CREATE USER (Transact-SQL)

適用対象: はいSQL Server (サポートされているすべてのバージョン) はいAzure SQL データベース はいAzure SQL Managed Instance はいAzure Synapse Analytics はいParallel Data Warehouse

現在のデータベースにユーザーを追加します。 12 種類のユーザーの一覧を、最も基本的な構文のサンプルと共に、次に示します。

master 内のログインに基づくユーザー - これは最も一般的な種類のユーザーです。

  • Windows Active Directory アカウントに基づくログインに基づくユーザー。 CREATE USER [Contoso\Fritz];
  • Windows グループに基づくログインに基づくユーザー。 CREATE USER [Contoso\Sales];
  • SQL Server 認証を使用したログインに基づくユーザー。 CREATE USER Mary;

データベースで認証されるユーザー - データベースの移植性を高めるために推奨されます。
SQL Database で常に許可されます。 SQL Server の包含データベースでのみ許可されます。

  • ログインのない Windows ユーザーに基づくユーザー。 CREATE USER [Contoso\Fritz];

  • ログインのない Windows グループに基づくユーザー。 CREATE USER [Contoso\Sales];

  • Azure Active Directory ユーザーに基づく SQL Database または Azure Synapse Analytics のユーザー。 CREATE USER [Fritz@contoso.com] FROM EXTERNAL PROVIDER;

  • パスワードを持つ包含データベース ユーザー。 (Azure Synapse Analytics では使用できません。) CREATE USER Mary WITH PASSWORD = '********';

Windows グループ ログインを介して接続する Windows プリンシパルに基づくユーザー

  • ログインのない Windows ユーザーに基づくユーザーでありながら、Windows グループのメンバーシップを介してデータベース エンジンに接続できるユーザー。 CREATE USER [Contoso\Fritz];

  • ログインのない Windows グループに基づくユーザーでありながら、別の Windows グループのメンバーシップを介してデータベース エンジンに接続できるユーザー。 CREATE USER [Contoso\Fritz];

認証できないユーザー - これらのユーザーは SQL Server または SQL Database にログインできません。

  • ログインのないユーザー。 ログインできませんが、権限の付与対象となります。 CREATE USER CustomApp WITHOUT LOGIN;
  • 証明書に基づくユーザー。 ログインできませんが、権限の付与対象となり、モジュールに署名できます。 CREATE USER TestProcess FOR CERTIFICATE CarnationProduction50;
  • 非対称キーに基づくユーザー。 ログインできませんが、権限の付与対象となり、モジュールに署名できます。 CREATE User TestProcess FROM ASYMMETRIC KEY PacificSales09;

トピック リンク アイコン Transact-SQL 構文表記規則

構文

-- Syntax for SQL Server, Azure SQL Database, and Azure SQL Managed Instance
  
-- Syntax Users based on logins in master  
CREATE USER user_name   
    [   
        { FOR | FROM } LOGIN login_name   
    ]  
    [ WITH <limited_options_list> [ ,... ] ]   
[ ; ]  
  
-- Users that authenticate at the database  
CREATE USER   
    {  
      windows_principal [ WITH <options_list> [ ,... ] ]  
  
    | user_name WITH PASSWORD = 'password' [ , <options_list> [ ,... ]   
    | Azure_Active_Directory_principal FROM EXTERNAL PROVIDER   
    }  
  
 [ ; ]  
  
-- Users based on Windows principals that connect through Windows group logins  
CREATE USER   
    {   
          windows_principal [ { FOR | FROM } LOGIN windows_principal ]  
        | user_name { FOR | FROM } LOGIN windows_principal  
}  
    [ WITH <limited_options_list> [ ,... ] ]   
[ ; ]  
  
-- Users that cannot authenticate   
CREATE USER user_name   
    {  
         WITHOUT LOGIN [ WITH <limited_options_list> [ ,... ] ]  
       | { FOR | FROM } CERTIFICATE cert_name   
       | { FOR | FROM } ASYMMETRIC KEY asym_key_name   
    }  
 [ ; ]  
  
