SharePoint Server の管理アカウントとサービス アカウントを計画する

適用対象: yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seサブスクリプション エディション no-img-sopMicrosoft 365 の SharePoint

SharePoint Serverをインストールするには、SharePoint Serverおよび SQL Server を実行するサーバー上に適切な管理アカウントとサービス アカウントを持っている必要があります。 インストール後は、環境を変更および保守するための適切な管理アカウントとサービス アカウントが必要になります。 こうした一連の作業の実行に必要なアカウントは、必ずしも同じではありません。 この記事では、単一サーバー環境とサーバー ファーム環境のインストール後に必要なアカウントについて説明します。

重要

SQL Serverにグループ マネージド サービス アカウントを使用する場合を除き、シンボル $ を含むサービス アカウント名は使用しないでください。

重要

SharePoint サービスでは、Active Directory マネージド サービス アカウントまたはグループマネージド サービス アカウントはサポートされません。

この記事は「SharePoint Sever での初期展開の管理およびサービス アカウント」と共に使用してください。

初期展開の管理アカウントとサービス アカウントの記事には、セットアップの実行前に付与する必要がある個別のアカウントと権限が記載されています。

この記事では、SharePoint Serverで Secure Store Service を使用するためのアカウント要件については説明しません。詳細については、「SharePoint Server で Secure Store Service を計画する」をご覧ください。

Microsoft 365のSharePoint管理者ロールについて説明します。

管理アカウントとサービス アカウントについて

このセクションでは、SQL Server または SharePoint サーバーを実行するサーバーを管理するために計画する必要があるアカウントを一覧表示し、説明します。 アカウントは対象範囲に応じてグループ分けしてあります。

アカウントのインストールと構成が完了した後は、管理タスクの実行やサイトの閲覧にローカル システム アカウントを使用しないように注意してください。

サーバー ファーム レベルのアカウント

次の表は、SQL Server データベース ソフトウェアの構成、および SharePoint Server のインストールに使用されるアカウントを示しています。

Account 用途 要件
SQL Server サービス アカウント SQL Server サービス アカウントは SQL Server を実行するために使用されます。以下の SQL Server サービスを実行するためにサービス アカウントが使用されます。
MSSQLSERVER
SQLSERVERAGENT
既定のSQL Server インスタンスを使用しない場合は、Windows Services コンソールで、これらのサービスが次のように表示されます。
MSSQL<InstanceName>
SQLAgent<InstanceName>
ドメイン ユーザー アカウントを使用するか、グループ マネージド サービス アカウントを使用します。
If you plan to back up to or restore from an external resource, permissions to the external resource must be granted to the appropriate account. SQL Server サービス アカウントにドメイン ユーザー アカウントまたはグループ マネージド サービス アカウントを使用する場合は、そのドメイン ユーザー アカウントにアクセス許可を付与します。 ただし、ネットワーク サービスまたはローカル システム アカウントを使用する場合は、マシン アカウント (<domain_name>\<SQL_hostname>) に外部リソースにアクセス許可を付与します。
このインスタンス名は、SQL Server がインストールされたときに作成された任意の名前です。
ファーム管理者ユーザー アカウント ファーム管理者ユーザー アカウントは、SharePoint管理者に割り当てられている一意に識別可能なアカウントです。次のコマンドを実行するために使用されます。
セットアップ
SharePoint 製品構成ウィザード
ドメイン ユーザー アカウント。
ファーム内の各SharePoint サーバー上の Administrators グループのメンバー。
次のSQL Server ロールのメンバー (省略可能): sysadmin 固定サーバー ロール。
データベースに影響するWindows PowerShellコマンドレットを実行する場合、このアカウントは、データベースの固定データベース ロール db_owner メンバーであるか、SQLの sysadmin 固定サーバー ロールのメンバーである必要があります。
ファーム サービス アカウント ファーム サービス アカウントは、次のタスクを実行するために使用されます。
SharePoint サーバーの全体管理 Web サイトのアプリケーション プール ID として機能する。
Microsoft SharePoint Foundation Workflow Timer Service を実行する。
ドメイン ユーザー アカウント。
Web サーバー上のサーバー ファーム アカウントと、サーバー ファームに参加しているアプリケーション サーバーに対して、より多くのアクセス許可が自動的に付与されます。
サーバー ファーム アカウントは、SQL Server を実行しているコンピューターの SQL Server ログインとして自動的に追加されます。このアカウントは以下の SQL Server セキュリティ ロールに追加されます。
* dbcreator 固定サーバー ロール
* securityadmin 固定サーバー ロール
* サーバー ファーム内のすべてのSharePoint データベースに対する固定データベース ロールをdb_ownerする
このアカウントは、管理者が対話的に使用することはできません。
ファーム サービス アカウントを変更するには、コマンドを使用 iisreset.exe して IIS サーバーを再起動する必要があります。

