ALTER AUTHORIZATION (Transact-SQL)

適用対象:SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsAnalytics Platform System (PDW)Microsoft Fabric の SQL 分析エンドポイントMicrosoft Fabric のウェアハウスMicrosoft Fabric の SQL データベース

セキュリティ保護可能なエンティティの所有権を変更します。

Transact-SQL 構文表記規則

Syntax

-- Syntax for SQL Server
ALTER AUTHORIZATION
    ON [ <class_type>:: ] entity_name
    TO { principal_name | SCHEMA OWNER }
    [;]

<class_type> ::=
     {
      OBJECT | ASSEMBLY | ASYMMETRIC KEY | AVAILABILITY GROUP | CERTIFICATE
    | CONTRACT | TYPE | DATABASE | ENDPOINT | FULLTEXT CATALOG
    | FULLTEXT STOPLIST | MESSAGE TYPE | REMOTE SERVICE BINDING
    | ROLE | ROUTE | SCHEMA | SEARCH PROPERTY LIST | SERVER ROLE
    | SERVICE | SYMMETRIC KEY | XML SCHEMA COLLECTION
     }

-- Syntax for SQL Database

ALTER AUTHORIZATION
    ON [ <class_type>:: ] entity_name
    TO { principal_name | SCHEMA OWNER }
    [;]

<class_type> ::=
     {
    OBJECT | ASSEMBLY | ASYMMETRIC KEY | CERTIFICATE
     | TYPE | DATABASE | FULLTEXT CATALOG
     | FULLTEXT STOPLIST
     | ROLE | SCHEMA | SEARCH PROPERTY LIST
     | SYMMETRIC KEY | XML SCHEMA COLLECTION
     }

-- Syntax for Azure Synapse Analytics and Microsoft Fabric

ALTER AUTHORIZATION ON
     [ <class_type> :: ] <entity_name>
     TO { principal_name | SCHEMA OWNER }
    [;]

    <class_type> ::= {
    SCHEMA
     | OBJECT
    }

    <entity_name> ::=
    {
    schema_name
     | [ schema_name. ] object_name
    }

-- Syntax for Parallel Data Warehouse

ALTER AUTHORIZATION ON
     [ <class_type> :: ] <entity_name>
     TO { principal_name | SCHEMA OWNER }
    [;]

<class_type> ::= {
    DATABASE
     | SCHEMA
     | OBJECT
    }

<entity_name> ::=
    {
    database_name
     | schema_name
     | [ schema_name. ] object_name
    }

Arguments

<class_type> は、所有者が変更中となっているエンティティのセキュリティ保護可能なクラスを指定します。 既定値は OBJECT です。

entity_name はエンティティの名前です。

principal_name | SCHEMA 所有者 エンティティを所有する証券プリンシパルの名前。 データベース オブジェクトはデータベース プリンシパル (データベース ユーザーまたはデータベース ロール) が所有する必要があります。 サーバー オブジェクト (データベースなど) はサーバー プリンシパル (ログイン) が所有する必要があります。 オブジェクトSCHEMAスキーマを所有するプリンシパルが所有していることを示すために、*principal_name-をOWNERとして指定してください。

Remarks

ALTER AUTHORIZATION 所有者を持つ任意の法人の所有権を変更するために使用できます。 データベースに含まれるエンティティの所有権は、任意のデータベース レベルのプリンシパルに譲渡できます。 サーバー レベルのエンティティの所有権は、サーバー レベルのプリンシパルのみに譲渡できます。

スキーマに含まれるエンティティのうち、種類が "オブジェクト" のエンティティ (テーブル、ビュー、関数、プロシージャ、キュー、およびシノニム) の所有権は譲渡できます。

リンク サーバー、統計、制約、ルール、デフォルト、トリガー、Service Broker キュー、資格情報、パーティション関数、パーティション構成、データベース マスター キー、サービス マスター キー、およびイベント通知の各エンティティの所有権は譲渡できません。

セキュリティ保護可能なリソース クラス (サーバー、ログイン、ユーザー、アプリケーション ロール、および列) のメンバーの所有権は譲渡できません。

SCHEMA OWNERオプションは、スキーマに含まれるエンティティの所有権を移転する場合のみ有効です。 SCHEMA 所有者はエンティティの所有権を、そのスキーマの所有者に移転します。 OBJECT、 TYPE、または XML SCHEMA COLLECTION クラスのエンティティのみがスキーマ包含されます。