<options_list> ::=  
      DEFAULT_SCHEMA = schema_name  
    | DEFAULT_LANGUAGE = { NONE | lcid | language name | language alias }  
    | SID = sid   
    | ALLOW_ENCRYPTED_VALUE_MODIFICATIONS = [ ON | OFF ] ]  
  
<limited_options_list> ::=  
      DEFAULT_SCHEMA = schema_name ]   
    | ALLOW_ENCRYPTED_VALUE_MODIFICATIONS = [ ON | OFF ] ]  
  
-- SQL Database syntax when connected to a federation member  
CREATE USER user_name  
[;]

-- Syntax for users based on Azure AD logins for Azure SQL Managed Instance
CREATE USER user_name   
    [   { FOR | FROM } LOGIN login_name  ]  
    | FROM EXTERNAL PROVIDER
    [ WITH <limited_options_list> [ ,... ] ]   
[ ; ]  

<limited_options_list> ::=  
      DEFAULT_SCHEMA = schema_name 
    | DEFAULT_LANGUAGE = { NONE | lcid | language name | language alias }   
    | ALLOW_ENCRYPTED_VALUE_MODIFICATIONS = [ ON | OFF ] ] 

注意

作成後の Azure SQL Managed Instance 機能の Azure AD 管理者が変更されました。 詳しくは、「マネージド インスタンス用の新しい Azure AD 管理機能」をご覧ください。

-- Syntax for Azure Synapse Analytics  
  
CREATE USER user_name   
    [ { { FOR | FROM } { LOGIN login_name }   
      | WITHOUT LOGIN  
    ]   
    [ WITH DEFAULT_SCHEMA = schema_name ]  
[;]

CREATE USER Azure_Active_Directory_principal FROM EXTERNAL PROVIDER  
    [ WITH DEFAULT_SCHEMA = schema_name ]  
[;]
-- Syntax for Parallel Data Warehouse  
  
CREATE USER user_name   
    [ { { FOR | FROM }  
      {   
        LOGIN login_name   
      }   
      | WITHOUT LOGIN  
    ]   
    [ WITH DEFAULT_SCHEMA = schema_name ]  
[;]  

注意

SQL Server 2014 以前の Transact-SQL 構文を確認するには、以前のバージョンのドキュメントを参照してください。

引数

user_name

データベース内でユーザーを識別する名前を指定します。 user_name は、sysname です。 半角 128 文字まで指定できます。 Windows プリンシパルに基づいてユーザーを作成する場合、別のユーザー名を指定しないと、Windows プリンシパル名がユーザー名になります。

LOGIN login_name

作成するデータベース ユーザーのログインを指定します。 login_name は、サーバーで有効なログインである必要があります。 Windows プリンシパルに基づくログイン (ユーザーまたはグループ) か、または SQL Server 認証を使用したログインを指定できます。 この SQL Server ログインをデータベースに対して入力すると、データベースでは、作成されるデータベース ユーザーの名前と ID が取得されます。 Windows プリンシパルからマップされたログインを作成する場合は、 [ <domainName> \ <loginName> ] という形式を使用します。 例については、「構文の概要」を参照してください。

CREATE USER ステートメントが SQL のバッチ内の唯一のステートメントである場合、Azure SQL Database では WITH LOGIN 句がサポートされます。 CREATE USER ステートメントが SQL のバッチ内の唯一のステートメントではない場合、または動的 SQL 内で実行される場合、WITH LOGIN 句はサポートされません。

WITH DEFAULT_SCHEMA = schema_name

このデータベース ユーザー用のオブジェクトの名前を解決するときに、サーバーで最初に検索されるスキーマを指定します。

'windows_principal'

データベース ユーザーを作成する Windows プリンシパルを指定します。 windows_principal には、Windows ユーザーまたは Windows グループを指定できます。 windows_principal がログインを持たない場合でも、ユーザーは作成されます。 SQL Server に接続するときに、windows_principal がログインを持たない場合、ログインを持つ Windows グループのメンバーシップを介して データベース エンジン で Windows プリンシパルを認証するか、または接続文字列で包含データベースを初期カタログとして指定する必要があります。 Windows プリンシパルからユーザーを作成する場合は、 [ <domainName> \ <loginName> ] という形式を使用します。 例については、「構文の概要」を参照してください。 Active Directory ユーザーに基づくユーザーは、21 文字未満の名前に制限されます。

