スタンドアロン構成での MBAM 2.5 のデプロイ

  • [アーティクル]

この記事では、Microsoft BitLocker 管理および監視 (MBAM) 2.5 をスタンドアロン構成にインストールする手順について説明します。 このガイドでは、2 サーバー構成を使用します。 2 つのサーバーの 1 つは、Microsoft SQL Server 2012 を実行しているデータベース サーバーです。 このサーバーは、MBAM データベースとレポートをホストします。 追加サーバーは、"管理と監視サーバー" と "セルフサービス ポータル" をホストするWindows Server 2012 Web サーバーになります。

MBAM 2.5 サーバー ソフトウェアをインストールする前の準備手順

手順 1: サーバーのインストールと構成

MBAM 2.5 の構成を開始する前に、両方のサーバーが MBAM システム要件に従って構成されていることを確認する必要があります。 MBAM の最小システム要件を参照し、これらの要件を満たす構成を選択します。

手順 1.1: データベースとレポート サーバーの前提条件をデプロイする

  1. Windows Server 2008 R2 (またはそれ以降) オペレーティング システムを実行しているサーバーをインストールして構成します。

  2. Windows PowerShell 3.0 をインストールします。

  3. 最新のサービス パックを含む Microsoft SQL Server 2008 R2 以降のバージョンをインストールします。 MBAM 用の SQL Server の新しいインスタンスをインストールする場合は、インストールするSQL ServerにSQL_Latin1_General_CP1_CI_AS照合順序が含まれていることを確認します。 次のSQL Server機能をインストールする必要があります。

    • データベース エンジン
    • Reporting Services
    • クライアント ツールの接続
    • 管理ツール – 完了

    必要に応じて、SQL Serverに Transparent Data Encryption (TDE) 機能をインストールすることもできます。

    SQL Server Reporting Servicesは、未構成モードまたは "SharePoint" モードではなく、"ネイティブ" モードでインストールおよび構成する必要があります。

    必要なSQL Server機能。

  4. 管理および監視 Web サイトに SSL を使用する場合は、管理および監視 Web サイトを構成する前に、Secure Sockets Layer (SSL) プロトコルを使用するようにSQL Server Reporting Services (SSRS) を構成してください。 それ以外の場合、レポート機能では、暗号化 (HTTPS) ではなく暗号化されていない (HTTP) データ トランスポートが使用されます。

    [ネイティブ モード レポート サーバーでの SSL 接続の構成] に従って、レポート サーバーで SSL を構成できます。

    それぞれのバージョンのSQL ServerのSQL Serverインストール ガイドに従って、SQL Serverをインストールできます。 リンクは次のとおりです。 > * SQL Server 2014> * SQL Server 2012> * SQL Server 2008 R2

  5. SQL Serverのインストール後に、SQL Serverでユーザー アカウントをプロビジョニングし、データベース サーバーで MBAM データベースとレポート ロールを構成するユーザーに次のアクセス許可を割り当てます。

    SQL Serverのインスタンスのロール:

    • Dbcreator
    • processadmin

    SQL Server Reporting Servicesのインスタンスの権限:

    • フォルダーの作成
    • レポートの発行

データベース サーバーで MBAM 2.5 ロールを構成する準備ができました。 次のサーバーに移動しましょう。

手順 1.2: サーバーの管理と監視の前提条件をデプロイする

MBAM システム要件に関するドキュメントで説明されているように、ハードウェア構成を満たすサーバーを選択します。 Windows Server 2008 R2 以降のオペレーティング システムと最新の Service Pack と更新プログラムが実行されている必要があります。 サーバーの準備ができたら、次の役割と機能をインストールします。

ロール

  • Web サーバー (IIS) 管理ツール ([IIS 管理スクリプトとツール] を選択します)。

  • Web サーバー ロール サービス

    • 一般的な HTTP 機能
      静的コンテンツ
      既定のドキュメント

    • アプリケーションの開発
      ASP.NET
      .NET 拡張機能
      ISAPI 拡張機能
      ISAPI フィルター
      Security
      Windows 認証
      要求フィルター処理

    • Web サービス IIS 管理ツール

機能

  • .NET Framework 4.5 機能

    • Microsoft .NET Framework 4.5

      Windows Server 2012または R2 Windows Server 2012の場合、.NET Framework 4.5 は、これらのバージョンの Windows Server 用に既にインストールされています。 ただし、有効にする必要があります。

      Windows Server 2008 R2 の場合、.NET Framework 4.5 は Windows Server 2008 R2 には含まれません。 そのため、.NET Framework 4.5 をダウンロードし、個別にインストールする必要があります。

    • WCF のアクティブ化
      HTTP ライセンス認証
      HTTP 以外のアクティブ化

    • TCP アクティブ化

    • Windows プロセス ライセンス認証サービス:
      プロセス モデル
      .NET Framework環境
      構成 API

セルフサービス ポータルを機能させるには、 MVC 4.0 ASP.NET ダウンロードしてインストールする必要もあります。

次の手順では、Active Directory で必要な MBAM ユーザーとグループを作成します。

手順 2: Active Directory Domain Servicesでのユーザーとグループの作成

前提条件の一環として、特定のサーバーと機能 (SQL Server のインスタンスで実行されているデータベース、管理および監視サーバーで実行されている Web アプリケーションなど) にセキュリティとアクセス権を提供するために MBAM で使用される特定のロールとアカウントを定義する必要があります。

