BizTalk Server セキュリティの管理

セキュリティで保護された Microsoft BizTalk Server 環境を維持するには、アカウント、証明書、パスワードを管理する必要があります。

BizTalk Server グループ

BizTalk Server によって処理されるビジネス ドキュメントのセキュリティを確保するために、BizTalk Server 管理者は次のアカウントと証明書を管理します。

• BizTalk Server 管理者グループ: ユーザーが BizTalk 管理コンソールまたは Microsoft Windows Management Instrumentation (WMI) プロバイダーを使用して管理タスクを実行するには、Microsoft SQL Server および Microsoft Windows で適切な特権を付与する必要があります。 管理タスクの特権の詳細については、「 最小セキュリティ ユーザー権限」を参照してください。

  BizTalk Server Administrators グループにユーザーを追加する方法、または BizTalk Server Administrators グループからユーザーを削除する方法については、「 BizTalk Server Administrators グループを管理する方法」を参照してください。

  Enterprise シングル サインオンの詳細については、「 SSO の使用」を参照してください。

• BizTalk Server オペレーター グループ: BizTalk Server オペレーターは、監視とトラブルシューティングのアクションにのみアクセスできる低い特権ロールです。

  BizTalk Server Operators グループのメンバーは、次の操作を行うことができます。

  • サービス状態とメッセージ フローを表示します。

  • アプリケーションを起動または停止します。

  • オーケストレーションを起動または終了します。

  • 送信ポートまたは送信ポート グループを開始または停止します。

  • 受信場所を有効または無効にします。 変更は、次のキャッシュ更新間隔が 60 秒 (既定値) になるまで有効になりません。 キャッシュの更新間隔は、BizTalk Server グループ レベルで設定されます。

  • サービス インスタンスを終了して再開します。

    BizTalk Server Operators グループのメンバーは、次の操作を実行できません。

  • BizTalk Server の構成を変更します。

  • 個人を特定できる情報 (PII) またはメッセージ本文として分類されるメッセージ コンテキスト プロパティを表示します。

  • BizTalk Server ランタイムにメッセージを発行する機能など、実行中のシステムへの新しいサブスクリプションの削除や追加など、メッセージ ルーティングの過程を変更します。

  注

  • BizTalk Server オペレーター グループのメンバーであるユーザーが、BizTalk Server を実行しているコンピューターのローカル管理者でもある場合、このユーザーは、これらのコンピューターのオペレーター グループの役割を超えてデータにアクセスできます。 詳細については、「 最小セキュリティ ユーザー権限」を参照してください。

  • BizTalk Server Operators グループのメンバーであるユーザーにリモート BizTalk サーバーの監視を許可する場合、このユーザーはリモート コンピューター上のローカル Administrators グループのメンバーである必要もあります。

• BizTalk Server 読み取り専用ユーザー グループ: これは 、BizTalk Server 2020 以降の新しいグループです。 このグループのメンバーは、成果物、サービスの状態、メッセージ フロー、追跡情報を表示できます。 メンバーには、管理操作を実行する権限がありません。

  BizTalk Server 読み取り専用ユーザー グループのメンバーは、次の操作を行うことができます。

  • ユーザー成果物情報を表示する

  • 受信ポート、受信場所、送信ポート、オーケストレーション、マップ、ポリシー、パイプライン、ホスト、ホスト インスタンス、アダプターなどのプラットフォーム成果物を表示する

  • メッセージ フローイベントとメッセージイベントを表示します。 メッセージ コンテキストとメッセージの内容を表示できません。

  • 一般的なサービス インスタンスの詳細とエラー情報を表示します。

  • 追跡情報を表示します。

  • パーティと契約の情報を表示します。

  • グループ ハブ ページの表示、クエリの実行、クエリの保存、クエリの読み込み。

  • バインド、ポリシー、MSI をエクスポートできますが、インポートすることはできません。

  注

  BizTalk Server 読み取り専用ユーザー グループのメンバーであるユーザーが、BizTalk Server を実行しているコンピューターのローカル管理者でもある場合、このユーザーは、これらのコンピューターの Operators グループの役割を超えてデータにアクセスできます。 詳細については、「 最小セキュリティ ユーザー権限」を参照してください。

• ホストとサービス アカウント: ホストとそれに関連付けられているホスト インスタンスを作成するときは、ホストの Windows グループと各ホスト インスタンスのサービス アカウント資格情報を指定する必要があります。 ホスト インスタンス サービス アカウントがホストの Windows グループのメンバーであることを確認する必要があります。

• 署名証明書: 署名証明書 (秘密キー証明書) は、BizTalk グループに対して指定されます。 これらは省略可能であり、BizTalk Server 管理者がいつでも変更できます。

  BizTalk Server で使用される Windows アカウントの詳細については、「BizTalk Server の Windows グループとユーザー アカウント」を参照してください。

次のステップ

• Windows グループとユーザー アカウントを管理するためのベスト プラクティス

• 証明書を管理するためのベスト プラクティス

• Windows グループとユーザー アカウントの管理