Configurare gli account del servizio Windows e le autorizzazioni per l'estensione di Azure per SQL Server
Si applica a: 
SQL Server
Questo articolo elenca le autorizzazioni impostate dall'estensione Azure per SQL Server per l'account NT Service\SQLServerExtension . Questo account viene usato quando si usa SQL Server abilitato da Azure Arc con privilegi minimi.
Nota
I server esistenti con estensione dalla versione di novembre 2024 o versioni successive avranno automaticamente la configurazione con privilegi minimi applicati. Questa applicazione verrà eseguita gradualmente.
Per impedire l'applicazione automatica dei privilegi minimi, bloccare gli aggiornamenti dell'estensione alla versione di novembre 2024.
L'impostazione manuale delle autorizzazioni per l'account agente non è supportata.
L'estensione imposta le autorizzazioni quando si abilitano le funzionalità nel portale di Azure. Se non si abilita una funzionalità, l'estensione non imposta le autorizzazioni per tale funzionalità. Se si disabilita una funzionalità, l'estensione rimuove le autorizzazioni.
Le autorizzazioni SQL elencano le autorizzazioni associate alle funzionalità concesse dall'estensione quando le funzionalità sono abilitate.
Nota
NT Authority\System deve avere accesso per modificare le autorizzazioni per le directory e le chiavi del Registro di sistema elencate. Questa operazione è necessaria in modo che NT Authority\System possa concedere l'accesso necessario all'account NT Service\SqlServerExtension per la modalità con privilegi minimi.
Autorizzazioni della directory
| Percorso directory | Autorizzazioni necessarie | Dettagli | Funzionalità |
|---|---|---|---|
<SystemDrive>\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SQLServer |
Controllo completo | Estensione dll e file exe correlati. | Predefiniti |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\RuntimeSettings |
Controllo completo | File delle impostazioni di estensione. | Predefiniti |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status |
Controllo completo | File di stato dell'estensione. | Predefiniti |
C:\ProgramData\GuestConfig\extension_logs\Microsoft.AzureData.WindowsAgent.SqlServer |
Controllo completo | File di log di estensione. | Predefiniti |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status\HeartBeat.Json |
Controllo completo | File heartbeat di estensione. | Predefiniti |
%ProgramFiles%\Sql Server Extension |
Controllo completo | File del servizio di estensione. | Predefiniti |
<SystemDrive>\Windows\system32\extensionUpload |
Controllo completo | Obbligatorio per scrivere il file di utilizzo necessario per la fatturazione. | Predefiniti |
<SystemDrive>\Windows\system32\ExtensionHandler.log |
Controllo completo | Cartella di pre-log creata dall'estensione. | Predefiniti |
<ProgramData>\AzureConnectedMachineAgent\Config |
Lettura | Directory dei file di configurazione arc. | Predefiniti |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft SQL Server Extension Agent |
Controllo completo | Obbligatorio per scrivere report e stato di valutazione. | Predefiniti |
Directory di log SQL (come impostato nel Registro di sistema) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\log |
Lettura | Obbligatorio per estrarre le informazioni di SQL vCore dai log SQL. | Predefiniti |
Directory di backup SQL (come impostato nel Registro di sistema) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\Backup |
ReadAndExecute/Write /Delete | Obbligatorio per i backup | Backup |
1 Per altre informazioni, vedere Percorsi dei file e Mapping del Registro di sistema.
Autorizzazioni del Registro di sistema
Chiave di base: HKEY_LOCAL_MACHINE
| Chiave del Registro di sistema | È necessaria l'autorizzazione | Dettagli | Funzionalità |
|---|---|---|---|
SOFTWARE\Microsoft\Microsoft SQL Server |
Lettura | Leggere le proprietà di SQL Server, ad esempio installedInstances. |
Predefiniti |
SOFTWARE\Microsoft\Microsoft SQL Server\<InstanceRegistryName>\MSSQLSERVER |
Controllo completo | Microsoft Entra ID e Purview. | Microsoft Entra ID Purview |
SOFTWARE\Microsoft\SystemCertificates |
Controllo completo | Obbligatorio per Microsoft Entra ID. | Microsoft Entra ID |
SYSTEM\CurrentControlSet\Services |
Lettura | Nome dell'account di SQL Server. | Predefiniti |
SOFTWARE\Microsoft\AzureDefender\SQL |
Lettura | Stato di Azure Defender e ora dell'ultimo aggiornamento. | Predefiniti |
SOFTWARE\Microsoft\SqlServerExtension |
Controllo completo | Valori correlati all'estensione. | Predefiniti |
SOFTWARE\Policies\Microsoft\Windows |
Lettura e scrittura | Abilitazione dell'aggiornamento automatico di Windows tramite estensione. | Aggiornamenti automatici |
Autorizzazioni di gruppo
NT Service\SQLServerExtension viene aggiunto alle applicazioni di estensione dell'agente ibrido. Supporta l'handshake IMDS (Azure Instance Metadata Service).