'Azure_Active_Directory_principal'

適用対象: SQL Database、Azure Synapse Analytics。

データベース ユーザーが作成される Azure Active Directory のプリンシパルを指定します。 Azure_Active_Directory_principal には、Azure Active Directory ユーザー、Azure Active Directory グループ、Azure Active Directory アプリケーションを指定できます。 (Azure Active Directory ユーザーは、SQL Database に Windows 認証ログインを持つことはできません。データベース ユーザーのみです)。接続文字列では、初期カタログとして、包含データベースを指定する必要があります。

Azure AD プリンシパルに対して、CREATE USER 構文では次が要求されます。

  • Azure AD ユーザー用の Azure AD オブジェクトの UserPrincipalName。

    • CREATE USER [bob@contoso.com] FROM EXTERNAL PROVIDER;
    • CREATE USER [alice@fabrikam.onmicrosoft.com] FROM EXTERNAL PROVIDER;
  • 2048 を超える Azure AD のセキュリティ グループに属する Azure AD のユーザーとサービス プリンシパル (Azure AD アプリケーション) は、SQL Database、Managed Instance、または Azure Synapse でデータベースにログインすることはできません。

  • Azure AD のグループと Azure AD アプリケーション用の Azure AD オブジェクトの DisplayName。 "看護師" セキュリティ グループがあった場合は、次を使用します。

    • CREATE USER [Nurses] FROM EXTERNAL PROVIDER;

詳細については、Azure Active Directory 認証を使用した SQL Database への接続に関するページを参照してください。

WITH PASSWORD = 'password'

適用対象: SQL Server 2012 (11.x) 以降、SQL Database。

包含データベースでのみ使用できます。 作成するユーザーのパスワードを指定します。 SQL Server 2012 (11.x) 以降では、保存されたパスワード情報は salt 化パスワードの SHA-512 を使用して計算されます。

WITHOUT LOGIN

ユーザーを既存のログインにマップしません。

CERTIFICATE cert_name

適用対象: SQL Server 2008 以降、SQL Database。

作成するデータベース ユーザーの証明書を指定します。

ASYMMETRIC KEY asym_key_name

適用対象: SQL Server 2008 以降、SQL Database。

作成するデータベース ユーザーの非対称キーを指定します。

DEFAULT_LANGUAGE = { NONE | <lcid> | <language name> | <language salias> }

適用対象: SQL Server 2012 (11.x) 以降、SQL Database。

新しいユーザーの既定の言語を指定します。 ユーザーに対して既定の言語を指定した場合、データベースの既定の言語を後で変更しても、ユーザーの既定の言語は指定した言語のままになります。 既定の言語を指定しない場合、データベースの既定の言語がユーザーの既定の言語として使用されます。 ユーザーに対して既定の言語を指定しない場合、データベースの既定の言語を後で変更すると、ユーザーの既定の言語はデータベースの新しい既定の言語に変更されます。

重要

DEFAULT_LANGUAGE は包含データベース ユーザーにのみ使用します。

SID = sid

適用対象: SQL Server 2012 (11.x) 以降。

包含データベースにパスワード (SQL Server 認証) を持つユーザーに対してのみ適用されます。 新しいデータベース ユーザーの SID を指定します。 このオプションを選択しない場合は、SQL Server によって SID が自動的に割り当てられます。 複数のデータベースで同じ ID (SID) を持つユーザーを作成するには SID パラメーターを使用します。 これは、Always On フェールオーバーの準備のために、複数のデータベースにユーザーを作成する場合に役立ちます。 ユーザーの SID を特定するには、sys.database_principals でクエリを実行します。

ALLOW_ENCRYPTED_VALUE_MODIFICATIONS = [ ON | OFF ]