Active Directory で次のグループとユーザーを作成します。 (グループとユーザーには任意の名前を使用できます)。ユーザーは、より大きなユーザー権限を持つ必要はありません。 ドメイン ユーザー アカウントで十分です。 MBAM 2.5 の構成中に、これらのグループの名前を指定する必要があります。

  • MBAMAppPool

    : ドメイン ユーザー

    説明: コンプライアンスおよび監査データベースと Recovery Database に対する読み取りまたは書き込みアクセス許可を持つドメイン ユーザー。Web アプリケーションがこれらのデータベース内のデータとレポートにアクセスできるようにします。 また、Web アプリケーションのアプリケーション プールによっても使用されます。

    アカウント ロール (MBAM の構成中):

    1. Web サービス アプリケーション プール ドメイン アカウント

    2. レポートのコンプライアンスと監査データベースと Recovery Database の読み取り/書き込みユーザー

  • MBAMROUser

    : ドメイン ユーザー

    説明: コンプライアンスおよび監査データベースにRead-Onlyアクセスして、レポートがこのデータベースのコンプライアンスと監査データにアクセスできるようにするドメイン ユーザー。 また、ローカル SQL Server Reporting Services インスタンスがコンプライアンスおよび監査データベースへのアクセスに使用するドメイン ユーザー アカウントでもあります。

    アカウント ロール (MBAM の構成中):

    1. レポートのコンプライアンスと監査データベースの読み取り専用ユーザー

    2. コンプライアンスと監査データベース ドメイン ユーザー アカウント

  • MBAMAdvHelpDsk

    : ドメイン グループ

    説明: MBAM Advanced Helpdesk Users アクセス グループ: 管理および監視 Web サイトのすべての領域にメンバーがアクセスできるドメイン ユーザー グループ。 このロールを持つユーザーは、ユーザーがドライブの回復を支援するときに、ユーザーのドメインとユーザー名ではなく、回復キーのみを入力する必要があります。 ユーザーが MBAM ヘルプデスク ユーザー グループと MBAM Advanced Helpdesk Users グループの両方のメンバーである場合、MBAM Advanced Helpdesk Users グループのアクセス許可は MBAM ヘルプデスク グループのアクセス許可よりも優先されます。

    アカウント ロール (MBAM の構成中): MBAM Advanced Helpdesk Users

  • MBAMHelpDsk

    : ドメイン グループ

    説明: MBAM ヘルプデスク ユーザー アクセス グループ: メンバーが MBAM 管理および監視 Web サイトの [TPM の管理] 領域と [ドライブの回復] 領域にアクセスできるドメイン ユーザー グループ。 このロールを持つPeopleは、いずれかのオプションを使用するときに、すべてのフィールドに入力する必要があります。 これには、ユーザーのドメインとアカウント名が含まれます。

    アカウント ロール (MBAM の構成中): MBAM ヘルプデスク ユーザー

  • MBAMRUGrp

    : ドメイン グループ

    説明: 管理および監視 Web サイトの [レポート] 領域にあるレポートへの読み取り専用アクセス権を持つメンバーを持つドメイン ユーザー グループ。

    アカウント ロール (MBAM の構成中):

    1. 読み取り専用ドメイン アクセス グループをレポートする

    2. MBAM レポート ユーザー アクセス グループ

手順 3 (省略可能): 管理サーバーと監視サーバーで SSL 証明書を構成してインストールする

オプションですが、MBAM クライアントと管理および監視 Web サイトとSelf-Service ポータル Web サイト間の通信をセキュリティで保護するために、証明書を使用することを強くお勧めします。 明らかなセキュリティ上の理由から、自己署名証明書を使用することはお勧めしません。 信頼された証明機関の Web サーバーの種類証明書を使用することをお勧めします。 これを行うには、 KB 2754259の「証明機関によって承認された証明書の使用」セクションを参照してください。

証明書が発行されたら、管理および監視サーバーの個人用ストアに証明書を追加する必要があります。 証明書を追加するには、ローカル コンピューターの証明書ストアを開きます。 これを行うためには、次の手順を実行します。

  1. [スタート] を右選択し、[実行] を選択します。

    [実行] を選択する場所を示すスクリーンショット。

  2. 「MMC.EXE」と入力し (引用符なし)、[ OK] を選択します

    [実行] ボックス。

  3. 開いた新しい MMC で [ ファイル ] を選択し、[ スナップインの追加と削除] を選択します。

    選択。

  4. [証明書] スナップインを強調表示し、[追加] を選択します。

    スナップインを追加または削除する場所を示すスクリーンショット。

  5. [ コンピューター アカウント ] オプションを選択し、[ 次へ] を選択します。

    [証明書スナップイン] ウィンドウ。

  6. 次の画面で [ ローカル コンピューター ] を選択し、[完了] を選択 します

    [コンピューター] ウィンドウを選択します。

  7. これで、証明書スナップインが追加されました。 これにより、コンピューターの証明書ストア内のすべての証明書を操作できます。

    [スナップインの追加と削除] ウィンドウ。

  8. Web サーバー証明書をコンピューターの証明書ストアにインポートします。

    証明書スナップインにアクセスできるようになったので、Web サーバー証明書をコンピューターの証明書ストアにインポートできます。 これを行うには、次の手順に従います。

