Excel Services のセキュリティを計画する

  • [アーティクル]

この記事の内容 :

  • Excel Services のセキュリティについて

  • ユーザー認証を計画する

  • サーバー間の通信を計画する

  • 外部データの認証を計画する

  • ワークシート

Excel Services のセキュリティについて

Microsoft Office SharePoint Server 2007 を展開するためのセキュリティ要件に加えて、Microsoft Office SharePoint Server 2007 の Excel Services を含む展開のセキュリティについても考慮事項を確認する必要があります。Windows SharePoint Services 3.0 は、Office SharePoint Server 2007 が構築されているプラットフォームを提供します。

Microsoft Office SharePoint Server 2007 の Excel Services の機能と Office SharePoint Server 2007 の組み合わせは、企業内の Excel ブックへのアクセスを制御、セキュリティ保護、および管理するための主要な方法です。Excel Services は、パフォーマンス、拡張性、およびセキュリティを重視した企業クラスのアプリケーション サーバーです。Excel Services の展開により、ブックの簡単な表示 (および対話操作) が可能になり、ビジネス インテリジェンスのダッシュボードで表示できるグラフまたはピボットテーブル レポートなどのブック コンポーネントを簡単に再利用できるようになります。

Excel Services ではサーバー側での Excel ワークシートの計算をカスタム アプリケーションに利用できるので、ユーザーはブックをロックして、私的データや知的財産をセキュリティ保護することができます。これにより、ブック内のデータは保護される一方で、サーバーのブックを操作するユーザーは Excel Services のデータ更新および再計算機能を最大限に活用することができます。

セキュリティは、これらのデータ表示シナリオを可能にするための重要な構成要素です。環境を計画するときは、サーバーで表示するブックの安全確保に役立つ多くの要素を考慮する必要があります。ブックのセキュリティ管理とサーバー自体のセキュリティ管理を計画する必要があります。Excel Services では Excel ブックの処理と表示をきわめて詳細に制御できます。サーバーでブックを開く方法や、各ブックで有効にする個々の機能を制御できます。

ここでは、展開を計画する際に考慮する必要がある Excel Services および関連コンポーネントのセキュリティ設定の概要を示します。また、Excel Services を使用してサーバーのブックに対するアクセスをセキュリティ保護および管理するための規範的ガイダンスも提供します。

Excel Services のセキュリティ モデルは、データの整合性と品質を確保するために、管理者は共有リソースやブックに含まれる企業の知的財産に対するユーザー アクセスを一元管理できる必要があるという概念に基づいています。この目的を達成するために、Excel Services では以下のことを指定できます。

  • 信頼できるファイル保存場所 Excel Calculation Services を使用してアクセスする前に明示的に信頼される必要のある、SharePoint ドキュメント ライブラリ、UNC パス、または HTTP Web サイトです。Excel Calculation Services は、信頼できるファイル保存場所にあるブックだけを開きます。

  • 信頼できるデータ プロバイダ ブックのデータ接続を処理する際に信頼するように Excel Calculation Services を明示的に構成する外部データベースです。Excel Calculation Services は信頼できるデータ プロバイダに接続する場合にのみデータ接続の処理を試みます。

  • 信頼できるデータ接続ライブラリ Office データ接続 (.odc) ファイルが格納された SharePoint ドキュメント ライブラリです。.odc ファイルを使用して外部データ ソースへの接続を一元管理します。外部データ ソースへの接続の埋め込みを許可するのではなく、すべてのデータ接続に対して .odc ファイルの使用を要求するように Excel Calculation Services を構成できます。.odc ファイルはデータ接続ライブラリに格納され、Excel Calculation Services でブックにデータ接続ライブラリへのアクセスを許可するには、事前にデータ接続ライブラリを明示的に信頼する必要があります。

    既定では、ドメインを越えてブックおよびデータ接続にアクセスすることはできません。Web パーツ、ページ、または Web サービスを使用して、信頼できるファイル保存場所にあるブック (および信頼できるデータ接続ライブラリ内のデータ接続) にドメインを越えてアクセスできるようにするには、以下の例に示すように Stsadm.exe コマンドライン ユーティリティを実行します。ここで、SSP 名は、Excel Services 共有サービス プロバイダの名前です。

    stsadm.exe -o Set-EcsSecurity -Ssp <SSP 名> -AllowCrossDomainAccess true|false

    要求する Web ページとブックまたはデータ接続は、同じファーム内に存在する必要があります。

    注意

    Excel Calculation Services でブックを開くと、Excel Calculation Services を実行しているアプリケーション サーバーの %TEMP% フォルダに一時ファイルが格納されます。

