認証モードの選択Choose an Authentication Mode

適用対象: ○SQL Server XAzure SQL Database XAzure SQL Data Warehouse XParallel Data WarehouseAPPLIES TO: yesSQL Server noAzure SQL Database noAzure SQL Data Warehouse noParallel Data Warehouse

セットアップ中に、 データベース エンジンDatabase Engineの認証モードを選択する必要があります。During setup, you must select an authentication mode for the データベース エンジンDatabase Engine. Windows 認証モードと混在モードという 2 つのモードを使用できます。There are two possible modes: Windows Authentication mode and mixed mode. Windows 認証モードを選択すると、Windows 認証が有効になり、 SQL ServerSQL Server 認証が無効になります。Windows Authentication mode enables Windows Authentication and disables SQL ServerSQL Server Authentication. 混合モードを選択すると、Windows 認証と SQL ServerSQL Server 認証の両方が有効になります。Mixed mode enables both Windows Authentication and SQL ServerSQL Server Authentication. Windows 認証は常に使用可能であり、無効にすることはできません。Windows Authentication is always available and cannot be disabled.

認証モードの構成Configuring the Authentication Mode

セットアップ中に混合モード認証を選択した場合は、sa という組み込みの SQL ServerSQL Server システム管理者アカウントの強力なパスワードを入力して確認する必要があります。If you select Mixed Mode Authentication during setup, you must provide and then confirm a strong password for the built-in SQL ServerSQL Server system administrator account named sa. sa アカウントは、 SQL ServerSQL Server 認証を使用して接続します。The sa account connects by using SQL ServerSQL Server Authentication.

セットアップ中に Windows 認証を選択した場合は、 SQL ServerSQL Server 認証用に sa アカウントが作成されますが、無効になっています。If you select Windows Authentication during setup, Setup creates the sa account for SQL ServerSQL Server Authentication but it is disabled. 後で混合モード認証に変更し、sa アカウントを使用する場合に、アカウントを有効にする必要があります。If you later change to Mixed Mode Authentication and you want to use the sa account, you must enable the account. 任意の Windows アカウントまたは SQL ServerSQL Server アカウントは、システム管理者として構成できます。Any Windows or SQL ServerSQL Server account can be configured as a system administrator. sa アカウントはよく知られているため、悪意のあるユーザーの攻撃対象となることが少なくありません。そのため、アプリケーションで必要とならない限り、sa アカウントを有効にしないでください。Because the sa account is well known and often targeted by malicious users, do not enable the sa account unless your application requires it. また、sa アカウントでは、パスワードを空白のままにしたり、推測しやすいパスワードを設定しないでください。Never set a blank or weak password for the sa account. Windows 認証モードから混合モード認証に変更して、 SQL ServerSQL Server 認証を使用する場合は、「 サーバーの認証モードの変更」をご覧ください。To change from Windows Authentication mode to Mixed Mode Authentication and use SQL ServerSQL Server Authentication, see Change Server Authentication Mode.

Windows 認証を使用した接続Connecting Through Windows Authentication

Windows ユーザー アカウントでユーザーが接続すると、 SQL ServerSQL Server はオペレーティング システムの Windows プリンシパル トークンを使用してアカウント名とパスワードを検証します。When a user connects through a Windows user account, SQL ServerSQL Server validates the account name and password using the Windows principal token in the operating system. つまり、ユーザーの ID は Windows によって確認されます。This means that the user identity is confirmed by Windows. SQL ServerSQL Server では、パスワードが要求されず、ID の検証も行われません。 does not ask for the password, and does not perform the identity validation. Windows 認証は、既定の認証モードであり、 SQL ServerSQL Server 認証よりもはるかに安全性に優れています。Windows Authentication is the default authentication mode, and is much more secure than SQL ServerSQL Server Authentication. Windows 認証では、Kerberos セキュリティ プロトコルを利用し、強力なパスワードに対して複雑な検証を行うという点に関して、パスワード ポリシーが強化されています。また、アカウント ロックアウトの機能を提供し、パスワード有効期限にも対応しています。Windows Authentication uses Kerberos security protocol, provides password policy enforcement with regard to complexity validation for strong passwords, provides support for account lockout, and supports password expiration. Windows 認証を使用して行われた接続は、信頼関係接続と呼ばれることがあります。これは、 SQL ServerSQL Server では Windows が提供する資格情報を信頼しているためです。A connection made using Windows Authentication is sometimes called a trusted connection, because SQL ServerSQL Server trusts the credentials provided by Windows.