  9. [証明書 (ローカル コンピューター)] スナップインを開き、[ 個人用 ] と [ 証明書] の順に参照します。

    [証明書 (ローカル コンピューター)] スナップイン ウィンドウを示すスクリーンショット。

    証明書スナップインが一覧にない場合があります。 そうでない場合、証明書はインストールされません。

  10. [証明書] を右選択し、[すべてのタスク] を選択し、[インポート] を選択します。

    [証明書 (ローカル コンピューター)] スナップイン ウィンドウ。

  11. ウィザードが起動したら、[ 次へ] を選択します。 サーバー証明書と秘密キーを含む作成したファイルを参照し、[ 次へ] を選択します。

    [証明書のインポート ウィザード] ウィンドウ。

  12. ファイルの作成時にパスワードを指定した場合は、パスワードを入力します。

[パスワード] ウィンドウを入力します。

このコンピューターからもう一度キー ペアをエクスポートできるようにする場合は、[ キーをエクスポート可能としてマーク する] オプションが選択されていることを確認します。 追加のセキュリティ対策として、このオプションをオフのままにして、秘密キーのバックアップを作成できないようにすることができます。

  1. [ 次へ] を選択し、証明書を保存する 証明書ストア を選択します。

    [証明書のインポート ウィザード] ウィンドウを示すスクリーンショット。

    Web サーバー証明書であるため、[ 個人用] を選択する必要があります。 証明書を認定階層に含める場合は、このストアにも追加されます。

  2. [ 次へ] を選択し、[完了] を選択 します

    [証明書のインポート ウィザード] ウィンドウで [完了] を選択する場所を示すスクリーンショット。

これで、Web サーバーのサーバー証明書が [個人用証明書] の一覧に表示されます。 サーバーの共通名で示されます。 (これは、証明書のサブジェクト セクションにあります)。

詳細については、以下を参照してください。

MBAM 2.5 のセキュリティに関する考慮事項

MBAM Web サイトをセキュリティで保護する方法の計画

次の手順では、アプリケーション プール アカウントのサービス プリンシパル名を登録します。

手順 4: MBAM Web サーバーの SSL 証明書を構成する

クライアントとサーバー間の SSL 通信を使用している場合は、証明書に拡張キー使用法 OID (1.3.6.1.5.5.7.3.1) と (1.3.6.1.5.5.5.3.2) があることを確認する必要があります。 つまり、サーバー認証とクライアント認証が追加されていることを確認する必要があります。

サービス URL を参照しようとしたときに証明書エラーが発生した場合は、別の名前に発行された証明書を使用しているか、正しくない URL を使用して参照しています。

ブラウザーから証明書エラー メッセージが表示される場合がありますが、続行できますが、MBAM Web サービスは証明書エラーを無視せず、接続をブロックします。 MBAM クライアントの MBAM 管理 イベント ログに証明書関連のエラーが表示されます。 エイリアスを使用して管理および監視サーバーに接続する場合は、エイリアス名に証明書を発行する必要があります。 つまり、証明書のサブジェクト名は別名で、ローカル サーバーの DNS 名を証明書の [サブジェクトの別名] フィールドに追加する必要があります。

例:

仮想名が "bitlocker.contoso.com" で、MBAM 管理および監視サーバー名が "adminserver.contoso.com" の場合は、証明書を bitlocker.contoso.com (サブジェクト名) に発行し、証明書の [サブジェクトの別名] フィールドに adminserver.contoso.com を追加する必要があります。

同様に、ロード バランサーを使用して負荷のバランスを取るために複数の管理サーバーと監視サーバーがインストールされている場合は、仮想名に SSL 証明書を発行する必要があります。 つまり、証明書のサブジェクト名フィールドには仮想名を指定し、すべてのローカル サーバーの名前を証明書の [サブジェクトの別名] フィールドに追加する必要があります。

例:

仮想名が "bitlocker.contoso.com" で、サーバーが "adminserver1.contoso.com" と "adminiserver2.contoso.com" の場合は、証明書を bitlocker.contoso.com (サブジェクト名) と adminserver1.contoso.com に発行し、証明書の [サブジェクトの別名] フィールドに adminiserver2.contoso.com を追加する必要があります。

MBAM を使用して SSL 通信を構成する手順については、サポート技術情報の記事 KB 2754259を参照してください。

手順 5: アプリケーション プール アカウントの SPNS を登録し、制約付き委任を構成する

制約付き委任は 2.5 でのみ必要であり、2.5 Service Pack 1 以降では必要ありません。

MBAM サーバーが管理および監視 Web サイトとSelf-Service ポータルからの通信を認証できるようにするには、Web アプリケーション プールに使用しているドメイン アカウントのホスト名にサービス プリンシパル名 (SPN) を登録する必要があります。 次の記事では、SPN を登録する手順について説明します。 MBAM Web サイトをセキュリティで保護する方法の計画

