SharePoint Server の管理アカウントとサービス アカウントを計画する
適用対象:2016 2019 Subscription Edition SharePoint in Microsoft 365
SharePoint Serverをインストールするには、SharePoint Serverおよび SQL Server を実行するサーバー上に適切な管理アカウントとサービス アカウントを持っている必要があります。 インストール後は、環境を変更および保守するための適切な管理アカウントとサービス アカウントが必要になります。 こうした一連の作業の実行に必要なアカウントは、必ずしも同じではありません。 この記事では、単一サーバー環境とサーバー ファーム環境のインストール後に必要なアカウントについて説明します。
重要
SQL Server のグループ管理サービス アカウントを使用する場合を除き、シンボル $ を含むサービス アカウント名は使用しないでください。
重要
SharePoint サービスは、Active Directory マネージド サービス アカウントまたはグループ管理サービス アカウントをサポートしていません。
この記事は「SharePoint Sever での初期展開の管理およびサービス アカウント」と共に使用してください。
初期展開の管理アカウントとサービス アカウントの記事には、セットアップの実行前に付与する必要がある個別のアカウントと権限が記載されています。
この記事では、SharePoint Serverで Secure Store Service を使用するためのアカウント要件については説明しません。 詳細については、「SharePoint Server で Secure Store Service を計画する」をご覧ください。
Microsoft 365 の SharePoint 管理者ロールについて説明します。
管理アカウントとサービス アカウントについて
このセクションでは、SQL Server または SharePoint Server を実行しているサーバーの管理を計画する必要があるアカウントの一覧と説明を示します。 アカウントは対象範囲に応じてグループ分けしてあります。
アカウントのインストールと構成が完了した後は、管理タスクの実行やサイトの閲覧にローカル システム アカウントを使用しないように注意してください。
サーバー ファーム レベルのアカウント
次の表は、SQL Server データベース ソフトウェアの構成、および SharePoint Server のインストールに使用されるアカウントを示しています。
Account | 用途 | 要件 |
---|---|---|
SQL Server サービス アカウント | SQL Server サービス アカウントは SQL Server を実行するために使用されます。 以下の SQL Server サービスを実行するためにサービス アカウントが使用されます。 MSSQLSERVER SQLSERVERAGENT 既定の SQL Server インスタンスを使用しない場合、Windows サービス コンソールでは、これらのサービスは次のように表示されます。 MSSQL<インスタンス名> SQLAgent<インスタンス名> |
ドメイン ユーザー アカウント、またはグループ 管理サービス アカウントを使用します。 If you plan to back up to or restore from an external resource, permissions to the external resource must be granted to the appropriate account. SQL Server サービス アカウントにドメイン ユーザー アカウントまたはグループ管理サービス アカウントを使用する場合は、そのドメイン ユーザー アカウントにアクセス許可を付与します。 ただし、ネットワーク サービスまたはローカル システム アカウントを使用する場合は、コンピューター アカウント (<domain_name>\<SQL_hostname>) に外部リソースへのアクセス許可を付与します。 このインスタンス名は、SQL Server がインストールされたときに作成された任意の名前です。 |
ファーム管理者ユーザー アカウント | ファーム管理者ユーザー アカウントは、SharePoint 管理者に割り当てられた一意に識別可能なアカウントです。これは、次の実行に使用されます。 セットアップ SharePoint 製品構成ウィザード |
ドメイン ユーザー アカウント。 ファーム内の各 SharePoint サーバーの Administrators グループのメンバー。 次の SQL Server ロールのメンバー (省略可能): sysadmin 固定サーバー ロール。 データベースに影響を与える Windows PowerShell コマンドレットを実行する場合、このアカウントは、データベースの db_owner 固定データベース ロールのメンバーであるか、SQL の sysadmin 固定サーバー ロールのメンバーである必要があります。 |
ファーム サービス アカウント | ファーム サービス アカウントは、次のタスクを実行するために使用されます。 SharePoint サーバーの全体管理 Web サイトのアプリケーション プール ID として機能する。 Microsoft SharePoint Foundation Workflow Timer Service を実行する。 |
ドメイン ユーザー アカウント。 サーバー ファームに参加している Web サーバーとアプリケーション サーバー上のサーバー ファーム アカウントに対して、さらに多くのアクセス許可が自動的に付与されます。 サーバー ファーム アカウントは、SQL Server を実行しているコンピューターの SQL Server ログインとして自動的に追加されます。 このアカウントは以下の SQL Server セキュリティ ロールに追加されます。 * dbcreator 固定サーバー ロール * securityadmin 固定サーバー ロール * サーバー ファーム内のすべての SharePoint データベースの固定データベース ロールをdb_ownerする このアカウントを管理者が対話形式で使用することはできません。 ファーム サービス アカウントを変更するには、 iisreset.exe コマンドを使用して IIS サーバーを再起動する必要があります。 |