ユーザー認証を計画する

Excel Calculation Services で開く Excel ブックは、Office SharePoint Server 2007 コンテンツ データベースに格納する必要があります。これは、Windows SharePoint Services 3.0 がこれらのファイルに対するアクセス制御リスト (ACL) を維持しているためです。Excel Calculation Services は UNC パスや HTTP Web サイトからもブックを開くことができますが、ブックの格納先には Office SharePoint Server 2007 コンテンツ データベースを使用することをお勧めします。

SharePoint ポータル サイトへのユーザー アクセスの認証は Windows SharePoint Services 3.0 が行います。既定では、Windows SharePoint Services 3.0 は統合 Windows 認証を使用します。

以上の認証方法の他に、Excel Services は標準的なフォーム ベースの認証もサポートしています。ただし、標準的なフォーム ベースの認証を使用するための Windows SharePoint Services 3.0 の構成については、この記事では説明されません。

サーバー間の通信を計画する

信頼されたサブシステムのデータ アクセスか委任を使用するように Excel Services を構成して、フロントエンド Web サーバーが Excel Calculation Services アプリケーション サーバーと通信する方法、アプリケーション サーバーがバックエンド データ ソースと通信する方法を決定できます。信頼されたサブシステムは、委任モデルの特別な構成要件がないため、Windows サーバー ファームの既定の設定となっています。信頼されたサブシステムのモデルでは、フロントエンド Web サーバーと Excel Calculation Services アプリケーション サーバーは、共有サービス プロバイダ (SSP) を使用して関連する Office SharePoint Server 2007 アプリケーションのアカウントを信頼します。

信頼されたサブシステムの環境では、Kerberos が構成されていない場合でも、Office SharePoint Server 2007 からファイルを開くときにエンドユーザーの ID に対してファイルへの権限のチェックを実行できます。Excel Calculation Services アプリケーション サーバーが UNC シェアや HTTP Web サイトからブックを開く場合は、ユーザー アカウントを偽装できないので、プロセス アカウントを使用する必要があります。

注意

ユーザー アカウントを偽装し、ブックの権限を実装するには、Excel Calculation Services アプリケーション サーバーと UNC または HTTP リソースとの間に制限付きの Kerberos 委任をセットアップする必要があります。

制限付きの Kerberos 委任は、フロントエンド Web サーバーと Excel Calculation Services アプリケーション サーバーとの通信の最も安全な構成です。制限付きの Kerberos 委任は、アプリケーション サーバーからバックエンド データ ソースへのアクセスに対しても、最も安全な構成です。制限付きの Kerberos 委任は、Excel Services を展開する際に優先される構成です。外部データ接続では、統合 Windows 認証は委任モデルが実装されている場合にのみ機能します。

外部データの認証を計画する

ブックには、埋め込みの直接データ接続、およびデータ接続ライブラリに格納されたデータ接続ファイルへのリンクを含めることができます。更新の際に、Excel Services の構成に応じて、埋め込みの直接データ接続を使用してデータ ソースに対するクエリを実行することや、データ接続ライブラリ リンクを使用して .odc ファイルに対するクエリを実行することができます。.odc ファイルはデータ接続情報を含むもので、データ接続ライブラリに格納されている必要があります。

外部データ ソースへの接続を処理するように Excel Services を構成するには、SharePoint サーバーの全体管理 Web アプリケーションで [Excel Services 信頼できるファイル保存場所の追加] ページの [外部データ] セクションで設定を選択します。

Excel Services の管理設定を構成するには、Office SharePoint Server 2007 から SharePoint サーバーの全体管理 Web アプリケーションを開き、以下の手順を実行します。

Excel Services の管理設定を構成する

  1. サーバーの全体管理のホーム ページで、[アプリケーション構成の管理] をクリックします。

  2. [アプリケーション構成の管理] ページの [Office SharePoint Server 2007 共有サービス] セクションで、[このファームの共有サービスの作成または構成] をクリックします。

  3. [このファームの共有サービスの管理] ページで、[SharedServices1 (既定)] をクリックします。これが構成する SSP です。

  4. 共有サービスのホーム ページで、[Excel Services の設定] セクションの [信頼できるファイル保存場所] をクリックします。

  5. [Excel Services: 信頼できるファイル保存場所] ページで、[信頼できるファイル保存場所の追加] をクリックします。

  6. [アドレス] セクションで、Excel Services の信頼できるファイル保存場所として追加する SharePoint ドキュメント ライブラリの場所と名前を入力します。ドキュメント ライブラリが Windows SharePoint Services 3.0 コンテンツ データベースにある場合は、[場所の種類] として Windows SharePoint Services 3.0 を選択されていることを確認してください。