Windows 認証を使用することにより、Windows グループをドメイン レベルで作成できます。また、グループ全体に対して SQL ServerSQL Server のログインを作成できます。By using Windows Authentication, Windows groups can be created at the domain level, and a login can be created on SQL ServerSQL Server for the entire group. ドメイン レベルでアクセスを管理すると、アカウント管理を簡素化できます。Managing access from at the domain level can simplify account administration.

重要

可能な場合は、Windows 認証を使用します。When possible, use Windows Authentication.

SQL Server 認証を使用した接続Connecting Through SQL Server Authentication

SQL ServerSQL Server 認証を使用すると、Windows ユーザー アカウントに基づかないログインが SQL ServerSQL Server に作成されます。When using SQL ServerSQL Server Authentication, logins are created in SQL ServerSQL Server that are not based on Windows user accounts. ユーザー名とパスワードの両方が SQL ServerSQL Server を使用して作成され、 SQL ServerSQL Serverに格納されます。Both the user name and the password are created by using SQL ServerSQL Server and stored in SQL ServerSQL Server. SQL ServerSQL Server 認証を使用して接続するユーザーは、接続するたびに資格情報 (ログインとパスワード) を入力する必要があります。Users connecting using SQL ServerSQL Server Authentication must provide their credentials (login and password) every time that they connect. SQL ServerSQL Server 認証を使用する場合は、すべての SQL ServerSQL Server アカウントに強力なパスワードを設定する必要があります。When using SQL ServerSQL Server Authentication, you must set strong passwords for all SQL ServerSQL Server accounts. 強力なパスワードのガイドラインについては、「 強力なパスワード」を参照してください。For strong password guidelines, see Strong Passwords.

SQL ServerSQL Server ログインでは、省略可能な 3 つのパスワード ポリシーを使用できます。Three optional password policies are available for SQL ServerSQL Server logins.

  • [ユーザーは次回ログイン時にパスワードを変更する]User must change password at next login

    ユーザーは、次回接続するときにパスワードを変更する必要があります。Requires the user to change the password the next time that the user connects. パスワードを変更する機能は、 SQL Server Management StudioSQL Server Management Studioに用意されています。The ability to change the password is provided by SQL Server Management StudioSQL Server Management Studio. このオプションが使用されている場合、サード パーティのソフトウェア開発者はこの機能を提供する必要があります。Third-party software developers should provide this feature if this option is used.

  • [パスワードの期限を適用する]Enforce password expiration

    コンピューターのパスワードの有効期限ポリシーが SQL ServerSQL Server ログインに適用されます。The maximum password age policy of the computer is enforced for SQL ServerSQL Server logins.

  • [パスワード ポリシーを適用する]Enforce password policy

    コンピューターの Windows のパスワード ポリシーが SQL ServerSQL Server ログインに適用されます。The Windows password policies of the computer are enforced for SQL ServerSQL Server logins. これには、パスワードの長さおよび複雑さが含まれます。This includes password length and complexity. この機能は、 NetValidatePasswordPolicy 以降のバージョンのみで使用できる Windows Server 2003Windows Server 2003 API に依存します。This functionality depends on the NetValidatePasswordPolicy API, which is only available in Windows Server 2003Windows Server 2003 and later versions.

ローカル コンピューターのパスワード ポリシーを確認するにはTo determine the password policies of the local computer

  1. [スタート] メニューの [ファイル名を指定して実行] をクリックします。On the Start menu, click Run.

