Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S'applique à :
SQL Server
Cet article répertorie les autorisations accordées par l’extension Azure pour SQL Server au NT Service\SQLServerExtension compte lorsque vous utilisez le privilège minimum pour les instances SQL Server activées par Azure Arc. Avec la configuration des privilèges minimum, l’extension accorde uniquement les autorisations nécessaires lorsque vous activez des fonctionnalités dans le portail Azure.
Note
NT Authority\System doit avoir accès à la modification des autorisations sur les répertoires répertoriés et les clés de Registre. Cet accès est nécessaire afin de NT Authority\System pouvoir accorder l’accès requis au compte pour le NT Service\SqlServerExtension mode privilège minimum.
Overview
Lorsque vous connectez SQL Server à Azure Arc avec des privilèges minimum activés, l’extension Azure Arc accorde son compte de service, NT SERVICE\SQLServerExtensionmais uniquement les autorisations dont chaque fonctionnalité a besoin lorsque vous activez cette fonctionnalité. L’extension supprime automatiquement ces autorisations si vous désactivez la fonctionnalité. Si une fonctionnalité est inactive, l’extension n’accorde aucune autorisation pour cette fonctionnalité.
La définition manuelle des autorisations pour le compte d’agent n’est pas prise en charge.
Note
Actuellement, la configuration avec privilèges minimum n’est pas appliquée par défaut.
Les serveurs existants avec la version d'extension 1.1.2859.223 ou ultérieure verront la configuration la moins privilégiée leur être appliquée. Cette extension a été publiée en novembre 2024. Pour empêcher l’application automatique des privilèges minimum, bloquez les mises à niveau d’extension après 1.1.2859.223.
La section Privilèges SQL par fonctionnalité décrit les autorisations accordées par l’extension lorsque vous activez les fonctionnalités suivantes :
- Autorisations par défaut pour l’extension
- Sauvegardes automatisées
- Groupes de disponibilité
- Évaluation des bonnes pratiques
- Évaluation de la migration
- Migration de base de données
- Restauration dans le temps
- Purview
Autorisations d’annuaire
| Chemin d’accès au répertoire | Autorisations requises | Details | Feature |
|---|---|---|---|
<SystemDrive>\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SQLServer |
Contrôle total | Dll et fichiers EXE associés à l’extension. | Default |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\RuntimeSettings |
Contrôle total | Fichier de paramètres d’extension. | Default |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status |
Contrôle total | Fichier d’état de l’extension. | Default |
C:\ProgramData\GuestConfig\extension_logs\Microsoft.AzureData.WindowsAgent.SqlServer |
Contrôle total | Fichiers journaux d’extension. | Default |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status\HeartBeat.Json |
Contrôle total | Fichier de pulsation d’extension. | Default |
%ProgramFiles%\Sql Server Extension |
Contrôle total | Fichiers de service d’extension. | Default |
<SystemDrive>\Windows\system32\extensionUpload |
Contrôle total | Requis pour écrire le fichier d’utilisation nécessaire à la facturation. | Default |
<SystemDrive>\Windows\system32\ExtensionHandler.log |
Contrôle total | Dossier de pré-journal créé par l’extension. | Default |
<ProgramData>\AzureConnectedMachineAgent\Config |
Read | Répertoire des fichiers de configuration Arc. | Default |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft SQL Server Extension Agent |
Contrôle total | Requis pour écrire des rapports d’évaluation et un état. | Default |
Répertoire du journal SQL (tel que défini dans le Registre) 1 :C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\log |
Read | Requis pour extraire des informations sql vCores à partir des journaux SQL. | Default |
Répertoire de sauvegarde SQL (tel que défini dans le Registre) 1 :C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\Backup |