統合接続を持つほとんどのファーム展開には委任が必要です。Excel Calculation Services が接続情報を取得するとき、資格情報は、格納されている資格情報 (SSO データベースから取得)、統合資格情報、または資格情報なしと指定されます。統合資格情報によるデータ接続では、複数のサーバーにスケール アウトされる展開で委任が必要になります。スタンドアロン展開では、委任は必要ありません。

格納されている資格情報を使用する Excel Calculation Services アプリケーション サーバーでブックを開く場合のデータ接続について考えます。Excel Calculation Services は、シングル サインオン (SSO) 認証データベースから有効な資格情報を取得する必要があります。そうすることで、データが接続ができる前に、その資格情報を使用してデータ ソースに対する認証を行います。

Excel Services はデータ認証方法として、統合 Windows 認証、SSO 認証、および認証なしの 3 つをサポートします。

統合 Windows 認証

通常、統合 Windows 認証では、最も安全な認証方法である制限付きの Kerberos 委任が必要です。フロントエンド Web サーバーから Excel Calculation Services を実行するアプリケーション サーバーへの認証、および Excel Calculation Services から外部データ ソースへの認証では、制限付きの Kerberos 委任を有効にすることをお勧めします。Excel Services シナリオでは、統合 Windows 認証の使用をお勧めします。

SSO 認証

SSO 認証では、ユーザーは認証資格情報を何度も入力しなくても複数のシステム リソースにアクセスできます。Office SharePoint Server 2007 は、Windows サービスとセキュリティ保護された資格情報データベースを組み込むことにより、SSO 認証を実装します。Excel Services がサポートするプラグ可能な SSO 機能を使用すると、独自の SSO プロバイダを実装できます。Office SharePoint Server 2007 には、Excel Services と連携する Windows SSO プロバイダが含まれています。

Excel Services を使用して実装する SSO プロバイダは、SSO エントリごとに、その SSO エントリが Windows ベースの資格情報を使用しているのか、別の環境の資格情報を使用しているのかを指定するフラグを保持する必要があります。Office SharePoint Server 2007 の Windows SSO プロバイダはこの目的のフラグを保持しています。Excel Services は SSO データベースを使用して接続認証のための資格情報を取得します。

Office SharePoint Server 2007 での SSO 認証は、個別マッピングとグループ マッピングをサポートします。SSO は、Office SharePoint Server 2007 SSO データベースに格納されたリソースのアプリケーション ID (App ID) に対する 1 組の資格情報を保持しています。個別マッピングでは、セキュリティ層が、SSO データベースに格納された 1 つの App ID 用の複数の個別リストに対して、ユーザー資格情報をチェックします。個別マッピングは、共有リソースへの個別のユーザー アクセスに関するログ情報が必要な場合に便利です。

グループ マッピングでは、セキュリティ層が、SSO データベースに格納された 1 つの App ID で識別されるリソース用の 1 組の資格情報に対して、複数のドメイン ユーザー グループ資格情報をチェックします。グループ マッピングは個別マッピングより管理しやすく、パフォーマンスも優れています。

Office SharePoint Server 2007 で SSO 機能を有効にするには、Microsoft Single Sign-on Service を開始し、SharePoint サーバーの全体管理 Web アプリケーションで SSO 設定を構成します。SSO データベースをセットアップおよび構成してデータ接続を認証するには、以下の手順を実行します。

シングル サインオン サービスを開始する

  1. [管理ツール] の [サービス] をクリックします。

  2. [Microsoft Single Sign-On Service] をダブルクリックします。

  3. [Single Sign-On Service のプロパティ] ページの [ログオン] タブで、[アカウント] をクリックし、サーバーのインストールおよび管理に使用していたドメイン、ユーザー名、およびパスワードを入力します。

  4. [適用] をクリックします。

  5. [Single Sign-On Service のプロパティ] ページの [全般] タブで、スタートアップの種類を [自動] に変更し、[開始] をクリックして、[OK] をクリックします。

    注意

    すべてのフロントエンド Web サーバーと、Excel Calculation Services を実行しているファーム内のすべてのアプリケーション サーバーで、シングル サインオン サービスを開始します。

SSO 設定を管理する

  1. [管理ツール] で SharePoint サーバーの全体管理 Web アプリケーションを開きます。

  2. サーバーの全体管理のホーム ページで [サーバー構成の管理] をクリックします。

  3. [セキュリティの構成] セクションの [シングル サインオン設定の管理] をクリックします。

  4. [シングル サインオン設定の管理] ページで、[サーバー設定の管理] をクリックします。

  5. SSO 管理者アカウントの [アカウント名] ボックスに、シングル サインオン サービスの構成に使用したのと同じドメインとユーザー名を入力します。シングル サインオン サービスの構成に使用したユーザー名が Windows セキュリティ グループのメンバである場合は、ユーザー名の代わりに Windows セキュリティ グループの名前を入力できます。

