo.backupset msdb Essential
SELECT dbo.backupmediaset msdb Essential
SELECT dbo.backupmediafamily msdb Essential
SELECT dbo.backupfile msdb Essential
CONNECT ANY DATABASE Livello server Essential
VIEW ANY DATABASE Livello server Essential
VIEW ANY DEFINITION Livello server Essential
Valutazione della migrazione EXECUTE dbo.agent_datetime msdb Essential
SELECT dbo.syscategories msdb Essential
SELECT dbo.sysjobHistory msdb Essential
SELECT dbo.sysjobs msdb Essential
SELECT dbo.sysjobSteps msdb Essential
SELECT dbo.sysmail_account msdb Essential
SELECT dbo.sysmail_profile msdb Essential
SELECT dbo.sysmail_profileaccount msdb Essential
SELECT dbo.syssubsystems msdb Essential
SELECT sys.sql_expression_dependencies Tutti i database Essential

Nota

Le autorizzazioni minime dipendono dalle funzionalità abilitate. Le autorizzazioni vengono aggiornate quando non sono più necessarie. Le autorizzazioni necessarie vengono concesse quando le funzionalità sono abilitate.

Autorizzazioni aggiuntive

  • Autorizzazioni per l'account del servizio per accedere al servizio di estensione e configurare la funzionalità di salvataggio automatico.
  • Diritti di accesso come servizio per l'account del servizio.