サービス アプリケーション アカウント

次の表は、サービス アプリケーションのセットアップと構成に使用されるアカウントを示しています。

サービス アプリケーション エンドポイントの詳細については、「サービス エンドポイントを使用する」をご覧ください。

注意

Excel Servicesとユーザー プロファイル同期サービスは、SharePoint 2013 にのみ適用されます。

Access Servicesおよび PerformancePoint Service はサブスクリプション エディションには適用されません。

アカウント サービス 用途 要件
サービス アプリケーション エンドポイント インスタンスとWindows サービスSharePoint Services 実行する ドメイン ユーザー アカウント
サービス名 SharePoint Server SharePoint Foundation
Access Services X
Business Data Connectivity Service X X
Secure Store Service X
Usage and Health Data Collection Service X
User Profile Service X
Visio Graphics Service X
Word Automation Services X
Excel Services X
Managed Metadata Service X
PerformancePoint Service X
Search Service X

注意

このアカウントは、サービス アプリケーション エンドポイント アプリケーション プールの ID として使用されます。 特定の分離要件がない限り、アプリケーション プールは複数のサービス アプリケーション エンドポイントをホストするために使用できます。 Excel Services、マネージド メタデータ サービス、PerformancePoint サービス、Search Serviceの場合は、ドメイン ユーザー アカウントである必要があります。 Excel Servicesは、SharePoint Server 2013 でのみ使用できます。

サービス名 SharePoint Server SharePoint Foundation
Security Token Service X
Application Discovery and Load Balancer Service X X

注意

このアカウントは、サービス アプリケーション エンドポイント アプリケーション プールの ID として使用されます。 このアカウントはファームのサービス アカウントである必要があり、SharePoint 製品構成ウィザードによって自動的にアプリケーション プールが作成されます。

アカウント サービス 用途 要件
無人サービス 該当なし ユーザーまたはサービスの代わりに関数を実行するために使用されます N/A
サービス名 SharePoint Server SharePoint Foundation
Excel Services X
PerformancePoint Service X
Visio Graphics Service X

注意

Excel Servicesデータを更新するためにブックと共に使用されます。 ブックの接続の認証方法が [なし] に設定されている場合、または Windows 以外の資格情報を使ってデータを更新する場合に必要となります。 PerformancePoint サービスは、データ ソースを使用した認証に使用されます。 Visio サービスは、データを更新するためにドキュメントと共に使用されます。 SQL Server など、SharePoint Server の外部データ ソースに接続する場合に必要となります。

アカウント サービス 用途 要件
既定のコンテンツ アクセス 検索 コンテンツをクロールする クロールされるコンテンツへの読み取りアクセス権
サービス名 SharePoint Server SharePoint Foundation
SharePoint Server Search X

注意

コンテンツをクロールするための既定のアカウント。 Search Service アプリケーションの管理者はクロール ルールを作成し、特定のコンテンツをクロールする他のアカウントを指定できます。 クロールされるコンテンツに対する読み取りアクセス権が必要です。 ローカル ファームの外部にあるコンテンツに対しては、すべて読み取り権限が明示的に付与されている必要があります。 ローカル ファーム内のコンテンツ データベースについては、すべて読み取り権限が自動的に構成されます。 クロールするように構成されているファイル サーバー上のローカル ユーザー ポリシーで 、監査とセキュリティ ログを直接管理 Windows必要があります。