対象のエンティティがデータベース以外であり、エンティティを新しい所有者に譲渡する場合は、すべての権限が削除されます。

また、次の点も注意してください。

特殊ケースと条件

次の表は、権限を変更する場合の特殊ケースと例外、および条件の一覧です。

ALTER AUTHORIZATION データベース用

SQL Server の場合

新しい所有者の要件: 新しい所有者プリンシパルは、次のいずれかである必要があります。

• SQL サーバー認証ログイン。
• Windows ユーザー (グループではなく) を表す Windows 認証ログイン。
• Windows グループを表す Windows 認証ログインを使って認証を行う Windows ユーザー。

ALTER AUTHORIZATION文を実行する人の要件:システム管理者固定サーバーの役割でない場合は、データベースに対して少なくともTAKE OWNERSHIP権限を持ち、新しい所有者ログインではIMPERSONATE権限が必要です。

Azure SQL Database の場合

新しい所有者の要件: 新しい所有者プリンシパルは、次のいずれかである必要があります。

• SQL サーバー認証ログイン。
• Microsoft Entra ID に存在するフェデレーション ユーザー (グループではありません)。
• マネージド ユーザー (グループではない) または Microsoft Entra ID に存在するアプリケーション。

新しい所有者が Microsoft Entra ユーザーの場合、新しい所有者が新しいデータベース所有者 (dbo) になるデータベース内にユーザーとして存在することはできません。 Microsoft Entraユーザーはまずデータベースから削除されなければ、ALTER AUTHORIZATION文を実行してデータベースの所有権を新しいユーザーに移します。 SQL Database を使用して Microsoft Entra ユーザーを構成する方法の詳細については、「 Microsoft Entra 認証の構成」を参照してください。

ALTER AUTHORIZATION文を実行する人の要件:そのデータベースの所有者を変更するには、ターゲットデータベースに接続する必要があります。

次の種類のアカウントは、データベースの所有者を変更できます。

• サービス レベル のプリンシパル ログイン。これは、Azure の のサーバーが作成されたときにプロビジョニングされた SQL 管理者 。
• 論理サーバーの Microsoft Entra 管理者。.
• データベースの現在の所有者。

次の表は要件をまとめたものです。

データベースの Microsoft Entra 所有者を確認するには、ユーザー データベースで次の Transact-SQL コマンドを実行します (この例では testdb)。

SELECT CAST(owner_sid as uniqueidentifier) AS Owner_SID
FROM sys.databases
WHERE name = 'testdb';

出力は、データベース所有者として割り当てられた Microsoft Entra ユーザーまたはサービス プリンシパルのオブジェクト ID に対応する GUID (XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX など) になります。 これを確認するには、Microsoft Entra ID でユーザーのオブジェクト ID を チェック。 SQL Server 認証ログイン ユーザーがデータベース所有者である場合、データベースの所有者を確認するには、master データベースで次のステートメントを実行します。

SELECT d.name, d.owner_sid, sl.name
FROM sys.databases AS d
JOIN sys.sql_logins AS sl
ON d.owner_sid = sl.sid;

ベスト プラクティス

Microsoft Entra ユーザーをデータベースの個々の所有者として使用する代わりに、固定データベース ロール db_owner のメンバーとして Microsoft Entra グループを使用します。 次の手順では、無効なログインをデータベース所有者として構成し、Microsoft Entra グループ (mydbogroup) を db_owner ロールのメンバーにする方法を示します。

1. Microsoft Entra 管理者として SQL Server にログインし、データベースの所有者を無効な SQL Server 認証ログインに変更します。 たとえば、ユーザー データベースから次のコマンドを実行します。

   ALTER AUTHORIZATION ON database::testdb TO DisabledLogin;
   

2. データベースを所有し、ユーザー データベースにユーザーとして追加する必要がある Microsoft Entra グループを作成します。 例えば次が挙げられます。

   CREATE USER [mydbogroup] FROM EXTERNAL PROVIDER;
   

3. ユーザー データベースで、Microsoft Entra グループを表すユーザーを固定データベース ロール db_owner 追加します。 例えば次が挙げられます。

   ALTER ROLE db_owner ADD MEMBER mydbogroup;
   

これで、mydbogroup のメンバーは、db_owner ロールのメンバーとしてデータベースを集中管理できます。

• このグループのメンバーが Microsoft Entra グループから削除されると、このデータベースの dbo アクセス許可が自動的に失われます。
• 同様に、Microsoft Entra グループ mydbogroup 新しいメンバーが追加されると、このデータベースの dbo アクセス権が自動的に取得されます。