  6. [企業アプリケーション定義の管理者アカウント] ボックスに、シングル サインオン サービスの構成に使用したのと同じドメインとユーザー名を入力します。

なし

Excel Services 展開の認証方法として [なし] を指定すると、Excel Services は受信接続文字列を使用し、文字列で指定されたデータベースに接続を試みます。データベース プロバイダによっては、データベースが接続文字列を使用してユーザーを認証できる場合があります。

Excel Services が接続文字列を解析して認証方法を決定することはありません。接続文字列はデータベース プロバイダに渡されるだけです。接続文字列では、統合 Windows 認証が必要であることを指定できます。また、接続文字列に特定のユーザー名とパスワードを含めることもできます。どちらの場合も、認証方法として [なし] を指定すると、Excel Services では無人サービス アカウントの偽装が必要になります。

データベース プロバイダが接続文字列で統合 Windows 認証が指定されていると判断し、データベースがアクセスを承認する場合は、無人アカウントのセキュリティ コンテキストを使用して接続が確立されます。接続文字列にユーザー名とパスワードが含まれ、データベースがアクセスを承認する場合は、承認されたユーザー アカウントのセキュリティ コンテキストを使用して接続が確立されます。

無人サービス アカウント

無人サービス アカウントは、認証方法として Windows ベースでない環境からの SSO 資格情報 (または [なし]) を使用するデータ接続を確立するときに、Excel Calculation Services が偽装できる権限の低いアカウントです。無人サービス アカウントが構成されていない場合、認証方法として Windows 以外の環境からの SSO (または [なし]) を使用するデータ接続は失敗します。

無人アカウントを偽装することによって、Office SharePoint Server 2007 データベースおよび Excel Services が直接アクセスできるその他のデータ ソースは、Excel Calculation Services を使用して外部データ接続を開くクライアント コンピュータによる無許可の接続から保護されます。無人サービス アカウントが偽装された場合、Excel Calculation Services アプリケーション スレッドと関連付けられた資格情報を使用して、その他のデータベースにアクセスすることはできません。また、無人サービス アカウントが偽装された場合、外部データのクエリは、権限の高い Excel Calculation Services アプリケーション スレッドのセキュリティ コンテキストではなく、権限の低いアカウントのセキュリティ コンテキストの下で実行されます。

無人サービス アカウントは、ドメイン アカウントまたはローカル コンピュータ アカウントとして構成できます。無人サービス アカウントをローカル コンピュータ アカウントとして構成する場合は、Excel Calculation Services を実行しているすべてのアプリケーション サーバーを同じ構成にします。無人サービス アカウントの権限は、ネットワークへのログオンだけができるように制限します。無人サービス アカウントが、どのデータ ソースや Office SharePoint Server 2007 データベースにもアクセスできないことを確認します。無人サービス アカウントを有効にするには、以下の手順を実行します。

無人サービス アカウントを有効にする

  1. [Excel Services の設定] ページの [外部データ] セクションで、[名前] ボックスと [パスワード] ボックスに使用する名前とパスワードを入力します。

  2. [OK] をクリックします。

セキュリティ設定

Excel Services のセキュリティ設定などの管理設定を構成するには、Microsoft Windows Server 2003 の [管理ツール] から SharePoint サーバーの全体管理 Web アプリケーションを開き、以下の手順を実行します。

Excel Services のセキュリティ設定を構成する

  1. サーバーの全体管理のホーム ページで、[アプリケーション構成の管理] をクリックします。

  2. [アプリケーション構成の管理] ページの [Office SharePoint Server 2007 共有サービス] セクションで、[このファームの共有サービスの作成または構成] をクリックします。

  3. [このファームの共有サービスの管理] ページで、[SharedServices1 (既定)] をクリックします。これが構成する SSP です。

  4. 共有サービスのホーム ページで、[Excel Services の設定] セクションの [Excel Services の設定の編集] をクリックします。

また、[Excel Services の設定] ページを使用して、安全な展開に直接影響するファイル アクセス方法とデータ暗号化のオプションを構成することもできます。

ファイル アクセス方法

[Excel Services の設定] ページの [セキュリティ] セクションで、[ファイル アクセス方法] の [偽装] または [プロセス アカウント] を選択します。

  • 偽装 そのスレッドを所有するプロセスのコンテキスト以外のセキュリティ コンテキストで、スレッドを実行できます。[偽装] を選択すると、Excel Calculation Services は UNC と HTTP の場所に格納されたブックにアクセスしようとするユーザーを承認する必要があります。これを選択しても、Office SharePoint Server 2007 データベースに格納されたブックには影響ありません。フロントエンド Web サーバーと Excel Calculation Services アプリケーション サーバーが別のコンピュータで実行されるほとんどのサーバー ファーム展開では、偽装によって制限付きの Kerberos 委任が必要になります。

