MBAM 2.5 グループとアカウントの計画
適用対象: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1
このトピックでは、Microsoft BitLocker Administration and Monitoring (MBAM) のデータベース、レポート、および Web アプリケーションに対するセキュリティとアクセス権を提供するために Active Directory ドメイン サービス (AD DS) で作成する必要のあるロールとアカウントについて説明します。それぞれのロールとアカウントに対応するフィールドが MBAM サーバー構成ウィザードで提供されます。これらのアカウントに対応する Windows PowerShell のコマンドレットとパラメーターをまとめた一覧については、「Required accounts and corresponding Windows PowerShell cmdlet parameters」をご覧ください。
注意
MBAM では、管理されたサービス アカウントの使用はサポートしていません。
データベース用アカウント
準拠と監査データベースおよび回復データベース用に、次のアカウントを作成します。
アカウントの名前と目的 | アカウントの種類 | このアカウントに対応する MBAM サーバー構成ウィザードのフィールド | このアカウントに対応する MBAM サーバー構成ウィザードのフィールドの説明 |
---|---|---|---|
レポートのための準拠と監査データベースおよび回復データベース読み取り/書き込みのユーザーまたはグループ |
ユーザーまたはグループ |
読み取り/書き込みアクセス ドメイン ユーザーまたはグループ |
準拠と監査データベースおよび回復データベースへの読み取り/書き込みアクセス権を持つドメイン ユーザーまたはグループ。Web アプリケーションは、このアカウントを使用してこれらのデータベース内のデータとレポートにアクセスする。 このフィールドにユーザー名を入力する場合は、[Web アプリケーションの構成] ページの [Web サービス アプリケーション プールのドメイン アカウント] フィールドの値と同じ値を入力する必要があります。 このフィールドにグループ名を入力する場合は、[Web アプリケーションの構成] ページの [Web サービス アプリケーション プールのドメイン アカウント] フィールドの値が、このフィールドに入力するグループのメンバーである必要があります。 |
レポートのための準拠と監査データベース読み取り専用のユーザーまたはグループ |
ユーザーまたはグループ |
読み取り専用アクセス ドメイン ユーザーまたはグループ |
準拠と監査データベースへの読み取り専用アクセス権を持つユーザーまたはグループの名前。レポートは、このアカウントを使用してこのデータベース内の準拠と監査データにアクセスする。 このフィールドにユーザー名を入力する場合は、[レポートの構成] ページの [準拠と監査データベース ドメイン アカウント] フィールドで指定したユーザーと同じユーザーの名前を入力する必要があります。 このフィールドにグループ名を入力する場合は、[レポートの構成] ページの [準拠と監査データベース ドメイン アカウント] フィールドで指定した値が、このフィールドに入力するグループのメンバーである必要があります。 |
レポート用アカウント
レポート機能用に、次のアカウントを作成します。
アカウントの名前/目的 | アカウントの種類 | このアカウントに対応する MBAM サーバー構成ウィザードのフィールド | このアカウントに対応する MBAM サーバー構成ウィザードのフィールドの説明 |
---|---|---|---|
レポート読み取り専用アクセス ドメイン グループ |
グループ |
レポート ロール ドメイン グループ |
メンバーが Administration and Monitoring Web サイトのレポートへの読み取り専用アクセス権を持つドメイン グループの名前。 |
準拠と監査データベース ドメイン ユーザー アカウント |
ユーザー |
準拠と監査データベースのドメイン アカウント |
ローカルの SQL Server Reporting Services インスタンスが準拠と監査データベースにアクセスするために使用するドメイン ユーザー アカウントおよびパスワード。このアカウントは、SQL Server Reporting Services サーバーへのバッチとしてログオン権限が必要です。 [データベースの構成] ページの [読み取り専用アクセス ドメイン ユーザーまたはグループ] フィールドに値としてユーザー名を入力している場合には、このフィールドに同じ値を入力する必要があります。 [データベースの構成] ページの [読み取り専用アクセス ドメイン ユーザーまたはグループ] フィールドに値としてグループ名を入力している場合には、このフィールドに入力する値はそのグループのメンバーにする必要があります。 また、このアカウントのパスワードが期限切れにならないように構成します。このユーザー アカウントは、MBAM レポートのユーザー グループに使用可能なすべてのデータにアクセスできる必要があります。 |