サービス アプリケーション アカウント
次の表は、サービス アプリケーションのセットアップと構成に使用されるアカウントを示しています。
サービス アプリケーション エンドポイントの詳細については、「サービス エンドポイントを使用する」をご覧ください。
注:
Excel Services とユーザー プロファイル同期サービスは、SharePoint 2013 にのみ適用されます。
Access Services と PerformancePoint Service はサブスクリプション エディションには適用されません。
Account | サービス | 用途 | 要件 |
---|---|---|---|
サービス アプリケーション エンドポイント | SharePoint Services インスタンスと Windows サービスを実行する | ドメイン ユーザー アカウント |
サービス名 | SharePoint Server | SharePoint Foundation |
---|---|---|
Access Services | X | |
Business Data Connectivity Service | X | X |
Secure Store Service | X | |
Usage and Health Data Collection Service | X | |
User Profile Service | X | |
Visio Graphics Service | X | |
Word Automation Services | X | |
Excel Services | X | |
Managed Metadata Service | X | |
PerformancePoint Service | X | |
Search Service | X |
注:
このアカウントは、サービス アプリケーション エンドポイント アプリケーション プールの ID として使用されます。 特定の分離要件がない限り、アプリケーション プールは複数のサービス アプリケーション エンドポイントをホストするために使用できます。 Excel Services、マネージド メタデータ サービス、PerformancePoint サービス、および Search サービスの場合は、ドメイン ユーザー アカウントである必要があります。 また、Excel Services は SharePoint Server 2013 でのみ使用できます。
サービス名 | SharePoint Server | SharePoint Foundation |
---|---|---|
Security Token Service | X | |
Application Discovery and Load Balancer Service | X | X |
注:
このアカウントは、サービス アプリケーション エンドポイント アプリケーション プールの ID として使用されます。 このアカウントはファームのサービス アカウントである必要があり、SharePoint 製品構成ウィザードによって自動的にアプリケーション プールが作成されます。
アカウント | サービス | 用途 | 要件 |
---|---|---|---|
無人サービス | 該当なし | ユーザーまたはサービスの代わりに関数を実行するために使用されます | 該当なし |
サービス名 | SharePoint Server | SharePoint Foundation |
---|---|---|
Excel Services | X | |
PerformancePoint Service | X | |
Visio Graphics Service | X |
注:
ブックでデータを更新するために使用される Excel Services。 ブックの接続の認証方法が [なし] に設定されている場合、または Windows 以外の資格情報を使ってデータを更新する場合に必要となります。 PerformancePoint サービスは、データ ソースを使用した認証に使用されます。 Visio サービスは、データを更新するためにドキュメントと共に使用されます。 SQL Server など、SharePoint Server の外部データ ソースに接続する場合に必要となります。
アカウント | サービス | 用途 | 要件 |
---|---|---|---|
既定のコンテンツ アクセス | 検索 | コンテンツをクロールする | クロールされるコンテンツへの読み取りアクセス |
サービス名 | SharePoint Server | SharePoint Foundation |
---|---|---|
SharePoint Server Search | X |
注:
コンテンツをクロールするための既定のアカウント。 Search Service アプリケーションの管理者はクロール ルールを作成し、特定のコンテンツをクロールする他のアカウントを指定できます。 クロールされるコンテンツへの読み取りアクセス権が必要です。 ローカル ファームの外部にあるコンテンツに対しては、すべて読み取り権限が明示的に付与されている必要があります。 ローカル ファーム内のコンテンツ データベースについては、すべて読み取り権限が自動的に構成されます。 クロールするように構成されている Windows ファイル サーバーのローカル ユーザー ポリシーで 監査とセキュリティ ログを管理 する権限が必要です。
Account | サービス | 用途 | 要件 |
---|---|---|---|
