CREATE LOGIN (Transact-SQL)

SQL Server

構文

-- Syntax for SQL Server
CREATE LOGIN login_name { WITH <option_list1> | FROM <sources> }

<option_list1> ::=
    PASSWORD = { 'password' | hashed_password HASHED } [ MUST_CHANGE ]
    [ , <option_list2> [ ,... ] ]

<option_list2> ::=
    SID = sid
    | DEFAULT_DATABASE = database
    | DEFAULT_LANGUAGE = language
    | CHECK_EXPIRATION = { ON | OFF}
    | CHECK_POLICY = { ON | OFF}
    | CREDENTIAL = credential_name

<sources> ::=
    WINDOWS [ WITH <windows_options>[ ,... ] ]
    | EXTERNAL PROVIDER
    | CERTIFICATE certname
    | ASYMMETRIC KEY asym_key_name

<windows_options> ::=
    DEFAULT_DATABASE = database
    | DEFAULT_LANGUAGE = language

引数

login_name

作成するログインの名前を指定します。ログインには、SQL Server ログイン、Windows ログイン、Microsoft Entra ログイン、証明書マップログイン、非対称キーマップログインの 5 種類があります。

Windows doメインアカウントからマップされたログインを作成する場合は、ログオン名を [<doメインName>\<login_name>] の形式で使用する必要があります。 login_name@DomainName 形式の UPN は使用できません。例については、この記事で後述する E の例を参照してください。認証ログインは sysname 型であり、識別子の規則に準拠している必要があり、バックスラッシュ () を含めることはできません。 Windows ログインには " \ " を含めることができます。 Active Directory ユーザーに基づくログインは、21 文字未満の名前に制限されます。

FROM EXTERNAL PROVIDER 句を使用する場合、ログイン名は、SQL インスタンスが Arc 対応になっているのと同じテナント内の既存の Microsoft Entra プリンシパルの表示名と一致する必要があります。 Microsoft Entra のユーザー、グループ、アプリケーションを使用してログインを作成できます。

PASSWORD ='password'

SQL Server ログインにのみ適用されます。作成するログインのパスワードを指定します。強力なパスワードを使用してください。詳細については、「強力なパスワード」と「パスワードポリシー」を参照してください。 SQL Server 2012 (11.x) 以降では、保存されたパスワード情報は salt 化パスワードの SHA-512 を使用して計算されます。

パスワードでは大文字と小文字が区別されます。パスワードは常に 8 文字以上にする必要があり、128 文字を超えることはできません。パスワードには、a-z、A-Z、0-9 およびほとんどの英数字以外の文字を含めることができます。パスワードには、単一引用符やlogin_nameを含めることはできません。

PASSWORD = hashed_password

ハッシュされたキーワードのみに当てはまります。作成するログインのパスワードのハッシュ値を指定します。

HASHED

SQL Server ログインにのみ適用されます。 PASSWORD 引数の後に入力されたパスワードが、ハッシュ済みであることを示します。このオプションが選択されていない場合、パスワードとして入力された文字列は、データベースに格納される前にハッシュされます。このオプションは、あるサーバーから別のサーバーにデータベースを移行する場合にのみ使用してください。 HASHED オプションを使用して新しいログインを作成しないでください。 HASHED オプションは、SQL 7 以前で作成されたハッシュでは使用できません。

MUST_CHANGE

SQL Server ログインにのみ適用されます。このオプションが含まれている場合、SQL Server では、新しいログインが最初に使用されたときに、ユーザーに新しいパスワードの入力が求められます。

CREDENTIAL =credential_name

新しい SQL Server ログインにマップする資格情報の名前。この資格情報は、サーバー内に既に存在している必要があります。現在このオプションは、資格情報をログインに関連付けるだけです。資格情報を System 管理istrator (sa) ログインにマップすることはできません。

SID = sid

ログインの再作成に使用されます。 Windows 認証ログインではなく、SQL Server 認証ログインにのみ適用されます。新しい SQL Server 認証ログインの SID を指定します。このオプションが使用されていない場合、SQL Server で自動的に SID が割り当てられます。 SID 構造体は、SQL Server のバージョンに依存します。 SQL Server ログイン SID: GUID に基づく 16 バイト (binary (16) ) のリテラル値。たとえば、SID = 0x14585E90117152449347750164BA00A7 のようにします。

DEFAULT_DATABA Standard Edition =database

ログインに割り当てる既定のデータベースを指定します。このオプションが含まれていない場合、既定のデータベースは master.