Administration and Monitoring Web サイト (ヘルプ デスク) アカウント
Administration and Monitoring Web サイト用に、次のアカウントを作成します。
アカウントの名前/目的 | アカウントの種類 | このアカウントに対応する MBAM サーバー構成ウィザードのフィールド | このアカウントに対応する MBAM サーバー構成ウィザードのフィールドの説明 |
---|---|---|---|
Web サービス アプリケーション プール ドメイン アカウント |
ユーザー |
Web サービス アプリケーション プール ドメイン アカウント |
Web アプリケーションのアプリケーション プールが使用するドメイン ユーザー アカウント。 [データベースの構成] ページの [読み取り/書き込みアクセス ドメイン ユーザーまたはグループ] フィールドにユーザー名を入力した場合は、このフィールドに同じ値を入力する必要があります。 [データベースの構成] ページの [読み取り/書き込みアクセス ドメイン ユーザーまたはグループ] フィールドにグループ名を入力した場合は、このフィールドに入力する値をそのグループのメンバーにする必要があります。 資格情報を指定しなかった場合には、以前に有効にした Web アプリケーションで指定された資格情報が使用されます。すべての Web アプリケーションが同じアプリケーション プール資格情報を使用する必要があります。Web アプリケーション間で異なる資格情報を指定した場合には、直前に指定された値が使用されます。 重要 セキュリティ強化のため、資格情報で指定されているアカウントには制限付きのユーザー権限を設定してください。 |
MBAM 高度なヘルプデスク ユーザー アクセス グループ |
グループ |
MBAM 高度なヘルプデスク ユーザー |
メンバーが Administration and Monitoring Web サイトのすべての回復領域へのアクセス権を持つドメイン ユーザー グループ。このロールを持つユーザーは、エンド ユーザーのドライブの回復をサポートする際、回復キーのみを入力すればよく、エンド ユーザーのドメインとユーザー名を入力する必要がありません。ユーザーが MBAM ヘルプデスク ユーザー グループと MBAM 高度なヘルプデスク ユーザー グループの両方に属している場合、MBAM 高度なヘルプデスク ユーザー グループのアクセス許可が、MBAM ヘルプデスク ユーザー グループのアクセス許可より優先されます。 |
MBAM ヘルプデスク ユーザー アクセス グループ |
グループ |
MBAM ヘルプデスク ユーザー |
メンバーが MBAM Administration and Monitoring Web サイトの [TPM の管理] 領域と [ドライブの回復] 領域へのアクセス権を持つドメイン ユーザー グループ。このロールを持つユーザーは、いずれかのオプションを使用するときに、エンド ユーザーのドメインやアカウント名など、すべてのフィールドに入力する必要があります。 ユーザーが MBAM ヘルプデスク ユーザー グループと MBAM 高度なヘルプデスク ユーザー グループの両方に属している場合、MBAM 高度なヘルプデスク ユーザー グループのアクセス許可が、MBAM ヘルプデスク ユーザー グループのアクセス許可より優先されます。 |
MBAM レポート ユーザー アクセス グループ |
グループ |
MBAM レポートのユーザー |
メンバーが Administration and Monitoring Web サイトの [レポート] 領域内のレポートへの読み取り専用アクセス権を持つドメイン ユーザー グループ。 |
MBAM データ移行ユーザー グループ |
グループ |
MBAM データ移行ユーザー |
MBAM サーバーで実行されている MBAM 回復とハードウェア サービスを利用してデータを MBAM に書き込む許可がメンバーに与えられているオプションのドメイン ユーザー グループ。このアカウントは一般的に Write-Mbam* コマンドレットと共に使用され、回復と TPM のデータを Active Directory から MBAM データベースに書き込みます。 詳細については、「MBAM 2.5 のセキュリティ上の考慮事項」をご覧ください。 |
MBAM への提案はございますか。
こちらから提案を追加するか、提案に投票してください。MBAM の問題については、「MBAM に関する TechNet フォーラム」を利用してください。