SQL 検出と評価の最小特権でカスタム アカウントをプロビジョニングする

  • [アーティクル]

この記事では、検出と評価のための最小限のアクセス許可を持つカスタム アカウントを作成する方法について説明します。

検出の準備段階では、Azure Migrate アプライアンスに SQL Server インスタンスとの接続を確立するためのアカウントを構成する必要があります。 sysadmin 特権を持つアカウントの使用を避けたい場合は、検出と評価に必要なメタデータを取得するために必要な最小限のアクセス許可セットを持つカスタム アカウントを作成できます。 このカスタム アカウントを、SQL 検出と評価のアプライアンス構成に追加します。 最小特権アカウント プロビジョニング ユーティリティは、これらのカスタム アカウントのプロビジョニングに役立ちます。

前提条件

  • SQL Server インスタンスの一覧を使用して準備された CSV。 一覧表示されているすべての SQL Server で TCP/IP プロトコルが有効になっていることを確認します。

  • CSV に一覧表示されているすべての SQL Server インスタンスに対する sysadmin アクセス許可を持つアカウント。

    Note

    • 管理者レベルのアカウントは、最小特権アカウントのプロビジョニングにのみ使用されます。 最小限の特権アカウントが作成されたら、実際の検出と評価のためにアプライアンス構成でアカウントを指定します。
    • 複数の管理者レベルのアカウントが必要な場合は、同じ CSV ファイルを使用して、次の管理者レベルの資格情報でユーティリティを再度実行します。 既に正常に更新されているインスタンスはスキップされます。 すべての SQL インスタンスの [状態] フィールドが [成功]設定されるまで、異なる管理者レベルの資格情報でこれを繰り返します。

SQL Server インスタンスの一覧を準備する

このユーティリティでは、指定された順序で次の列を含む CSV として作成された SQL Server インスタンスの一覧が必要です。

  1. FqdnOrIpAddress (必須): このフィールドには、SQL Server インスタンスが実行されているサーバーの完全修飾 Doメイン 名 (または必要に応じて、SQL Server 認証の IP アドレス) が含まれている必要があります。
  2. InstanceName (必須): このフィールドには、名前付きインスタンスの場合はインスタンス名、既定のインスタンスの場合は MSSQLSERVER を含める必要があります。
  3. ポート (必須): SQL Server がリッスンしているポート。
  4. 状態 (省略可能/出力): このフィールドは最初は空白のままにすることができます。 Success 以外の値を指定すると、ユーティリティは対応するインスタンスに対して最小特権アカウントのプロビジョニングを試みることができます。 成功か失敗かは、実行終了時にこのフィールドで更新されます。
  5. ErrorSummary (省略可能/出力): 空白のままにします。 ユーティリティは、最小特権アカウントのプロビジョニング中に発生したエラー (存在する場合) の概要でこのフィールドを更新します。
  6. ErrorGuidance (省略可能/出力): 空白のままにします。 ユーティリティは、最小特権アカウントのプロビジョニング中に発生した詳細なエラー メッセージ (存在する場合) でこのフィールドを更新します。

カスタム アカウントのプロビジョニング

  1. コマンド プロンプトを開き、%ProgramFiles%\Microsoft Azure アプリliance Configuration Manager\Tools\SQLMinPrivilege フォルダーに移動します。
  2. 次のコマンドを使用して、最小特権アカウント プロビジョニング ユーティリティを起動します: MinimumPrivilegedUser.exe
  3. AzureMigrate アプライアンス から実行する場合は 1、それ以外の場合は 2 と入力して、環境の種類を選択します。
  4. SQL Server インスタンスの CSV 一覧へのパスを入力します。
  5. カスタム アカウントのカスタム セキュリティ識別子 (SID) を作成するための一意識別子 (GUID) を指定します。 ユーティリティのすべての実行に同じ既知の GUID を使用することをお勧めします。 たとえば、Azure サブスクリプション ID を使用できます。
  6. 管理者レベルのアクセス許可を持つアカウントの資格情報を入力します。
    1. SQL アカウントに 1、Windows/Do アカウントに 2 を入力して、資格情報の種類メイン選択します
    2. 管理者レベルのアカウントのユーザー名とパスワードを入力する
  7. 次に、作成する最小特権アカウントの資格情報を指定します。
    1. SQL アカウントに 1、Windows/Do アカウントに 2 を入力して、資格情報の種類メイン選択します
    2. 前の手順で SQL アカウントを選択した場合、一覧の SQL Server インスタンスで SQL Server 認証 (混合モード) が有効になっている必要があります。 一覧の SQL Server インスタンスで SQL 認証が有効になっていない場合、スクリプトは必要に応じてアカウントをプロビジョニングし、SQL 認証を有効にすることができます。 ただし、新しい SQL アカウントを使用する前に、インスタンスを再起動する必要があります。 SQL アカウントのプロビジョニングを続行しない場合は、N または n を入力して前の手順に戻り、もう一度資格情報の種類を選択します。
    3. プロビジョニングする最小特権アカウントのユーザー名とパスワードを入力します。
  8. 使用する管理者レベルの資格情報がさらに存在する場合は、同じ CSV ファイルでもう一度開始します。 ユーティリティは、正常に構成されたインスタンスをスキップします。

Note

Azure Migrate Appliance の構成を簡素化するために、同じ最小特権アカウントの資格情報を使用することをお勧めします。

検出と評価にカスタム アカウントを使用する

カスタム アカウントがプロビジョニングされたので、アプライアンス構成でこの資格情報を指定します。

次のステップ

Azure SQL に移行するために、SQL Server を実行しているサーバーを評価する方法について学習します。