  2. [ファイル名を指定して実行] ダイアログ ボックスで、「 secpol.msc」と入力し、 [OK] をクリックします。In the Run dialog box, type secpol.msc, and then click OK.

  3. [ローカル セキュリティ設定] アプリケーションで、 [セキュリティの設定][アカウント ポリシー] の順に展開して、 [パスワードのポリシー] をクリックします。In the Local Security Settings application, expand Security Settings, expand Account Policies, and then click Password Policy.

    結果ペインに、パスワードのポリシーが表示されます。The password policies are described in the results pane.

SQL Server 認証の欠点Disadvantages of SQL Server Authentication

  • Windows のログインとパスワードを持っている Windows ドメイン ユーザーの場合、接続するために別の (SQL ServerSQL Server) ログインとパスワードを入力する必要があります。If a user is a Windows domain user who has a login and password for Windows, he must still provide another (SQL ServerSQL Server) login and password to connect. 多くのユーザーにとって、複数の名前とパスワードを把握しておくことは困難です。Keeping track of multiple names and passwords is difficult for many users. データベースに接続するたびに SQL ServerSQL Server の資格情報を入力する必要があるのは面倒な場合があります。Having to provide SQL ServerSQL Server credentials every time that one connects to the database can be annoying.

  • SQL ServerSQL Server 認証では、Kerberos セキュリティ プロトコルを使用できません。 Authentication cannot use Kerberos security protocol.

  • Windows には、SQL ServerSQL Server ログインで使用できない、追加のパスワード ポリシーが用意されています。Windows offers additional password policies that are not available for SQL ServerSQL Server logins.

  • 接続時に、 SQL ServerSQL Server 認証ログインの暗号化されたパスワードをネットワーク上で渡す必要があります。The encrypted SQL ServerSQL Server Authentication login password, must be passed over the network at the time of the connection. 自動的に接続する一部のアプリケーションでは、クライアントでパスワードが保存されます。Some applications that connect automatically will store the password at the client. これらは追加の攻撃ポイントとなります。These are additional attack points.

SQL Server 認証の利点Advantages of SQL Server Authentication

  • SQL ServerSQL Server では、古いアプリケーションや、 SQL ServerSQL Server 認証を必要とする、サード パーティが提供するアプリケーションをサポートできます。Allows SQL ServerSQL Server to support older applications and applications provided by third parties that require SQL ServerSQL Server Authentication.

  • SQL ServerSQL Server では、すべてのユーザーが Windows ドメインで認証されていない、オペレーティング システムが混在する環境をサポートできます。Allows SQL ServerSQL Server to support environments with mixed operating systems, where all users are not authenticated by a Windows domain.

  • ユーザーが、不明なドメインや信頼されていないドメインから接続できます。Allows users to connect from unknown or untrusted domains. たとえば、既存の顧客が、割り当てられた SQL ServerSQL Server ログインを使用して接続し、発注状況を確認するアプリケーションの場合です。For instance, an application where established customers connect with assigned SQL ServerSQL Server logins to receive the status of their orders.

  • SQL ServerSQL Server では、ユーザーが独自の ID を作成する Web ベースのアプリケーションをサポートできます。Allows SQL ServerSQL Server to support Web-based applications where users create their own identities.

  • ソフトウェア開発者は、事前に設定された既知の SQL ServerSQL Server ログインに基づいた、複雑な権限の階層を使用してアプリケーションを配布できます。Allows software developers to distribute their applications by using a complex permission hierarchy based on known, preset SQL ServerSQL Server logins.

    注意

    SQL ServerSQL Server 認証を使用した場合、 SQL ServerSQL Server がインストールされているコンピューターのローカル管理者の権限は制限されません。Using SQL ServerSQL Server Authentication does not limit the permissions of local administrators on the computer where SQL ServerSQL Server is installed.

参照See Also

SQL Server インストールにおけるセキュリティの考慮事項Security Considerations for a SQL Server Installation