DEFAULT_LANGUAGE =language

ログインに割り当てる既定の言語を指定します。このオプションが含まれていない場合、既定の言語はサーバーの現在の既定の言語に設定されます。サーバーの既定の言語が将来変更されても、ログインの既定の言語は変更されません。

CHECK_EXPIRATION = { ON | OFF }

SQL Server ログインにのみ適用されます。このログインに、パスワードの有効期限ポリシーを適用するかどうかを指定します。既定値は OFF です。

CHECK_POLICY = { ON |OFF }

SQL Server ログインにのみ適用されます。 SQL Server を実行しているコンピューターの Windows パスワードポリシーをこのログインに適用するかどうかを指定します。既定値は ON です。

Windows のポリシーで強力なパスワードが求められる場合は、次の 4 つの特性のうちの少なくとも 3 つをパスワードに含める必要があります。

大文字 (A-Z)。
小文字 (a-z)。
数字 (0-9)。
空白、_、@、*、^、%、!、$、#、> などの英数字以外の文字の 1 つ。

WINDOWS

ログインを Windows ログインにマップするよう指定します。

FROM EXTERNAL PROVIDER

ログインが Microsoft Entra プリンシパルにマップされることを指定します。このオプションは、Arc 対応 SQL Server 2022 以降のバージョンで使用できます。詳細については、SQL Server の Microsoft Entra 認証に関する説明を参照してください。

CERTIFICATE certname

ログインに関連付ける証明書の名前を指定します。この証明書は、データベースに既に存在している master 必要があります。

ASYMMETRIC KEY asym_key_name

このログインに関連付ける非対称キーの名前を指定します。このキーは、データベースに既に存在している master 必要があります。

解説

パスワードでは大文字と小文字が区別されます。
パスワードの事前ハッシュは、SQL Server ログインを作成する場合にのみサポートされます。
指定した場合 MUST_CHANGE は、CHECK_EXPIRATIONとCHECK_POLICYをに設定する ON必要があります。 ON に設定しない場合、ステートメントは失敗します。
の組み合わせ CHECK_POLICY = OFF と CHECK_EXPIRATION = ON サポートされていません。
CHECK_POLICYが設定 OFFされている場合、 lockout_time はリセットされ CHECK_EXPIRATION 、次に OFF設定されます。

重要

CHECK_EXPIRATIONとCHECK_POLICYは、Windows Server 2003 以降のバージョンでのみ適用されます。詳細については、「 Password Policy」をご参照ください。

証明書または非対称キーから作成されたログインはコード署名用にのみ使用されます。 SQL Server への接続には使用できません。証明書または非対称キーが既に存在する場合にのみ、証明書または非対称キーからログインを master作成できます。
スクリプトでログインを転送する場合は、「SQL Server 2005 のインスタンス間でログインおよびパスワードを転送する方法」を参照してください。
ログインを作成すると、自動的に新しいログインが有効になり、ログインにサーバーレベルの CONNECT SQL 権限が与えられます。
アクセスを許可するにはサーバーの認証モードがログインの種類に一致する必要があります。
権限システムの設計の詳細については、「データベースエンジンの権限の概要」を参照してください。

アクセス許可

ログインを作成できるのは、サーバーに対する ALTER ANY LOGIN 権限、または securityadmin 固定サーバーロールのメンバーシップを持つユーザーのみとなります。詳細については、サーバーレベルのロールと ALTER SERVER ROLE に関するページを参照してください。
CREDENTIAL オプションを使用する場合は、サーバーに対する ALTER ANY CREDENTIAL 権限も必要です。

SQL Server 2022 以降でのアクセス許可

##MS_LoginManager## 固定サーバーロールのサーバーまたはメンバーシップに対する CREATE LOGIN 権限が必要です。

ログインが作成されたら、ログインは SQL Server に接続できますが、public ロールに与えられた権限しか持ちません。次の操作のいくつかを実行することを検討してください。

データベースに接続するには、ログイン用のデータベースユーザーを作成する必要があります。詳細については、「CREATE USER」を参照してください。
CREATE SERVER ROLE を使用して、ユーザー定義サーバーロールを作成します。ユーザー定義サーバーロールに新しいログインを追加するために使用 ALTER SERVER ROLE ... ADD MEMBER します。詳細については、CREATE SERVER ROLE と ALTER SERVER ROLE に関するページを参照してください。
固定サーバーロールにログインを追加するために使用 sp_addsrvrolemember します。詳細については、「サーバーレベルのロール」と「sp_addsrvrolemember」を参照してください。
新しいログインまたはログインを含むロールにサーバーレベルの権限を許可するには、GRANT ステートメントを使用します。詳細については、「GRANT」を参照してください。

