MBAM 2.5 グループとアカウントの計画

[アーティクル]
11/17/2015

適用対象: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

このトピックでは、Microsoft BitLocker Administration and Monitoring (MBAM) のデータベース、レポート、および Web アプリケーションに対するセキュリティとアクセス権を提供するために Active Directory ドメインサービス (AD DS) で作成する必要のあるロールとアカウントについて説明します。それぞれのロールとアカウントに対応するフィールドが MBAM サーバー構成ウィザードで提供されます。これらのアカウントに対応する Windows PowerShell のコマンドレットとパラメーターをまとめた一覧については、「Required accounts and corresponding Windows PowerShell cmdlet parameters」をご覧ください。

注意

MBAM では、管理されたサービスアカウントの使用はサポートしていません。

データベース用アカウント

準拠と監査データベースおよび回復データベース用に、次のアカウントを作成します。

アカウントの名前と目的	アカウントの種類	このアカウントに対応する MBAM サーバー構成ウィザードのフィールド	このアカウントに対応する MBAM サーバー構成ウィザードのフィールドの説明
レポートのための準拠と監査データベースおよび回復データベース読み取り/書き込みのユーザーまたはグループ	ユーザーまたはグループ	読み取り/書き込みアクセスドメインユーザーまたはグループ	準拠と監査データベースおよび回復データベースへの読み取り/書き込みアクセス権を持つドメインユーザーまたはグループ。Web アプリケーションは、このアカウントを使用してこれらのデータベース内のデータとレポートにアクセスする。このフィールドにユーザー名を入力する場合は、[Web アプリケーションの構成] ページの [Web サービスアプリケーションプールのドメインアカウント] フィールドの値と同じ値を入力する必要があります。このフィールドにグループ名を入力する場合は、[Web アプリケーションの構成] ページの [Web サービスアプリケーションプールのドメインアカウント] フィールドの値が、このフィールドに入力するグループのメンバーである必要があります。
レポートのための準拠と監査データベース読み取り専用のユーザーまたはグループ	ユーザーまたはグループ	読み取り専用アクセスドメインユーザーまたはグループ	準拠と監査データベースへの読み取り専用アクセス権を持つユーザーまたはグループの名前。レポートは、このアカウントを使用してこのデータベース内の準拠と監査データにアクセスする。このフィールドにユーザー名を入力する場合は、[レポートの構成] ページの [準拠と監査データベースドメインアカウント] フィールドで指定したユーザーと同じユーザーの名前を入力する必要があります。このフィールドにグループ名を入力する場合は、[レポートの構成] ページの [準拠と監査データベースドメインアカウント] フィールドで指定した値が、このフィールドに入力するグループのメンバーである必要があります。

アカウントの名前と目的

アカウントの種類

このアカウントに対応する MBAM サーバー構成ウィザードのフィールド

このアカウントに対応する MBAM サーバー構成ウィザードのフィールドの説明

レポートのための準拠と監査データベースおよび回復データベース読み取り/書き込みのユーザーまたはグループ

ユーザーまたはグループ

読み取り/書き込みアクセスドメインユーザーまたはグループ

準拠と監査データベースおよび回復データベースへの読み取り/書き込みアクセス権を持つドメインユーザーまたはグループ。Web アプリケーションは、このアカウントを使用してこれらのデータベース内のデータとレポートにアクセスする。

このフィールドにユーザー名を入力する場合は、[Web アプリケーションの構成] ページの [Web サービスアプリケーションプールのドメインアカウント] フィールドの値と同じ値を入力する必要があります。

このフィールドにグループ名を入力する場合は、[Web アプリケーションの構成] ページの [Web サービスアプリケーションプールのドメインアカウント] フィールドの値が、このフィールドに入力するグループのメンバーである必要があります。