Search Service | 検索 | Windows Search サービスを実行する | ドメイン ユーザー アカウントになる |
サービス名 | SharePoint Server | SharePoint Foundation |
---|---|---|
SharePoint Server Search | X |
Account | サービス | 用途 | Requirements |
---|---|---|---|
ファーム管理者 | User Profile Synchronization Service | Forefront Identity Manager サービスを実行する | ファーム管理者アカウント。ユーザー プロファイル同期サービスが開始されているローカル管理者 |
サービス名 | SharePoint Server | SharePoint Foundation |
---|---|---|
User Profile Synchronization Service | X | 該当なし |
Account | サービス | 用途 | 要件 |
---|---|---|---|
Synchronization Connection | User Profile Service | ユーザー ID ストアに接続する | ディレクトリの変更をレプリケートする (Active Directory)、読み取りアクセス (他のディレクトリ) |
サービス名 | SharePoint Server | SharePoint Foundation |
---|---|---|
User Profile Service | X | 該当なし |
注:
NetBIOS 名と完全修飾ドメイン名 (FQDN) が一致しない場合は、同期対象のドメインの構成パーティションに対するディレクトリの変更のレプリケート権限が必要です。
アカウント | サービス | 用途 | 要件 |
---|---|---|---|
App Management Service | 該当なし | SharePoint アドインのインストールに使用されます | 該当なし |
サービス名 | SharePoint Server | SharePoint Foundation |
---|---|---|
App Management | X | X |
Account | サービス | 用途 | 要件 |
---|---|---|---|
PowerPoint Conversion Service | PowerPoint変換サービス | PowerPointファイルを別のファイル形式に変換 | ファーム管理者ロール (SharePoint Server 2013 のみ) |
サービス名 | SharePoint Server | SharePoint Foundation |
---|---|---|
PowerPoint Conversion Service | X |
Account | サービス | 用途 | 要件 |
---|---|---|---|
Machine Translation Service | 機械翻訳サービス | 自動機械翻訳を実行する | 該当なし |
サービス名 | SharePoint Server | SharePoint Foundation |
---|---|---|
機械翻訳サービス | X |
Account | サービス | 用途 | 要件 |
---|---|---|---|
Access Services 2013 | Access Services | ブラウザーで Access 2013 データベースを操作する | 該当なし |
サービス名 | SharePoint Server | SharePoint Foundation |
---|---|---|
SharePoint Server 2013 の Access Services | X |
Account | サービス | 用途 | 要件 |
---|---|---|---|
Work Management | Work Management サービス | SharePoint、Exchange、および Project Server 間でタスクの集計を提供します。 | 該当なし |
サービス名 | SharePoint Server | SharePoint Foundation |
---|---|---|
Work Management | X |
Account | サービス | 用途 | 要件 |
---|---|---|---|
分散キャッシュ | AppFabric Windows サービス | 分散キャッシュ操作を実行する | 該当なし |
サービス名 | SharePoint Server | SharePoint Foundation |
---|---|---|
分散キャッシュ | X | X |
注:
分散キャッシュ サービスを使用する機能には、ニュースフィード、認証、OneNote クライアント アクセス、セキュリティ トリミングなどがあります。また、ページの読み込みパフォーマンスが向上します。 ファームには、少なくとも 1 つの分散キャッシュ サーバーが必要です。
SharePoint Web アプリケーション
Web アプリケーション プール アカウントという名前のすべての Web アプリケーションには、1 つのアカウントを使用する必要があります。 この条件により、管理者はすべての Web アプリケーションに 1 つの IIS アプリケーション プールを使用できます。これにより、パフォーマンスが向上し、サーバーでのメモリ使用量が削減されます。
Account | 用途 |
---|---|
アプリケーション プール ID | アプリケーション プールの要求を処理するワーカー プロセスがプロセス ID として使用するユーザー アカウントです。 このアカウントは、アプリケーション プール内に存在する Web アプリケーションに関連付けられたコンテンツ データベースへのアクセスに使用されます。 |