適用対象: SQL Server 2016 (13.x) 以降、SQL Database。

一括コピー操作でのサーバーの暗号化メタデータ チェックを抑制します。 これによりユーザーは、データを暗号化解除することなく、テーブルまたはデータベース間で暗号化データを一括コピーできます。 既定値は OFF です。

警告

このオプションを不適切に使用すると、データが破損する場合があります。 詳細については、「Always Encrypted で保護された機微なデータの移行」を参照してください。

解説

FOR LOGIN を省略した場合、新しいデータベース ユーザーは同じユーザー名を持つ SQL Server ログインにマップされます。

既定のスキーマは、このデータベース ユーザー用のオブジェクトの名前を解決するときに、サーバーで最初に検索されるスキーマになります。 特に指定しない限り、このデータベース ユーザーによって作成されたオブジェクトの所有者になるのは、既定のスキーマです。

ユーザーに既定のスキーマが設定されている場合は、その既定のスキーマが使用されます。 ユーザーに既定のスキーマが指定されておらず、そのユーザーが所属しているグループに既定のスキーマが指定されている場合は、グループの既定のスキーマが使用されます。 ユーザーに既定のスキーマが指定されておらず、そのユーザーが複数のグループに所属している場合、ユーザーの既定のスキーマは、最も小さい principle_id と明示的に設定された既定のスキーマを持つ Windows グループのスキーマになります。 (利用可能な既定のスキーマのいずれかを、使用するスキーマとして明示的に選択することはできません。)ユーザーに対する既定のスキーマを決定できない場合は、dbo スキーマが使用されます。

DEFAULT_SCHEMA は、このオプションが指すスキーマが作成されていなくても設定できます。

DEFAULT_SCHEMA は、証明書または非対称キーにマップされるユーザーを作成する場合には指定できません。

ユーザーが固定サーバー ロール sysadmin のメンバーである場合、DEFAULT_SCHEMA の値は無視されます。 固定サーバー ロール sysadmin のすべてのメンバーには、dbo の既定のスキーマが割り当てられます。

WITHOUT LOGIN 句でユーザーを作成する場合、ユーザーは SQL Server ログインにマップされず、 他のデータベースには guest として接続できます。 ログインのないこのユーザーには権限を割り当てることができます。セキュリティ コンテキストがログインのないユーザーに変更されると、元のユーザーはログインのないユーザーの権限を受け取ります。 例については、「D. ログインのないユーザーを作成して使用する」を参照してください。

Windows プリンシパルに割り当てられているユーザーにのみ、円記号 ( \ ) を含めることができます。

guest ユーザーは各データベース内に既に存在しているため、CREATE USER を使用して guest ユーザーを作成することはできません。 guest ユーザーは、次のように CONNECT 権限を与えることで有効にできます。

GRANT CONNECT TO guest;  
GO  

データベースのユーザーに関する情報については、sys.database_principals カタログ ビューを参照してください。

SQL Managed Instance でサーバーレベルの Azure AD ログインを作成するために、新しい構文拡張 FROM EXTERNAL PROVIDER を利用できます。 Azure AD ログインでは、データベースレベルの Azure AD プリンシパルをサーバーレベルの Azure AD ログインにマッピングできます。 Azure AD ログインから Azure AD ユーザーを作成するには、次の構文を使用します。

CREATE USER [AAD_principal] FROM LOGIN [Azure AD login]

SQL Managed Instance データベースでユーザーを作成するとき、login_name が既存の Azure AD ログインに一致する必要があります。一致しない場合、FROM EXTERNAL PROVIDER 句を使用したとき、マスター データベースのログインなしで Azure AD ユーザーのみが作成されます。 たとえば、このコマンドでは、包含ユーザーが作成されます。