SPN を構成したら、SPN に制約付き委任を設定する必要があります。 これを行うためには、次の手順を実行します。

  1. Active Directory に移動し、前の手順で MBAM Web サイト用に構成したアプリ プールの資格情報を見つけます。

  2. 資格情報を右クリックし、プロパティを選択 します

  3. [ 委任 ] タブを選択します。

  4. Kerberos 認証のオプションを選択します。

  5. [ 参照] を選択し、アプリ プールの資格情報をもう一度参照します。 その後、アプリ プール creds アカウントに設定されているすべての SPN が表示されます。 (SPN は "http/bitlocker.fqdn.com" のようになります)。 MBAM インストール時に指定したホスト名と同じ SPN を強調表示します。

  6. [OK] を選択します。

これで、前提条件が適切になりました。 次の手順では、MBAM ソフトウェアをサーバーにインストールして構成します。

MBAM 2.5 サーバー ソフトウェアのインストールと構成

手順 6: MBAM 2.5 サーバー ソフトウェアをインストールする

Microsoft BitLocker 管理および監視セットアップ ウィザードを使用して、データベース サーバーと管理および監視サーバーの両方に MBAM サーバー ソフトウェアをインストールするには、次の手順に従います。

  1. MBAM をインストールするサーバーで、MBAMserversetup.exeを実行して、Microsoft BitLocker の管理と監視のセットアップ ウィザードを起動します。

  2. [ようこそ] ページで、[ 次へ] を選択します。

  3. Microsoft ソフトウェア 使用許諾契約書を読んで同意し、[ 次へ ] を選択してインストールを続行します。

  4. 更新プログラムを確認するときに Microsoft Update を使用するかどうかを決定し、[ 次へ] を選択します。

  5. カスタマー エクスペリエンス向上プログラムに参加するかどうかを決定し、[ 次へ] を選択します。

  6. インストールを開始するには、[インストール] を選択 します

  7. [ 完了] を選択します

  8. MBAM の構成を続行する前に、最新の MDOP サービス リリース更新プログラムをインストールします。それ以外の場合、データベース サーバーは認識またはサポートされず、データベース構成を検証しようとすると、構成ウィザードによってエラーが報告されます。 Microsoft Desktop Optimization Pack の 2020 年 10 月のサービス リリース

  9. MBAM を構成するには、[スタート] メニューでサーバー のインストールによって作成される MBAM サーバー構成ショートカットを使用します。

詳細については、「 MBAM 2.5 サーバー ソフトウェアのインストール」を参照してください。

手順 7: MBAM 2.5 データベースとレポート ロールを構成する

この手順では、MBAM ウィザードを使用して MBAM 2.5 データベースとレポート コンポーネントを構成します。

  1. ウィザードを使用して、コンプライアンスおよび監査データベースと回復データベースを構成します。

    1. データベースを構成するサーバーで、 MBAM サーバー構成ウィザードを起動します。 [スタート] メニューの [MBAM サーバー構成] を選択して、ウィザードを開くことができます。

    2. [ 新しい機能の追加] を選択 し、[コンプライアンスと監査データベース]、[ 回復データベースとレポート] の順に選択し、[ 次へ] を選択します。 ウィザードは、データベースのすべての前提条件が満たされていることを確認します。

    3. 前提条件のチェックが成功した場合は、[ 次へ ] を選択して続行します。 それ以外の場合は、不足している前提条件を解決し、[前提条件の確認] をもう 一度選択します

    4. 次の説明を使用して、ウィザードでフィールド値を入力します。

  2. コンプライアンスと監査データベース

    フィールド 説明
    SQL Server名 コンプライアンスおよび監査データベースを構成するサーバーの名前。
    SQL Server ポートで受信受信トラフィックを有効にするには、コンプライアンスおよび監査データベース コンピューターに例外を追加する必要があります。 既定のポート番号は 1433 です。
    SQL Server データベース インスタンス コンプライアンスと監査のデータが格納されるデータベース インスタンスの名前。 既定のインスタンスを使用している場合は、このフィールドを空白のままにする必要があります。 また、データベース情報の場所も指定する必要があります。
    データベース名 コンプライアンス データを格納するデータベースの名前。 後の手順でこの情報を指定する必要があるため、ここで指定するデータベースの名前をメモする必要があります。
    読み取り/書き込みアクセス許可ドメイン のユーザーまたはグループ 手順 2 で構成した MBAMAppPool ユーザーの名前を指定します。
    読み取り専用アクセス ドメイン ユーザーまたはグループ 手順 2 で構成した MBAMROUser ユーザーの名前を指定します。

  3. 回復データベース。

    フィールド 説明
    SQL Server名 Recovery Database を構成するサーバーの名前。 SQL Server ポートで受信受信トラフィックを有効にするには、Recovery Database コンピューターに例外を追加する必要があります。 既定のポート番号は 1433 です。
    SQL Server データベース インスタンス 復旧データが格納されるデータベース インスタンスの名前。 既定のインスタンスを使用している場合は、このフィールドを空白のままにする必要があります。 また、データベース情報の場所も指定する必要があります。
    データベース名 復旧データを格納するデータベースの名前。
    読み取り/書き込みアクセス許可ドメイン のユーザーまたはグループ Web アプリケーションがこのデータベース内のデータとレポートにアクセスできるようにするために、このデータベースに対する読み取り/書き込みアクセス許可を持つドメイン ユーザーまたはグループ。
    このフィールドにユーザーを入力する場合は、[Web アプリケーションの構成] ページの [Web サービス アプリケーション プール ドメイン アカウント] フィールドの値と同じ値にする必要があります。
    このフィールドにグループを入力する場合、[Web アプリケーションの構成] ページの [Web サービス アプリケーション プール ドメイン アカウント] フィールドの値は、このフィールドに入力するグループのメンバーである必要があります。

