MBAM 2.5 Web アプリケーションを構成する方法

  • [アーティクル]

適用対象: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

このトピックでは、推奨される MBAM 2.5 の高レベル アーキテクチャ向けの Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 Web アプリケーションを構成する方法について説明します。利用できる方法は以下の 2 つがあります。

  • Windows PowerShell コマンドレット

  • MBAM サーバー構成ウィザード

Web アプリケーションは、以下の Web サイトおよびそれに対応する Web サービスから成るものです。

Web サイト 説明

Administration and Monitoring Web サイト

指定されたユーザーがレポートを閲覧したり、エンド ユーザーが PIN またはパスワードを忘れてしまった場合にコンピューターを回復したりすることができる Web サイト

セルフサービス ポータル

エンド ユーザーが PIN またはパスワードを忘れてしまった場合にアクセスし、自分でコンピューターへのアクセス権を再取得するための Web サイト

構成を始める前に:

手順 手順の詳細な説明

MBAM の推奨アーキテクチャを確認します。

MBAM 2.5 の高レベル アーキテクチャ

MBAM がサポートする構成を確認します。

MBAM 2.5 がサポートされる構成

各サーバーに対して前提条件となる事項を完了します。

注意

Administration and Monitoring Web サイトを構成する前に、SQL Server Reporting Services (SSRS) で Secure Sockets Layer (SSL) を使用するように構成してください。そのようにしないと、レポート機能で HTTPS ではなく HTTP が使用されます。

Web サイトのアプリケーション プール アカウント用のサービス プリンシパル名 (SPN) を登録します。この手順は、Active Directory ドメイン サービス (AD DS) で管理ドメインに対する権限が認められていない場合にのみ必要になります。AD DS でこの権限が認められている場合には、MBAM によって SPN が作成されます。

Registering SPNs when you’re using a virtual host name

MBAM サーバーの機能の構成先となるすべてのサーバーに MBAM サーバー ソフトウェアをインストールします。

注意

あるサーバーに Web サイトをインストールし、Web サービスをそれとは別のサーバーにインストールする計画の場合には、構成に Enable-MbamWebApplication Windows PowerShell コマンドレットを使用する必要があります。MBAM サーバー構成ウィザードでは、この 2 つを別個のサーバーに置く構成をサポートしていません。

MBAM 2.5サーバー ソフトウェアのインストール

MBAM サーバーの機能の構成にコマンドレットを使用する計画の場合には、Windows PowerShell の前提条件を確認します。

Windows PowerShell を使用した MBAM 2.5 サーバー機能の構成

Windows PowerShell を使用して Web アプリケーションを構成する方法

  1. 構成を始める前に、「Windows PowerShell を使用した MBAM 2.5 サーバー機能の構成」で Windows PowerShell を使用する前提条件を確認します。

  2. Enable-MbamWebApplication コマンドレットを使用して、Windows PowerShell を使用する Web アプリケーションを構成します。このコマンドレットに関する情報を取得するには、「Get-Help Enable-MbamWebApplication」と入力します。

ウィザードを使用してすべての Web アプリケーションの設定を構成する方法

  1. Web アプリケーションを構成するサーバーで、MBAM サーバー構成ウィザードを起動します。[スタート] メニューの [MBAM サーバー構成] を選択してウィザードを開きます。

  2. [新しい機能の追加] をクリックして [Administration and Monitoring Web サイト] および [セルフサービス ポータル] を選択し、[次へ] をクリックします。ウィザードによって、Web アプリケーションに必要な前提条件がすべて満たされているかどうかが確認されます。

  3. 前提条件のチェックで合格した場合は、[次へ] をクリックして続行します。それ以外の場合は、不足している前提条件をすべて解決して、[前提条件を再チェックする] をクリックします。

  4. 次の説明を読んで、ウィザードのフィールドの値を入力します。

    フィールド 説明

    セキュリティ証明書

    Web サービスと、Web サイトを構成するサーバーとの間の通信を暗号化する場合には、事前に作成しておいた証明書を選択します。[証明書を使用しない] を選択すると、Web コミュニケーションのセキュリティが確保されなくなります。