CREATE USER [bob@contoso.com] FROM EXTERNAL PROVIDER

構文の概要

master 内のログインに基づくユーザー

ログインに基づくユーザーに関して使用できる構文を次に示します。 既定のスキーマ オプションは除外しています。

  • CREATE USER [Domain1\WindowsUserBarry]
  • CREATE USER [Domain1\WindowsUserBarry] FOR LOGIN Domain1\WindowsUserBarry
  • CREATE USER [Domain1\WindowsUserBarry] FROM LOGIN Domain1\WindowsUserBarry
  • CREATE USER [Domain1\WindowsGroupManagers]
  • CREATE USER [Domain1\WindowsGroupManagers] FOR LOGIN [Domain1\WindowsGroupManagers]
  • CREATE USER [Domain1\WindowsGroupManagers] FROM LOGIN [Domain1\WindowsGroupManagers]
  • CREATE USER SQLAUTHLOGIN
  • CREATE USER SQLAUTHLOGIN FOR LOGIN SQLAUTHLOGIN
  • CREATE USER SQLAUTHLOGIN FROM LOGIN SQLAUTHLOGIN

データベースで認証されるユーザー

包含データベースでのみ使用できるユーザーに関して使用できる構文を次に示します。 作成されるユーザーは、master データベース内のどのログインにも関連付けられません。 既定のスキーマおよび言語オプションは除外しています。

重要

この構文では、データベースへのアクセス許可とデータベース エンジンへの新しいアクセス許可がユーザーに与えられます。

  • CREATE USER [Domain1\WindowsUserBarry]
  • CREATE USER [Domain1\WindowsGroupManagers]
  • CREATE USER Barry WITH PASSWORD = 'sdjklalie8rew8337!$d'

master にログインのない Windows プリンシパルに基づくユーザー

Windows グループを介して データベース エンジン にアクセスできる一方で、master にログインを持たないユーザーが使用できる構文を次に示します。 この構文は、あらゆる種類のデータベースで使用できます。 既定のスキーマおよび言語オプションは除外しています。

この構文は master 内のログインに基づくユーザーの構文と似ていますが、このカテゴリのユーザーは master 内にログインを持ちません。 ユーザーは、Windows グループ ログインを介してデータベース エンジンにアクセスする許可が与えられている必要があります。

この構文は Windows プリンシパルに基づく包含データベース ユーザーの構文に似ていますが、このカテゴリのユーザーにはデータベース エンジンへの新しいアクセス許可は与えられません。

  • CREATE USER [Domain1\WindowsUserBarry]
  • CREATE USER [Domain1\WindowsUserBarry] FOR LOGIN Domain1\WindowsUserBarry
  • CREATE USER [Domain1\WindowsUserBarry] FROM LOGIN Domain1\WindowsUserBarry
  • CREATE USER [Domain1\WindowsGroupManagers]
  • CREATE USER [Domain1\WindowsGroupManagers] FOR LOGIN [Domain1\WindowsGroupManagers]
  • CREATE USER [Domain1\WindowsGroupManagers] FROM LOGIN [Domain1\WindowsGroupManagers]

認証できないユーザー

SQL Server にログインできないユーザーに関して使用できる構文を次に示します。

  • CREATE USER RIGHTSHOLDER WITHOUT LOGIN
  • CREATE USER CERTUSER FOR CERTIFICATE SpecialCert
  • CREATE USER CERTUSER FROM CERTIFICATE SpecialCert
  • CREATE USER KEYUSER FOR ASYMMETRIC KEY SecureKey
  • CREATE USER KEYUSER FROM ASYMMETRIC KEY SecureKey

セキュリティ

ユーザーを作成するとデータベースへのアクセス許可が与えられますが、データベース内のオブジェクトに対するアクセス許可は自動的には与えられません。 ユーザーを作成した後の一般的な操作として、データベース オブジェクトに対する権限を持つデータベース ロールにユーザーを追加するか、またはオブジェクト権限をユーザーに付与します。 権限システムの設計の詳細については、「 データベース エンジンの権限の概要」を参照してください。

包含データベースに関する注意事項

包含データベースに接続するときに、ユーザーが master データベース内にログインを持たない場合、接続文字列に包含データベース名を初期カタログとして含める必要があります。 初期カタログ パラメーターは、パスワードを持つ包含データベース ユーザーに対して常に必要になります。

