Approvisionner des comptes personnalisés avec des privilèges minimum pour la découverte et l’évaluation SQL

  • Article

Cet article explique comment créer un compte personnalisé avec des autorisations minimales pour la découverte et l’évaluation.

En vue de la découverte, l’appliance Azure Migrate doit être configurée avec les comptes pour établir des connexions avec les instances SQL Server. Si vous préférez éviter d’utiliser des comptes avec des privilèges sysadmin, un compte personnalisé avec un ensemble minimal d’autorisations requises pour obtenir les métadonnées nécessaires à la découverte et à l’évaluation peut être créé. Ajoutez ce compte personnalisé dans la configuration de l’appliance pour la découverte et l’évaluation SQL. L’utilitaire d’approvisionnement de compte le moins privilégié peut aider à approvisionner ces comptes personnalisés.

Prérequis

  • Fichier CSV préparé avec la liste des instances SQL Server. Vérifiez que tous les serveurs SQL répertoriés ont activé le protocole TCP/IP.

  • Comptes disposant d’autorisations sysadmin sur toutes les instances SQL Server répertoriées dans le fichier CSV.

    Remarque

    • Le compte au niveau de l’administrateur est utilisé uniquement pour approvisionner le compte le moins privilégié. Une fois le compte le moins privilégié créé, fournissez-le dans la configuration de l’appliance pour la découverte et l’évaluation réelles.
    • Si plusieurs comptes de niveau administrateur sont requis, utilisez le même fichier CSV pour réexécuter l’utilitaire avec les informations d’identification de niveau administrateur suivantes. Les instances qui ont déjà été mises à jour sont ignorées. Répétez cette opération avec des informations d’identification au niveau de l’administrateur différentes jusqu’à ce que tous les instances sql aient le champ État défini sur Réussite.

Préparer la liste des instances SQL Server

L’utilitaire requiert la liste des instances SQL Server créée en tant que csv avec les colonnes suivantes dans l’ordre indiqué :

  1. FqdnOrIpAddress (obligatoire) : ce champ doit contenir le nom de domaine complet (ou éventuellement l’adresse IP de l’authentification SQL Server) du serveur sur lequel l’instance SQL Server est en cours d’exécution.
  2. InstanceName (obligatoire) : ce champ doit contenir le nom d’instance d’une instance nommée ou MSSQLSERVER pour une instance par défaut.
  3. Port (obligatoire) : port sur lequel SQL Server écoute.
  4. État (facultatif/sortie) : ce champ peut être laissé vide initialement. Toute valeur ici autre que Success permet à l’utilitaire de tenter d’approvisionner le compte le moins privilégié sur l’instance correspondante. La réussite ou l’échec est ensuite mis à jour dans ce champ à la fin de l’exécution.
  5. ErrorSummary (facultatif/sortie) : laissez vide. L’utilitaire met à jour ce champ avec un résumé des erreurs (le cas échéant) rencontrées lors de l’approvisionnement du compte le moins privilégié.
  6. ErrorGuidance (facultatif/sortie) : laissez vide. L’utilitaire met à jour ce champ avec des messages d’erreur détaillés (le cas échéant) rencontrés lors de l’approvisionnement du compte le moins privilégié.

Provisionner les comptes personnalisés

  1. Ouvrez une invite de commandes et accédez au dossier %ProgramFiles%\Microsoft Azure Appliance Configuration Manager\Tools\SQLMinPrivilege.
  2. Lancez l’utilitaire d’approvisionnement de compte le moins privilégié à l’aide de la commande : MinimumPrivilegedUser.exe
  3. Sélectionnez le type d’environnement en entrant 1 si vous l’exécutez à partir de l’appliance AzureMigrate ou 2 sinon.
  4. Indiquez le chemin d’accès à la liste CSV des instances SQL Server.
  5. Fournissez un identificateur(GUID) unique pour la création d’un identificateur de sécurité personnalisé (SID) pour le compte personnalisé. Nous vous recommandons d’utiliser le même GUID bien connu pour toutes les exécutions de l’utilitaire. Par exemple, vous pouvez utiliser l’ID d’abonnement Azure.
  6. Fournissez les informations d’identification du compte avec des autorisations au niveau de l’administrateur.
    1. Sélectionnez le type d’informations d’identification en entrant 1 pour le compte SQL ou 2 pour windows/compte de domaine.
    2. Indiquez le nom d’utilisateur et le mot de passe du compte au niveau de l’administrateur
  7. Fournissez maintenant les informations d’identification pour le compte le moins privilégié à créer.
    1. Sélectionnez le type d’informations d’identification en entrant 1 pour le compte SQL ou 2 pour windows/compte de domaine.
    2. Si vous avez choisi un compte SQL à l’étape précédente, les instances SQL Server de la liste doivent avoir activé l’authentification SQL Server (mode mixte). Si une instance SQL Server de la liste n’a pas d’authentification SQL activée, le script peut éventuellement provisionner le compte et activer l’authentification SQL. Toutefois, l’instance doit être redémarrée avant l’utilisation du nouveau compte SQL. Si vous ne souhaitez pas procéder à l’approvisionnement du compte SQL, entrez N ou n pour revenir à l’étape précédente et choisissez à nouveau le type d’informations d’identification.
    3. Indiquez le nom d’utilisateur et le mot de passe du compte le moins privilégié à provisionner.
  8. S’il existe davantage d’informations d’identification au niveau de l’administrateur à utiliser, recommencez avec le même fichier CSV. L’utilitaire ignore les instances correctement configurées.

Remarque

Nous vous recommandons d’utiliser les mêmes informations d’identification de compte le moins privilégié pour simplifier la configuration de l’appliance Azure Migrate.

Utiliser un compte personnalisé pour la découverte et l’évaluation

Maintenant que le compte personnalisé est approvisionné, fournissez ces informations d’identification dans la configuration de l’appliance.

Étapes suivantes

Découvrez comment évaluer les serveurs exécutant SQL Server à migrer vers Azure SQL.