次の方法で共有

BizTalk Server ランタイム セキュリティの推奨事項

  • [アーティクル]

メッセージの受信、送信、処理、および追跡を行うすべてのコンピューターに BizTalk Server ランタイム (エンジン) をインストールする必要があります。 つまり、BizTalk ホスト インスタンス (処理サーバー) を作成するコンピューターにランタイム コンポーネントをインストールする必要があります。 BizTalk Server ランタイムをセキュリティで保護して環境に展開するには、次のガイドラインに従うことをお勧めします。

  • BizTalk Server ランタイム タスクを行う最小セキュリティのユーザー権利が付与されていることを確認します。 最小セキュリティ ユーザー権限の詳細については、「 最小セキュリティ ユーザー権限」を参照してください。

    Note

    BizTalk 構成は、タスクを行うための最小限のアクセス権限をアカウントに与えます。

  • 各ホスト インスタンスのサービス アカウントを使用して、ホスト インスタンスを実行するコンピューターのサービス権限としてログオンする必要があります。

  • ホストのサービス アカウントだけがホストに関連するメッセージ ボックス データにアクセスできます。また、これらのサービスだけがメッセージ ボックスに送信できます。 情報の漏えいの可能性を最小限に抑えるため、複数のホストで同じサービス アカウントを使用しないでください。

  • 処理サーバー (追跡を行わないホスト) は、メッセージ ボックス データベース、管理データベース、およびマスター シークレット サーバーにのみ接続する必要があります。 インターネット プロトコル セキュリティ (IPsec) を使用すると、処理サーバーのアクセスをこれらの 2 つのデータベースとマスター シークレット サーバーに制限できます。

  • 同じ BizTalk ホスト内で実行されるすべてのコンポーネントは、ホストと同じ信頼レベルを持ちます。 同じホストで実行する必要がある (同じ信頼レベルで共有する必要がある) コンポーネントを決めるのは、BizTalk 管理者の責任です。 BizTalk は、BizTalk 管理者がインストールしたアセンブリだけが BizTalk ホストで実行されていることを確認します。 BizTalk が使用するアセンブリに関する制限を追加する場合 (たとえば、特定のベンダによって署名されたアセンブリだけを実行するように BizTalk を制限する場合やオーケストレーションに対する厳密な名前の署名を検証する場合)、.NET Framework コード アクセス セキュリティ メカニズムを使用できます。 Microsoft MSDN Web サイト https://go.microsoft.com/fwlink/?LinkId=60947の詳細については、 を参照してください。

  • メッセージを送信する場合の認証の細かさは、BizTalk ホスト レベルです。 つまり、同じ BizTalk ホスト内で実行されているオーケストレーションまたはアダプターが複数ある場合、ホストに送信されるメッセージを受信するオーケストレーションを特定の 1 つのオーケストレーションに制限することはできません。

  • ホストにメッセージを受信する権限がない場合、保留キューにメッセージが配置されます。 既定で、受信アダプターとオーケストレーションが同じホストで実行されている場合、オーケストレーションは、ホストの保留キューを読み込むことができます。 認証失敗により BizTalk が保留したメッセージをオーケストレーションが取得する可能性があります。 このため、同じホストでオーケストレーションと受信アダプターを実行しないことをお勧めします。

  • ホスト インスタンスは、特定のコンピューターで実行される Windows サービスです。 ホスト インスタンスを作成するには、BizTalk がホスト インスタンスに対応する Windows サービスを作成するため、ホスト インスタンスを作成するコンピューターの BizTalk 管理者と Windows 管理者の両方である必要があります。

  • Microsoft Visual Studio でアセンブリを生成すると、統合開発環境 (IDE) によって生成されるカスタム キーが使用されます。 特定のキーですべてのアセンブリの署名が必要な環境を使用している場合、キーを使用するためにすべての開発用コンピューターに IDE を構成するか、アセンブリの遅延署名を利用する必要があります。

  • 受信パイプラインと送信パイプラインのすべてのコンポーネントは、メモリの使用量を抑えようとします。 特定のしきい値よりもデータが大きい場合、これらのコンポーネントは、一時フォルダー (%TEMP%) のディスクにデータをストリーム出力します。 サービス アカウントだけを使用してこれらのファイルを読み込むため、適切な随意アクセス制御リスト (DACL) がホスト インスタンス用のサービス アカウントの一時フォルダーに格納されていることを確認する必要があります。 また、大きなファイルに備えて予備の領域を一時フォルダーに確保する必要があります。

参照

BizTalk Serverのセキュリティの展開計画に関する処理サーバーのセキュリティに関する推奨事項のBizTalk Serverセキュリティ ポートの管理