次の方法で共有

チェックリスト: セキュリティで保護された環境での運用計画

  • [アーティクル]

セキュリティで保護された環境でBizTalk Serverを実行するには、デプロイと構成のための追加の手順が必要です。 既定のオペレーティング システムのインストールではこれらを考慮する必要はありませんが、制限の厳しいセキュリティ ポリシーが適用されているシナリオでは、このセクションの情報を考慮する必要があります。 サーバーに適用される制限のレベルは異なる場合がありますが、以下の情報はほとんどの場合をカバーする必要があり、出発点として適しています。

BizTalk Serverを実行しているコンピューターのセキュリティに関する考慮事項

次の情報は、BizTalk Serverを実行しているコンピューターのセキュリティ関連の設定を示しています。

ユーザー権利の割り当て

ユーザー権利の割り当て MMC スナップインを起動するには、[ スタート] をクリックし、[ 管理ツール]、[ ローカル セキュリティ ポリシー] の順にクリックします。 ローカル セキュリティ ポリシー MMC スナップインで、[セキュリティ設定] を展開し、[ローカル ポリシー] を展開して、[ユーザー権利の割り当て] をクリックします。

ポリシー設定 参照と詳細
サービスとしてログオン BizTalk Application Users BizTalk ホスト インスタンスを実行するために必要です。 さまざまなユーザー アカウントの詳細については、「BizTalk Serverの Windows グループとユーザー アカウント」を参照してください。
サービスとしてログオン RuleEngine サービス アカウントの更新 RuleEngine Update Service を実行するために必要です。 さまざまなユーザー アカウントの詳細については、「BizTalk Serverの Windows グループとユーザー アカウント」を参照してください。
サービスとしてログオン SSO サービス アカウント Enterprise Single Sign-On Service を実行するために必要です。 さまざまなユーザー アカウントの詳細については、「BizTalk Serverの Windows グループとユーザー アカウント」を参照してください。

システム サービス

サービス MMC スナップインを起動するには、[ スタート] をクリックし、[ 実行] をクリックし、[ 実行 ] ダイアログ ボックスに「」と入力 services.msc して Enter キーを押します。

  • COM+ システム アプリケーション:

    • スタートアップの種類1: 自動
    • 詳細: BizTalk が正しく実行するために必要
    • ユーザー2: (既定値)

  • DHCP クライアント:

    • スタートアップの種類1: 自動
    • 詳細: IP アドレスが静的な場合でも必須
    • ユーザー2: (既定値)

  • 分散トランザクション コーディネーター:

    • スタートアップの種類1: 自動
    • 詳細: BizTalk が正しく実行するために必要

    次のユーザー アカウントには、このサービスへのアクセス許可が必要です。

ユーザー 2 アクセス許可 詳細
SSO サービス アカウント フル コントロール SSO サービスを開始するために必要
BizTalk Hosts サービス アカウント フル コントロール BizTalk ホストを起動するために必要
Network Service フル コントロール IIS で必須

  • HTTP SSL3:

    • スタートアップの種類1: 自動
    • 詳細: IIS で必須
    • ユーザー2: (既定値)

  • IPSEC サービス3:

    • スタートアップの種類1: 自動
    • 詳細: IPSEC を使用すると、ネットワーク セキュリティが強化されます
    • ユーザー2: (既定値)

  • Netlogon:

    • スタートアップの種類1: (既定値)
    • ユーザー2: ローカル サービス
    • アクセス許可: フル コントロール

  • NT LM セキュリティ サポート プロバイダー3:

    • スタートアップの種類1: 自動
    • 詳細: SQL でのBizTalk Serverの Kerberos 認証に必要
    • ユーザー2: (既定値)

  • リモート アクセス 接続マネージャー:

    • スタートアップの種類1: (既定値)

    次のユーザー アカウントには、このサービスへのアクセス許可が必要です。

ユーザー 2 アクセス許可 詳細
SSO サービス アカウント フル コントロール SSO サービスを開始するために必要
BizTalk Hosts サービス アカウント フル コントロール BizTalk ホストを起動するために必要
Network Service フル コントロール IIS で必須

  • リモート プロシージャ コール (RPC) ロケーター:

    • スタートアップの種類1: 自動
    • 詳細: BizTalk で必須
    • ユーザー2: (既定値)

  • WinHTTP Web プロキシ自動検出サービス:

    • スタートアップの種類1: (既定値)

