次の方法で共有

チェックリスト: セキュリティで保護された環境での運用の計画

セキュリティで保護された環境で BizTalk Server を実行するには、展開と構成のための追加の手順が必要です。 既定のオペレーティング システムのインストールではこれらを考慮する必要はありませんが、制限の厳しいセキュリティ ポリシーが適用されているシナリオでは、このセクションの情報を考慮する必要があります。 サーバーに適用される制限のレベルは異なる場合がありますが、以下の情報はほとんどの場合に対応する必要があり、出発点として適しています。

BizTalk Server を実行しているコンピューターのセキュリティに関する考慮事項

次の情報は、BizTalk Server を実行しているコンピューターのセキュリティ関連の設定を示しています。

ユーザー権利の割り当て

ユーザー権利の割り当て MMC スナップインを開始するには、[ スタート] をクリックし、[ 管理ツール] をクリックし、[ ローカル セキュリティ ポリシー] をクリックします。 ローカル セキュリティ ポリシー MMC スナップインで、[セキュリティ設定] を展開し、[ローカル ポリシー] を展開し、[ユーザー権利の割り当て] をクリックします。

ポリシー設定 価値観 リファレンスと詳細
サービスとしてログオン BizTalk アプリケーション ユーザー BizTalk ホスト インスタンスを実行するために必要です。 さまざまなユーザー アカウントの詳細については、「 BizTalk Server の Windows グループとユーザー アカウント」を参照してください。
サービスとしてログオン RuleEngine 更新サービス アカウント RuleEngine Update Service を実行するために必要です。 さまざまなユーザー アカウントの詳細については、「 BizTalk Server の Windows グループとユーザー アカウント」を参照してください。
サービスとしてログオン SSO サービス アカウント Enterprise Single Sign-On Service を実行するために必要です。 さまざまなユーザー アカウントの詳細については、「 BizTalk Server の Windows グループとユーザー アカウント」を参照してください。

システム サービス

サービス MMC スナップインを起動するには、[ スタート] をクリックし、[ 実行] をクリックし、[ 実行 ] ダイアログ ボックスに「 services.msc 」と入力し、Enter キーを押します。

  • COM+ システム アプリケーション:

    • スタートアップの種類1: 自動
    • 詳細: BizTalk が正常に実行するために必要
    • ユーザー2: (既定)

  • DHCP クライアント:

    • スタートアップの種類1: 自動
    • 詳細: IP アドレスが静的な場合でも必須
    • ユーザー2: (既定)

  • 分散トランザクション コーディネーター:

    • スタートアップの種類1: 自動
    • 詳細: BizTalk が正常に実行するために必要

    次のユーザー アカウントには、このサービスへのアクセス許可が必要です。

ユーザー 2 権限 詳細
SSO サービス アカウント フル コントロール SSO サービスを開始するために必要
BizTalk Hosts サービス アカウント フル コントロール BizTalk ホストを起動するために必要
ネットワーク サービス フル コントロール IIS で必須

  • HTTP SSL3:

    • スタートアップの種類1: 自動
    • 詳細: IIS で必須
    • ユーザー2: (既定)

  • IPSEC サービス3:

    • スタートアップの種類1: 自動
    • 詳細: IPSEC を使用すると、ネットワーク セキュリティが強化されます
    • ユーザー2: (既定)

  • Netlogon:

    • スタートアップの種類1: (既定値)
    • ユーザー2: ローカル サービス
    • アクセス許可: フル コントロール

  • NT LM セキュリティ サポート プロバイダー3:

    • スタートアップの種類1: 自動
    • 詳細: SQL での BizTalk Server の Kerberos 認証に必要
    • ユーザー2: (既定)

  • リモート アクセス接続マネージャー:

    • スタートアップの種類1: (既定値)

    次のユーザー アカウントには、このサービスへのアクセス許可が必要です。

ユーザー 2 権限 詳細
SSO サービス アカウント フル コントロール SSO サービスを開始するために必要
BizTalk Hosts サービス アカウント フル コントロール BizTalk ホストを起動するために必要
ネットワーク サービス フル コントロール IIS で必須

  • リモート プロシージャ コール (RPC) ロケーター:

    • スタートアップの種類1: 自動
    • 詳細: BizTalk によって要求される
    • ユーザー2: (既定)

  • WinHTTP Web プロキシ自動検出サービス:

    • スタートアップの種類1: (既定値)