例

次の例では、特定のユーザーのログインを作成し、パスワードを割り当てます。

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>';
GO

次の例では、特定のユーザーのログインを作成し、パスワードを割り当てます。 MUST_CHANGE オプションが指定されているため、ユーザーは、最初にサーバーに接続するときにこのパスワードを変更する必要があります。

適用対象: SQL Server 2008 (10.0.x) 以降のバージョン。

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>'
    MUST_CHANGE, CHECK_EXPIRATION = ON;
GO

Note

CHECK_EXPIRATION が OFF のとき、MUST_CHANGE オプションは使用できません。

次の例では、ユーザーを使用して、特定のユーザーのログインを作成します。このログインは資格情報にマップされます。

適用対象: SQL Server 2008 (10.0.x) 以降のバージョン。

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>',
    CREDENTIAL = <credentialName>;
GO

次の例では、証明書から特定のユーザーのログインを作成します master。

適用対象: SQL Server 2008 (10.0.x) 以降のバージョン。

USE MASTER;
CREATE CERTIFICATE <certificateName>
    WITH SUBJECT = '<login_name> certificate in master database',
    EXPIRY_DATE = '12/05/2025';
GO
CREATE LOGIN <login_name> FROM CERTIFICATE <certificateName>;
GO

次の例では、Windows ドメインアカウントからログインを作成します。

適用対象: SQL Server 2008 (10.0.x) 以降のバージョン。

CREATE LOGIN [<domainName>\<login_name>] FROM WINDOWS;
GO

次の例では、まず、SQL Server 認証のログインを作成し、ログインの SID を調べています。

CREATE LOGIN TestLogin WITH PASSWORD = 'SuperSecret52&&';
SELECT name, sid FROM sys.sql_logins WHERE name = 'TestLogin';
GO

このクエリは、SID として 0x241C11948AEEB749B0D22646DB1A19F2 を返します。皆さんがクエリを実行すると、これとは異なる値が返されます。次のステートメントは、ログインを削除し、ログインを作成し直します。前のクエリの SID を使用します。

DROP LOGIN TestLogin;
GO

CREATE LOGIN TestLogin
WITH PASSWORD = 'SuperSecret52&&', SID = 0x241C11948AEEB749B0D22646DB1A19F2;

SELECT * FROM sys.sql_logins WHERE name = 'TestLogin';
GO

次の例では、各引数の間にコンマを使用して、複数の引数を連結する方法を示します。

CREATE LOGIN [MyUser]
WITH PASSWORD = 'MyPassword',
DEFAULT_DATABASE = MyDatabase,
CHECK_POLICY = OFF,
CHECK_EXPIRATION = OFF ;

次の例は、移行シナリオで行ったように、既存のログインと同じパスワードで SQL ログインを作成する方法を示しています。最初の手順は、ソースデータベースサーバー上の既存のログインからパスワードハッシュを取得することです。次に、同じハッシュを使用して、新しいデータベースサーバー上にログインを作成します。これにより、新しいログインのパスワードは古いサーバー上のものと同じになります。

-- run this to retrieve the password hash for an individual Login:
SELECT LOGINPROPERTY('Andreas','PASSWORDHASH') AS password_hash;
-- as an alternative, the catalog view sys.sql_logins can be used to retrieve the password hashes for multiple accounts at once. (This could be used to create a dynamic sql statemnt from the result set)
SELECT name, password_hash
FROM sys.sql_logins
  WHERE
    principal_id > 1    -- excluding sa
    AND
    name NOT LIKE '##MS_%##' -- excluding special MS system accounts
-- create the new SQL Login on the new database server using the hash of the source server
CREATE LOGIN Andreas
  WITH PASSWORD = 0x02000A1A89CD6C6E4C8B30A282354C8EA0860719D5D3AD05E0CAE1952A1C6107A4ED26BEBA2A13B12FAB5093B3CC2A1055910CC0F4B9686A358604E99BB9933C75B4EA48FDEA HASHED;

次の例では、contoso という名前の Microsoft Entra テナントに存在する Microsoft Entra アカウントjoe@contoso.onmicrosoft.comのログインを作成します。

CREATE LOGIN [joe@contoso.onmicrosoft.com] FROM EXTERNAL PROVIDER

GO

次の例では、contoso というテナントに存在するフェデレーション Microsoft Entra アカウントbob@contoso.comのログインを作成します。ユーザー bob はゲストユーザーである可能性もあります。