    次のユーザー アカウントには、このサービスへのアクセス許可が必要です。

ユーザー 2 アクセス許可 詳細
SSO サービス アカウント フル コントロール SSO サービスを開始するために必要
BizTalk Hosts サービス アカウント フル コントロール BizTalk ホストを起動するために必要

1 の値 (既定値) は、セキュリティ ポリシーによって適用される既定の設定が変更されないことを意味します

2 の値 (既定値) は、サービスの既定のユーザー アクセス許可が変更されていないことを意味します

レジストリ設定

レジストリ エディターを起動するには、[ スタート] をクリックし、[ 実行] をクリックし、[ 実行 ] ダイアログ ボックスに「」と入力 regedit して Enter キーを押します。

  • HKLM\SYSTEM\CurrentControlSet\Services\DHCP

    • ユーザー: ネットワーク サービス
    • アクセス許可: フル コントロール
    • 詳細: DHCP クライアント サービスで必須

  • HKLM\SYSTEM\CurrentControlSet\Services\TCPIP

    • ユーザー: ネットワーク サービス
    • アクセス許可: フル コントロール
    • 詳細: DHCP クライアント サービスで必須

SQL Serverを実行しているコンピューターのセキュリティに関する考慮事項

次の情報は、SQL Serverを実行しているコンピューターのセキュリティ関連の設定を示しています。

ユーザー権利の割り当て

ユーザー権利の割り当て MMC スナップインを起動するには、[ スタート] をクリックし、[ 管理ツール]、[ ローカル セキュリティ ポリシー] の順にクリックします。 ローカル セキュリティ ポリシー MMC スナップインで、[セキュリティ設定] を展開し、[ローカル ポリシー] を展開して、[ユーザー権利の割り当て] をクリックします。

ポリシー設定 参照と詳細
オペレーティング システムの一部として機能 SQL Server エージェント サービス アカウント、SQL Server サービス アカウント SQL Serverを実行するために必要です。 詳細については、「 Windows サービス アカウントの設定」を参照してください。
プロセスのメモリ クォータの増加 SQL Server エージェント サービス アカウント、SQL Server サービス アカウント SQL Serverを実行するために必要です。 詳細については、「 Windows サービス アカウントの設定」を参照してください。
走査チェックのバイパス SQL Server エージェント サービス アカウント、SQL Server サービス アカウント SQL Serverを実行するために必要です。 詳細については、「 Windows サービス アカウントの設定」を参照してください。
グローバル オブジェクトの作成 [SQL Server サービス アカウント] SSIS サービスに必要です。 詳細については、「 Windows サービス アカウントの設定」を参照してください。
コンピューターとユーザー アカウントに委任時の信頼を付与 SQL Server サービス アカウント、SQL Server サーバー、BizTalk Server サーバー、SQL Server クラスター名 BizTalk Serverで必要です。 サーバー名は servername>$ という形式<です。 詳細については、「方法: SQL Server フェールオーバー クラスターで Kerberos 認証を有効にする」を参照してください
サービスとしてログオン SQL Server エージェント サービス アカウント、SQL Server サービス アカウント SQL Serverを実行するために必要です。 詳細については、「 Windows サービス アカウントの設定」を参照してください。
サービスとしてログオン SSO サービス アカウント Enterprise Single Sign-On Service を実行するために必要です。 さまざまなユーザー アカウントの詳細については、「BizTalk Serverの Windows グループとユーザー アカウント」を参照してください。
バッチ ジョブとしてログオンする SQL Server エージェント サービス アカウント、SQL Server サービス アカウント SQL Serverを実行するために必要です。 詳細については、「 Windows サービス アカウントの設定」を参照してください。
プロセス レベル トークンの置き換え SQL Server エージェント サービス アカウント、SQL Server サービス アカウント SQL Serverを実行するために必要です。 詳細については、「 Windows サービス アカウントの設定」を参照してください。

システム サービス

サービス MMC スナップインを起動するには、[ スタート] をクリックし、[ 実行] をクリックし、[ 実行 ] ダイアログ ボックスに「」と入力 services.msc して Enter キーを押します。

  • DHCP クライアント:

    • スタートアップの種類1: 自動
    • 詳細: IP アドレスが静的な場合でも必須
    • ユーザー2: (既定値)

  • 分散トランザクション コーディネーター:

    • スタートアップの種類1: 手動
    • 詳細: クラスター サービスによって管理されるサービススタートアップ

    次のユーザー アカウントには、このサービスへのアクセス許可が必要です。

ユーザー 2 アクセス許可 詳細
SSO サービス アカウント フル コントロール SSO サービスを開始するために必要
Network Service フル コントロール IIS で必須

