セキュリティ保護のための最小ユーザー権限
BizTalk Server使用するグループとアカウントには、ほとんどのタスクを実行するために必要な最小限のユーザー権限があります。 タスクによっては、所属しているグループに対し BizTalk Server で自動的に許可されている以外のユーザー権限が必要になる場合もあります。 このトピックの内容:
グループとロールのメンバーシップ
次の表では、BizTalk Serverでタスクを実行するために必要な最小セキュリティ ユーザー権限について説明します。
| タスク | グループまたはロール |
|---|---|
| セットアップ | |
| インストール | - ローカル管理者 |
| 構成 | - BizTalk Server管理者 - ローカル管理者 - sysadmin SQL Server ロール - SSO 管理者 - OLAP 管理者 |
| BizTalk Server グループへの参加 | - ローカル管理者 - BizTalk Server管理者 |
| BizTalk 管理 | |
| メッセージ ボックス データベースの作成 | - BizTalk Server管理者 - sysadmin SQL Server ロール |
| BizTalk ホストの作成または削除 | - BizTalk Server管理者 - BizTalk MessageBox データベースに対するデータベース ロールのdb_ddladmin SQL Server |
| ホストの "ホストの追跡" プロパティの変更 | - BizTalk Server管理者 - BAM プライマリ インポート データベース、BizTalk MessageBox データベース、および BizTalk Tracking データベースに対するデータベース ロールのdb_securityadmin SQL Server |
| ホスト インスタンス用の資格情報の作成 (インストール)、削除、変更 |
|
| ホスト インスタンスの開始または停止 | - BizTalk Server管理者 |
| サーバーの追加または削除 | - BizTalk Server管理者 - 追加または削除するコンピューターのローカル管理者。 |
| 受信ハンドラーの追加または削除 | - BizTalk Server管理者 - SSO 関連管理者 |
| アプリケーション、オーケストレーション、送信ポート、および送信ポート グループの開始と停止 | - BizTalk Server演算子 |
| 受信場所の有効化または無効化 | - BizTalk Server演算子 |
| アイテムの検索 | - BizTalk Server演算子 |
| アダプターの追加 | - BizTalk Server管理者 - SSO 関連管理者 |
| バックアップ データベース | - データベースのロールをBTS_BACKUP_USERSする - BizTalk 管理データベースをホストするSQL Serverに対する sysadmin SQL Serverロール。 メモ:SQL Server エージェント サービスは、ドメイン アカウントまたはSQL Serverの各インスタンスでマップされたユーザーを持つローカル アカウントで実行するように構成する必要があります。 |
| BizTalk グループへの証明書の構成 | - BizTalk Server管理者 |
| 他のすべてのタスク (WMI など) | - BizTalk Server管理者 |
| 操作とメッセージとサービス インスタンスの追跡 | |
| [グループ ハブ] ページの表示と、クエリの実行、保存、ロード | - BizTalk Server演算子 |
| クエリ結果の表示 | - BizTalk Server演算子 |
| 全般の構成および追跡の構成 | - BizTalk Server管理者 (読み取りと書き込み) - BizTalk Server 演算子 (読み取り) |
| 稼働状況の監視キューブの参照 | - BizTalk Server管理者 |
| メッセージのプロパティを表示する | - BizTalk Server管理者 |
| メッセージ本文を保存する | - BizTalk Server管理者 |
| メッセージ検索クエリを使用する | - BizTalk Server管理者 |
| クエリ ビルドを使用する | - BizTalk Server管理者 |
| オーケストレーション デバッガーの使用 | - BizTalk Server管理者 |
| BizTalk Server 管理コンソールを使用した [グループ ハブ] ページでのメッセージ フローおよびメッセージ イベントの表示 | - BizTalk Server演算子 |
| インスタンスの中断、終了、再開 | - BizTalk Server演算子 |
| 追跡データベースのメッセージのアーカイブおよび削除 | - BizTalk 追跡データベースに対するdb_ownerロール |