単一サーバーの標準要件
1 つのサーバーにデプロイする場合、アカウントの要件が大幅に削減されます。 評価環境では、単一のアカウントをすべてのアカウント用途に使用できます。 運用環境では、作成するアカウントにそれぞれの用途に応じた権限を付与してください。
単一サーバー環境のアカウントアクセス許可の一覧については、「 SharePoint Server での初期展開管理アカウントとサービス アカウント」を参照してください。
サーバー ファームの要件
複数のサーバーに展開する場合は、サーバー ファームの標準要件を使用して、アカウントが複数のコンピューター間でプロセスを実行するための適切なアクセス許可を持っていることを確認します。 「サーバー ファームの標準的な要件」には、サーバー ファーム環境での操作に必要な最小限の構成が詳細に示されています。
サーバー ファーム環境での標準的な要件の一覧については、この記事の「テクニカル リファレンス: シナリオ別のアカウント要件」セクションに示す要件をご覧ください。
一部のアカウントでは、構成ウィザードを実行すると、データベースへの追加のアクセス許可またはアクセスが構成されます。 これらの追加の特権は、アカウント計画ツールに記載されています。 特に、 WSS_Content_Application_Pools データベース ロールが追加されることをデータベース管理者は認識しておく必要があります。 構成ウィザードは、次のデータベースにこのロールを追加します。
SharePoint_Config データベース (構成データベース)
コンテンツ データベースのSharePoint_Admin
WSS_Content_Application_Pools データベース ロールのメンバーには、データベースのストアド プロシージャのサブセットに対する実行権限が付与されます。 さらに、このロールのメンバーには、SharePoint_AdminContent データベースの Versions テーブル (dbo.Versions) に対する選択権限も付与されます。
他のデータベースについては、データベースを読み取るためのアクセス権が自動的に構成されることがアカウント計画ツールに示されています。 場合によっては、データベースに書き込むための制限付きのアクセス権も自動的に構成されます。 このアクセスを可能にするために、ストアド プロシージャに対する権限が構成されます。
テクニカル リファレンス: シナリオ別のアカウント要件
このセクションでは、シナリオ別にアカウント要件を示します。
単一サーバーの標準要件
重要
運用環境では、この構成はお勧めしません。
サーバー ファーム レベルのアカウント
Account | 要件 |
---|---|
SQL Server サービス | ローカル システム アカウント (既定) |
ファーム管理者ユーザー アカウント | ローカル コンピューターの Administrators グループのメンバー。 |
ファーム サービス | Network Service (既定値) 手動構成は必要ありません。 |
サービス アプリケーション アカウント
重要
この表のアカウントは SharePoint Server にのみ適用されます。
Account | 要件 |
---|---|
SharePoint Server Search Service | 既定では、このアカウントはローカル システム アカウントとして実行されます。 既定のコンテンツ アクセス アカウントを変更するか、クロール ルールを使用してリモート コンテンツをクロールする場合は、このアカウントをドメイン ユーザー 1 に変更します。 このアカウントをドメイン ユーザー アカウントに変更しないと、既定のコンテンツ アクセス アカウントをドメイン ユーザー アカウントに変更することや、このコンテンツをクロールするクロール ルールを追加することができません。 このような制限があるのは、ローカル システム アカウントとして実行されている他のプロセスの特権が昇格されるのを防ぐためです。 |
既定のコンテンツ アクセス | このアカウントでローカル ファーム コンテンツのみをクロールする場合は、手動での構成は不要です。 クロール ルールを使用してリモート コンテンツをクロールする場合は、このアカウントをドメイン ユーザー 1 に変更し、サーバー ファームの要件を適用します。 |
コンテンツ アクセス | 既定のコンテンツ アクセス アカウントと同じ要件です。 |
プロファイル同期アカウント | サーバー ファームと同じ要件です。 |
Excel Services 無人サービス | ドメイン ユーザー アカウントである必要があります。 |
追加のアプリケーション プール ID アカウント
Account | 要件 |
---|---|
アプリケーション プール ID | 手動での構成は必要ありません。 セットアップおよび構成時に作成される既定の Web サイトには Network Service アカウントが使用されます。 |
サーバー ファームの標準的な要件
サーバー ファーム レベルのアカウント
Account | 用途 | 要件 |
---|---|---|
SQL Server サービス アカウント |
SQL Server サービス アカウントは SQL Server を実行するために使用されます。 以下の SQL Server サービスを実行するためにサービス アカウントが使用されます。 MSSQLSERVER SQLSERVERAGENT 既定の SQL Server インスタンスを使用しない場合、Windows サービス コンソールでは、これらのサービスは次のように表示されます。 MSSQL<インスタンス名> SQLAgent<インスタンス名> |