ReadAndExecute/Write /Delete | Requis pour les sauvegardes | Backup |
1 Pour plus d’informations, consultez Emplacements de fichier et Mappage du Registre.
Autorisations de Registre
Clé de base : HKEY_LOCAL_MACHINE
| Clé du Registre | Autorisation requise | Details | Feature |
|---|---|---|---|
SOFTWARE\Microsoft\Microsoft SQL Server |
Read | Lisez les propriétés SQL Server comme installedInstances. |
Default |
SOFTWARE\Microsoft\Microsoft SQL Server\<InstanceRegistryName>\MSSQLSERVER |
Contrôle total | ID Microsoft Entra et Purview. | Microsoft Entra ID Purview |
SOFTWARE\Microsoft\SystemCertificates |
Contrôle total | Obligatoire pour l’ID Microsoft Entra. | Microsoft Entra ID |
SYSTEM\CurrentControlSet\Services |
Read | Nom du compte SQL Server. | Default |
SOFTWARE\Microsoft\AzureDefender\SQL |
Read | État d’Azure Defender et heure de la dernière mise à jour. | Default |
SOFTWARE\Microsoft\SqlServerExtension |
Contrôle total | Valeurs associées à l’extension. | Default |
SOFTWARE\Policies\Microsoft\Windows |
Lecture et écriture | Activation de la mise à jour automatique de Windows via l’extension. | Mises à jour automatiques |
Autorisations de groupes
NT Service\SQLServerExtension est ajouté aux applications d’extension d’agent hybride. Cela permet à l’établissement d’une liaison IMDS (Azure Instance Metadata Service) de récupérer le jeton d’identité managée de ressource machine requis pour communiquer avec les services de plan de données Azure tels que le service de traitement des données (DPS) et le point de terminaison de télémétrie pour l’utilisation de la facturation, les journaux d’extension et la surveillance de la collecte des données du tableau de bord.
Autorisations SQL
Le NT Service\SQLServerExtension compte est ajouté :
- En tant que connexion SQL à toutes les instances actuellement présentes sur l’ordinateur
- En tant qu’utilisateur dans chaque base de données
L’extension accorde également des autorisations aux objets d’instance et de base de données en tant que fonctionnalités activées.
Note
Les autorisations minimales dépendent des fonctionnalités activées. L’extension met à jour les autorisations lorsqu’elles ne sont plus nécessaires. Il accorde les autorisations nécessaires lorsque vous activez les fonctionnalités.
NT Service\SQLServerExtension détails de l’autorisation du compte
| Chemin du registre | Autorisation | Risque associé sur les autorisations si le NT Service\SQLServerExtension compte est compromis |
|---|---|---|
SOFTWARE\Microsoft\Microsoft SQL Server |
Read | L’extension peut voir quelles versions de SQL Server sont installées. |
SOFTWARE\Microsoft\Microsoft SQL Server\\MSSQLSERVER |
Contrôle total | Nécessaire uniquement lorsque l’authentification Microsoft Entra ou Purview est activée. L’extension peut modifier la configuration de SQL Server. |
SOFTWARE\Microsoft\SystemCertificates |
Contrôle total | Nécessaire uniquement lorsque l’authentification Microsoft Entra est activée. L’extension peut remplacer les autorités de certification racines approuvées. |
SYSTEM\CurrentControlSet\Services |
Read | L’extension peut voir les noms des comptes de service. |
SOFTWARE\Microsoft\AzureDefender\SQL |
Read | L’extension peut apprendre l’état de Microsoft Defender et les heures de mise à jour. |
SOFTWARE\Microsoft\SqlServerExtension |
Contrôle total | L’extension peut modifier les paramètres d’extension. |
SOFTWARE\Policies\Microsoft\Windows |
Lecture et écriture | Nécessaire uniquement lorsque la mise à jour automatique est activée. L’extension peut modifier les stratégies Windows Update et désactiver Device Guard, qui contrôle l’intégrité du code et la sécurité basée sur la virtualisation, une exposition étendue en raison de correctifs manqués. |
Privilèges SQL par fonctionnalité
Le tableau suivant répertorie le comportement par défaut des fonctionnalités qui contrôlent les autorisations accordées par l’extension Azure pour SQL Server :
| Feature | Comportement par défaut |
|---|---|
| Autorisations d’extension par défaut | Activé par défaut |
| Sauvegardes automatisées | Désactivée par défaut |
| Groupes de disponibilité | Activé par défaut |
| Évaluation des bonnes pratiques | Désactivée par défaut |
| Évaluation de la migration | Activé par défaut |
| Migration de base de données | Activé par défaut |
| Restauration dans le temps | Désactivée par défaut |
| Purview | Désactivée par défaut |
Autorisations d’extension par défaut
Les autorisations par défaut suivantes sont les conditions minimales requises pour le niveau de base des fonctionnalités fournies par l’extension Azure pour SQL Server et doivent être appliquées :
| Type d’objet | Nom de la base de données ou de l’objet | Privilege |
|---|---|---|
| Database | master |
VIEW DATABASE STATE |
| Database | msdb |
ALTER ANY SCHEMA |
| Database | msdb |
CREATE TABLE |
| Database | msdb |
CREATE TYPE |
| Database | msdb |
DB DATA READER |
| Database | msdb |
DB DATA WRITER |
| Database | msdb |
EXECUTE |
| Database | msdb |
SELECT dbo.backupfile |
| Database | msdb |
SELECT dbo.backupmediaset |
| Database | msdb |
SELECT dbo.backupmediafamily |
| Database | msdb |
SELECT dbo.backupset |
| Database | msdb |
SELECT dbo.syscategories |
| Database | msdb |
SELECT dbo.sysjobactivity |
| Database | msdb |
SELECT dbo.sysjobhistory |
| Database | msdb |
SELECT dbo.sysjobs |
| Database | msdb |
SELECT dbo.sysjobsteps |
| Database | msdb |
SELECT dbo.syssessions |
| Database | msdb |
SELECT dbo.sysoperators |
| Database | msdb |
SELECT dbo.suspectpages |
| Server | CONNECT ANY DATABASE |
|
| Server | CONNECT SQL |
|
| Server | VIEW ANY DATABASE |
|
| Server | VIEW ANY DEFINITION |
|
| Server | VIEW SERVER STATE |
Sauvegardes automatisées
Les sauvegardes automatisées sont désactivées par défaut. L’extension accorde des autorisations de sauvegarde à n’importe quelle base de données sur laquelle les sauvegardes automatisées sont activées. L’activation de la fonctionnalité de sauvegarde active également la fonctionnalité de restauration dans le temps , de sorte que l’autorisation de créer une base de données est également accordée.
