パスワード ポリシーPassword Policy

適用対象: yesSQL Server noAzure SQL Database noAzure Synapse Analytics (SQL DW) noParallel Data Warehouse APPLIES TO: yesSQL Server noAzure SQL Database noAzure Synapse Analytics (SQL DW) noParallel Data Warehouse

SQL ServerSQL Server Windows のパスワード ポリシー メカニズムに対応しています。can use Windows password policy mechanisms. パスワード ポリシーは SQL ServerSQL Server 認証を使用するログインに適用され、パスワードを持つ包含データベース ユーザーに適用されます。The password policy applies to a login that uses SQL ServerSQL Server authentication, and to a contained database user with password.

SQL ServerSQL ServerSQL ServerSQL Server内部で使用されるパスワードに、Windows で使用されているものと同じ複雑性ポリシーおよび有効期限ポリシーを適用できます。can apply the same complexity and expiration policies used in Windows to passwords used inside SQL ServerSQL Server. この機能は NetValidatePasswordPolicy API に依存します。This functionality depends on the NetValidatePasswordPolicy API.

注意

SQL DatabaseSQL Database パスワードの複雑性が適用されます。enforces password complexity. パスワードの有効期限とポリシー適用のセクションは SQL DatabaseSQL Databaseに適用されません。The password expiration and policy enforcement sections do not apply to SQL DatabaseSQL Database.

パスワードの複雑性Password Complexity

パスワードの複雑性のポリシーは、使用可能なパスワードの数を増やすことにより、総当り攻撃を防ぐようにデザインされています。Password complexity policies are designed to deter brute force attacks by increasing the number of possible passwords. パスワードの複雑性のポリシーが適用される場合、新しいパスワードは次のガイドラインを満たしている必要があります。When password complexity policy is enforced, new passwords must meet the following guidelines:

  • パスワードはユーザー アカウント名を含まない。The password does not contain the account name of the user.

  • パスワードは 8 文字以上である。The password is at least eight characters long.

  • パスワードは次の 4 つのカテゴリのうちの 3 つのカテゴリの文字を含む。The password contains characters from three of the following four categories:

    • ラテン文字の大文字 (A ~ Z)Latin uppercase letters (A through Z)

    • ラテン文字の小文字 (a ~ z)Latin lowercase letters (a through z)

    • 算用数字 (0 ~ 9)Base 10 digits (0 through 9)

    • 感嘆符 (!)、ドル記号 ($)、番号記号 (#)、パーセント記号 (%) などの英数字以外の文字Non-alphanumeric characters such as: exclamation point (!), dollar sign ($), number sign (#), or percent (%).

パスワードには最大 128 文字まで使用できます。Passwords can be up to 128 characters long. パスワードはできるだけ長く、複雑にします。Use passwords that are as long and complex as possible.

パスワードの有効期限Password Expiration

パスワードの有効期限のポリシーは、パスワードの寿命を管理します。Password expiration policies are used to manage the lifespan of a password. SQL ServerSQL Server によってパスワードの有効期限が適用されている場合、ユーザーは古いパスワードを変更するよう通知され、有効期限が切れたパスワードを持つアカウントは無効になります。When SQL ServerSQL Server enforces password expiration policy, users are reminded to change old passwords, and accounts that have expired passwords are disabled.

ポリシーの適用Policy Enforcement

パスワード ポリシーの適用は、SQL Server ログインごとに個別に構成できます。The enforcement of password policy can be configured separately for each SQL Server login. ALTER LOGIN (Transact-SQL) を使用して、SQL Server ログインのパスワード ポリシー オプションを構成します。Use ALTER LOGIN (Transact-SQL) to configure the password policy options of a SQL Server login. パスワード ポリシーの適用を構成する際に、次の規則が当てはまります。The following rules apply to the configuration of password policy enforcement:

  • CHECK_POLICY を ON に変更した場合、次の動作が行われます。When CHECK_POLICY is changed to ON, the following behaviors occur:

    • CHECK_EXPIRATION も、明示的に OFF に設定されない限り、ON に設定されます。CHECK_EXPIRATION is also set to ON unless it is explicitly set to OFF.

    • パスワードの履歴が、現在のパスワード ハッシュの値に初期化されます。The password history is initialized with the value of the current password hash.

    • [アカウント ロックアウトの期間][アカウント ロックアウトのしきい値] 、および [ロックアウト カウンターのリセット] も有効になります。Account lockout duration, account lockout threshold, and reset account lockout counter after are also enabled.

  • CHECK_POLICY を OFF に変更した場合、次の動作が行われます。When CHECK_POLICY is changed to OFF, the following behaviors occur:

    • CHECK_EXPIRATION も OFF に設定されます。CHECK_EXPIRATION is also set to OFF.

    • パスワード履歴は消去されます。The password history is cleared.

    • lockout_time の値がリセットされます。The value of lockout_time is reset.

ポリシー オプションの組み合わせには、サポートされないものがあります。Some combinations of policy options are not supported.

  • MUST_CHANGE が指定された場合、CHECK_EXPIRATION および CHECK_POLICY は ON に設定されなければなりません。If MUST_CHANGE is specified, CHECK_EXPIRATION and CHECK_POLICY must be set to ON. ON に設定しない場合、ステートメントは失敗します。Otherwise, the statement fails.

  • CHECK_POLICY を OFF に設定した場合、CHECK_EXPIRATION を ON に設定することはできません。If CHECK_POLICY is set to OFF, CHECK_EXPIRATION cannot be set to ON. このオプションの組み合わせで ALTER LOGIN ステートメントを実行すると、ステートメントは失敗します。An ALTER LOGIN statement that has this combination of options will fail.

  • CHECK_POLICY = ON を設定すると、次のようなパスワードは作成できなくなります。Setting CHECK_POLICY = ON prevents the creation of passwords that are:

    • NULL または空文字列Null or empty

    • コンピューター名またはログイン名と同じ文字列Same as name of computer or login

    • "password"、"admin"、"administrator"、"sa"、"sysadmin" のいずれかの文字列Any of the following: "password", "admin", "administrator", "sa", "sysadmin"

セキュリティ ポリシーは、Windows で設定する場合も、ドメインから受け取る場合もあります。The security policy might be set in Windows, or might be received from the domain. コンピューターでパスワード ポリシーを表示するには、ローカル セキュリティ ポリシーの MMC スナップイン (secpol.msc) を使用します。To view the password policy on the computer, use the Local Security Policy MMC snap-in (secpol.msc).

CREATE LOGIN (Transact-SQL)CREATE LOGIN (Transact-SQL)

ALTER LOGIN (Transact-SQL)ALTER LOGIN (Transact-SQL)

CREATE USER (Transact-SQL)CREATE USER (Transact-SQL)

ALTER USER (Transact-SQL)ALTER USER (Transact-SQL)

ログインの作成Create a Login

データベース ユーザーの作成Create a Database User

強力なパスワードStrong Passwords