  • プロセス アカウント Excel Calculation Services アプリケーション サーバーが UNC シェアや HTTP Web サイトからブックを開いている場合は、ユーザー アカウントを偽装できないので、プロセス アカウントを使用する必要があります。

データ暗号化

インターネット プロトコル セキュリティ (IPSec) または SSL (Secure Sockets Layer) を使用して、Excel Calculation Services アプリケーション サーバー、データ ソース、クライアント コンピュータ、およびフロントエンド Web サーバーの間でのデータ送信を暗号化できます。クライアント コンピュータとフロントエンド Web サーバーの間で暗号化されたデータ送信を要求するには、[接続の暗号化] の設定を [なし] から [すべての接続] に変更します。[なし] は既定の設定です。[接続の暗号化] の設定を [すべての接続] に変更すると、Excel Calculation Services アプリケーション サーバーは、クライアント コンピュータとフロントエンド Web サーバーとの間で SSL 接続を介したデータ送信のみを許可します。

暗号化されたデータ送信を要求する場合は、IPsec または SSL を手動で構成する必要があります。クライアント コンピュータとフロントエンド Web サーバーとの間では暗号化された接続を要求し、フロントエンド Web サーバーと Excel Calculation Services アプリケーション サーバーとの間では暗号化されない接続を許可することができます。

信頼できるファイル保存場所

信頼できるファイル保存場所は、Excel Calculation Services を実行しているサーバーがブックへのアクセスを許可される SharePoint サイト、UNC パス、または HTTP Web サイトです。

[Excel Services 信頼できるファイル保存場所の追加] ページの [場所] セクションで、アドレス、場所の種類、および信頼できるファイル保存場所の子ライブラリも信頼するかどうかを構成できます。[子の信頼] を選択すると管理性が向上しますが、信頼できるファイル保存場所のサブサイトやサブディレクトリを作成と同時に自動的に信頼できるようになるため、潜在的なセキュリティ問題が生じる可能性もあります。

ワークシートでの作業

Excel Services セキュリティ 信頼できるファイル保存場所ワークシート」(https://go.microsoft.com/fwlink/?linkid=73327&clcid=0x411) を使用して、信頼できる SharePoint サイト、UNC パス、および HTTP Web サイトの名前を記録します。

[セッションの管理] セクションでは、リソースの可用性が保持され、Excel Calculation Services のパフォーマンスとセキュリティが向上するように設定を構成できます。多数のユーザーが複数の Excel Calculation Services セッションを同時に開く場合は、パフォーマンスが低下する可能性があります。実行中のセッションに対して 2 つの異なるタイムアウト設定を構成することにより、リソースの消費を制御し、実行中の Excel Calculation Services セッションの期間を制限することができます。

[セッションのタイムアウト] 設定では、ユーザー入力がない状態で Excel Calculation Services セッションを開いたままにできる時間を指定します。[短いセッションのタイムアウト] 設定では、最初のセッション要求の後ユーザー入力がない状態で Excel Calculation Services セッションを開いたままにできる時間を指定します。また、[要求時間の上限] 値を構成すると、1 つのセッション要求に対して許容される秒数を制御できます。セッションが開いたままになる時間を制限することは、サービス拒否攻撃の危険性を軽減するために役立ちます。

[ブックのプロパティ] セクションでは、Excel Calculation Services セッションで開くことができるブックの最大サイズを構成できます。ユーザーが非常に大きなブックを開くと、パフォーマンスやリソースの可用性が低下する可能性があります。開いている Excel Calculation Services セッションで動作するブックの許容サイズを制御しないと、ユーザーが容量を超えるリソースを消費してサーバーに障害が発生する危険があります。

注意

Excel Calculation Services を実行しているアプリケーション サーバーが障害を起こした場合やシャットダウンされた場合は、サーバー上で開いているすべてのセッションが失われます。スタンドアロンのインストールでは、Excel Services を利用できなくなります。これは、Excel Calculation Services がブックの読み込み、再計算、更新、または取得を行えなくなることを意味します。Excel Calculation Services を実行する複数のアプリケーション サーバーがあるサーバー ファーム展開では、1 台のサーバーがシャットダウンされても、その他のサーバーで実行中のセッションには影響しません。シャットダウンされるサーバーでセッションを実行中のユーザーには、ブックを再度開くように求めるメッセージが表示されます。ユーザーが新しいセッションを開始すると、それらのセッションは Excel Calculation Services を実行しているアクティブなアプリケーション サーバーに自動的にルーティングされます。