アカウント サービス 用途 要件
Search Service 検索 Windows Search サービスを実行する ドメイン ユーザー アカウントになる
サービス名 SharePoint Server SharePoint Foundation
SharePoint Server Search X
アカウント サービス 用途 要件
ファーム管理者 User Profile Synchronization Service Forefront Identity Manager サービスを実行する ファーム管理者アカウント。ユーザー プロファイル同期サービスが開始されているローカル管理者
サービス名 SharePoint Server SharePoint Foundation
User Profile Synchronization Service X N/A
アカウント サービス 用途 要件
Synchronization Connection User Profile Service ユーザー ID ストアへのConnect ディレクトリの変更をレプリケートする (Active Directory)、読み取りアクセス (他のディレクトリ)
サービス名 SharePoint Server SharePoint Foundation
User Profile Service X N/A

注意

NetBIOS 名と完全修飾ドメイン名 (FQDN) が一致しない場合は、同期対象のドメインの構成パーティションに対するディレクトリの変更のレプリケート権限が必要です。

アカウント サービス 用途 要件
App Management Service 該当なし SharePoint アドインのインストールに使用されます N/A
サービス名 SharePoint Server SharePoint Foundation
App Management X X
アカウント サービス 用途 要件
PowerPoint Conversion Service PowerPoint Conversion Services PowerPoint ファイルを他のファイル形式に変換する ファーム管理者ロール (SharePoint Server 2013 のみ)
サービス名 SharePoint Server SharePoint Foundation
PowerPoint Conversion Service X
アカウント サービス 用途 要件
Machine Translation Service 機械翻訳サービス 自動機械翻訳を実行する 該当なし
サービス名 SharePoint Server SharePoint Foundation
機械翻訳サービス X
アカウント サービス 用途 要件
Access Services 2013 Access Services ブラウザーで Access 2013 データベースを操作する 該当なし
サービス名 SharePoint Server SharePoint Foundation
SharePoint Server 2013 の Access Services X
アカウント サービス 用途 要件
Work Management Work Management サービス SharePoint、Exchange、Project サーバー間でタスク集計を提供します。 N/A
サービス名 SharePoint Server SharePoint Foundation
Work Management X
アカウント サービス 用途 要件
Distributed Cache AppFabric Windows サービス 分散キャッシュ操作を実行する 該当なし
サービス名 SharePoint Server SharePoint Foundation
分散キャッシュ X X

注意

分散キャッシュ サービスを使用する機能の一部は、ニュースフィード、認証、OneNote クライアント アクセス、セキュリティ トリミング、およびページ読み込みパフォーマンスの向上です。 ファームには、少なくとも 1 つの分散キャッシュ サーバーが必要です。

SharePoint Web アプリケーション

Web アプリケーション プール アカウントという名前のすべての Web アプリケーションに対して、1 つのアカウントを使用する必要があります。 この条件により、管理者はすべての Web アプリケーションに対して 1 つの IIS アプリケーション プールを使用できます。これにより、パフォーマンスが向上し、サーバー上のメモリ使用量が減少します。

Account 用途
アプリケーション プール ID アプリケーション プールの要求を処理するワーカー プロセスがプロセス ID として使用するユーザー アカウントです。このアカウントは、アプリケーション プール内に存在する Web アプリケーションに関連付けられたコンテンツ データベースへのアクセスに使用されます。

単一サーバー標準要件

1 台のサーバーにデプロイする場合は、アカウントの要件が大幅に削減されます。 評価環境では、単一のアカウントをすべてのアカウント用途に使用できます。 運用環境では、作成するアカウントにそれぞれの用途に応じた権限を付与してください。

単一サーバー環境のアカウントアクセス許可の一覧については、「SharePoint Server での初期展開の管理アカウントとサービス アカウント」を参照してください

サーバー ファームの要件

複数のサーバーに展開する場合は、サーバー ファームの標準要件を使用して、アカウントが複数のコンピューター間でプロセスを実行するための適切なアクセス許可を持っていることを確認します。 「サーバー ファームの標準的な要件」には、サーバー ファーム環境での操作に必要な最小限の構成が詳細に示されています。