  • HTTP SSL3:

    • スタートアップの種類1: 自動
    • 詳細: IIS で必須
    • ユーザー2: (既定値)

  • IPSEC サービス3:

    • スタートアップの種類1: 自動
    • 詳細: IPSEC を使用すると、ネットワーク セキュリティが強化されます
    • ユーザー2: (既定値)

  • Netlogon:

    • スタートアップの種類1: (既定値)
    • ユーザー2: ローカル サービス
    • アクセス許可: フル コントロール

  • NT LM セキュリティ サポート プロバイダー3:

    • スタートアップの種類1: 自動
    • 詳細: SQL でのBizTalk Serverの Kerberos 認証に必要
    • ユーザー2: (既定値)

  • リモート アクセス 接続マネージャー:

    • スタートアップの種類1: (既定値)

    次のユーザー アカウントには、このサービスへのアクセス許可が必要です。

ユーザー 2 アクセス許可 詳細
SSO サービス アカウント フル コントロール SSO サービスを開始するために必要
Network Service フル コントロール IIS で必須

  • サーバー:

    • スタートアップの種類1: 自動
    • 詳細: クラスター化されたファイル共有リソースに使用されます
    • ユーザー2: ネットワーク サービス
    • アクセス許可: フル コントロール

  • WinHTTP Web プロキシ自動検出サービス:

    • スタートアップの種類1: (既定値)
    • ユーザー2: SSO サービス アカウント
    • アクセス許可: フル コントロール
    • 詳細: SSO サービスを開始するために必要

  • World Wide Web 発行サービス:

    • スタートアップの種類1: 自動
    • 詳細: SQL Server Reporting Servicesで必須
    • ユーザー2: (既定値)

1 の値 (既定値) は、セキュリティ ポリシーによって適用される既定の設定が変更されないことを意味します

2 の値 (既定値) は、サービスの既定のユーザー アクセス許可が変更されていないことを意味します

レジストリ設定

レジストリ エディターを起動するには、[ スタート] をクリックし、[ 実行] をクリックし、[ 実行 ] ダイアログ ボックスに「」と入力 regedit して Enter キーを押します。

  • HKLM\SYSTEM\CurrentControlSet\Services\DHCP

    • ユーザー: ネットワーク サービス
    • アクセス許可: フル コントロール
    • 詳細: DHCP クライアント サービスで必須

  • HKLM\SYSTEM\CurrentControlSet\Services\TCPIP

    • ユーザー: ネットワーク サービス
    • アクセス許可: フル コントロール
    • 詳細: DHCP クライアント サービスで必須

セキュリティについてのその他の考慮事項

次の表は、BizTalk Server環境に関するその他の重要なセキュリティ関連の設定を示しています。

影響を受ける成果物 Change 参照と詳細
SSO サービス アカウント クラスター マネージャーでクラスターに対するフル コントロールアクセス許可を付与する SSO が正しく機能するためには、この変更が必要です
SQL Server サービス アカウント、SQL Server サーバー、BizTalk Server サーバー、SQL Server クラスター名 Active Directory での委任の信頼 Kerberos 認証を適切に行う場合に必要です。 詳細については、「方法: SQL Server フェールオーバー クラスターで Kerberos 認証を有効にする」を参照してください
[SQL Server サービス アカウント] SPN エントリを作成するためのアクセス許可を付与する Kerberos 認証を適切に行う場合に必要です。 詳細については、「SQL Serverで Kerberos 認証を使用する方法」を参照してください。
SQL Server ノード、SQL クラスター名 ユーザー SQL Server サービス アカウントの SPN エントリを作成する Kerberos 認証を適切に行う場合に必要です。 詳細については、「SQL Serverで Kerberos 認証を使用する方法」を参照してください。
SQL ネットワーク名クラスター リソース DNS 登録は成功する必要があります。Kerberos 認証を有効にする Kerberos 認証を適切に行う場合に必要です
SQL Server Surface の構成 リモート直接管理者接続を有効にする 名前付きインスタンスを正しく見つけるために SQL クライアント (BizTalk/ASP.NET) が必要とする正しく機能するには、SQL Browser サービスSQL Server必要です。
BizTalk アプリケーション ユーザー グループ msdb データベースのsp_help_jobhistoryに対する実行アクセス許可を付与する BizTalk Serverで必須

参照

その他の重要なタスクのチェックリスト