    エントリが完了したら、[ 次へ] を選択します。 ウィザードは、データベースのすべての前提条件が満たされていることを確認します。

    前提条件のチェックが成功した場合は、[ 次へ ] を選択して続行します。 それ以外の場合は、不足している前提条件を解決し、もう一度 [ 次へ ] を選択します。

  4. レポート。

    フィールド 説明
    インスタンスSQL Server Reporting Services レポートが構成されるSQL Server Reporting Servicesのインスタンス。 既定のインスタンスを使用している場合は、このフィールドを空白のままにする必要があります。
    レポート ロール ドメイン グループ 手順 2 で説明したように、MBAMRUGrp の名前を指定します。
    SQL Server名 コンプライアンスおよび監査データベースが構成されているサーバーの名前。
    SQL Server データベース インスタンス コンプライアンスと監査のデータが構成されているデータベース インスタンスの名前。 既定のインスタンスを使用している場合は、このフィールドを空白のままにする必要があります。
    レポート サーバーのポートで受信トラフィックを有効にするには、レポート コンピューターに例外を追加する必要があります。 (既定のポートは 80 です)。
    データベース名 コンプライアンスおよび監査データベースの名前。 既定では、データベース名は MBAM コンプライアンス状態です。
    コンプライアンスと監査データベース ドメイン アカウント 手順 2 で構成した MBAMROUser ユーザーの名前を指定します。

    エントリが完了したら、[ 次へ] を選択します。 ウィザードは、レポート機能のすべての前提条件が満たされていることを確認します。 続行するには、[次へ] を選択します。 [ 概要 ] ページで、追加される機能を確認します。

    詳細については、 MBAM 2.5 データベースを構成する方法に関する記事を参照してください。

手順 8: MBAM 2.5 Web アプリケーション ロールを構成する

  1. Web アプリケーションを構成するサーバーで、MBAM サーバー構成ウィザードを起動します。 [スタート] メニューの [MBAM サーバー構成] を選択して、ウィザードを開くことができます。

  2. [新機能の追加] を選択し、[管理と監視 Web サイトとセルフサービス ポータル] を選択し、[次へ] を選択します。 ウィザードは、データベースのすべての前提条件が満たされていることを確認します。

  3. 前提条件のチェックが成功した場合は、[ 次へ ] を選択して続行します。 それ以外の場合は、不足している前提条件を解決し、[前提条件の確認] をもう 一度選択します

  4. ウィザードでフィールド値を入力するには、次の説明を使用します。

    フィールド 説明
    セキュリティ証明書 手順 3 で以前に作成した証明書を選択して、必要に応じて、Web サービスと、管理および監視 Web サイトを構成しているサーバー間の通信を暗号化します。 [証明書を使用しない] を選択すると、Web 通信がセキュリティで保護されていない可能性があります。
    ホスト名 管理および監視 Web サイトを構成するホスト コンピューターの名前。
    マシンのホスト名である必要はありません。何でもかまいません。 ただし、ホスト名がコンピューターの netbios 名と異なる場合は、A レコードを作成し、SPN が netbios 名ではなくカスタム ホスト名を使用していることを確認する必要があります。 これは、負荷分散シナリオで一般的です。
    インストール パス 管理および監視 Web サイトをインストールするパス。
    Port Web サイト通信に使用するポート番号。
    指定したポートを介した通信を有効にするには、ファイアウォール例外を設定する必要があります。
    Web サービス アプリケーション プールのドメイン アカウントとパスワード 手順 2 で構成した MBAMAppPool ユーザーのユーザー アカウントとパスワードを指定します。
    セキュリティを強化するには、資格情報で指定されているアカウントを制限されたユーザー権限に設定します。 また、アカウントのパスワードを期限切れにならないように設定します。

  5. 組み込みのIIS_IUSRSアカウントまたはアプリケーション プール アカウントが 、認証後にクライアントを偽装 し、 バッチ ジョブとしてログオン するローカル セキュリティ設定に追加されたことを確認します。

    アカウントがローカル セキュリティ設定に追加されたかどうかを確認するには、 ローカル セキュリティ ポリシー エディターを開き、[ ローカル ポリシー] ノードを展開し、[ ユーザー権利の割り当て ] ノードを選択し、 認証後にクライアントを偽装 し、右側のウィンドウで [ バッチ ジョブ ポリシーとしてログオン ] をダブルクリックします。

  6. コンプライアンスおよび監査データベースのウィザードで接続情報を構成するには、次のフィールドの説明を使用します。

    フィールド 説明
    SQL Server名 コンプライアンスおよび監査データベースが構成されているサーバーの名前。
    SQL Server データベース インスタンス コンプライアンスおよび監査データベースが構成されているSQL Serverのインスタンスの名前 (サーバー名>など<)。 既定のインスタンスを使用している場合は、空白のままにします。
    データベース名 コンプライアンスおよび監査データベースの名前。 既定では、"MBAM コンプライアンス状態" です。

