重要
この記事は商用クラウドに適用されます。 政府機関向けクラウドを使用している場合は、政府機関で使用するマシンで Defender for SQL Servers を有効にする方法に関する記事を参照してください。
Defender for SQL Server on Machines プランは、Microsoft Defender for Cloud の Defender for Databases プランの 1 つです。 マシン上の Defender for SQL Server を使用して、SQL 仮想マシン (VM) と Azure Arc SQL Server インスタンスを保護します。
重要
Defender for SQL Server on Machines プランでは、新しいエージェント アーキテクチャへの移行が進行中です。 詳細については、「 Defender for SQL Server on Machines プランの移行」を参照してください。
前提条件
サブスクリプションのアクセス許可: Azure Policy を含むサブスクリプションにプランをデプロイするには、 サブスクリプション所有者 のアクセス許可が必要です。
SQL Server インスタンスのアクセス許可: SQL Server サービス アカウントは、既定の設定である各 SQL Server インスタンスの sysadmin 固定サーバー ロールのメンバーである必要があります。 SQL Server サービス アカウントの要件の詳細について説明します。
サポートされているリソース:
- SQL 仮想マシンと Azure Arc SQL Server インスタンス がサポートされています。
- オンプレミスのマシンは Arc にオンボードされ、Azure Arc SQL Server インスタンスとして登録されている必要があります。
通信: URL *.<region>.arcdataservices.com に対して、トランスポート層セキュリティ (TLS) を使用し、伝送制御プロトコル (TCP) ポート 443 で送信される HTTPS トラフィックを許可します。 URL の要件について詳しくは、こちらをご覧ください。
拡張機能: 環境内でこれらの拡張機能がブロックされていないことを確認します。 Windows VM での拡張機能のインストールの制限の詳細について説明します。
- Defender for SQL (IaaS と Arc)
- パブリッシャー: Microsoft.Azure.AzureDefenderForSQL
- 種類: AdvancedThreatProtection.Windows
- SQL IaaS 拡張機能 (IaaS)
- パブリッシャー: Microsoft.SqlServer.Management
- 種類: SqlIaaSAgent
- SQL IaaS 拡張機能 (Arc)
- パブリッシャー: Microsoft.AzureData
- 種類: WindowsAgent.SqlServer
- Defender for SQL (IaaS と Arc)
サポートされている SQL Server バージョン - SQL Server 2012 R2 (11.x) 以降のバージョン。
サポートされているオペレーティング システム - SQL Server 2012 R2 以降のバージョン。
プランを有効にする
Azure サブスクリプションでプランを有効にする
マシンプランで Defender for SQL サーバーを有効にするには、サブスクリプションで Defender for Databases プランを有効にする必要があります。 マシン上の Defender for SQL サーバープランは、Defender for Databases プランに含まれています。
Azure portal にサインインします。
[Microsoft Defender for Cloud]>[Environment settings](環境設定) に移動します。
関連するサブスクリプションを選択します。
[Defender プラン] Databases プランを見つけて、[種類の選択] を選択します。
![[Defender プラン] ページのどこで種類を選択するかを示すスクリーンショット。](media/tutorial-enabledatabases-plan/select-types.png)
[リソースの種類] 選択ウィンドウで、 マシン上の SQL Server プランを [オン] に切り替えます。
[続行]>[保存] を選択します。
![[Defender プラン] ページのどこで種類を選択するかを示すスクリーンショット。](media/tutorial-enabledatabases-plan/select-types.png#lightbox)
アマゾン ウェブ サービス (AWS) または Google Cloud Platform (GCP) サブスクリプションでプランを有効にする
マシンプランで Defender for SQL サーバーを有効にするには、サブスクリプションで Defender for Databases プランを有効にする必要があります。 マシン上の Defender for SQL サーバープランは、Defender for Databases プランに含まれています。
Azure portal にサインインします。
「Microsoft Defender for Cloud」を検索して選択します。
環境設定を選択します。
関連する AWS または GCP サブスクリプションを選択します。
[Defender プラン] ページで、データベース プランを見つけて 、[設定] を選択します。
[マシン上の SQL Server] セクションで、マシン上の SQL Server プランを [オン] に切り替えます。
![マシン上の Defender for SQL Server の [オン] ボタンが配置されている場所を示すスクリーンショット。](media/defender-for-sql-usage/enable-on-aws.png)
保存 を選択します。
![マシン上の Defender for SQL Server の [オン] ボタンが配置されている場所を示すスクリーンショット。](media/defender-for-sql-usage/enable-on-aws.png#lightbox)
SQL Server リソース レベルでプランを有効にする
Azure サブスクリプション全体のプランを有効にすることをお勧めしますが、特定のマシン上のマシンでのみ Defender for SQL を有効にする必要がある場合があります。 これを行うには、 サブスクリプションのプランを無効に し、リソース レベルで以下の手順に従います。
Azure portal で、次を検索して選択します。
- Azure Arc>データ サービス>SQL Server インスタンス。
又は - SQL 仮想マシン。
- Azure Arc>データ サービス>SQL Server インスタンス。
関連する SQL Server インスタンスを選択します。
セキュリティ メニューを見つけて、 Microsoft Defender for Cloud を選択します。
[マシンでの Microsoft Defender for SQL サーバーを有効にする] を選択します。
マシンが保護されていることを確認する
重要
デプロイが保護されていることを確認することが重要であるため、この手順はスキップしないでください。
環境によっては、SQL インスタンスの検出と保護に数時間かかることがあります。 最後の手順として、すべてのマシンが保護されていることを確認する必要があります。