グループ アカウントおよびサービス アカウントのアクセス制御
BizTalk ホスト インスタンスは、ユーザーが作成したサービス アカウントで実行されます。 コンピュータにホスト インスタンスを作成するときには、サービス アカウントとパスワードを指定する必要があります。 その後、BizTalk Server では、これらのサービス アカウントがローカルまたはドメインの Windows グループに追加され、次に、そのホストに固有の SQL Server データベース ロールに追加されます。これで、ジョブの実行に必要な最小限のユーザー権限がアカウントに許可されます。
この方法には次の利点があります。
ホスト インスタンスごとに異なるサービス アカウントを設定して、サーバーをオフラインにせずに各ホスト インスタンスのパスワードを変更できます。 サービスを中断せずに、パスワード更新のロールを実行できます。
Note
認証が信頼済みに設定されているホストと認証が信頼済みに設定されていないホストで、同じサービス アカウントを使用することはできません。
リソース ユーザー権限を Microsoft SQL Server™ レベルでローカル グループまたはドメイン グループに許可すると、SQL Server で許可されているユーザー権限を変更することなくサービス アカウントの追加や削除を実行できるため、所有者の管理の負担や総コストが軽減されます。
サービス アカウントに対し、ジョブ実行に必要な最小限のユーザー権限が許可されるようにするため、BizTalk Server でサービス アカウントに作成される SQL Server データベース ロールは、すべての BizTalk Server データベースで重複しないようになっています。 管理データベースおよび追跡データベースでは、ホスト インスタンス サービス アカウントはすべて同じ SQL Server オブジェクトにアクセスする必要があるため、BizTalk Server では BTS_Host_User という名前の単一の SQL Server データベース ロールが作成されます。 BizTalk ホスト用に作成された Windows グループは、すべてこの SQL Server データベース ロールに追加されます。
メッセージ ボックス データベースでは、各ホストに専用のリソースが割り当てられています。 BizTalk Serverは、BTS_hostname>_User という名前の<ホストごとにSQL Serverデータベース ロールを作成し、別のホストによる 1 つのホスト リソースへのアクセスをブロックするために、各ホストの Windows グループをそれぞれのSQL Server Database ロールに追加します。
BizTalk Server でサポートされていないアカウント
BizTalk Server では、次の組み込み Windows アカウントの使用はサポートされていません。
NT_AUTHORITY\NetworkService
LocalSystem
NT_AUTHORITY\LocalService
参照
管理ロールのアクセス制御
セキュリティ保護のための最小ユーザー権限
BizTalk Server の Windows グループ アカウントとユーザー アカウント
アクセス制御とデータ セキュリティ
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示