CREATE LOGIN [bob@contoso.com] FROM EXTERNAL PROVIDER
GO

次の例では、テナント contoso に存在する Microsoft Entra グループ mygroup のログインを作成します。

CREATE LOGIN [mygroup] FROM EXTERNAL PROVIDER
GO

次の例では、テナント contoso に存在する Microsoft Entra アプリケーション myapp のログインを作成します。

CREATE LOGIN [myapp] FROM EXTERNAL PROVIDER

* Azure SQL Database *

SQL Database

Azure SQL Database への接続と承認の詳細については、次を参照してください。

構文

-- Syntax for Azure SQL Database
CREATE LOGIN login_name
  { 
    FROM EXTERNAL PROVIDER [WITH OBJECT_ID = 'objectid'] 
    | WITH <option_list> [,..] 
  }

<option_list> ::=
    PASSWORD = { 'password' }
    [ , SID = sid ]

引数

login_name

Note

Microsoft Entra サーバープリンシパル (ログイン) は現在、Azure SQL Database のパブリックプレビュー段階にあります。

FROM EXTERNAL PROVIDER 句と共に使用すると、ログインで Microsoft Entra プリンシパル (Microsoft Entra ユーザー、グループ、またはアプリケーション) が指定されます。それ以外の場合、ログインは作成された SQL ログインの名前を示します。

2048 を超える Microsoft Entra セキュリティグループのメンバーである Microsoft Entra ユーザーとサービスプリンシパルは、SQL Database、SQL Managed Instance、または Azure Synapse のデータベースへのサインインはサポートされていません。

FROM EXTERNAL PROVIDER

ログインが Microsoft Entra 認証用であることを指定します。

WITH OBJECT_ID = 'objectid'

Microsoft Entra オブジェクト ID を指定します。指定した OBJECT_ID 場合、microsoft Entra の表示名と一致するlogin_nameは必要ありません。 login_nameはビュー内で sys.server_principals 一意の名前であり、他 sysname のすべての制限に従う必要があります。このオプションを使用するWITH OBJECT_ID方法の詳細については、Microsoft Entra ログインと非一次表示名を持つユーザーを参照してください。

Note

サービスプリンシパルの表示名が重複していない場合は、既定の CREATE LOGIN または CREATE USER ステートメントを使用する必要があります。 WITH OBJECT_ID 拡張機能はパブリックプレビューの段階にあり、一意ではないサービスプリンシパルで使用するために実装されたトラブルシューティングの修復項目です。一意のサービスプリンシパルで使用することはお勧めしません。サフィックスを追加せずにサービスプリンシパルに WITH OBJECT_ID 拡張子を使用すると、正常に実行されますが、ログインまたはユーザーがどのサービスプリンシパルに対して作成されたかは明らかになりません。サービスプリンシパルを一意に識別するには、サフィックスを使用してエイリアスを作成することをお勧めします。 WITH OBJECT_ID 拡張機能は、SQL Server ではサポートされていません。

PASSWORD ='password'

作成する SQL ログインのパスワードを指定します。強力なパスワードを使用してください。詳細については、「強力なパスワード」と「パスワードポリシー」を参照してください。 SQL Server 2012 (11.x) 以降では、保存されたパスワード情報は salt 化パスワードの SHA-512 を使用して計算されます。

SID = sid

ログインの再作成に使用されます。 Windows 認証ログインではなく、SQL Server 認証ログインにのみ適用されます。新しい SQL Server 認証ログインの SID を指定します。このオプションを使用しない場合、SQL Server によって SID が自動的に割り当てられます。 SID 構造体は、SQL Server のバージョンに依存します。 SQL Database の場合、これは、0x01060000000000640000000000000000 と、GUID を表す 16 バイトで構成される 32 バイト (binary(32) ) のリテラルです。たとえば、「 SID = 0x0106000000000064000000000000000014585E90117152449347750164BA00A7 」のように入力します。

解説

パスワードでは大文字と小文字が区別されます。
ログインを作成すると、自動的に新しいログインが有効になり、ログインにサーバーレベルの CONNECT SQL 権限が与えられます。

重要

Azure SQL Database でログインとユーザーを操作する方法の詳細については、Azure SQL Database でのログインの管理に関する記事を参照してください。

SQL Database ログイン

CREATE LOGIN ステートメントはバッチ内の唯一のステートメントである必要があります。

sqlcmd などの SQL Database に接続するいくつかのメソッドでは、<login>@<server> の表記法を使用して、接続文字列のログイン名に SQL Database サーバー名を追加する必要があります。たとえば、ログインが login1 で、SQL Database サーバーの完全修飾名が servername.database.windows.net である場合、接続文字列の username パラメーターは login1@servername となる必要があります。の合計の長さ、 username パラメーターには、128 文字まで login_name サーバー名の長さマイナス 127 文字に制限されます。この例では、login_name が 10 文字であるため、servername には 117 文字までしか指定できません。