  7. 次のフィールドの説明を使用して、Recovery Database のウィザードで接続情報を構成します。

    フィールド 説明
    SQL Server名 Recovery Database が構成されているサーバーの名前。
    SQL Server データベース インスタンス Recovery Database が構成されているSQL Serverのインスタンスの名前 (サーバー名>など<)。 既定のインスタンスを使用している場合は、空白のままにします。
    データベース名 Recovery Database の名前。 既定では、"MBAM 回復とハードウェア" です。

  8. 次の説明を使用して、ウィザードのフィールド値を入力して、管理および監視 Web サイトを構成します。

    フィールド 説明
    高度なヘルプデスク ロール ドメイン グループ 手順 2 で構成した MBAMAdvHelpDsk グループの名前を指定します。
    ヘルプデスク ロール ドメイン グループ 手順 2 で構成した MBAMHelpDsk グループの名前を指定します。
    System Center Configuration Manager統合を使用する オンにすると、このチェック ボックスがオフになります。
    レポート ロール ドメイン グループ 手順 2 で構成した MBAMRUGrp グループの名前を指定します。
    SQL SERVER REPORTING SERVICES URL MBAM レポートが構成されている SSRS サーバーの Web サービス URL を指定します。 この情報は、データベース サーバーの Reporting Services Configuration Manager にログインすることで確認できます。
    完全修飾ドメイン名の例: https://MyReportServer.Contoso.com/ReportServer
    カスタム ホスト名の例: https://MyReportServer/ReportServer
    仮想ディレクトリ 管理および監視 Web サイトの仮想ディレクトリ。 この名前は、サーバー上の Web サイトの物理ディレクトリに対応し、Web サイトのホスト名に追加されます。 次に、例を示します。
    http(s)://<host name>:<port>/HelpDesk/
    仮想ディレクトリを指定しない場合は、値 HelpDesk が使用されます。

  9. ウィザードでフィールド値を入力し、Self-Service ポータルを構成するには、次の説明を使用します。

    フィールド 説明
    仮想ディレクトリ Web アプリケーションの仮想ディレクトリ。 この名前は、サーバー上の Web サイトの物理ディレクトリに対応し、Web サイトのホスト名に追加されます。 次に、例を示します。
    http(s)://<host name>:<port>/SelfService/
    仮想ディレクトリを指定しない場合は、値 "SelfService" が使用されます。

  10. エントリが完了したら、[ 次へ] を選択します。 ウィザードは、Web アプリケーションのすべての前提条件が満たされていることを確認します。

  11. [ 次へ ] を選択して続行します。

  12. [ 概要 ] ページで、追加される機能を確認します。

  13. [ 追加] を選択して Web アプリケーションをサーバーに追加し、[ 閉じる] を選択します。

MBAM 2.5 サーバー ソフトウェアをインストールした後の手順のカスタマイズと検証

手順 9: 組織のセルフサーバー ポータルをカスタマイズする

カスタム通知テキスト、会社名、詳細情報へのポインターなどを追加してSelf-Service ポータルをカスタマイズするには、「 組織のSelf-Service ポータルをカスタマイズする」を参照してください。

手順 10: クライアント コンピューターが CDN にアクセスできない場合は、セルフサーバー ポータルを構成する

クライアント コンピューターが Microsoft AJAX コンテンツ配信ネットワーク (CDN) にアクセスできるかどうかを判断します。 CDN は、特定の JavaScript ファイルに対して必要なアクセス権を Self-Service ポータルに提供します。 クライアント コンピューターが CDN にアクセスできないときにSelf-Service ポータルを構成しない場合は、会社名とサインインしているユーザーのアカウントのみが表示されます。 エラー メッセージは表示されません。

次のいずれかの操作を行います。

手順 11: MBAM 2.5 サーバー機能の構成を検証する

スタンドアロン トポロジを使用するように MBAM サーバーのデプロイを検証するには、次の手順に従います。

  1. MBAM 機能がデプロイされている各サーバーで、[コントロール パネル>プログラム>と機能] を選択します。 [プログラムと機能] の一覧に Microsoft BitLocker の管理と監視が表示されることを確認します。

    検証を実行するには、各サーバーでローカル コンピューターの管理者資格情報を持つドメイン アカウントを使用する必要があります。

  2. Recovery Database が構成されているサーバーで、SQL Server Management Studioを開き、MBAM Recovery と Hardware データベースが構成されていることを確認します。

  3. コンプライアンスおよび監査データベースが構成されているサーバーで、SQL Server Management Studioを開き、MBAM コンプライアンス状態データベースが構成されていることを確認します。

  4. レポート機能が構成されているサーバーで、管理資格情報を使用して Web ブラウザーを開き、SQL Server Reporting Services サイトのホームページを参照します。

    SQL Server Reporting Services サイト インスタンスの既定のホームページの場所は、http(s)://<MBAM Reports Server Name>:<port>/Reports.aspx です。

    実際の URL を見つけるには、Reporting Services Configuration Manager ツールを使用し、セットアップ中に指定したインスタンスを選択します。