| 他のすべてのタスク | - BizTalk Server管理者 |
| 追跡プロファイル エディター | |
| BizTalk 管理データベースの読み取りまたは書き込み | - BizTalk Server管理者 |
| イベント バスの監視 MMC | |
| すべてのタスク | - BizTalk Server管理者 |
| BizTalk WCF サービス発行ウィザード | |
| すべてのタスク | - ローカル管理者 |
| BizTalk Web サービス公開ウィザード | |
| すべてのタスク | - ローカル管理者 |
| ビジネス アクティビティの監視 | |
| BM.exe の実行 | - BAM プライマリ インポート、BAM スター スキーマ、および BAM アーカイブ データベースでのデータベース ロールのdb_owner SQL Server |
| BM.exe の実行 (Analysis Services データベースがある場合) | - BAM プライマリ インポート、BAM スター スキーマ、および BAM アーカイブ データベースでのデータベース ロールのdb_owner SQL Server - BAM Analysis Services データベースの OLAP 管理者 |
| BAM ビュー用アカウントの作成 | - BAM プライマリ インポート データベースのデータベース ロールをdb_owner SQL Serverする - BAM Analysis Services データベースの OLAP 管理者 |
| ルール エンジン (ルールの公開) | |
| ポリシーの展開および展開解除、セキュリティ関連アイテムの操作 | - ルール エンジン データベースのデータベース ロールをRE_ADMIN_USERS SQL Serverする |
管理タスクを実行するためのユーザー権限
BizTalk Server 管理コンソールまたは Windows Management Instrumentation (WMI) を使用して管理タスクを実行するには、管理タスクを実行するアカウントで、実行タスクごとに異なるレベルのユーザー権限が必要になります。
次の表で、最小のユーザー権限 (レベル 1) から最大のユーザー権限 (レベル 4) までのタスクを実行する際にアカウントで必要になるユーザー権限について説明します。
| ユーザー権限のレベル | 許可されるユーザー権限 | タスク |
|---|---|---|
| 0 | - BizTalk Server演算子 | - 基本的な管理タスクと監視タスク。 構成設定は変更できません。 メッセージ プロパティおよびメッセージの内容にはアクセスできません。 |
| 1 | - BizTalk Server管理者 | - レベル 2 から 4 のユーザー権限を必要とするタスクを除く、すべての管理タスク |
| 2 | - レベル 1 に付与されたユーザー権限 - すべての SQL Server の securityadmin SQL Server ロール - BizTalk 追跡、ルール エンジン、BizTalk 管理、BAM プライマリ インポート、BizTalk メッセージ ボックス データベースのdb_securityadminおよびdb_accessadmin SQL Serverデータベース ロール - すべての BizTalk MessageBox データベースに対するデータベース ロールのdb_ddladmin SQL Server - SSO 関連管理者 |
- BizTalk ホストの作成と削除 - ホスト追跡プロパティを変更する - サーバーの追加と削除 - 受信ハンドラーを追加および削除する - アダプターを追加する |
| 3 | - レベル 2 に付与されたユーザー権限 - すべてのBizTalk Serverランタイム コンピューターのローカル管理者 |
- ホスト インスタンスの作成と削除 |
| 4 | - レベル 3 に付与されたユーザー権限 - BizTalk MessageBox データベースを持つすべての SQL Server に対する sysadmin SQL Server ロール |
- MessageBox データベースを作成する |
コミュニティによる補足 – タスクの一覧
BizTalk Server 2013 R2 の最小セキュリティ権限 (https://social.technet.microsoft.com/wiki/contents/articles/24590.minimum-security-rights-for-biztalk-server-2013-r2.aspx)
参照
Access Controlとデータ セキュリティ BizTalk Server Windows グループとユーザー アカウントでの BizTalk Server Databasesのシステム アーキテクチャの設計BizTalk Server