SQL Database では、ログインを作成するための master 適切なアクセス許可を持つデータベースに接続されている必要があります。詳細については、「追加のログインと管理アクセス許可を持つユーザーを作成する」を参照してください。

SQL Server ルールを使用すると、loginname@<servername> 形式<で SQL Server 認証ログインを作成できます>。 SQL Database server が myazureserver で、ログインが myemail@contoso.com である場合、myemail@contoso.com@myazureserver としてログインを指定する必要があります。

SQL Database では、接続の認証に必要なログインデータおよびサーバーレベルのファイアウォール規則は、各データベースで一時的にキャッシュされます。このキャッシュは定期的に更新されます。認証キャッシュを強制的に更新し、データベースに最新バージョンのログインテーブルがあることを確認するには、DBCC FLUSHAUTHCACHE を実行します。

アクセス許可

新しいログインを作成できるのは、サーバーレベルのプリンシパルログイン (プロビジョニングプロセスによって作成) またはデータベース内の loginmanager データベースロールの master メンバーだけです。詳細については、「追加のログインと管理アクセス許可を持つユーザーを作成する」を参照してください。

例

次の例では、特定のユーザーのログインを作成し、パスワードを割り当てます。データベースに master 接続し、次のコードサンプルを使用します。

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>';
GO

次の例では、まず、SQL Server 認証のログインを作成し、ログインの SID を調べています。データベースに master 接続し、次のコードサンプルを使用します。

CREATE LOGIN TestLogin WITH PASSWORD = 'SuperSecret52&&';

SELECT name, sid FROM sys.sql_logins WHERE name = 'TestLogin';
GO

DROP LOGIN TestLogin;
GO

CREATE LOGIN TestLogin
WITH PASSWORD = 'SuperSecret52&&', SID = 0x241C11948AEEB749B0D22646DB1A19F2;

SELECT * FROM sys.sql_logins WHERE name = 'TestLogin';
GO

この例では、Microsoft Entra doメインにcontoso存在するユーザーbob@contoso.comの資格情報を使用して、Azure SQL 論理サーバーにログインを作成します。データベースに master 接続し、次のコードサンプルを使用します。

CREATE LOGIN [bob@contoso.com] FROM EXTERNAL PROVIDER;
GO

Microsoft Entra サービスプリンシパルまたはグループのオブジェクト ID を指定することで、login_nameのエイリアスを作成できます。データベースに master 接続し、次のコードサンプルを使用します。

CREATE LOGIN [myapp4466e] FROM EXTERNAL PROVIDER 
  WITH OBJECT_ID='4466e2f8-0fea-4c61-a470-xxxxxxxxxxxx';

サービスプリンシパルのオブジェクト ID の取得の詳細については、Microsoft Entra ID のサービスプリンシパルオブジェクトを参照してください。

* Azure SQL
Managed Instance *

Azure SQL Managed Instance

構文

-- Syntax for Azure SQL Managed Instance
CREATE LOGIN login_name [FROM EXTERNAL PROVIDER [WITH OBJECT_ID = 'objectid'] ] { WITH <option_list> [,..]}

<option_list> ::=
    PASSWORD = {'password'}
    | SID = sid
    | DEFAULT_DATABASE = database
    | DEFAULT_LANGUAGE = language

引数

login_name

2048 を超える Microsoft Entra セキュリティグループのメンバーである Microsoft Entra ユーザーとサービスプリンシパルは、Azure SQL Database、Azure SQL Managed Instance、または Azure Synapse のデータベースにログインすることはサポートされていません。

FROM EXTERNAL PROVIDER

ログインが Microsoft Entra 認証用であることを指定します。

WITH OBJECT_ID = 'objectid'

Microsoft Entra オブジェクト ID を指定します。指定した OBJECT_ID 場合、login_nameは、元のプリンシパル表示名から形成されたユーザー定義の別名にサフィックスを付加できます。 login_nameはビュー内で sys.server_principals 一意の名前であり、他 sysname のすべての制限に従う必要があります。このオプションを使用するWITH OBJECT_ID方法の詳細については、Microsoft Entra ログインと非一次表示名を持つユーザーを参照してください。

Note

サービスプリンシパルの表示名が重複していない場合は、既定の CREATE LOGIN または CREATE USER ステートメントを使用する必要があります。 WITH OBJECT_ID 拡張機能はパブリックプレビューの段階にあり、一意ではないサービスプリンシパルで使用するために実装されたトラブルシューティングの修復項目です。一意のサービスプリンシパルで使用する必要はありません。サフィックスを追加せずにサービスプリンシパルに WITH OBJECT_ID 拡張子を使用すると、正常に実行されますが、ログインまたはユーザーがどのサービスプリンシパルに対して作成されたかは明らかになりません。サービスプリンシパルを一意に識別するには、サフィックスを使用してエイリアスを作成することをお勧めします。 WITH OBJECT_ID 拡張機能は、SQL Server ではサポートされていません。