    ホスト名

    Web サイトを構成するホスト コンピューターの名前です。

    インストール パス

    Web サイトをインストールするパスです。

    ポート

    Web サイトとサービスの通信に使用するポート番号です。

    注意

    指定したポートを通信が通過できるように、ファイアウォールの例外を設定する必要があります。

    Web サービス アプリケーション プールのドメイン アカウントおよびパスワード

    Web サービス アプリケーション プールのドメイン ユーザー アカウントおよびパスワード。

    [データベースの構成] ページの [読み取り/書き込みアクセス ドメイン ユーザーまたはグループ] フィールドにユーザー名を入力した場合は、このフィールドに同じ値を入力する必要があります。

    [データベースの構成] ページの [読み取り/書き込みアクセス ドメイン ユーザーまたはグループ] フィールドにグループ名を入力した場合は、このフィールドに入力する値をそのグループのメンバーにする必要があります。

    資格情報を指定しなかった場合には、以前に有効にした Web アプリケーションで指定された資格情報が使用されます。すべての Web アプリケーションが同じアプリケーション プール資格情報を使用する必要があります。Web アプリケーション間で異なる資格情報を指定した場合には、直前に指定された値が使用されます。

    重要

    セキュリティ強化のため、資格情報で指定されているアカウントには制限付きのユーザー権限を設定してください。また、このアカウントのパスワードは期限切れにならないように設定してください。

  5. あらかじめ組み込まれている IIS_IUSRS アカウントとアプリケーション プール アカウントのどちらかが [認証後にクライアントを偽装] および [バッチ ジョブとしてログオン] のローカル セキュリティ設定に追加されていることを確認します。

    ここに挙げたアカウントがローカル セキュリティ設定に追加されているかどうかを確認するには、[ローカル セキュリティ ポリシー] エディターを開いて [ローカル ポリシー] ノードを展開し、[ユーザー権利の割り当て] ノードを選択して、右側のウィンドウの [認証後にクライアントを偽装] ポリシーおよび [バッチ ジョブとしてログオン] をダブルクリックします。

ウィザードを使用してデータベースの接続情報を構成する方法

  1. フィールドに関する以下の説明に従って、ウィザードで準拠と監査データベースの接続情報を構成します。

    フィールド 説明

    SQL Server 名

    準拠と監査データベースを構成するサーバーの名前。

    SQL Server データベース インスタンス

    コンプライアンスおよび監査データベースを構成する SQL Server インスタンスの名前です。

    データベース名

    準拠と監査データベースの名前。

  2. フィールドに関する以下の説明に従って、ウィザードで回復データベースの接続情報を構成します。

    フィールド 説明

    SQL Server 名

    回復データベースを構成するサーバーの名前。

    SQL Server データベース インスタンス

    回復データベースを構成する SQL Server インスタンスの名前です。

    データベース名

    回復データベースの名前。

ウィザードを使用して Web アプリケーションを構成する方法

  1. 以下の説明に従ってウィザードでフィールドの値を入力し、Administration and Monitoring Web サイトを構成します。

    フィールド 説明

    高度なヘルプデスク ロール ドメイン グループ

    ドメイン ユーザー グループの 1 つ。このグループのメンバーは、Administration and Monitoring Web サイトの領域のうち、レポート領域以外のあらゆる部分にアクセスできます。

    ヘルプデスク ロール ドメイン グループ

    ドメイン ユーザー グループの 1 つ。このグループのメンバーは、Administration and Monitoring Web サイトの [TPM の管理] および [ドライブの回復] の領域にアクセスできます。

    System Center Configuration Manager 統合を使用する

    Configuration Manager 統合トポロジで MBAM を構成する場合には、このチェック ボックスをオンにします。このチェック ボックスをオンにすると、回復の監査レポートを除くレポートがすべて、Administration and Monitoring Web サイトではなく Configuration Manager に表示されます。

    レポート ロール ドメイン グループ

    ドメイン ユーザー グループの 1 つ。このグループのメンバーは、Administration and Monitoring Web サイトのレポート領域に読み取りアクセス権が認められています。

    SQL Server Reporting Services の URL

    MBAM レポートが構成される SSRS サーバーの URL。

    レポートの URL の例:

     