Autorizzazioni SQL
NT Service\SQLServerExtension viene aggiunto:
- Come account di accesso SQL a tutte le istanze attualmente presenti nel computer
- Come utente in ogni database
L'estensione concede anche le autorizzazioni per gli oggetti di istanza e di database quando sono abilitate le funzionalità. La tabella seguente fornisce informazioni dettagliate.
| Funzionalità | Autorizzazione | Livello | Requisito |
|---|---|---|---|
| Predefinita | VIEW DATABASE STATE |
Livello server | Essential |
VIEW SERVER STATE |
Livello server | Essential | |
CONNECT SQL |
Livello server | Essential | |
| Database come risorsa | Ruolo pubblico predefinito | Livello server (concesso per impostazione predefinita agli account di accesso appena aggiunti) | Essential |
| Valutazione delle procedure consigliate | VIEW ANY DEFINITION |
Livello server | Dipendente dalla funzionalità |
VIEW ANY DATABASE |
Livello server | Dipendente dalla funzionalità | |
SELECT |
master |
Dipendente dalla funzionalità | |
SELECT |
msdb |
Dipendente dalla funzionalità | |
EXECUTE ON sys.xp_enumerrorlogs |
master |
Dipendente dalla funzionalità | |
EXECUTE ON sys.xp_readerrorlog |
master |
Dipendente dalla funzionalità | |
| Backup | CREATE ANY DATABASE |
Livello server | Dipendente dalla funzionalità |
| ruolo db_backupoperator | Tutti i database | Dipendente dalla funzionalità | |
| dbcreator | Ruolo del server | Dipendente dalla funzionalità | |
| Piano di controllo di Azure | CREATE TABLE |
msdb |
Essential |
ALTER ANY SCHEMA |
msdb |
Essential | |
CREATE TYPE |
msdb |
Essential | |
EXECUTE |
msdb |
Essential | |
| ruolo db_datawriter | msdb |
Dipendente dalla funzionalità | |
| ruolo db_datareader | msdb |
Dipendente dalla funzionalità | |
| Individuazione del gruppo di disponibilità | VIEW ANY DEFINITION |
Livello server | Essential |
| Competenza | SELECT |
Tutti i database | Dipendente dalla funzionalità |
EXECUTE |
Tutti i database | Dipendente dalla funzionalità | |
CONNECT ANY DATABASE |
Livello server | Dipendente dalla funzionalità | |
VIEW ANY DATABASE |
Livello server | Dipendente dalla funzionalità | |
| Monitoraggio | SELECT dbo.sysjobactivity |
msdb |
Essential |
SELECT dbo.sysjobs |
msdb |
Essential | |
SELECT dbo.syssessions |
msdb |
Essential | |
SELECT dbo.sysjobHistory |
msdb |
Essential | |
SELECT dbo.sysjobSteps |
msdb |
Essential | |
SELECT dbo.syscategories |
msdb |
Essential | |
SELECT dbo.sysoperators |
msdb |
Essential | |
SELECT dbo.suspectpages |
msdb |
Essential | |
SELECT dbo.backupset |
msdb |
Essential | |
SELECT dbo.backupmediaset |
msdb |
Essential | |
SELECT dbo.backupmediafamily |
msdb |
Essential | |
SELECT dbo.backupfile |
msdb |
Essential | |
CONNECT ANY DATABASE |
Livello server | Essential | |
VIEW ANY DATABASE |
Livello server | Essential | |
VIEW ANY DEFINITION |
Livello server | Essential | |
| Valutazione della migrazione | EXECUTE dbo.agent_datetime |
msdb |
Essential |
SELECT dbo.syscategories |
msdb |
Essential | |
SELECT dbo.sysjobHistory |
msdb |
Essential | |
SELECT dbo.sysjobs |
msdb |
Essential | |
SELECT dbo.sysjobSteps |
msdb |
Essential | |
SELECT dbo.sysmail_account |
msdb |
Essential | |
SELECT dbo.sysmail_profile |
msdb |
Essential | |
SELECT dbo.sysmail_profileaccount |
msdb |
Essential | |
SELECT dbo.syssubsystems |
msdb |
Essential | |
SELECT sys.sql_expression_dependencies |
Tutti i database | Essential |
Nota
Le autorizzazioni minime dipendono dalle funzionalità abilitate. Le autorizzazioni vengono aggiornate quando non sono più necessarie. Le autorizzazioni necessarie vengono concesse quando le funzionalità sono abilitate.
Autorizzazioni aggiuntive
- Autorizzazioni per l'account del servizio per accedere al servizio di estensione e configurare la funzionalità di salvataggio automatico.
- Diritti di accesso come servizio per l'account del servizio.