  5. Microsoft BitLocker の管理と監視という名前のレポート フォルダーに、MaltaDataSource という名前のデータ ソースが含まれていることを確認します。 このデータ ソースには、言語ロケール (en-us など) を表す名前を持つフォルダーが含まれています。 レポートは言語フォルダーにあります。

    SQL Server Reporting Services (SSRS) が名前付きインスタンスとして構成されている場合、URL は http(s)://<MBAM Reports Server Name>:<port>/Reports_<SSRS インスタンス名のようになります。>

    SSRS が Secure Socket Layer (SSL) を使用するように構成されていない場合、MBAM サーバーをインストールすると、レポートの URL は "HTTPS" ではなく "HTTP" に設定されます。 その後、管理および監視 Web サイト (ヘルプデスクとも呼ばれます) に移動してレポートを選択すると、"セキュリティで保護されたコンテンツのみが表示されます" というメッセージが表示されます。レポートを表示するには、[ すべてのコンテンツを表示] を選択します。

  6. [管理と監視 Web サイト] 機能が構成されているサーバーで、サーバー マネージャーを実行し、[ロール] を参照して、[Web サーバー (IIS)インターネット インフォメーション サービス (IIS)> マネージャー] を選択します。

  7. [接続] で、コンピューター名>を<参照し、[サイト>] [Microsoft BitLocker の管理と監視] の順に選択します。 次のものが一覧表示されていることを確認します。

    • MBAMAdministrationService
    • MBAMComplianceStatusService
    • MBAMRecoveryAndHardwareService

  8. 管理および監視 Web サイトとSelf-Service ポータルが構成されているサーバーで、管理資格情報を使用して Web ブラウザーを開きます。

  9. 次の Web サイトを参照して、正常に読み込まれることを確認します。

    • https(s)://<MBAM 管理サーバー名>:<port>/HelpDesk/ (ナビゲーションとレポートの各リンクを確認する)
    • http(s)://<MBAM 管理サーバー名>:<port>/SelfService/

    ネットワーク暗号化を使用せずに、既定のポートでサーバー機能を構成したものとします。 サーバー機能を別のポートまたは仮想ディレクトリに構成した場合は、適切なポートを含むように URL を変更します。 たとえば、http(s)://<host name>:<port>/HelpDesk/ http(s)://<host name>:<port>/<virtualdirectory>/ サーバー機能がネットワーク暗号化を使用するように構成されている場合は、http:// を https:// に変更します。

  10. 次の Web サービスを参照して、正常に読み込まれることを確認します。 サービスが実行されていることを示すページが開きます。 ただし、ページにはメタデータは表示されません。

    • http(s)://<MBAM 管理サーバー名>:<port>/MBAMAdministrationService/AdministrationService.svc
    • http(s)://<MBAM 管理サーバー名>:<port>/MBAMUserSupportService/UserSupportService.svc
    • http(s)://<MBAM 管理サーバー名>:<port>/MBAMComplianceStatusService/StatusReportingService.svc
    • http(s)://<MBAM 管理サーバー名>:<port>/MBAMRecoveryAndHardwareService/CoreService.svc

手順 12: MBAM グループ ポリシー テンプレートを構成する

MBAM をデプロイするには、BitLocker Drive Encryption の MBAM 実装設定を定義するグループ ポリシー設定を設定する必要があります。 このタスクを完了するには、MBAM グループ ポリシー テンプレートを、管理コンソール (GPMC) または advanced グループ ポリシー Management (AGPM) グループ ポリシー実行できるサーバーまたはワークステーションにコピーし、設定を編集する必要があります。

重要

BitLocker ドライブ暗号化ノードのグループ ポリシー設定を変更しないでください。または MBAM が正しく機能しません。 MDOP MBAM (BitLocker Management) ノードでグループ ポリシー設定を構成すると、MBAM によって BitLocker ドライブ暗号化設定が自動的に構成されます。

MBAM 2.5 グループ ポリシー テンプレートのコピー

MBAM クライアントをインストールする前に、MBAM 固有のグループ ポリシー オブジェクト (GPO) を管理ワークステーションにコピーする必要があります。 これらの GPO は、BitLocker の MBAM 実装設定を定義します。 グループ ポリシー テンプレートは、サポートされている Windows ベースのサーバーまたはクライアント コンピューターであり、グループ ポリシー管理コンソール (GPMC) または Advanced グループ ポリシー Management (AGPM) を実行できる任意のサーバーまたはワークステーションにコピーできます。

詳細については、「MBAM 2.5 グループ ポリシー テンプレートのコピー」を参照してください。

MBAM 2.5 GPO 設定の編集

必要な GPO を作成したら、MBAM グループ ポリシー設定を組織のクライアント コンピューターに展開する必要があります。 GPO を表示して作成するには、グループ ポリシー管理コンソール (GPMC) または advanced グループ ポリシー Management (AGPM) がインストールされている必要があります。

詳細については、「MBAM 2.5 グループ ポリシー設定の編集」および「MBAM 2.5 グループ ポリシー要件の計画」を参照してください。

手順 13: MBAM 2.5 クライアントのデプロイ

Microsoft BitLocker 管理および監視クライアント ソフトウェアを展開するタイミングに応じて、ユーザーがコンピューターを受け取る前に、またはエンタープライズ ソフトウェア展開システムを使用して MBAM クライアント ソフトウェアを展開グループ ポリシー構成することで、組織内のコンピューターで BitLocker を有効にすることができます。

