SQL Server on Linux に対するセキュリティの制限事項

適用対象:SQL Server - Linux

現在、SQL Server on Linux には、次の制限があります。

• 標準パスワード ポリシーが用意されています。 MUST_CHANGE は、構成できる唯一のオプションです。 CHECK_POLICY オプションを有効にすると、SQL Server によって提供される既定のポリシーのみが適用され、Active Directory グループ ポリシーで定義されている Windows パスワード ポリシーは適用されません。
• 拡張キー管理は、SQL Server 2022 (16.x) CU 11 以前のバージョンではサポートされていません。 拡張キー管理は、Azure Key Vault (AKV) 経由でのみサポートされます。
• SQL Server の認証モードは無効にできません。
• SQL Server 認証を使用する場合、パスワードの有効期限は 90 日にハードコーディングされます。
• Azure Key Vault に格納されているキーの使用は、SQL Server 2022 (16.x) CU 11 以前のバージョンではサポートされていません。
• SQL Server では、接続の暗号化で独自の自己署名証明書が生成されます。 ユーザーが提供した TLS 証明書を使用するように SQL Server を構成できます。

Note

SQL Server コンテナーを Windows Active Directory に接続する予定がなく、SQL Server 認証のみを使用する場合、パスワードの有効期限は 90 日にハードコーディングされます。 この問題を解決するための方法として、CHECK_EXPIRATION ポリシーの変更をご検討ください。

SQL Server で使用できるセキュリティ機能の詳細については、「SQL Server データベース エンジンと Azure SQL Database のセキュリティ」を参照してください。

ベスト プラクティスとして SA アカウントを無効にする

インストール後に初めてシステム管理者 (sa) アカウントを使用して SQL Server インスタンスに接続するときは、次の手順に従い、その後すぐにセキュリティのベスト プラクティスとして sa アカウントを無効にすることが重要です。

1. 新しいログインを作成し、sysadmin サーバー ロールのメンバーにします。

   • コンテナーとコンテナー以外のどちらがデプロイされているかに応じて、Windows 認証を有効にして、新しい Windows ベースのログインを作成し、それを sysadmin サーバー ロールに追加します。

     • チュートリアル: adutilを使用してSQL Serveron LinuxでActive Directory 認証を構成する

     • チュートリアル:SQL Serveron Linux コンテナーに Active Directory 認証を構成する

   • それ以外の場合は、SQL Server 認証を使用してログインを作成し、sysadmin サーバー ロールに追加します。

2. 作成した新しいログインを使用してSQL Serverインスタンスに接続します。

3. セキュリティのベスト プラクティスで推奨されているように、sa アカウントを無効にします。

関連するコンテンツ

• SQL Server on Linux のセキュリティ機能のチュートリアル
• mssql-conf ツールを使用して SQL Server on Linux を構成する
• sql Server 2022 on Linux の エディションとサポートされている機能