    ホスト名の種類

    完全修飾ドメイン名の例

    https://MyReportServer.Contoso.com/ReportServer

    カスタム ホスト名の例

    https://MyReportServer/ReportServer

    仮想ディレクトリ

    Administration and Monitoring Web サイトの仮想ディレクトリ。この名前は、サーバーでの Web サイトの物理ディレクトリに対応するものであり、Web サイトのホスト名に付加します。例を以下に示します。

    http(s)://<ホスト名>:<ポート>/HelpDesk/

    仮想ディレクトリを指定しなかった場合には、値 HelpDesk が使用されます。

    データ移行ロール ドメイン グループ (省略可能)

    Write-Mbam*Information コマンドレットを使用してこのエンドポイント経由で回復情報を書き込むためのアクセス権を持つメンバーを含むドメイン ユーザー グループです。

  2. 以下の説明に従ってウィザードでフィールドの値を入力し、セルフサービス ポータルを構成します。

    フィールド 説明

    仮想ディレクトリ

    Web アプリケーションの仮想ディレクトリです。この名前は、サーバーでの Web サイトの物理ディレクトリに対応するものであり、Web サイトのホスト名に付加します。例を以下に示します。

    http(s)://<ホスト名>:<ポート>/SelfService/

    仮想ディレクトリを指定しなかった場合には、値 SelfService が使用されます。

    会社名

    セルフサービス ポータルの会社名を指定します。例:

    Contoso IT

    この会社名は、すべてのセルフサービス ポータル ユーザーに対して表示されます。

    ヘルプデスク URL テキスト

    組織のヘルプデスク Web サイトにユーザーを促す文章を指定します。例:

    ヘルプ デスクまたは IT 部門の連絡先

    ヘルプデスク URL

    組織のヘルプデスクの Web サイトの URL を指定します。例:

    http(s)://<companyHelpdeskURL>/

    通知テキスト ファイル

    セルフサービス ポータルのランディング ページでユーザーに表示する通知を含むファイルを選択します。

    ユーザーに通知テキストを表示しない

    通知テキストをユーザーに表示しない場合、このチェック ボックスをオンにします。

  3. 入力が完了したら、[次へ] をクリックします。

    ウィザードによって、Web アプリケーションに必要な前提条件がすべて満たされているかどうかが確認されます。

  4. [次へ] を選択して続行します。

  5. [概要] ページで、追加する機能を確認します。

    注意

    入力した内容の Windows PowerShell スクリプトを作成する場合には、[PowerShell スクリプトのエクスポート] をクリックして、スクリプトを保存します。

  6. [追加] をクリックしてサーバーに Web アプリケーションを追加し、[閉じる] をクリックします。

    独自の注意のテキスト、会社名、詳細情報へのポインターなどを追加してセルフサービス ポータルをカスタマイズする方法については、「組織のセルフサービス ポータルのカスタマイズ」をご覧ください。

クライアント コンピューターが CDN にアクセスできない場合にセルフサービス ポータルを構成する方法

  1. Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1 を実行しているかどうかを判断します。実行している場合は何もしません。セルフサービス ポータルの構成は完了です。

    注意

    Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1 はセットアップで JavaScript ファイルをインストールするので、セルフサービス ポータルを構成するために Microsoft Ajax Content Delivery Network に接続する必要はありません。SP1 より前のバージョンの Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 を使用している場合にのみ、以下の手順を実行する必要があります。

  2. クライアント コンピューターが Microsoft Ajax コンテンツ配信ネットワーク (CDN) にアクセスできるかどうかを確認します。

    CDN は、セルフサービス ポータルに対して、必要とされる JavaScript ファイルへのアクセス権を付与するものです。クライアント コンピューターが CDN にアクセスできない場合に、セルフサービス ポータルを構成していないときは、会社名およびエンド ユーザーがサインインに使用したアカウントのみが表示されます。エラー メッセージが表示されることはありません。

  3. 次のいずれかを実行してください。

    MBAM への提案はございますか。 こちらから提案を追加するか、提案に投票してください。
    MBAM の問題MBAM に関する TechNet フォーラム」を利用してください。

関連項目

タスク

クライアント コンピューターが Microsoft コンテンツ配信ネットワークにアクセスできない場合にセルフサービス ポータルを構成する方法

概念

サーバー イベント ログ
MBAM 2.5 サーバー機能の構成の確認

その他の参照情報

MBAM 2.5 サーバーの機能の構成
組織のセルフサービス ポータルのカスタマイズ