Si les fonctionnalités sont activées, l’extension accorde automatiquement les autorisations suivantes :
| Type d’objet | Nom de la base de données ou de l’objet | Privilege |
|---|---|---|
| Database | Toutes les bases de données | DB BACKUP OPERATOR |
| Server | CREATE ANY DATABASE |
|
| Server | master |
DB CREATOR |
Groupes de disponibilité
Les fonctionnalités de découverte et de gestion des groupes de disponibilité, telles que le basculement, sont activées par défaut, mais vous pouvez les désactiver via l’indicateur de AvailabilityGroupDiscovery fonctionnalité.
Si la fonctionnalité est activée, l’extension accorde automatiquement les autorisations suivantes :
| Type d’objet | Nom de la base de données ou de l’objet | Privilege |
|---|---|---|
| Server | ALTER ANY AVAILABILITY GROUP |
|
| Server | VIEW ANY DEFINITION |
Évaluation des bonnes pratiques
L’évaluation des meilleures pratiques est désactivée par défaut.
Si la fonctionnalité est activée, l’extension accorde automatiquement les autorisations suivantes :
| Type d’objet | Nom de la base de données ou de l’objet | Privilege |
|---|---|---|
| Database | master |
SELECT |
| Database | master |
VIEW DATABASE STATE |
| Database | msdb |
SELECT |
| Server | VIEW ANY DATABASE |
|
| Server | VIEW ANY DEFINITION |
|
| Server | VIEW SERVER STATE |
|
| StoredProcedure | EnumErrorLogsSP | EXECUTE |
| StoredProcedure | ReadErrorLogsSP | EXECUTE |
Migration de base de données
La fonctionnalité de migration de base de données est activée par défaut et nécessite uniquement les autorisations répertoriées dans les autorisations d’extension par défaut, bien que certaines autorisations utilisées par la fonctionnalité de migration de base de données reçoivent des autorisations juste-à-temps lorsqu’une action de migration spécifique est effectuée.
Les actions suivantes nécessitent des autorisations supplémentaires que l’extension accorde juste-à-temps :
- Créer une migration de liens Managed Instance
- Basculement complet de la migration de liaison Managed Instance
- Annuler la migration des liens Managed Instance
Note
Les utilisateurs disposant des SqlServerAvailabilityGroups_CreateManagedInstanceLinkautorisations SqlServerAvailabilityGroups_failoverMiLinket SqlServerAvailabilityGroups_deleteMiLink des autorisations dans Azure peuvent effectuer des actions sur la page migration de base de données pendant le processus de migration qui élèvent les autorisations SQL Server du compte utilisé par l’extension, y compris le sysadmin rôle.
Créer une migration de liens Managed Instance
À l’étape Migrer les données , l’extension accorde des autorisations juste-à-temps lorsque vous sélectionnez Démarrer la migration des données sous l’onglet Vérifier + Créer pour une migration de lien Managed Instance. Le compte de service a besoin d’autorisations élevées pour configurer le groupe de disponibilité distribué. Elle révoque les autorisations une fois le groupe de disponibilité distribué créé et le déploiement visible dans le portail Azure est à l’état terminé. Si une autre migration s’exécute en même temps, l’extension ne révoque pas les autorisations tant que le dernier groupe de disponibilité distribué n’est pas créé.
