SQL Server on Linux に対するセキュリティの制限事項

適用対象: SQL Server - Linux

現在、SQL Server on Linux には、次の制限があります。

• 標準パスワード ポリシーが用意されています。 構成できる唯一のオプションは MUST_CHANGE です。 CHECK_POLICY オプションはサポートされていません。
• 拡張キー管理はサポートされていません。
• SQL Server の認証モードは無効にできません。
• SQL Server 認証を使用する場合、パスワードの有効期限は 90 日にハードコーディングされます。
• Azure Key Vault に格納されているキーの使用はサポートされていません。
• SQL Server では、接続の暗号化で独自の自己署名証明書が生成されます。 ユーザーが提供した TLS 証明書を使用するように SQL Server を構成できます。

注意

SQL Server コンテナーを Windows Active Directory に接続する予定がなく、SQL Server 認証のみを使用する場合、パスワードの有効期限は 90 日にハードコーディングされます。 この問題を解決するための方法として、CHECK_EXPIRATION ポリシーの変更をご検討ください。

SQL Server で使用できるセキュリティ機能の詳細については、「SQL Server データベース エンジンと Azure SQL Database のセキュリティ」を参照してください。

ベスト プラクティスとして sa アカウントを無効にする

インストール後に初めて sa アカウントを使用してSQL Serverインスタンスに接続する場合は、次の手順に従い、セキュリティのベスト プラクティスとしてすぐに sa ログインを無効にすることが重要です。

1. 新しいログインを作成し、sysadmin サーバー ロールのメンバーにします。

   • コンテナーとコンテナー以外のどちらがデプロイされているかに応じて、Windows 認証を有効にして、新しい Windows ベースのログインを作成し、それを sysadmin サーバー ロールに追加します。

     • チュートリアル: adutilを使用してSQL Serveron LinuxでActive Directory 認証を構成する

     • チュートリアル:SQL Serveron Linux コンテナーに Active Directory 認証を構成する

   • それ以外の場合は、SQL Server 認証を使用してログインを作成し、sysadmin サーバー ロールに追加します。

2. 作成した新しいログインを使用してSQL Serverインスタンスに接続します。

3. セキュリティのベスト プラクティスで推奨されているように、sa アカウントを無効にします。

関連するコンテンツ

• SQL Server on Linux のセキュリティ機能のチュートリアル
• mssql-conf ツールを使用して SQL Server on Linux を構成する
• Linux 上の SQL Server 2022 (16.x) のエディションとサポートされる機能