    次のユーザー アカウントには、このサービスへのアクセス許可が必要です。

ユーザー 2 権限 詳細
SSO サービス アカウント フル コントロール SSO サービスを開始するために必要
BizTalk Hosts サービス アカウント フル コントロール BizTalk ホストを起動するために必要

1 値 (既定値) は、セキュリティ ポリシーによって適用される既定の設定が変更されないことを意味します

2 値 (既定値) は、サービスの既定のユーザーアクセス許可が変更されていないことを意味します

レジストリ設定

レジストリ エディターを起動するには、[ スタート] をクリックし、[ 実行] をクリックし、[ 実行 ] ダイアログ ボックスに「 regedit 」と入力し、Enter キーを押します。

  • HKLM\SYSTEM\CurrentControlSet\Services\DHCP

    • ユーザー: ネットワーク サービス
    • アクセス許可: フル コントロール
    • 詳細: DHCP クライアント サービスに必要

  • HKLM\SYSTEM\CurrentControlSet\Services\TCPIP

    • ユーザー: ネットワーク サービス
    • アクセス許可: フル コントロール
    • 詳細: DHCP クライアント サービスに必要

SQL Server を実行しているコンピューターのセキュリティに関する考慮事項

次の情報は、SQL Server を実行しているコンピューターのセキュリティ関連の設定を示しています。

ユーザー権利の割り当て

ユーザー権利の割り当て MMC スナップインを開始するには、[ スタート] をクリックし、[ 管理ツール] をクリックし、[ ローカル セキュリティ ポリシー] をクリックします。 ローカル セキュリティ ポリシー MMC スナップインで、[セキュリティ設定] を展開し、[ローカル ポリシー] を展開し、[ユーザー権利の割り当て] をクリックします。

ポリシー設定 価値観 リファレンスと詳細
オペレーティング システムの一部として機能 SQL Server エージェント サービス アカウント、SQL Server サービス アカウント SQL Server を実行するために必要です。 詳細については、「 Windows サービス アカウントの設定」を参照してください。
プロセスのメモリ クォータの増加 SQL Server エージェント サービス アカウント、SQL Server サービス アカウント SQL Server を実行するために必要です。 詳細については、「 Windows サービス アカウントの設定」を参照してください。
走査チェックのバイパス SQL Server エージェント サービス アカウント、SQL Server サービス アカウント SQL Server を実行するために必要です。 詳細については、「 Windows サービス アカウントの設定」を参照してください。
グローバル オブジェクトの作成 SQL Server サービス アカウント SSIS サービスで必要です。 詳細については、「 Windows サービス アカウントの設定」を参照してください。
コンピューターとユーザー アカウントに委任時の信頼を付与 SQL Server サービス アカウント、SQL Server サーバー、BizTalk Server サーバー、SQL Server クラスター名 BizTalk Server で必要です。 サーバー名は、 <servername>$ の形式です。 詳細については、「 方法: SQL Server フェールオーバー クラスターで Kerberos 認証を有効にする」を参照してください
サービスとしてログオン SQL Server エージェント サービス アカウント、SQL Server サービス アカウント SQL Server を実行するために必要です。 詳細については、「 Windows サービス アカウントの設定」を参照してください。
サービスとしてログオン SSO サービス アカウント Enterprise Single Sign-On Service を実行するために必要です。 さまざまなユーザー アカウントの詳細については、「 BizTalk Server の Windows グループとユーザー アカウント」を参照してください。
バッチ ジョブとしてログオンする SQL Server エージェント サービス アカウント、SQL Server サービス アカウント SQL Server を実行するために必要です。 詳細については、「 Windows サービス アカウントの設定」を参照してください。
プロセス レベル トークンの置き換え SQL Server エージェント サービス アカウント、SQL Server サービス アカウント SQL Server を実行するために必要です。 詳細については、「 Windows サービス アカウントの設定」を参照してください。

システム サービス

サービス MMC スナップインを起動するには、[ スタート] をクリックし、[ 実行] をクリックし、[ 実行 ] ダイアログ ボックスに「 services.msc 」と入力し、Enter キーを押します。

  • DHCP クライアント:

    • スタートアップの種類1: 自動
    • 詳細: IP アドレスが静的な場合でも必須
    • ユーザー2: (既定)

  • 分散トランザクション コーディネーター:

    • スタートアップの種類1: 手動
    • 詳細: クラスター サービスによって管理されるサービスのスタートアップ

    次のユーザー アカウントには、このサービスへのアクセス許可が必要です。

ユーザー 2 権限 詳細
SSO サービス アカウント フル コントロール SSO サービスを開始するために必要
ネットワーク サービス フル コントロール IIS で必須