PASSWORD = 'password'

パスワードでは大文字と小文字が区別されます。パスワードは常に 10 文字以上にする必要があり、128 文字を超えることはできません。パスワードには、a-z、A-Z、0-9 およびほとんどの英数字以外の文字を含めることができます。パスワードには、単一引用符やlogin_nameを含めることはできません。

SID = sid

ログインの再作成に使用されます。 SQL Server 認証ログインにのみ適用されます。新しい SQL Server 認証ログインの SID を指定します。このオプションを使用しない場合、SQL Server によって SID が自動的に割り当てられます。 SID 構造体は、SQL Server のバージョンに依存します。 SQL Database の場合、これは、0x01060000000000640000000000000000 と、GUID を表す 16 バイトで構成される 32 バイト (binary(32) ) のリテラルです。たとえば、「 SID = 0x0106000000000064000000000000000014585E90117152449347750164BA00A7 」のように入力します。

解説

この構文では FROM EXTERNAL PROVIDER 、Microsoft Entra アカウントにマップされたサーバーレベルのプリンシパルが作成されます
指定された場合 FROM EXTERNAL PROVIDER :
- login_nameは、現在の Azure SQL Managed Instance によって Microsoft Entra ID でアクセスできる既存の Microsoft Entra アカウント (ユーザー、グループ、またはアプリケーション) を表す必要があります。 Microsoft Entra プリンシパルの場合、CREATE LOGIN 構文には次のものが必要です。
  - Microsoft Entra ユーザー用の Microsoft Entra オブジェクトの UserPrincipalName。
  - Microsoft Entra グループおよびアプリケーションの Microsoft Entra オブジェクトの DisplayName。
- PASSWORD オプションは使用できません。
既定では、句を FROM EXTERNAL PROVIDER 省略すると、通常の SQL ログインが作成されます。
Microsoft Entra ログインは、型列の値が Microsoft Entra ユーザーにtype_descEマップされたログインの場合は EXTERNAL_LOGIN に設定され、Microsoft Entra グループにマップされたログインの場合は列の値がtype_descEXTERNAL_GROUPに設定Xされた型で表示されます。sys.server_principals
スクリプトでログインを転送する場合は、「SQL Server 2005 のインスタンス間でログインおよびパスワードを転送する方法」を参照してください。
ログインを作成すると、自動的に新しいログインが有効になり、ログインにサーバーレベルの CONNECT SQL 権限が与えられます。

重要

Azure SQL Database でログインとユーザーを操作する方法の詳細については、Azure SQL Database でのログインの管理に関する記事を参照してください。

ログインとアクセス許可

新しいログインを作成できるのは、サーバーレベルのプリンシパルログイン (プロビジョニングプロセスによって作成されたログイン) またはデータベース内の securityadmin データベースロールまたは sysadmin データベースロールの master メンバーだけです。詳細については、サーバーレベルのロールと ALTER SERVER ROLE に関するページを参照してください。

既定では、新しく作成された Microsoft Entra ログインmasterに付与される標準のアクセス許可は、CONNECT SQL と VIEW ANY DATABA ですStandard Edition。

SQL Managed Instance ログイン

サーバーに対する ALTER ANY LOGIN アクセス許可、または固定サーバーロール securityadmin または sysadmin のいずれかのメンバーシップが必要です。 create コマンドを実行できるのは、サーバーに対する ALTER ANY LOGIN 権限を持つ Microsoft Entra アカウント、またはこれらのロールのいずれかのメンバーシップのみです。
ログインが SQL プリンシパルの場合、ロールの sysadmin 一部であるログインのみが create コマンドを使用して Microsoft Entra アカウントのログインを作成できます。
Azure SQL Managed Instance と同じ Microsoft Entra テナントのメンバーである必要があります。

ログインが作成されたら、ログインはマネージドインスタンスに接続できますが、public ロールに与えられた権限しか持ちません。次の操作のいくつかを実行することを検討してください。