包含データベースでは、ユーザーを作成することにより、データベースとデータベース エンジンのインスタンスとを分離して、データベースを SQL Server の別のインスタンスに簡単に移動できるようになります。 詳細については、「包含データベース」および「包含データベース ユーザー - データベースの可搬性を確保する」を参照してください。 SQL Server 認証ログインに基づくデータベース ユーザーを、パスワードを持つ包含データベース ユーザーに変更する方法については、「sp_migrate_user_to_contained (Transact-SQL)」をご覧ください。

包含データベースでは、ユーザーは master データベース内にログインを持つ必要はありません。 データベース エンジン 管理者は、包含データベースに対するアクセス許可を データベース エンジン レベルではなくデータベース レベルで付与できることを理解する必要があります。 詳細については、「 Security Best Practices with Contained Databases」を参照してください。

Azure SQL データベース で包含データベース ユーザーを使用する場合、サーバー レベルのファイアウォール ルールではなく、データベース レベルのファイアウォール ルールを使用してアクセスを構成します。 詳細については、「sp_set_database_firewall_rule (Azure SQL Database)」を参照してください。

SQL Database と Azure Synapse Analytics の包含データベースのユーザーについては、SSMS で多要素認証がサポートされます。 詳細については、SQL Database と Azure Synapse Analytics での Azure AD MFA のための SSMS のサポートに関するページを参照してください。

アクセス許可

データベースに対する ALTER ANY USER 権限が必要です。

A. SQL Server ログインに基づくデータベース ユーザーを作成する

次の例では、最初に AbolrousHazem という SQL Server ログインを作成し、次に対応するデータベース ユーザー AbolrousHazemAdventureWorks2012 に作成します。

CREATE LOGIN AbolrousHazem   
    WITH PASSWORD = '340$Uuxwp7Mcxo7Khy';  

ユーザー データベースに変更します。 たとえば、SQL Server では USE AdventureWorks2012 ステートメントを使用します。 Azure Synapse Analytics と Analytics Platform System (PDW) では、ユーザー データベースへの新しい接続を作成する必要があります。

CREATE USER AbolrousHazem FOR LOGIN AbolrousHazem;  
GO   

B. 既定のスキーマでデータベース ユーザーを作成する

次の例では、まず WanidaBenshoof というサーバー ログインをパスワード付きで作成し、次に対応するデータベース ユーザー Wanida を既定のスキーマ Marketing で作成します。

CREATE LOGIN WanidaBenshoof   
    WITH PASSWORD = '8fdKJl3$nlNv3049jsKK';  
USE AdventureWorks2012;  
CREATE USER Wanida FOR LOGIN WanidaBenshoof   
    WITH DEFAULT_SCHEMA = Marketing;  
GO  

C. 証明書からデータベース ユーザーを作成する

次の例では、証明書 JinghaoLiu からデータベース ユーザー CarnationProduction50 を作成します。

適用対象: SQL Server 2008 以降。

USE AdventureWorks2012;  
CREATE CERTIFICATE CarnationProduction50  
    WITH SUBJECT = 'Carnation Production Facility Supervisors',  
    EXPIRY_DATE = '11/11/2011';  
GO  
CREATE USER JinghaoLiu FOR CERTIFICATE CarnationProduction50;  
GO   

D. ログインのないユーザーを作成して使用する

次の例では、SQL Server ログインにマップされないデータベース ユーザー CustomApp を作成します。 その後、ユーザー adventure-works\tengiz0 に、CustomApp ユーザーの権限を借用する権限を許可します。

USE AdventureWorks2012 ;  
CREATE USER CustomApp WITHOUT LOGIN ;  
GRANT IMPERSONATE ON USER::CustomApp TO [adventure-works\tengiz0] ;  
GO   

ユーザー CustomAppadventure-works\tengiz0 の資格情報を使用するには、次のステートメントを実行します。

EXECUTE AS USER = 'CustomApp' ;  
GO  

adventure-works\tengiz0 の資格情報に戻すには、次のステートメントを実行します。

REVERT ;  
GO  

E. パスワードを持つ包含データベース ユーザーを作成する

次の例では、パスワードを持つ包含データベース ユーザーを作成します。 この例は、包含データベースでのみ実行できます。

適用対象: SQL Server 2012 (11.x) 以降。 この例は DEFAULT_LANGUAGE が削除された場合に SQL Database で機能します。