  • HTTP SSL3:

    • スタートアップの種類1: 自動
    • 詳細: IIS で必須
    • ユーザー2: (既定)

  • IPSEC サービス3:

    • スタートアップの種類1: 自動
    • 詳細: IPSEC を使用すると、ネットワーク セキュリティが強化されます
    • ユーザー2: (既定)

  • Netlogon:

    • スタートアップの種類1: (既定値)
    • ユーザー2: ローカル サービス
    • アクセス許可: フル コントロール

  • NT LM セキュリティ サポート プロバイダー3:

    • スタートアップの種類1: 自動
    • 詳細: SQL での BizTalk Server の Kerberos 認証に必要
    • ユーザー2: (既定)

  • リモート アクセス接続マネージャー:

    • スタートアップの種類1: (既定値)

    次のユーザー アカウントには、このサービスへのアクセス許可が必要です。

ユーザー 2 権限 詳細
SSO サービス アカウント フル コントロール SSO サービスを開始するために必要
ネットワーク サービス フル コントロール IIS で必須

  • サーバー:

    • スタートアップの種類1: 自動
    • 詳細: クラスター化されたファイル共有リソースに使用されます
    • ユーザー2: ネットワーク サービス
    • アクセス許可: フル コントロール

  • WinHTTP Web プロキシ自動検出サービス:

    • スタートアップの種類1: (既定値)
    • ユーザー2: SSO サービス アカウント
    • アクセス許可: フル コントロール
    • 詳細: SSO サービスを開始するために必要

  • ワールド ワイド ウェブ 公開サービス:

    • スタートアップの種類1: 自動
    • 詳細: SQL Server Reporting Services で必須
    • ユーザー2: (既定)

1 値 (既定値) は、セキュリティ ポリシーによって適用される既定の設定が変更されないことを意味します

2 値 (既定値) は、サービスの既定のユーザーアクセス許可が変更されていないことを意味します

レジストリ設定

レジストリ エディターを起動するには、[ スタート] をクリックし、[ 実行] をクリックし、[ 実行 ] ダイアログ ボックスに「 regedit 」と入力し、Enter キーを押します。

  • HKLM\SYSTEM\CurrentControlSet\Services\DHCP

    • ユーザー: ネットワーク サービス
    • アクセス許可: フル コントロール
    • 詳細: DHCP クライアント サービスに必要

  • HKLM\SYSTEM\CurrentControlSet\Services\TCPIP

    • ユーザー: ネットワーク サービス
    • アクセス許可: フル コントロール
    • 詳細: DHCP クライアント サービスに必要

セキュリティに関するその他の考慮事項

次の表は、BizTalk Server 環境のその他の重要なセキュリティ関連の設定を示しています。

影響を受ける成果物 変更 リファレンスと詳細
SSO サービス アカウント クラスター マネージャーでクラスターにフル コントロールアクセス許可を付与する SSO が正常に機能するためには、この変更が必要です
SQL Server サービス アカウント、SQL Server サーバー、BizTalk Server サーバー、SQL Server クラスター名 Active Directory における委任の信頼 適切な Kerberos 認証に必要です。 詳細については、「 方法: SQL Server フェールオーバー クラスターで Kerberos 認証を有効にする」を参照してください
SQL Server サービス アカウント SPN エントリを作成するためのアクセス許可を付与する 適切な Kerberos 認証に必要です。 詳細については、「 SQL Server で Kerberos 認証を使用する方法」を参照してください。
SQL Server ノード、SQL クラスター名 ユーザー SQL Server サービス アカウントの SPN エントリを作成する 適切な Kerberos 認証に必要です。 詳細については、「 SQL Server で Kerberos 認証を使用する方法」を参照してください。
SQL ネットワーク名クラスター リソース DNS 登録が成功する必要があります。Kerberos 認証を有効にする 適切な Kerberos 認証に必要
SQL Server Surface の構成 リモート直接管理者接続を有効にする SQL Server の名前付きインスタンスを正しく特定するために SQL クライアント (BizTalk/ASP.NET) が必要とする、SQL Browser Service が正常に機能するために必要です。
BizTalk アプリケーション ユーザー グループ msdb データベース内のsp_help_jobhistoryに対する実行アクセス許可を付与する BizTalk Server で必須

こちらもご覧ください

その他の重要なタスクのチェックリスト