デスクトップまたはポータブル コンピューターに MBAM クライアントを展開する

グループ ポリシー設定を構成した後、Microsoft System Center 2012 Configuration Managerや Active Directory Domain Services (AD DS) などのエンタープライズ ソフトウェア展開システム製品を使用して、MBAM クライアント インストール Windows インストーラー ファイルをターゲット コンピューターに展開できます。 32 ビットまたは 64 ビットのMbamClientSetup.exeファイル、または 32 ビットまたは 64 ビットのMBAMClient.msi ファイルを使用できます。 これらは MBAM クライアント ソフトウェアと共に提供されます。

詳細については、「 デスクトップまたはノート PC に MBAM クライアントを展開する方法」を参照してください。

Windows 展開の一部として MBAM クライアントを展開する

コンピューターが一元的に受信および構成されている組織では、MBAM クライアントをインストールして、ユーザー データが書き込まれる前に、各コンピューターで BitLocker ドライブ暗号化を管理できます。 このプロセスの利点は、すべてのコンピューターが BitLocker に準拠していることです。 管理者がコンピューターを既に暗号化しているため、このメソッドはユーザーアクションに依存しません。 このシナリオの主な前提は、組織のポリシーは、コンピューターがユーザーに配信される前に企業の Windows イメージをインストールすることです。 グループ ポリシー設定が PIN を必要とするように構成されている場合、ユーザーはポリシーを受け取った後に PIN を設定するように求められます。

詳細については、「 Windows 展開の一部として MBAM クライアントを展開する方法」を参照してください

コマンド ラインを使用して MBAM クライアントをデプロイする方法

詳細については、「 コマンド ラインを使用して MBAM クライアントをデプロイする方法」を参照してください。

クライアントの展開後

デプロイ アクティビティが完了したら、次のログを確認し、クライアントが MBAM データベースに正常にレポートしているかどうかを判断する必要があります。

FAQ

負荷分散された IIS サーバーを作成する方法

  • SPN はフレンドリ名 (例: bitlocker.corp.net) にのみ登録する必要があり、個々の IIS サーバーに登録することはできません。

  • 証明書を使用する場合、証明書には、負荷分散グループ内のすべての IIS サーバーとフレンドリ名 (例: bitlocker.corp.net) の サブジェクトの別名 フィールドに FQDN と NetBIOS の両方の名前が入力されている必要があります。 それ以外の場合、負荷分散されたアドレスを参照すると、証明書はブラウザーによって信頼されていないと報告されます。

詳細については、「 IIS ネットワーク負荷分散アプリケーション プール アカウントの SPN の登録」を参照してください。

証明書を構成する方法

  • 2 つの証明書が必要です。 1 つの証明書が SQL サーバーに使用され、もう 1 つの証明書が IIS に使用されます。 MBAM インストールを開始する前に、インストールする必要があります。

  • インストーラーを使用して、web.config ファイルを手動で編集するのではなく、IIS 構成に証明書を追加することをお勧めします。

  • 証明書の "発行先" フィールドがサーバーの名前と一致しない場合、証明書は MBAM Configurator によって受け入れされません。 この場合は、IIS コンソールから自己署名証明書を一時的に作成し、Configurator で使用します。 これにより、SSL と HTTPS 用にWeb Appsがインストールされていることを確認できます。 その後、MBAM Web サイトの IIS バインドから証明書を 1 に変更できます。

インストールの SQL アクセス許可の要件

MBAM アプリ プールのアカウントを作成し、SecurityAdmin、Public、DBCreator のアクセス許可のみを付与します。

詳細については、「 MBAM データベースの構成 - 最小限のアクセス許可 」を参照してください。

  • 場合によっては、初期インストールとアップグレード操作にさらに多くのアクセス許可が必要になります。
  • インストールに一時的な SA を持つアカウントを使用します。
  • インストール エラーが発生するため、SQL Serverを変更するのに十分なアクセス許可を持たないユーザー アカウント (実行ユーザー) のコンテキストで Configurator を起動しないでください。
  • SQL Serverに対するアクセス許可を持つアカウントを使用してログオンする必要があります。 MBAM Configurator をリモートで実行して作成または更新できるのは、SQL Serverデータベースのみです。 SSRS サーバーの場合、MBAM SSRS レポートをインストールまたは更新するには、MBAM をインストールし、Configurator をローカルで実行する必要があります。

SPN 登録に必要なアクセス許可

IIS ポータルのインストールに使用されるアカウントには、ServicePrincipalName の書き込みと検証済み SPN の書き込みアクセス許可が必要です。 これらのアクセス許可がないと、インストールによって、SPN を登録できないことを示す警告メッセージが返されます。

これにより、この警告メッセージが 2 回表示されます。 これは、SPN に 2 つのオブジェクトが登録されている必要があることを意味するものではありません。

ADMX テンプレートを最新バージョンに更新する必要がありますか?

ADMX テンプレートを最新バージョンに更新すると、GPO の MBAM ルート ノードに複数の OS オプションが表示されます。 たとえば、Windows 7、Windows 8.1、Windows 10、バージョン 1511 以降のバージョンなどです。

ADMX テンプレートを更新する方法の詳細については、次の記事を参照してください。