レポートのための準拠と監査データベース読み取り専用のユーザーまたはグループ

ユーザーまたはグループ

読み取り専用アクセスドメインユーザーまたはグループ

準拠と監査データベースへの読み取り専用アクセス権を持つユーザーまたはグループの名前。レポートは、このアカウントを使用してこのデータベース内の準拠と監査データにアクセスする。

このフィールドにユーザー名を入力する場合は、[レポートの構成] ページの [準拠と監査データベースドメインアカウント] フィールドで指定したユーザーと同じユーザーの名前を入力する必要があります。

このフィールドにグループ名を入力する場合は、[レポートの構成] ページの [準拠と監査データベースドメインアカウント] フィールドで指定した値が、このフィールドに入力するグループのメンバーである必要があります。

レポート用アカウント

レポート機能用に、次のアカウントを作成します。

アカウントの名前/目的	アカウントの種類	このアカウントに対応する MBAM サーバー構成ウィザードのフィールド	このアカウントに対応する MBAM サーバー構成ウィザードのフィールドの説明
レポート読み取り専用アクセスドメイングループ	グループ	レポートロールドメイングループ	メンバーが Administration and Monitoring Web サイトのレポートへの読み取り専用アクセス権を持つドメイングループの名前。
準拠と監査データベースドメインユーザーアカウント	ユーザー	準拠と監査データベースのドメインアカウント	ローカルの SQL Server Reporting Services インスタンスが準拠と監査データベースにアクセスするために使用するドメインユーザーアカウントおよびパスワード。このアカウントは、SQL Server Reporting Services サーバーへのバッチとしてログオン権限が必要です。 [データベースの構成] ページの [読み取り専用アクセスドメインユーザーまたはグループ] フィールドに値としてユーザー名を入力している場合には、このフィールドに同じ値を入力する必要があります。 [データベースの構成] ページの [読み取り専用アクセスドメインユーザーまたはグループ] フィールドに値としてグループ名を入力している場合には、このフィールドに入力する値はそのグループのメンバーにする必要があります。また、このアカウントのパスワードが期限切れにならないように構成します。このユーザーアカウントは、MBAM レポートのユーザーグループに使用可能なすべてのデータにアクセスできる必要があります。

アカウントの名前/目的

アカウントの種類

このアカウントに対応する MBAM サーバー構成ウィザードのフィールド

このアカウントに対応する MBAM サーバー構成ウィザードのフィールドの説明

レポート読み取り専用アクセスドメイングループ

グループ

レポートロールドメイングループ

メンバーが Administration and Monitoring Web サイトのレポートへの読み取り専用アクセス権を持つドメイングループの名前。

準拠と監査データベースドメインユーザーアカウント

ユーザー

準拠と監査データベースのドメインアカウント

ローカルの SQL Server Reporting Services インスタンスが準拠と監査データベースにアクセスするために使用するドメインユーザーアカウントおよびパスワード。このアカウントは、SQL Server Reporting Services サーバーへのバッチとしてログオン権限が必要です。

[データベースの構成] ページの [読み取り専用アクセスドメインユーザーまたはグループ] フィールドに値としてユーザー名を入力している場合には、このフィールドに同じ値を入力する必要があります。

[データベースの構成] ページの [読み取り専用アクセスドメインユーザーまたはグループ] フィールドに値としてグループ名を入力している場合には、このフィールドに入力する値はそのグループのメンバーにする必要があります。

また、このアカウントのパスワードが期限切れにならないように構成します。このユーザーアカウントは、MBAM レポートのユーザーグループに使用可能なすべてのデータにアクセスできる必要があります。