Microsoft Entra ログインからユーザーを作成するには、「CREATE U Standard Edition R」を参照してください。
データベース内のユーザーにアクセス許可を付与するには、ステートメントをALTER SERVER ROLE ... ADD MEMBER使用して組み込みのデータベースロールまたはカスタムロールのいずれかにユーザーを追加するか、GRANT ステートメントを使用して直接ユーザーにアクセス許可を付与します。詳細については、管理者以外のロール、追加のサーバーレベルの管理者ロール、ALTER SERVER ROLE、および GRANT ステートメントに関するページを参照してください。
サーバー全体のアクセス許可を付与するには、データベースにデータベースユーザーを master 作成し、ステートメントを ALTER SERVER ROLE ... ADD MEMBER 使用して、管理サーバーロールのいずれかにユーザーを追加します。詳細については、サーバーレベルのロール、ALTER SERVER ROLE、およびサーバーロールに関するページを参照してください。
- 次のコマンドを使用して、 sysadmin Microsoft Entra ログインにロールを追加します。 ALTER SERVER ROLE sysadmin ADD MEMBER [MS_Entra_login]
新しいログインまたはログインを含むロールにサーバーレベルの権限を許可するには、GRANT ステートメントを使用します。詳細については、「GRANT」を参照してください。

制限事項

データベース所有者として Microsoft Entra グループにマップされた Microsoft Entra ログインの設定はサポートされていません。
EXECUTE AS 句など、他の Microsoft Entra プリンシパルを使用した Microsoft Entra ログインの偽装がサポートされています。
ロールの一部 sysadmin であるサーバープリンシパル (ログイン) のみが、Microsoft Entra プリンシパルを対象とする次の操作を実行できます。
- EXECUTE AS USER
- EXECUTE AS LOGIN
別の Microsoft Entra ディレクトリからインポートされた外部 (ゲスト) ユーザーは、Azure portal を使用して SQL Managed Instance の Microsoft Entra 管理者として直接構成することはできません。代わりに、外部ユーザーをロール割り当て可能なグループに参加させ、インスタンス管理者としてグループを構成します。 PowerShell または Azure CLI を使用して、個々のゲストユーザーをインスタンス管理者として設定できます。
ログインは、フェールオーバーグループ内のセカンダリインスタンスにレプリケートされません。ログインはシステムデータベースであるデータベースに master 保存されるため、geo レプリケートされません。これを解決するには、セカンダリインスタンスで同じ SID を使用してログインを作成する必要があります。

-- Code to create login on the secondary instance
CREATE LOGIN foo WITH PASSWORD = '<enterStrongPasswordHere>', SID = <login_sid>;

例

次の例では、特定のユーザーのログインを作成し、パスワードを割り当てます。

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>';
GO

次の例では、まず、SQL Server 認証のログインを作成し、ログインの SID を調べています。

CREATE LOGIN TestLogin WITH PASSWORD = 'SuperSecret52&&';

SELECT name, sid FROM sys.sql_logins WHERE name = 'TestLogin';
GO

DROP LOGIN TestLogin;
GO

CREATE LOGIN TestLogin
WITH PASSWORD = 'SuperSecret52&&', SID = 0x241C11948AEEB749B0D22646DB1A19F2;

SELECT * FROM sys.sql_logins WHERE name = 'TestLogin';
GO

次の例では、contoso という名前のテナントに存在する Microsoft Entra アカウントjoe@contoso.onmicrosoft.comのログインを作成します。

CREATE LOGIN [joe@contoso.onmicrosoft.com] FROM EXTERNAL PROVIDER

GO

CREATE LOGIN [bob@contoso.com] FROM EXTERNAL PROVIDER
GO

次の例では、テナント contoso に存在する Microsoft Entra グループ mygroup のログインを作成します。

CREATE LOGIN [mygroup] FROM EXTERNAL PROVIDER
GO

次の例では、テナント contoso に存在する Microsoft Entra アプリケーション myapp のログインを作成します。

CREATE LOGIN [myapp] FROM EXTERNAL PROVIDER

G. 新しく追加されたログインを確認する

新しく追加されたログインを確認するには、次の T-SQL コマンドを実行します。

SELECT *
FROM sys.server_principals;
GO

* Azure Synapse
Analytics *

Azure Synapse Analytics

構文

-- Syntax for Azure Synapse Analytics
CREATE LOGIN login_name
  { 
    FROM EXTERNAL PROVIDER
    | WITH <option_list> [,..] 
  }

<option_list> ::=
    PASSWORD = { 'password' }
    [ , SID = sid ]

引数

Note

Microsoft Entra サーバープリンシパル (ログイン) は現在プレビュー段階です。

2048 を超える Microsoft Entra セキュリティグループのメンバーである Microsoft ユーザーとサービスプリンシパル (Microsoft Entra アプリケーション) は、SQL Database、SQL Managed Instance、または Azure Synapse のデータベースへのサインインはサポートされていません。

FROM EXTERNAL PROVIDER

ログインが Microsoft Entra 認証用であることを指定します。

login_name

作成するログインの名前を指定します。 Azure Synapse の SQL Analytics では SQL ログインのみサポートされています。 Microsoft Entra ユーザーのアカウントを作成するには、CREATE U Standard Edition R ステートメントを使用します。