[外部データ] セクションでは、信頼できるファイル保存場所に格納され、Excel Calculation Services セッションで開かれたブックが、外部データ ソースにアクセスできるかどうかを指定できます。[外部データの許可] を、[なし]、[信頼できるデータ接続ライブラリのみ]、または [信頼できるデータ接続ライブラリと、埋め込まれている接続] に設定します。[信頼できるデータ接続ライブラリのみ] または [信頼できるデータ接続ライブラリと、埋め込まれている接続] を選択すると、信頼できるファイル保存場所に保存されているワークブックから、外部データ ソースにアクセスすることができます。

外部データ接続は、ブックに埋め込まれているか、ブックからリンクされる場合にのみアクセスできます。Excel Calculation Services は、ブックを開く前に信頼できるファイル保存場所の一覧をチェックします。[なし] を選択すると、Excel Calculation Services は外部データ ソースにアクセスしようとする試みをすべてブロックします。多数のブック作成者のデータ接続を管理している場合は、[信頼できるデータ接続ライブラリのみ] を指定することを検討してください。この設定では、認証済みのブック作成者が生成する全ブックの全データ接続は、信頼できるデータ接続ライブラリを使用して外部データ ソースにアクセスする必要があります。

少数のブック作成者のデータ接続を管理している場合は、[信頼できるデータ接続ライブラリと、埋め込まれている接続] を指定することを検討してください。この設定では、ブック作成者は各自のブックに外部データ ソースへの直接接続を埋め込むことができ、さらに、埋め込みリンクが失敗した場合は信頼できるデータ接続ライブラリにアクセスできます。

[外部データ] セクションの [更新時の警告] 領域では、外部データ ソースからのブック更新の前に警告を表示するかどうかを指定できます。[更新時の警告の有効化] を選択すると、ユーザー入力がなければ外部データは自動的に更新されません。

[開くときの更新が失敗した場合に、開く操作を中止する] 領域では、開くときに更新するデータ接続がブックに含まれていて、そのデータ接続に失敗した場合は、Excel Calculation Services が開く操作を中止するかどうかを指定できます。[開く操作の中止を有効化] チェック ボックスをオンにすると、ブックを開くときに更新操作が失敗した場合は、キャッシュされた値は表示されません。開くときの更新が成功した場合は、キャッシュされた値が削除されます。[開く操作の中止を有効化] チェック ボックスをオフにすると、開くときの更新が失敗した場合にキャッシュされた値が表示される危険があります。

[外部データ] セクションの [外部データ キャッシュの有効期間] 領域では、期限切れになるまでにキャッシュされた値を使用できる最大時間を指定できます。

信頼できる保存場所にあるブックに、信頼できるユーザーのみがアクセスできるようにするには、信頼できるファイル保存場所すべてに ACL を適用することが重要です。

Office SharePoint Server 2007 を使用して Excel Services を展開するための中心的なシナリオには、企業、小規模な部門、およびカスタムの 3 つがあります。

企業展開では、以下のガイドラインを検討してください。

  • ユーザー定義関数のサポートを構成しません。

  • ブックから埋め込みのデータ接続を使用して外部データ ソースに直接アクセスすることを許可しません。

  • ブックから外部データ ソースへアクセスする際に、データ接続ライブラリの使用を制限します。

  • Excel Calculation Services で開くことができるブックのサイズを制限します。

  • 厳選した特定のファイル保存場所だけを信頼し、信頼するサイトおよびディレクトリでは [子の信頼] オプションを有効にしません。

小規模な部門展開では、以下のガイドラインを検討してください。

  • 部門メンバがブックの保存に使用するすべてのファイル保存場所に対して信頼を有効にします。

  • 信頼するサイトおよびディレクトリすべてで [子の信頼] を有効にします。

  • 問題が発生する場合は、厳選した特定のファイル保存場所だけにアクセスを制限します。

カスタム展開では、以下のガイドラインを検討してください。

  • Excel Calculation Services が大きなブックを開けるようにします。

  • セッション タイムアウト設定を長めに構成します。

  • 大容量のデータ キャッシュを構成します。

  • この展開用に 1 つの信頼できる保存場所を作成します。

  • この信頼できる保存場所では [子の信頼] を有効にしません。

信頼できるデータ プロバイダ

外部データへのアクセスを制御するには、信頼されているデータ プロバイダを明示的に定義し、信頼できるデータ プロバイダの一覧に記録します。信頼できるデータ プロバイダの一覧は、Excel Calculation Services で開くブックが接続を許可される特定の外部データ プロバイダを指定します。

データ プロバイダをインスタンス化してブックが外部データ ソースに接続できるようにする前に、Excel Calculation Services は接続情報をチェックして、プロバイダが信頼できるデータ プロバイダの一覧に記載されているかどうかを判断します。プロバイダが一覧にある場合は、接続が試みられます。ない場合、接続要求は無視されます。

