SQL Server 用の Azure 拡張機能の Windows サービス アカウントとアクセス許可を構成する

適用対象: SQL Server

この記事では、 NT Service\SQLServerExtension アカウントの SQL Server セットに対する Azure 拡張機能のアクセス許可の一覧を示します。 このアカウントは、Azure Arc で有効になっている SQL Server を最小限の特権で する場合に使用

Note

2024 年 11 月以降のリリースの拡張機能を持つ既存のサーバーには、最小限の特権構成が自動的に適用されます。 この適用は段階的に実施させていただきます。

最小特権の自動適用を防ぐために、2024 年 11 月リリースへの拡張機能のアップグレードをブロックします。

エージェント アカウントのアクセス許可を手動で設定することはサポートされていません。

拡張機能は、Azure portal で機能を有効にするとアクセス許可を設定します。 機能を有効にしない場合、拡張機能はその機能のアクセス許可を設定しません。 機能を無効にすると、拡張機能によってアクセス許可が削除されます。

SQL のアクセス許可 機能が有効になっているときに拡張機能によって付与される機能に関連付けられているアクセス許可の一覧が表示されます。

Note

NT Authority\System には、一覧表示されているディレクトリとレジストリ キーに対するアクセス許可を変更するためのアクセス許可が必要です。 これは、 NT Authority\System が最小限の特権モードで NT Service\SqlServerExtension アカウントに必要なアクセス権を付与できるようにするために必要です。

ディレクトリのアクセス許可

ディレクトリ パス 必要なアクセス許可 詳細 機能
<SystemDrive>\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SQLServer フル コントロール 拡張子に関連する dlls ファイルと exe ファイル。 既定値
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\RuntimeSettings フル コントロール 拡張機能の設定ファイル。 既定値
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status フル コントロール 拡張機能の状態ファイル。 既定値
C:\ProgramData\GuestConfig\extension_logs\Microsoft.AzureData.WindowsAgent.SqlServer フル コントロール 拡張ログ ファイル。 既定値
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status\HeartBeat.Json フル コントロール 拡張ハートビート ファイル。 既定値
%ProgramFiles%\Sql Server Extension フル コントロール 拡張サービス ファイル。 既定値
<SystemDrive>\Windows\system32\extensionUpload フル コントロール 課金に必要な使用状況ファイルを書き込むには必要です。 既定値
<SystemDrive>\Windows\system32\ExtensionHandler.log フル コントロール 拡張機能によって作成されたログ前フォルダー。 既定値
<ProgramData>\AzureConnectedMachineAgent\Config 読み込み Arc 構成ファイル ディレクトリ。 既定値
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft SQL Server Extension Agent フル コントロール 評価レポートと状態を記述するために必要です。 既定値
SQL ログ ディレクトリ (レジストリで設定) 1:
C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\log
読み込み SQL ログから SQL 仮想コア情報を抽出するために必要です。 既定値
SQL バックアップ ディレクトリ (レジストリに設定) 1:
C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\Backup
ReadAndExecute/Write /Delete バックアップに必要 バックアップ

1 詳細については、「 ファイルの場所とレジストリ マッピングを参照してください。

レジストリの権限

基本キー: HKEY_LOCAL_MACHINE

レジストリ キー 必要なアクセス許可 詳細 機能
SOFTWARE\Microsoft\Microsoft SQL Server 読み込み installedInstancesなどの SQL Server プロパティを読み取ります。 既定値
SOFTWARE\Microsoft\Microsoft SQL Server\<InstanceRegistryName>\MSSQLSERVER フル コントロール Microsoft Entra ID と Purview。 Microsoft Entra ID

Purview
SOFTWARE\Microsoft\SystemCertificates フル コントロール Microsoft Entra ID に必要です。 Microsoft Entra ID
SYSTEM\CurrentControlSet\Services 読み込み SQL Server アカウント名。 既定値
SOFTWARE\Microsoft\AzureDefender\SQL 読み込み Azure Defender の状態と最終更新時刻。 既定値
SOFTWARE\Microsoft\SqlServerExtension フル コントロール 拡張機能に関連する値。 既定値
SOFTWARE\Policies\Microsoft\Windows 読み取りと書き込み 拡張機能を使用して Windows の自動更新を有効にする。 自動更新

