BizTalk Server のセキュリティの管理
セキュリティで保護された Microsoft BizTalk Server環境を維持するには、アカウント、証明書、パスワードを管理する必要があります。
BizTalk Server グループ
BizTalk Server が処理するビジネス ドキュメントのセキュリティを確保できるよう、BizTalk Server 管理者は次のアカウントと証明書を管理します。
BizTalk Server Administrators グループ: ユーザーが BizTalk 管理コンソールまたは Microsoft Windows Management Instrumentation (WMI) プロバイダーを使用して管理タスクを実行するには、Microsoft SQL Server および Microsoft Windows で適切な特権を付与する必要があります。 管理タスクの特権の詳細については、「 最小セキュリティ ユーザー権限」を参照してください。
BizTalk Server Administrators グループにユーザーを追加する方法、またはBizTalk Server Administrators グループからユーザーを削除する方法については、「BizTalk Server Administrators グループを管理する方法」を参照してください。
エンタープライズ シングル サインオンの詳細については、「 SSO の使用」を参照してください。
BizTalk Serverオペレーター グループ: BizTalk Server オペレーターは、監視とトラブルシューティングのアクションにのみアクセスできる低い特権ロールです。
BizTalk Server Operator グループのメンバは、次の操作を実行できます。
サービスの状態とメッセージ フローの表示。
アプリケーションの開始または停止。
オーケストレーションの開始または停止。
送信ポートまたは送信ポート グループの開始または停止。
受信場所の有効化または無効化。 変更は、次回のキャッシュ更新の後で有効になります。キャッシュの更新間隔は既定では 60 秒で、 BizTalk Server のグループ レベルで設定できます。
サービス インスタンスの終了と再開。
BizTalk Server Operators グループのメンバは、次の操作を実行できません。
BizTalk Server の構成の変更。
個人情報 (PII) に分類されるメッセージ コンテキストのプロパティまたはメッセージ本文の表示。
実行中のシステムに対するサブスクリプションを削除や追加など、メッセージ ルーティングのコースを変更する操作。これには BizTalk Server ランタイムへのメッセージの公開も含まれます。
Note
BizTalk Server Operators グループのメンバであるユーザーが、BizTalk Server を実行しているコンピュータのローカル管理者でもある場合、このユーザーは、Operators グループ ロールの制限を受けずにこれらのコンピュータのデータにアクセスできます。 詳細については、「 最小セキュリティ ユーザー権限」を参照してください。
BizTalk Server Operators グループのメンバであるユーザーに対して、リモートの BizTalk Server の監視を許可する場合、このユーザーはリモート コンピュータのローカル管理者グループのメンバになっている必要があります。
BizTalk Server読み取り専用ユーザー グループ: これは、BizTalk Server 2020 以降の新しいグループです。 このグループのメンバーは、成果物、サービスの状態、メッセージ フロー、追跡情報を表示できます。 メンバーには、管理操作を実行する権限がありません。
BizTalk Server読み取り専用ユーザー グループのメンバーは、次の操作を行うことができます。
ユーザー成果物情報を表示する
受信ポート、受信場所、送信ポート、オーケストレーション、マップ、ポリシー、パイプライン、ホスト、ホスト インスタンス、アダプターなどのプラットフォーム成果物を表示する
メッセージ フローイベントとメッセージイベントを表示します。 メッセージ コンテキストとメッセージ コンテンツを表示できません。
一般的なサービス インスタンスの詳細とエラー情報を表示します。
追跡情報を表示します。
パーティと契約の情報を表示します。
グループ ハブ ページの表示、クエリの実行、クエリの保存、クエリの読み込み。
バインド、ポリシー、MSI をエクスポートできますが、インポートすることはできません。
Note
BizTalk Server読み取り専用ユーザー グループのメンバーであるユーザーが、BizTalk Serverを実行しているコンピューターのローカル管理者でもある場合、このユーザーは、これらのコンピューターのオペレーター グループの役割を超えてデータにアクセスできます。 詳細については、「 最小セキュリティ ユーザー権限」を参照してください。
ホストとサービス アカウント: ホストとそれに関連付けられているホスト インスタンスを作成する場合は、ホストの Windows グループと各ホスト インスタンスのサービス アカウント資格情報を指定する必要があります。 ホスト インスタンスのサービス アカウントは、ホストの Windows グループのメンバである必要があります。
署名証明書: 署名証明書 (秘密キー証明書) は、BizTalk グループに対して指定されます。 これらは省略可能で、BizTalk Server 管理者がいつでも変更できます。
BizTalk Serverが使用する Windows アカウントの詳細については、「BizTalk Serverの Windows グループとユーザー アカウント」を参照してください。