ワークシートでの作業

Excel Services セキュリティ 信頼できるデータ プロバイダ ワークシート」(https://go.microsoft.com/fwlink/?linkid=73325&clcid=0x411) を使用して、信頼できるデータ プロバイダの名前を記録します。

信頼できるデータ接続ライブラリ

信頼できるデータ接続ライブラリは, .odc ファイルにアクセスしても安全であると確認されているドキュメント ライブラリです。データ接続ライブラリは、Excel Calculation Services を実行しているサーバーによってアクセスされるブックのデータ接続をセキュリティ保護および管理するために使用します。信頼できるデータ接続ライブラリの一覧は、Excel Calculation Services で開かれたブックが .odc ファイルへのアクセスを許可される特定のデータ接続ライブラリを指定します。

Excel Calculation Services を実行するサーバーによってアクセスされるブックからデータ接続がリンクされている場合、サーバーは、接続情報および信頼できるデータ接続ライブラリの一覧を確認します。データ接続ライブラリが一覧にある場合は、データ接続ライブラリの .odc ファイルを使用して接続されますが、一覧にない場合、接続要求は無視されます。

ワークシートでの作業

Excel Services セキュリティ 信頼できるデータ接続ライブラリ ワークシート」(https://go.microsoft.com/fwlink/?linkid=73324&clcid=0x411) を使用して、信頼できるデータ接続ライブラリの名前を記録します。

表示のみの権限

ブックの表示だけを許可されるユーザーを指定するには、それらのユーザーを Office SharePoint Server 2007 表示者グループに追加するか、表示のみの権限を持つように構成された新しいグループを作成します。表示者グループは、既定では表示のみの権限を持つように構成されます。表示のみの権限を持つように構成されたグループにユーザーを追加すると、そのユーザーはブックを表示し、開き、操作し、更新し、再計算することができますが、Excel Services を使用しないとファイル ソースにアクセスできません。この方法は機密情報を保護するために役立ちます。指定したユーザーにソース データが表示されることはありません。

また、表示のみの権限を持つように構成されたブックやブックのデータ オブジェクトは、Office Excel 2007 で開くことができません。ただし、サーバー表示可能な範囲の値と書式設定だけを示すブックのスナップショットは、Office Excel 2007 で表示できます。

Office SharePoint Server 2007 でサイト設定を構成してブックのデータへのアクセスを制御するには、Web ブラウザで表示される一元管理されたブックに表示のみの権限を設定します。また、Office SharePoint Server 2007 でサイト設定を構成すると、ブックがサーバー上で外部データを更新できるようにし、外部データ接続をセキュリティ保護および管理することができます。指定したデータ オブジェクトを表示のみのアイテムとして保存するには、以下の手順を実行します。

指定されたデータ オブジェクトを表示のみのアイテムとして保存する

  1. Office Excel 2007 でグラフまたはテーブルなどのデータ オブジェクトがあるブックを開きます。

  2. Excel Services の信頼できる保存場所として登録されている SharePoint ドキュメント ライブラリに、ブックを発行します。

  3. [名前を付けて保存] ダイアログ ボックスの [ファイル名] ボックスに、ファイルを保存する SharePoint ドキュメント ライブラリの URL を入力します。[Excel Services で開く] チェック ボックスがオンになっていることを確認します。

  4. [Excel Services のオプション] をクリックします。

  5. [Excel Services のオプション] ダイアログ ボックスで、ドロップダウン メニューの [ブック内のアイテム] を選択します。

  6. 表示するアイテムを選択し、[OK] をクリックします。

  7. [名前を付けて保存] ダイアログ ボックスで [保存] をクリックします。

外部データ接続

Excel Services の Excel Calculation Services コンポーネントは外部データソースへの接続に使用します。Excel Calculation Services は、認証方法、使用する接続文字列、使用するクエリ文字列、接続に使用する資格情報の収集場所と方法など、サーバーがデータ ソースに接続するために必要なすべての情報を含む外部データ接続情報を処理します。これらの接続は、ブック内の埋め込みと .odc ファイルの 2 つの場所で定義できます。接続情報はどちらの場所でも同じです。.odc ファイルは、接続情報を書式なしのテキストおよび再利用可能な形式で保持する小さなファイルです。

.odc ファイルやブックに埋め込む接続は、Office Excel 2007 クライアントを使用して作成および編集できます。Office Excel 2007 クライアントでは、データ接続ウィザードを実行するか、"接続" プロパティ ページで設定を構成できます。また、これらの設定に基づいて .odc ファイルをエクスポートすることもできます。"接続" プロパティ ページには、Excel Services の認証プロパティなどの接続情報が表示されます。