PASSWORD ='password'

SID = sid

ログインの再作成に使用されます。 Windows 認証ログインではなく、SQL Server 認証ログインにのみ適用されます。新しい SQL Server 認証ログインの SID を指定します。このオプションを使用しない場合、SQL Server によって SID が自動的に割り当てられます。 SID 構造体は、SQL Server のバージョンに依存します。 SQL Analytics の場合、これは、0x01060000000000640000000000000000 と、GUID を表す 16 バイトで構成される 32 バイト (binary(32) ) のリテラルです。たとえば、「 SID = 0x0106000000000064000000000000000014585E90117152449347750164BA00A7 」のように入力します。

解説

パスワードでは大文字と小文字が区別されます。
スクリプトでログインを転送する場合は、「SQL Server 2005 のインスタンス間でログインおよびパスワードを転送する方法」を参照してください。
ログインを作成すると、自動的に新しいログインが有効になり、ログインにサーバーレベルの CONNECT SQL 権限が与えられます。
アクセスを許可するにはサーバーの認証モードがログインの種類に一致する必要があります。
権限システムの設計の詳細については、「データベースエンジンの権限の概要」を参照してください。

Login

CREATE LOGIN ステートメントはバッチ内の唯一のステートメントである必要があります。

sqlcmd などのツールを利用して Azure Synapse に接続する場合、<login>@<server> の表記法を使用して、接続文字列のログイン名に SQL Analytics サーバー名を追加する必要があります。たとえば、ログインが login1 で、SQL Analytics サーバーの完全修飾名が servername.database.windows.net である場合、接続文字列の username パラメーターは login1@servername となる必要があります。の合計の長さ、 username パラメーターには、128 文字まで login_name サーバー名の長さマイナス 127 文字に制限されます。この例では、login_name が 10 文字であるため、servername には 117 文字までしか指定できません。

ログインを作成するには、データベースに接続されている master 必要があります。

接続の認証に必要なログインデータおよびサーバーレベルのファイアウォール規則は、各データベースで一時的にキャッシュされます。このキャッシュは定期的に更新されます。認証キャッシュを強制的に更新し、データベースに最新バージョンのログインテーブルがあることを確認するには、DBCC FLUSHAUTHCACHE を実行します。

ログインの詳細については、「データベースとログインの管理」を参照してください。

アクセス許可

新しいログインを作成できるのは、サーバーレベルのプリンシパルログイン (プロビジョニングプロセスによって作成) またはデータベース内の loginmanager データベースロールの master メンバーだけです。詳細については、サーバーレベルのロールと ALTER SERVER ROLE に関するページを参照してください。

ログインを作成すると、そのログインで Azure Synapse に接続できますが、public ロールに付与される権限しか与えられません。次の操作のいくつかを実行することを検討してください。

データベースに接続するには、ログイン用のデータベースユーザーを作成する必要があります。詳細については、「CREATE USER」を参照してください。
データベース内のユーザーにアクセス許可を付与するには、ステートメントをALTER SERVER ROLE ... ADD MEMBER使用して組み込みのデータベースロールまたはカスタムロールのいずれかにユーザーを追加するか、GRANT ステートメントを使用して直接ユーザーにアクセス許可を付与します。詳細については、管理者以外のロール、追加のサーバーレベルの管理者ロール、ALTER SERVER ROLE、および GRANT ステートメントに関するページを参照してください。
サーバー全体のアクセス許可を付与するには、データベースにデータベースユーザーを master 作成し、ステートメントを ALTER SERVER ROLE ... ADD MEMBER 使用して、管理サーバーロールのいずれかにユーザーを追加します。詳細については、サーバーレベルのロール、ALTER SERVER ROLE、およびサーバーロールに関するページを参照してください。
新しいログインまたはログインを含むロールにサーバーレベルの権限を許可するには、GRANT ステートメントを使用します。詳細については、「GRANT」を参照してください。

例

次の例では、特定のユーザーのログインを作成し、パスワードを割り当てます。

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>';
GO

次の例では、まず、SQL Server 認証のログインを作成し、ログインの SID を調べています。

CREATE LOGIN TestLogin WITH PASSWORD = 'SuperSecret52&&';

SELECT name, sid FROM sys.sql_logins WHERE name = 'TestLogin';
GO

DROP LOGIN TestLogin;
GO

CREATE LOGIN TestLogin
WITH PASSWORD = 'SuperSecret52&&', SID = 0x241C11948AEEB749B0D22646DB1A19F2;

SELECT * FROM sys.sql_logins WHERE name = 'TestLogin';
GO