Administration and Monitoring Web サイト (ヘルプデスク) アカウント

Administration and Monitoring Web サイト用に、次のアカウントを作成します。

アカウントの名前/目的	アカウントの種類	このアカウントに対応する MBAM サーバー構成ウィザードのフィールド	このアカウントに対応する MBAM サーバー構成ウィザードのフィールドの説明
Web サービスアプリケーションプールドメインアカウント	ユーザー	Web サービスアプリケーションプールドメインアカウント	Web アプリケーションのアプリケーションプールが使用するドメインユーザーアカウント。 [データベースの構成] ページの [読み取り/書き込みアクセスドメインユーザーまたはグループ] フィールドにユーザー名を入力した場合は、このフィールドに同じ値を入力する必要があります。 [データベースの構成] ページの [読み取り/書き込みアクセスドメインユーザーまたはグループ] フィールドにグループ名を入力した場合は、このフィールドに入力する値をそのグループのメンバーにする必要があります。資格情報を指定しなかった場合には、以前に有効にした Web アプリケーションで指定された資格情報が使用されます。すべての Web アプリケーションが同じアプリケーションプール資格情報を使用する必要があります。Web アプリケーション間で異なる資格情報を指定した場合には、直前に指定された値が使用されます。重要セキュリティ強化のため、資格情報で指定されているアカウントには制限付きのユーザー権限を設定してください。
MBAM 高度なヘルプデスクユーザーアクセスグループ	グループ	MBAM 高度なヘルプデスクユーザー	メンバーが Administration and Monitoring Web サイトのすべての回復領域へのアクセス権を持つドメインユーザーグループ。このロールを持つユーザーは、エンドユーザーのドライブの回復をサポートする際、回復キーのみを入力すればよく、エンドユーザーのドメインとユーザー名を入力する必要がありません。ユーザーが MBAM ヘルプデスクユーザーグループと MBAM 高度なヘルプデスクユーザーグループの両方に属している場合、MBAM 高度なヘルプデスクユーザーグループのアクセス許可が、MBAM ヘルプデスクユーザーグループのアクセス許可より優先されます。
MBAM ヘルプデスクユーザーアクセスグループ	グループ	MBAM ヘルプデスクユーザー	メンバーが MBAM Administration and Monitoring Web サイトの [TPM の管理] 領域と [ドライブの回復] 領域へのアクセス権を持つドメインユーザーグループ。このロールを持つユーザーは、いずれかのオプションを使用するときに、エンドユーザーのドメインやアカウント名など、すべてのフィールドに入力する必要があります。ユーザーが MBAM ヘルプデスクユーザーグループと MBAM 高度なヘルプデスクユーザーグループの両方に属している場合、MBAM 高度なヘルプデスクユーザーグループのアクセス許可が、MBAM ヘルプデスクユーザーグループのアクセス許可より優先されます。
MBAM レポートユーザーアクセスグループ	グループ	MBAM レポートのユーザー	メンバーが Administration and Monitoring Web サイトの [レポート] 領域内のレポートへの読み取り専用アクセス権を持つドメインユーザーグループ。
MBAM データ移行ユーザーグループ	グループ	MBAM データ移行ユーザー	MBAM サーバーで実行されている MBAM 回復とハードウェアサービスを利用してデータを MBAM に書き込む許可がメンバーに与えられているオプションのドメインユーザーグループ。このアカウントは一般的に Write-Mbam* コマンドレットと共に使用され、回復と TPM のデータを Active Directory から MBAM データベースに書き込みます。詳細については、「MBAM 2.5 のセキュリティ上の考慮事項」をご覧ください。

MBAM への提案はございますか。

こちらから提案を追加するか、提案に投票してください。MBAM の問題については、「MBAM に関する TechNet フォーラム」を利用してください。

Share via

MBAM 2.5 グループとアカウントの計画

データベース用アカウント

レポート用アカウント

Administration and Monitoring Web サイト (ヘルプデスク) アカウント

MBAM への提案はございますか。

関連項目

その他の参照情報

その他のリソース

Share via

MBAM 2.5 グループとアカウントの計画

データベース用アカウント

レポート用アカウント

Administration and Monitoring Web サイト (ヘルプ デスク) アカウント

MBAM への提案はございますか。

関連項目

その他の参照情報

その他のリソース

Administration and Monitoring Web サイト (ヘルプデスク) アカウント