L’action de création d’une migration de liaison Managed Instance acquiert les autorisations suivantes pour la durée de la demande de création :
| Type d’objet | Nom de la base de données ou de l’objet | Privilege |
|---|---|---|
| Server | CREATE AVAILABILITY GROUP |
|
| Server | ALTER ANY AVAILABILITY GROUP |
|
| Server | ALTER ANY DATABASE |
|
| Server | CREATE ENDPOINT |
|
| Server | ALTER ANY ENDPOINT |
|
| Server | CREATE CERTIFICATE |
|
| Database | master |
IMPERSONATE ON USER::[dbo] |
Basculement complet de la migration de liaison Managed Instance
À l’étape Surveiller et basculement , l’extension accorde des autorisations juste-à-temps lorsque vous sélectionnez l’option De basculement Complète pour une migration de liaison Managed Instance. L’extension révoque les autorisations une fois le basculement terminé.
L’action de basculement d’une migration de liaison Managed Instance acquiert les autorisations suivantes pour la durée de la demande complète :
| Type d’objet | Nom de la base de données ou de l’objet | Privilege |
|---|---|---|
| Server | CREATE AVAILABILITY GROUP |
|
| Server | ALTER ANY AVAILABILITY GROUP |
|
| Server | ALTER ANY DATABASE |
|
| Server |
sysadmin
1 |
1 Si le privilège minimum est activé, l’action de basculement complète accorde également le sysadmin rôle au NT Service\SQLServerExtension compte pendant la durée du basculement. Ce rôle est nécessaire pour basculer le groupe de disponibilité distribué pour le basculement vers Azure SQL Managed Instance.
Annuler la migration des liens Managed Instance
À l’étape Surveiller et basculement, l’extension accorde des autorisations juste-à-temps lorsque vous sélectionnez l’option Annuler la migration pour une migration de lien Managed Instance. L’extension révoque les autorisations une fois la migration annulée.
L’action d’annulation d’une migration de lien Managed Instance acquiert les autorisations suivantes pour la durée de la demande d’annulation :
| Type d’objet | Nom de la base de données ou de l’objet | Privilege |
|---|---|---|
| Server | ALTER ANY AVAILABILITY GROUP |
|
| Server | ALTER ANY DATABASE |
|
| Server |
sysadmin
1 |
1 Si le privilège minimum est activé, l’action d’annulation accorde également le sysadmin rôle au NT Service\SQLServerExtension compte pendant la durée de la demande d’annulation. Ce rôle est requis lors de la suppression d’un groupe de disponibilité distribué.
Évaluation de la migration
Les évaluations de migration sont activées par défaut.
Si la fonctionnalité est désactivée, l’extension révoque les autorisations suivantes, sauf si d’autres fonctionnalités activées les nécessitent :
| Type d’objet | Nom de la base de données ou de l’objet | Privilege |
|---|---|---|
| Database | Toutes les bases de données | SELECT sys.sqlexpressiondependencies |
| Database | msdb |
EXECUTE dbo.agentdatetime |
| Database | msdb |
SELECT dbo.syscategories |
| Database | msdb |
SELECT dbo.sysjobhistory |
| Database | msdb |
SELECT dbo.sysjobs |
| Database | msdb |
SELECT dbo.sysjobsteps |
| Database | msdb |
SELECT dbo.sysmailaccount |
| Database | msdb |
SELECT dbo.sysmailprofile |
| Database | msdb |
SELECT dbo.sysmailprofileaccount |
| Database | msdb |
SELECT dbo.syssubsystems |
Purview
Les fonctionnalités Purview sont désactivées par défaut.
Si la fonctionnalité est activée, l’extension accorde automatiquement les autorisations suivantes :
| Type d’objet | Nom de la base de données ou de l’objet | Privilege |
|---|---|---|
| Database | Toutes les bases de données | EXECUTE |
| Database | Toutes les bases de données | SELECT |
| Server | CONNECT ANY DATABASE |
|
| Server | VIEW ANY DATABASE |
Autorisations SQL juste-à-temps
Certaines autorisations SQL sont affectées uniquement au moment où elles sont nécessaires pour effectuer une action spécifique et sont révoquées dès que l’opération nécessite l’exécution des autorisations. Si la révocation ne parvient pas à s’exécuter, un travail de nettoyage en arrière-plan qui s’exécute toutes les 50 minutes révoque automatiquement les autorisations qui sont obsolètes.
Les autorisations juste-à-temps sont affectées au compte de service :
-
NT Service\SQLServerExtensionsi le privilège minimum est activé - Compte système local si le privilège minimum est désactivé.
Actuellement, la fonctionnalité suivante utilise des autorisations juste-à-temps :
- Migration de base de données lors de l’utilisation de l’option de migration de liaison Managed Instance.
Autorisations supplémentaires
- Autorisations pour le compte de service pour accéder au service d’extension et configurer la récupération automatique.
- Droits de connexion en tant que service au compte de service.