Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Important
Cet article s’applique aux clouds commerciaux. Si vous utilisez des clouds Government, consultez l’article Résoudre les problèmes liés à Defender pour SQL sur les machines.
Avant de commencer les étapes de résolution des problèmes, vous devez activer Defender pour SQL Server sur les machines au niveau de l’abonnement ou de la ressource SQL.
Étape 1 : Ressources requises et processus d’activation
Defender pour SQL Server sur les machines crée automatiquement les ressources suivantes sur vos machines :
| Type de ressource | Niveau créé |
|---|---|
| Identité managée système (créée uniquement si une identité managée définie par l’utilisateur n’existe pas) | Serveur avec machine virtuelle/Arc hébergeant l’instance sql server |
| Extension Defender pour SQL | L’extension est installée sur chaque machine virtuelle/serveur avec Arc hébergeant l’instance sql server |
Lorsque vous activez Defender pour SQL Server sur un abonnement ou sql Server spécifié, il effectue les actions suivantes pour protéger chaque instance SQL Server :
- Crée une identité managée par le système en l’absence d’identité managée par l’utilisateur dans l’abonnement.
- Installe l’extension Defender pour SQL sur la machine virtuelle/serveur avec Arc qui héberge le serveur SQL Server.
- Emprunte l’identité de l’utilisateur Windows exécutant le service SQL Server (rôle sysadmin par défaut) pour accéder à l’instance SQL Server.
Étape 2 : Vérifiez que vous avez rempli les conditions préalables
Autorisations d’abonnement : pour déployer le plan sur un abonnement, y compris Azure Policy, vous avez besoin d’autorisations propriétaires d’abonnement .
Autorisations d’instance SQL Server : les comptes de service SQL Server doivent avoir le rôle serveur fixe sysadmin sur chaque instance SQL Server, qui est le paramètre par défaut. En savoir plus sur la configuration requise du compte de service SQL Server.
Ressources prises en charge :
- Les machines virtuelles SQL et les instances Azure Arc SQL Server sont prises en charge.
- Les machines locales doivent être intégrées à Arc et inscrites en tant qu’instances Azure Arc SQL Server.
Communication : autoriser le trafic HTTPS sortant via le port TCP (Transmission Control Protocol) 443 à l’aide du protocole TLS (Transport Layer Security) vers l’URL *.<region>.arcdataservices.com . En savoir plus sur les exigences d’URL.
Extensions : vérifiez que ces extensions ne sont pas bloquées dans votre environnement. En savoir plus sur la restriction de l’installation des extensions sur les machines virtuelles Windows.
-
Defender pour SQL (IaaS et Arc)
- Éditeur : Microsoft.Azure.AzureDefenderForSQL
- Type : AdvancedThreatProtection.Windows
-
Extension IaaS SQL (IaaS)
- Éditeur : Microsoft.SqlServer.Management
- Type : SqlIaaSAgent
-
Extension IaaS SQL (Arc)
- Éditeur : Microsoft.AzureData
- Type : WindowsAgent.SqlServer
-
Defender pour SQL (IaaS et Arc)
Versions de SQL Server prises en charge - SQL Server 2012 R2 (11.x) et versions ultérieures.
Systèmes d’exploitation pris en charge - SQL Server 2012 R2 et versions ultérieures.
Étape 3 : Identifier et résoudre les erreurs de configuration de la protection au niveau de l’instance SQL Server
Suivez le processus de vérification pour identifier les configurations incorrectes de protection sur les instances SQL Server.
La recommandation The status of Microsoft SQL Servers on Machines should be protected peut être utilisée pour vérifier l’état de protection des serveurs SQL, mais la recommandation doit être corrigée au niveau de la ressource. Tout serveur SQL qui n’est pas protégé est identifié dans la section des ressources non saines de la recommandation avec un état de protection répertorié et une raison.
Important
La recommandation n’est mise à jour que toutes les 12 heures. Pour vérifier l’état en temps réel de votre machine, vous devez vérifier l’état de protection de chaque serveur SQL server et effectuer une résolution des problèmes si nécessaire.