サーバー ファーム環境での標準的な要件の一覧については、この記事の「テクニカル リファレンス: シナリオ別のアカウント要件」セクションに示す要件をご覧ください。

一部のアカウントでは、構成ウィザードを実行すると、追加のアクセス許可またはデータベースへのアクセスが構成されます。 これらの追加の特権は、アカウント計画ツールに記載されています。 特に、 WSS_Content_Application_Pools データベース ロールが追加されることをデータベース管理者は認識しておく必要があります。 構成ウィザードは、このロールを次のデータベースに追加します。

  • SharePoint_Config データベース (構成データベース)

  • コンテンツ データベースのSharePoint_Admin

WSS_Content_Application_Pools データベース ロールのメンバーには、データベースのストアド プロシージャのサブセットに対する実行権限が付与されます。さらに、このロールのメンバーには、SharePoint_AdminContent データベースの Versions テーブル (dbo.Versions) に対する選択権限も付与されます。

他のデータベースについては、データベースを読み取るためのアクセス権が自動的に構成されることがアカウント計画ツールに示されています。場合によっては、データベースに書き込むための制限付きのアクセス権も自動的に構成されます。このアクセスを可能にするために、ストアド プロシージャに対する権限が構成されます。

テクニカル リファレンス: シナリオ別のアカウント要件

ここでは、アカウント要件をシナリオ別に示します。

単一サーバー標準要件

重要

運用環境では、この構成はお勧めしません。

サーバー ファーム レベルのアカウント

Account 要件
SQL Server サービス ローカル システム アカウント (既定)
ファーム管理者ユーザー アカウント ローカル コンピューター上の Administrators グループのメンバー。
ファーム サービス Network Service (既定) 手動構成は必要ありません。

サービス アプリケーション アカウント

重要

この表のアカウントは SharePoint Server にのみ適用されます。

Account 要件
SharePoint Server Search Service 既定では、このアカウントはローカル システム アカウントとして実行されます。 既定のコンテンツ アクセス アカウントを変更するか、クロール ルールを使用してリモート コンテンツをクロールする場合は、このアカウントをドメイン ユーザー 1 に変更します。 このアカウントをドメイン ユーザー アカウントに変更しないと、既定のコンテンツ アクセス アカウントをドメイン ユーザー アカウントに変更することや、このコンテンツをクロールするクロール ルールを追加することができません。 このような制限があるのは、ローカル システム アカウントとして実行されている他のプロセスの特権が昇格されるのを防ぐためです。
既定のコンテンツ アクセス このアカウントでローカル ファーム コンテンツのみをクロールする場合は、手動での構成は不要です。 クロール ルールを使用してリモート コンテンツをクロールする場合は、このアカウントをドメイン ユーザー 1 に変更し、サーバー ファームに一覧表示されている要件を適用します。
コンテンツ アクセス 既定のコンテンツ アクセス アカウントと同じ要件です。
プロファイル同期アカウント サーバー ファームと同じ要件です。
Excel Services 無人サービス ドメイン ユーザー アカウントである必要があります。

追加のアプリケーション プール ID アカウント

Account 要件
アプリケーション プール ID 手動での構成は必要ありません。 セットアップおよび構成時に作成される既定の Web サイトには Network Service アカウントが使用されます。