特定のユーザーが有効な dbo アクセス許可を持つかどうかを確認するには、ユーザーに次のステートメントを実行させます。

SELECT IS_MEMBER ('db_owner');

戻り値 1 は、ユーザーがロールのメンバーであることを示します。

Permissions

エンティティに対する TAKE OWNERSHIP 権限が必要です。 新しい所有者がステートメントを実行するユーザーではない場合は、次の条件に応じた権限が必要になります。1) 新しい所有者がユーザーまたはログインの場合は、新しい所有者に対する IMPERSONATE 権限。2) 新しい所有者がロールまたはロールのメンバーシップの場合は、ロールに対する ALTER 権限。3) 新しい所有者がアプリケーション ロールの場合は、アプリケーション ロールに対する ALTER 権限。

Examples

A. テーブルの所有権を譲渡する

次の例では、テーブル Sprockets の所有権をユーザー MichikoOsada に譲渡します。 このテーブルは、スキーマ Parts 内にあります。

ALTER AUTHORIZATION ON OBJECT::Parts.Sprockets TO MichikoOsada;
GO

クエリは次のようにもできます。

ALTER AUTHORIZATION ON Parts.Sprockets TO MichikoOsada;
GO

オブジェクトのスキーマがステートメントの一部として含まれない場合、データベース エンジン はユーザーの既定のスキーマでオブジェクトを検索します。 例えば次が挙げられます。

ALTER AUTHORIZATION ON Sprockets TO MichikoOsada;
ALTER AUTHORIZATION ON OBJECT::Sprockets TO MichikoOsada;

B. ビューの所有権をスキーマの所有者に譲渡する

次の例では、ビュー ProductionView06 の所有権を、所属するスキーマの所有者に譲渡します。 このビューは、スキーマ Production 内にあります。

ALTER AUTHORIZATION ON OBJECT::Production.ProductionView06 TO SCHEMA OWNER;
GO

C. スキーマの所有権をユーザーに譲渡する

次の例では、スキーマ SeattleProduction11 の所有権をユーザー SandraAlayo に譲渡します。

ALTER AUTHORIZATION ON SCHEMA::SeattleProduction11 TO SandraAlayo;
GO

D. エンドポイントの所有権を SQL Server ログインに譲渡する

次の例では、エンドポイント CantabSalesServer1 の所有権を JaePak に譲渡します。 エンドポイントはサーバー レベルでセキュリティ保護可能なリソースであるため、エンドポイントを譲渡できるのはサーバー レベルのプリンシパルのみです。

適用対象: SQL Server 2008 (10.0.x) 以降。

ALTER AUTHORIZATION ON ENDPOINT::CantabSalesServer1 TO JaePak;
GO

E. テーブルの所有者を変更する

以下の各例では、Sprockets データベースの Parts テーブルの所有者を、データベース ユーザー MichikoOsada に変更します。

ALTER AUTHORIZATION ON Sprockets TO MichikoOsada;
ALTER AUTHORIZATION ON dbo.Sprockets TO MichikoOsada;
ALTER AUTHORIZATION ON OBJECT::Sprockets TO MichikoOsada;
ALTER AUTHORIZATION ON OBJECT::dbo.Sprockets TO MichikoOsada;

F. データベースの所有者を変更する

適用対象: SQL Server 2008 (10.0.x) 以降、Analytics Platform System (PDW)、SQL Database。

次の例では、Parts データベースの所有者をログイン MichikoOsada に変更します。

ALTER AUTHORIZATION ON DATABASE::Parts TO MichikoOsada;

G. データベースの所有者を Microsoft Entra ユーザーに変更する

次の例では、 cqclinic.onmicrosoft.comという名前のカスタム Microsoft Entra ドメインを持つ組織内の SQL Server の Microsoft Entra 管理者は、次のコマンドを使用して、データベース targetDB の現在の所有権を変更し、既存の Microsoft Entra ユーザーを新しいデータベース所有者 richel@cqclinic.onmicorsoft.com できます。

ALTER AUTHORIZATION ON database::targetDB TO [rachel@cqclinic.onmicrosoft.com];

こちらもご覧ください

「OBJECTPROPERTY (Transact-SQL)」「TYPEPROPERTY (Transact-SQL)」「EVENTDATA (Transact-SQL)」