USE AdventureWorks2012 ;  
GO  
CREATE USER Carlo  
WITH PASSWORD='RN92piTCh%$!~3K9844 Bl*'  
    , DEFAULT_LANGUAGE=[Brazilian]  
    , DEFAULT_SCHEMA=[dbo]  
GO   

F. ドメイン ログインのための包含データベース ユーザーを作成する

次の例では、Contoso という名前のドメインの Fritz という名前のログインに対する包含データベース ユーザーを作成します。 この例は、包含データベースでのみ実行できます。

適用対象: SQL Server 2012 (11.x) 以降。

USE AdventureWorks2012 ;  
GO  
CREATE USER [Contoso\Fritz] ;  
GO   

G. 特定の SID を持つ包含データベース ユーザーを作成する

次の例では、CarmenW という名前の、SQL Server 認証を使用する包含データベース ユーザーを作成します。 この例は、包含データベースでのみ実行できます。

適用対象: SQL Server 2012 (11.x) 以降。

USE AdventureWorks2012 ;  
GO  
CREATE USER CarmenW WITH PASSWORD = 'a8ea v*(Rd##+'  
, SID = 0x01050000000000090300000063FF0451A9E7664BA705B10E37DDC4B7;

H. 暗号化されたデータをコピーするためのユーザーを作成する

以下の例では、Always Encrypted 機能によって保護されたデータを、暗号化された列を含む一連のテーブルから、(同じまたは異なるデータベースに) 暗号化された列を持つ別の一連のテーブルにコピーできるユーザーを作成します。 詳細については、「Always Encrypted で保護された機微なデータの移行」を参照してください。

適用対象: SQL Server 2016 (13.x) 以降、SQL Database。

CREATE USER [Chin]   
WITH   
      DEFAULT_SCHEMA = dbo  
    , ALLOW_ENCRYPTED_VALUE_MODIFICATIONS = ON ;  

I. SQL Managed Instance 内で Azure AD ログインから Azure AD ユーザーを作成する

Azure AD ログインから Azure AD ユーザーを作成するには、次の構文を使用します。

sysadmin ロールで付与された Azure AD ログインを使用してマネージド インスタンスにサインインします。 次の命令文ではログイン bob@contoso.com から Azure AD ユーザー bob@contoso.com が作成されます。 このログインは CREATE LOGIN 例で作成されました。

CREATE USER [bob@contoso.com] FROM LOGIN [bob@contoso.com];
GO

重要

Azure AD ログインから USER を作成するとき、LOGIN から同じ login_name として user_name を指定します。

グループである Azure AD ログインからグループとして Azure AD ユーザーを作成できます。

CREATE USER [AAD group] FROM LOGIN [AAD group];
GO

また、グループである Azure AD ログインから Azure AD ユーザーを作成できます。

CREATE USER [bob@contoso.com] FROM LOGIN [AAD group];
GO

J. データベースの AAD ログインなしで Azure AD ユーザーを作成する

次の構文は、SQL Managed Instance データベース内で Azure AD ユーザー bob@contoso.com を作成するために使用されます (包含ユーザー)。

CREATE USER [bob@contoso.com] FROM EXTERNAL PROVIDER;
GO

次のステップ

ユーザーを作成したら、ALTER ROLE ステートメントを使用して、ユーザーをデータベース ロールに追加することを検討します。
ロールに GRANT (オブジェクト権限の許可) を適用して、テーブルにアクセスできるようにすることもできます。 SQL Server セキュリティ モデルの概要については、権限に関するページを参照してください。

参照

データベース ユーザーの作成
sys.database_principals (Transact-SQL)
ALTER USER (Transact-SQL)
DROP USER (Transact-SQL)
CREATE LOGIN (Transact-SQL)
EVENTDATA (Transact-SQL)
包含データベース
Azure Active Directory の認証を使用して、SQL データベースに接続する
データベース エンジンの権限の概要