サーバー ファームの標準的な要件

サーバー ファーム レベルのアカウント

Account 用途 要件
SQL Server サービス アカウント
SQL Server サービス アカウントは SQL Server を実行するために使用されます。以下の SQL Server サービスを実行するためにサービス アカウントが使用されます。
MSSQLSERVER
SQLSERVERAGENT
既定のSQL Server インスタンスを使用しない場合は、Windows Services コンソールで、これらのサービスが次のように表示されます。
MSSQL<InstanceName>
SQLAgent<InstanceName>
ドメイン ユーザー アカウントを使用するか、グループ マネージド サービス アカウントを使用します。
If you plan to back up to or restore from an external resource, permissions to the external resource must be granted to the appropriate account. SQL Server サービス アカウントにドメイン ユーザー アカウントまたはグループ マネージド サービス アカウントを使用する場合は、そのドメイン ユーザー アカウントにアクセス許可を付与します。 ただし、ネットワーク サービスまたはローカル システム アカウントを使用する場合は、マシン アカウント (<domain_name>\<SQL_hostname>) に外部リソースにアクセス許可を付与します。
このインスタンス名は、SQL Server がインストールされたときに作成された任意の名前です。
ファーム管理者ユーザー アカウント
ファーム管理者ユーザー アカウントは、SharePoint管理者に割り当てられている一意に識別可能なアカウントです。次のコマンドを実行するために使用されます。
セットアップ
SharePoint 製品構成ウィザード
ドメイン ユーザー アカウント。
ファーム内の各SharePoint サーバー上の Administrators グループのメンバー。
次のSQL Server ロールのメンバー (省略可能): sysadmin 固定サーバー ロール。
データベースに影響するWindows PowerShellコマンドレットを実行する場合、このアカウントは、データベースの固定データベース ロール db_owner メンバーであるか、SQLの sysadmin 固定サーバー ロールのメンバーである必要があります。
ファーム サービス アカウント
ファーム サービス アカウントは、次のタスクを実行するために使用されます。
SharePoint サーバーの全体管理 Web サイトのアプリケーション プール ID として機能する。
Microsoft SharePoint Foundation Workflow Timer Service を実行する。
ドメイン ユーザー アカウント。
Web サーバー上のサーバー ファーム アカウントと、サーバー ファームに参加しているアプリケーション サーバーに対して、より多くのアクセス許可が自動的に付与されます。
サーバー ファーム アカウントは、SQL Server を実行しているコンピューターの SQL Server ログインとして自動的に追加されます。このアカウントは以下の SQL Server セキュリティ ロールに追加されます。
* dbcreator 固定サーバー ロール
* securityadmin 固定サーバー ロール
* サーバー ファーム内のすべてのSharePoint データベースに対する固定データベース ロールをdb_ownerする
このアカウントは、管理者が対話的に使用することはできません。
ファーム サービス アカウントを変更するには、コマンドを使用 iisreset.exe して IIS サーバーを再起動する必要があります。

サービス アプリケーション サービス アカウント

重要

プロファイル同期アカウントとExcel Services無人サービス アカウントは、SharePoint Server にのみ適用されます。

Account 要件
SharePoint Server Search Service アカウント ドメイン ユーザー アカウントである必要があります。 Farm Administrators グループのメンバーではない必要があります。 構成データベース、管理コンテンツ データベース、検索管理データベース、クロール データベースから読み取るアクセス権は、自動的に構成されます。 クエリ サーバーのインデックス パーティションに対するフル コントロール アクセス。
既定のコンテンツ アクセス アカウント ドメイン ユーザー アカウントである必要があります。 Farm Administrators グループのメンバーではない必要があります。 このアカウントを使用してクロールする外部コンテンツ ソースまたはセキュリティ保護されたコンテンツ ソースの読み取りアクセス権。 サイトがサーバー ファームに属していない場合は、サイトをホストしている Web アプリケーションのすべて読み取り権限をこのアカウントに明示的に付与する必要があります。 次の権限が自動的に構成されます。サーバー ファームによってホストされているコンテンツ データベースには、完全読み取りアクセス許可が自動的に付与されます。
コンテンツ アクセス アカウント このアカウントでアクセスするように構成されている外部コンテンツ ソースまたはセキュリティ保護されたコンテンツ ソースの読み取りアクセス権。 Web サイトがサーバー ファームに属していない場合は、サイトをホストしている Web アプリケーションのすべて読み取り権限をこのアカウントに明示的に付与する必要があります。
プロファイル同期アカウント ディレクトリ サービスの読み取りアクセス権。 アカウントには、Active Directory の変更のレプリケートアクセス許可が必要です。 ユーザー プロファイルの管理を行うユーザー権限。 ビジネス データ カタログのインポート接続で使用されるエンティティの表示権限。
Excel Services 無人サービス アカウント ドメイン ユーザー アカウントである必要があります。

追加のアプリケーション プール ID アカウント

Account 要件
アプリケーション プール ID 手動での構成は必要ありません。 コンテンツ データベースの SP_DATA_ACCESS ロールのメンバーシップと、Web アプリケーションに関連付けられている検索データベースは、次のように自動的に構成されます。 構成データベースおよび SharePoint_AdminContent データベースのアプリケーション プールの特定のロールのメンバーシップ。 このアカウントのフロントエンド Web サーバーとアプリケーション サーバーに対するより多くのアクセス許可が自動的に付与されます。