ドメイン ユーザー アカウント、またはグループ 管理サービス アカウントを使用します。 If you plan to back up to or restore from an external resource, permissions to the external resource must be granted to the appropriate account. SQL Server サービス アカウントにドメイン ユーザー アカウントまたはグループ管理サービス アカウントを使用する場合は、そのドメイン ユーザー アカウントにアクセス許可を付与します。 ただし、ネットワーク サービスまたはローカル システム アカウントを使用する場合は、コンピューター アカウント (<domain_name>\<SQL_hostname>) に外部リソースへのアクセス許可を付与します。 このインスタンス名は、SQL Server がインストールされたときに作成された任意の名前です。 |
ファーム管理者ユーザー アカウント |
ファーム管理者ユーザー アカウントは、SharePoint 管理者に割り当てられた一意に識別可能なアカウントです。これは、次の実行に使用されます。 セットアップ SharePoint 製品構成ウィザード |
ドメイン ユーザー アカウント。 ファーム内の各 SharePoint サーバーの Administrators グループのメンバー。 次の SQL Server ロールのメンバー (省略可能): sysadmin 固定サーバー ロール。 データベースに影響を与える Windows PowerShell コマンドレットを実行する場合、このアカウントは、データベースの db_owner 固定データベース ロールのメンバーであるか、SQL の sysadmin 固定サーバー ロールのメンバーである必要があります。 |
ファーム サービス アカウント |
ファーム サービス アカウントは、次のタスクを実行するために使用されます。 SharePoint サーバーの全体管理 Web サイトのアプリケーション プール ID として機能する。 Microsoft SharePoint Foundation Workflow Timer Service を実行する。 |
ドメイン ユーザー アカウント。 サーバー ファームに参加している Web サーバーとアプリケーション サーバー上のサーバー ファーム アカウントに対して、さらに多くのアクセス許可が自動的に付与されます。 サーバー ファーム アカウントは、SQL Server を実行しているコンピューターの SQL Server ログインとして自動的に追加されます。 このアカウントは以下の SQL Server セキュリティ ロールに追加されます。 * dbcreator 固定サーバー ロール * securityadmin 固定サーバー ロール * サーバー ファーム内のすべての SharePoint データベースの固定データベース ロールをdb_ownerする このアカウントを管理者が対話形式で使用することはできません。 ファーム サービス アカウントを変更するには、 iisreset.exe コマンドを使用して IIS サーバーを再起動する必要があります。 |
サービス アプリケーション サービス アカウント
重要
プロファイル同期アカウントと Excel Services 無人サービス アカウントは、SharePoint Server にのみ適用されます。
Account | 要件 |
---|---|
SharePoint Server Search Service アカウント | ドメイン ユーザー アカウントである必要があります。 Farm Administrators グループのメンバーではない必要があります。 構成データベース、管理コンテンツ データベース、検索管理データベース、クロール データベースから読み取るアクセスが自動的に構成されます。 クエリ サーバーのインデックス パーティションに対するフル コントロール アクセス。 |
既定のコンテンツ アクセス アカウント | ドメイン ユーザー アカウントである必要があります。 Farm Administrators グループのメンバーではない必要があります。 このアカウントを使用してクロールする外部コンテンツ ソースまたはセキュリティ保護されたコンテンツ ソースの読み取りアクセス権。 サイトがサーバー ファームに属していない場合は、サイトをホストしている Web アプリケーションのすべて読み取り権限をこのアカウントに明示的に付与する必要があります。 次の情報が自動的に構成されます。フル読み取りアクセス許可は、サーバー ファームによってホストされているコンテンツ データベースに自動的に付与されます。 |
コンテンツ アクセス アカウント | このアカウントでアクセスするように構成されている外部コンテンツ ソースまたはセキュリティ保護されたコンテンツ ソースの読み取りアクセス権。 Web サイトがサーバー ファームに属していない場合は、サイトをホストしている Web アプリケーションのすべて読み取り権限をこのアカウントに明示的に付与する必要があります。 |
プロファイル同期アカウント | ディレクトリ サービスの読み取りアクセス権。 アカウントには、Active Directory の [変更のレプリケート] アクセス許可が必要です。 ユーザー プロファイルの管理を行うユーザー権限。 ビジネス データ カタログのインポート接続で使用されるエンティティの表示権限。 |
Excel Services 無人サービス アカウント | ドメイン ユーザー アカウントである必要があります。 |
追加のアプリケーション プール ID アカウント
Account | 要件 |
---|---|
アプリケーション プール ID | 手動での構成は必要ありません。 コンテンツ データベースと Web アプリケーションに関連付けられている検索データベースの SP_DATA_ACCESS ロールのメンバーシップは、自動的に構成されます。 構成データベースおよび SharePoint_AdminContent データベースのアプリケーション プールの特定のロールのメンバーシップ。 フロントエンド Web サーバーとアプリケーション サーバーに対するこのアカウントに対するその他のアクセス許可が自動的に付与されます。 |