セキュリティで保護された操作 (Reporting Services)
このトピックでは、レポート サーバーへのアクセスを監視して、サーバーのセキュリティを維持する方法についてのガイドラインを示します。レポート サーバーの管理者は、次の点を考慮する必要があります。
レポート (特に、機密データを含むレポート) を実行しているユーザー。
ログインまたはアカウントの変更時に構成設定を更新する方法。
退職または異動時に権限を取り消すまたは変更する方法。
レポート サーバーの管理者の権限を取り消すまたは変更する方法。
レポート アクセスの監査
レポート実行ログには、レポートにアクセスしたユーザーに関する情報が含まれます。この情報はレポート サーバー データベースで見つかりますが、レポート サーバーの実行データに対してクエリを実行できるように、別のデータベースを作成することを強くお勧めします。Reporting Services には、サンプルの Integration Services パッケージが用意されています。このパッケージを使用すると、分析するデータを読み込んで更新できます。詳細については、「レポート実行ログ データのクエリ実行とレポート作成」を参照してください。
サーバー アカウント情報の更新
Reporting Services は分散サーバー アプリケーションです。レポート サーバーとレポート サーバー データベースは別々のコンピュータに配置できます。さらに、レポート サーバーが SharePoint 製品やテクノロジの大規模な配置内でバックエンド サーバーとして実行される場合は、追加の接続を確立して、SharePoint Web アプリケーションとレポート サーバー間の接続を維持します。
管理する必要のあるアカウントとログインを次に示します。
レポート サーバー サービス
レポート サーバーからレポート サーバー データベースへの接続
自動実行レポート処理アカウント
スケジュール設定されたレポートまたはサブスクリプションの処理用に格納されている資格情報
データ ドリブン サブスクリプションに格納されている資格情報
SharePoint 統合モードで実行されているレポート サーバーでは、レポート サーバーが構成データベースとコンテンツ データベースに接続する際に使用する SharePoint データベース ログインを保持する必要があります。データベース ログインは SharePoint のサーバー管理で管理されます。ログインを設定または更新する方法については、「SharePoint サーバーの全体管理でレポート サーバー統合を構成する方法」を参照してください。
管理するアカウントを少なくするには、レポート サーバー サービスにビルトイン アカウントを使用します。また、サービス アカウントを使用するようにレポート サーバー データベースへの接続を構成することもできます。
その他すべてのアカウントおよびログインについては、アカウントが変更されるかパスワードの有効期限が切れるたびに、共有データ ソースまたはカスタム データ ソースの設定を更新する必要があります。共有データ ソースを使用すると、このタスクのオーバーヘッドを大幅に軽減することができます。詳細については、「レポート データ ソースの管理」を参照してください。
レポート サーバーの管理者またはユーザーの権限の取り消しと変更
レポート サーバーの管理者は、レポート サーバー コンピュータのローカル Administrators グループのメンバです。したがって、この管理者は、レポート サーバー サイトやレポート サーバー フォルダ階層全体に対して完全な権限を持っているため、サーバー アクセスを他のユーザーに許可する、アイテムを追加または削除する、アイテムのプロパティを変更する、レポート サーバーの構成設定を変更するなどの操作を実行できます。権限を取り消すには、Administrators グループからユーザー アカウントを削除する必要があります。
重要 |
---|
レポート サーバーに対して広範囲に及ぶ権限を持つには、ローカル Administrators グループのメンバである必要はありません。具体的には、レポート サーバー上でコンテンツ マネージャ ロールまたはシステム管理者ロールに割り当てられているユーザーは、ロールベースのセキュリティを設定し、サーバーに格納されているコンテンツまたはプロパティを変更する権限を持っています。この権限を取り消すには、ロールの割り当てを削除または変更します。詳細については、「ロールの割り当てを変更または削除する方法 (レポート マネージャ)」を参照してください。 |
ユーザー権限の取り消しと変更
従業員が異動または退職する場合は、ロールの割り当てを削除して、レポートへのアクセスを禁止することができます。特定のフォルダまたはレポートに対するカスタム ロールの割り当てを作成した場合は、すべての割り当てを確認してください。
ロールの割り当てを削除しても、サブスクリプションは自動的に削除されません。サブスクリプションを削除するには、各レポートから削除する必要があります。すべてのサブスクリプションを 1 か所で管理するための一括編集機能はありません。
ユーザーが標準サブスクリプションまたはデータ ドリブン サブスクリプションの受信者である場合、ロールの割り当てを削除すると、そのユーザーへのサブスクリプションがブロックされます。ただし、非アクティブなサブスクリプションは常に削除する必要があります。