グループのアクセス許可

NT Service\SQLServerExtension は、ハイブリッド エージェント拡張機能アプリケーションに追加されます。 Azure Instance Metadata Service (IMDS) ハンドシェイクをサポートします。

SQL アクセス許可

NT Service\SQLServerExtension が追加されます。

  • マシン上に現在存在するすべてのインスタンスへの SQL ログインとして
  • 各データベースのユーザーとして

拡張機能は、機能が有効になっているとき、インスタンス オブジェクトとデータベース オブジェクトへのアクセス許可も付与します。 次の表に詳細を示します。

機能 権限 Level 要件
既定値 VIEW DATABASE STATE サーバーのレベル 必須
VIEW SERVER STATE サーバーのレベル 必須
CONNECT SQL サーバーのレベル 必須
リソースとしてのデータベース 既定のパブリック ロール サーバー レベル (これは、新しく追加されたログインに既定で付与されます) 必須
ベスト プラクティス アセスメント VIEW ANY DEFINITION サーバーのレベル 機能に依存
VIEW ANY DATABASE サーバーのレベル 機能に依存
SELECT master 機能に依存
SELECT msdb 機能に依存
EXECUTE ON sys.xp_enumerrorlogs master 機能に依存
EXECUTE ON sys.xp_readerrorlog master 機能に依存
Backup CREATE ANY DATABASE サーバーのレベル 機能に依存
db_backupoperator ロール [すべてのデータベース] 機能に依存
dbcreator サーバー ロール 機能に依存
Azure コントロール プレーン CREATE TABLE msdb 必須
ALTER ANY SCHEMA msdb 必須
CREATE TYPE msdb 必須
EXECUTE msdb 必須
db_datawriter ロール msdb 機能に依存
db_datareader ロール msdb 機能に依存
可用性グループの検出 VIEW ANY DEFINITION サーバーのレベル 必須
Purview SELECT [すべてのデータベース] 機能に依存
EXECUTE [すべてのデータベース] 機能に依存
CONNECT ANY DATABASE サーバーのレベル 機能に依存
VIEW ANY DATABASE サーバーのレベル 機能に依存
Monitoring SELECT dbo.sysjobactivity msdb 必須
SELECT dbo.sysjobs msdb 必須
SELECT dbo.syssessions msdb 必須
SELECT dbo.sysjobHistory msdb 必須
SELECT dbo.sysjobSteps msdb 必須
SELECT dbo.syscategories msdb 必須
SELECT dbo.sysoperators msdb 必須
SELECT dbo.suspectpages msdb 必須
SELECT dbo.backupset msdb 必須
SELECT dbo.backupmediaset msdb 必須
SELECT dbo.backupmediafamily msdb 必須
SELECT dbo.backupfile msdb 必須
CONNECT ANY DATABASE サーバーのレベル 必須
VIEW ANY DATABASE サーバーのレベル 必須
VIEW ANY DEFINITION サーバーのレベル 必須
移行の評価 EXECUTE dbo.agent_datetime msdb 必須
SELECT dbo.syscategories msdb 必須
SELECT dbo.sysjobHistory msdb 必須
SELECT dbo.sysjobs msdb 必須
SELECT dbo.sysjobSteps msdb 必須
SELECT dbo.sysmail_account msdb 必須
SELECT dbo.sysmail_profile msdb 必須
SELECT dbo.sysmail_profileaccount msdb 必須
SELECT dbo.syssubsystems msdb 必須
SELECT sys.sql_expression_dependencies [すべてのデータベース] 必須

Note

最小アクセス許可は、有効な機能によって異なります。 アクセス許可は、不要になったときに更新されます。 機能が有効になっている場合、必要なアクセス許可が付与されます。

追加の権限

  • 拡張機能サービスにアクセスし、自動回復を構成するためのサービス アカウントへのアクセス許可。
  • サービス アカウントに対するサービスとしてのログオン権限。