Utilisez la raison non saine correspondante et les actions recommandées pour résoudre la configuration incorrecte :
| Raison non saine | Action recommandée |
|---|---|
| Identité manquante | Attribuez une identité managée définie par l’utilisateur/définie par le système au serveur compatible avec Arc/machine virtuelle hébergeant l’instance SQL Server. Aucune autorisation de contrôle d’accès en fonction du rôle n’est requise. |
| L’extension Defender pour SQL n’existe pas | Vérifiez que l’extension Defender pour SQL n’est pas bloquée par les stratégies de refus Azure : - Éditeur : Microsoft.Azure.AzureDefenderForSQL - Type : AdvancedThreatProtection.Windows Installez manuellement l’extension Defender pour SQL sur la machine virtuelle en hébergeant l’instance SQL Server à l’aide du script fourni. Vérifiez que vous disposez de la version 2.X ou ultérieure. 1. Exécuter ce script Set-AzVMExtension -Publisher 'Microsoft.Azure.AzureDefenderForSQL' -ExtensionType 'AdvancedThreatProtection.Windows' -ResourceGroupName 'resourceGroupeName' -VMName <Vm name> -Name 'Microsoft.Azure.AzureDefenderForSQL.AdvancedThreatProtection.Windows' -TypeHandlerVersion '2.0' -Location 'vmLocation' -EnableAutomaticUpgrade $true 2. Exécutez ce script pour définir le contexte de l’abonnement approprié : connect-AzAccount -Subscription SubscriptionId -UseDeviceAuthentication |
| L’extension Defender pour SQL doit être up-to-date | Mettez à jour l’extension dans la page Extensions de la ressource de serveur compatible avec Arc/machine virtuelle. |
| Erreur lors de l’installation de l’extension Defender pour SQL | Vérifiez l’état de l’extension Defender pour SQL dans le portail pour obtenir des informations supplémentaires pour résoudre le problème. |
| L’instance SQL Server est inactive | Defender pour SQL Server sur les machines ne peut protéger que les instances sql server actives (en cours d’exécution). |
| Autorisations manquantes | Vérifiez que le compte de service SQL Server est membre du rôle serveur fixe sysadmin sur chaque instance SQL Server (paramètre par défaut). En savoir plus sur les autorisations de service SQL Server. |
| Manque de communication | Vérifiez que le trafic HTTPS sortant sur le port TCP 443 à l’aide du protocole TLS (Transport Layer Security) est autorisé du serveur avec l’ordinateur virtuel/Arc vers l’URL *.<region>.arcdataservices.com . En savoir plus sur les exigences en matière d’URL |
| Le redémarrage du serveur SQL est nécessaire | Redémarrez l’instance SQL Server afin que l’installation de Defender pour SQL Server prenne effet. |
| Erreur interne | Contactez le support technique. |
Plusieurs instances SQL Server sur la même machine virtuelle
Si plusieurs instances SQL Server sont installées sur la même machine virtuelle, la recommandation The status of Microsoft SQL Servers on Machines should be protected ne peut pas différencier les instances. Pour mettre en corrélation le message d’erreur avec l’instance SQL Server correspondante, vérifiez le message d’erreur sous l’extension Defender pour SQL. L’extension Defender pour SQL peut afficher les raisons suivantes pour chaque instance :
- Redémarrer SQL Server
- Vérifiez les autorisations.
- Vérifier que l’instance SQL Server est active
Dans le portail Azure, recherchez et sélectionnez machine virtuelle SQL.
Sélectionnez la machine virtuelle appropriée.
Accédez aux extensions de paramètres>+ applications.
Sélectionnez l’extension appropriée pour afficher son état de protection.
En fonction de la raison non saine répertoriée, prenez les mesures appropriées pour corriger le problème.
Étape 4 : Réverifier l’état de la protection
Après avoir terminé la correction de toutes les erreurs pour chaque instance SQL Server, réverrifiez l’état de protection de chaque instance SQL Server.