ワークシートでの作業

Excel Services セキュリティ 外部データ接続ワークシート」(https://go.microsoft.com/fwlink/?linkid=73323&clcid=0x411) を使用して, .odc ファイルの名前および対応する外部データ ソースの場所を記録します。

.odc ファイル

ブックには .odc ファイルへのリンクと埋め込みの接続情報を含めることができます。こうすると、埋め込みの接続情報が失敗した場合に .odc ファイルを取得して内容を読み取り、外部データ ソースへの接続を試みることができます。.odc ファイルは、含まれているデータ接続情報が正確であるように管理および維持する必要があります。

埋め込まれた情報を使用した接続を最初に試みるのではなく, .odc ファイルの接続情報だけを使用するように Excel Calculation Services を構成することもできます。この方法では、管理者が多数のブックに最新の接続情報を提供する少数の管理された .odc ファイルを展開できます。

ブックの作成者はブックが使用できる接続情報を接続ごとに指定できます。これを行うには、Office Excel 2007 クライアントを開き、[データ] タブの [ブックの接続] をクリックします。ブックへの接続を追加し、[ブックの接続] を開いて追加した接続のプロパティを表示します。[定義] タブをクリックし、[常に接続ファイルを使用する] を選択します。こうすると、ブックはデータ接続ライブラリから接続ファイルを取得し、ファイル内の接続情報を使用して外部データ ソースに接続できます。また、この設定はデータ接続ウィザードの最後のページで [常に接続ファイルを使用する] を選択して構成することもできます。

.odc ファイルを管理する

データ接続ライブラリは .odc ファイルのコレクションのリポジトリを提供します。管理者は、データ接続ライブラリと、常に接続ファイルを使用することをブックに要求する .odc ファイルを作成することで、サーバーのデータ接続を管理できます。データ接続ライブラリからの接続を直接使用するブックは、最新の接続情報を取得してからデータ ソースに接続する必要があります。

データ ソース情報 (たとえばサーバー名) が変更された場合は、データ接続ライブラリの 1 つの .odc ファイルを更新するだけで、その .odc ファイルを使用するすべてのブックが次の更新時に自動的に更新されます。また、表示のみの権限を使用して .odc ファイルへのアクセスを制限することもできます。

ユーザー定義関数

Excel Calculation Services の機能を拡張するユーザー定義関数を含むブックが展開シナリオに含まれている場合は、ユーザー定義関数をサポートするように Excel Services を構成する必要があります。

このサポートを構成するには、ユーザー定義関数へのアクセスを必要とするブックを格納する信頼できるファイル保存場所で、ユーザー定義関数を有効にする必要があります。さらに、Excel Services のユーザー定義関数アセンブリ リストにユーザー定義関数アセンブリを登録する必要があります。ユーザー定義関数を有効にするには、以下の手順を使用します。

ユーザー定義関数を有効にする

  1. 共有サービスのホーム ページで、[Excel Services] セクションの [ユーザー定義関数] をクリックします。

  2. [Excel Services ユーザー定義関数] ページで、[ユーザー定義関数アセンブリの追加] をクリックします。

  3. [アセンブリ] ボックスに、登録するユーザー定義関数アセンブリの厳密名またはファイル パスを入力します。

  4. [アセンブリの場所] で、以下の操作を実行します。

    1. ファーム内の各 Excel Calculation Services アプリケーション サーバー上のグローバル アセンブリ キャッシュ (GAC) にユーザー定義関数アセンブリを展開する場合は、GAC を選択します。

    2. Excel Calculation Services アプリケーション サーバーのディレクトリ (ローカル パス) またはネットワーク共有 (UNC パス) にユーザー定義関数を保存する場合は、[ローカル ファイル] を選択します。

    3. [アセンブリを使用可能にする] チェック ボックスがオンになっていることを確認し、[OK] をクリックします。

信頼できるファイル保存場所にあるブックでユーザー定義関数を有効にする

  1. 共有サービスのホーム ページで、[Excel Services] セクションの [信頼できるファイル保存場所] をクリックします。

  2. [Excel Services 信頼できるファイル保存場所] ページで、プロパティを編集する信頼できるファイル保存場所の URL をクリックします。

  3. [Excel Services 信頼できるファイル保存場所の編集] ページの [ユーザー定義関数] セクションで、[ユーザー定義関数が使用可能] をオンにして、[OK] をクリックします。

ワークシート

Excel Services のセキュリティを計画するには、以下のワークシートを使用します。

このブックをダウンロードする

このトピックは、簡単に読んだり印刷したりできるように、次のダウンロード可能なブックに収められています。

入手できるすべてのブックの一覧については、「Office SharePoint Server 2007 のダウンロード可能なブック」を参照してください。

関連項目

その他のリソース

Demo: Enable Excel Services and data connections for a SharePoint team site (英語)