Windows PowerShell を使用した MBAM 2.5 サーバー機能の構成
Microsoft BitLocker 管理および監視 (MBAM) 2.5 サーバー ソフトウェアをインストールした後、Windows PowerShell コマンドレットまたは MBAM サーバー構成ウィザードを使用して MBAM 2.5 サーバー機能を構成できます。 この記事では、Windows PowerShell コマンドレットを使用して MBAM 2.5 を構成する方法について説明します。 代わりにウィザードを使用するには、「 MBAM 2.5 サーバー機能の構成」を参照してください。
MBAM の管理に使用される Get-MbamBitLockerRecoveryKey コマンドレットと Get-MbamTPMOwnerPassword Windows PowerShell コマンドレットの詳細については、「 Windows PowerShell を使用して MBAM 2.5 を管理する」を参照してください。
MBAM 2.5 の Windows PowerShell ヘルプを読み込む方法
Windows PowerShell コマンドレットの一覧については、「Windows PowerShell を使用した Microsoft Desktop 最適化パックの自動化」を参照してください。
MBAM サーバー ソフトウェアをインストールした後に Windows PowerShell コマンドレットの MBAM 2.5 ヘルプを読み込むには
Windows PowerShell または Windows PowerShell 統合スクリプト環境 (ISE) を開きます。
種類
Update-Help -Module Microsoft.MBAM
MBAM Windows PowerShell コマンドレットに関するヘルプを表示する方法
MBAM の Windows PowerShell ヘルプは、次の形式で利用できます。
- Windows PowerShell コマンド プロンプトで、「」と入力します。
Get-Help <cmdlet>- 最新の Windows PowerShell コマンドレットをアップロードするには、MBAM 用の Windows PowerShell ヘルプを読み込む方法に関する前のセクションの手順に従います。
- MDOP オートメーションの概要
- MDOP コマンドレットのリファレンス ドキュメントをダウンロードする
Windows PowerShell でのみ実行できるが、MBAM サーバー構成ウィザードでは実行できない構成
| Windows PowerShell を使用してのみ実行できる構成 | 詳細 |
|---|---|
| Web アプリケーションとは別のコンピューターに Web サービスをインストールします。 | ウィザードを使用して、Web サービスと Web アプリケーションを同じコンピューターにインストールする必要があります。 |
| Configuration Manager オブジェクトをすべてインストールせずに、別のレポート サービス ポイントでレポートを有効にします。 | |
| Configuration Manager からすべてのオブジェクトを削除します。 | オブジェクトを削除すると、すべてのコンプライアンス データが Configuration Manager から削除されます。 |
| データベースのカスタム接続文字列を入力します。 | 例: ミラーリングで動作するように Web アプリケーションを構成するには、 Enable-MbamWebApplication コマンドレットを使用して、接続文字列に適切なフェールオーバー パートナー構文を指定する必要があります。 |
| 前提条件のチェックが失敗した場合でも、検証をスキップして機能を構成します。 |
注
Windows PowerShell コマンドレットまたは MBAM サーバー構成ウィザードを使用して MBAM データベースを無効にすることはできません。 コンプライアンスと監査データが誤って削除されないようにするには、データベース管理者はデータベースを手動で削除する必要があります。
Windows PowerShell を使用して MBAM サーバー機能を構成するための前提条件と要件
構成を開始する前に、次の前提条件を満たします。
アカウント関連の前提条件
| 前提 | 詳細情報または追加情報 |
|---|---|
| 必要なアカウントを作成します。 | この記事 の「必須アカウントと対応する Windows PowerShell コマンドレット パラメーター 」セクションを参照してください。 |
| Windows PowerShell コマンドレットにパラメーターとして渡すユーザー アカウントとグループは、ドメイン内の有効なアカウントである必要があります。 | ローカル アカウントは使用できません。 |
| 下位レベルの形式でアカウントを指定します。 | 例:domainNetBiosName\userdomainNetBiosName\group |
アクセス許可に関連する前提条件
- MBAM 機能を構成するローカル コンピューターの管理者である必要があります。
- 管理者特権の Windows PowerShell コマンド プロンプトを使用して、すべての Windows PowerShell コマンドレットを実行します。
Enable-MbamDatabase コマンドレットの場合のみ:
- 対象の Microsoft SQL Server データベースのインスタンスに対する "任意のデータベースの作成" アクセス許可が必要です。
- 既定では、データベース管理者またはシステム管理者には、必要な "任意のデータベースの作成" アクセス許可があります。
- MBAM ボリューム シャドウ コピー サービス (VSS) ライターを登録するには、このユーザー アカウントがローカル管理者グループまたは Backup Operators グループの一部である必要があります。
- VSS ライターの詳細については、「 ボリューム シャドウ コピー サービス」を参照してください。
System Center Configuration Manager 統合機能の場合のみ、この機能を有効にするユーザーは Configuration Manager で次の権限を持っている必要があります。
| Configuration Manager の権限の種類 | 必要な権限 |
|---|---|
| Configuration Manager サイトの権限: | -読む |
| Configuration Manager コレクション権限: | -創造する -削除 -読む -修飾する - 構成項目を展開する |
| Configuration Manager 構成項目の権限: | -創造する -削除 -読む |
Windows PowerShell を使用してリモート コンピューターで MBAM を構成する
| Capability | 詳細 |
|---|---|
| この機能を使用する場合 | リモート コンピューターで MBAM 2.5 サーバー機能を構成する場合。 Windows PowerShell コマンドレットは 1 台のコンピューターで実行されており、別のリモート コンピューターで機能を構成しています。 |
| 実行する必要がある操作 | Windows PowerShell を使用してリモート コンピューターで MBAM 2.5 サーバー機能を構成するには、次の操作を行う必要があります。
|
| なぜそれをしなければならないのか | このプロトコルにより、Windows PowerShell コマンドレットは、ユーザーの管理資格情報を使用して Active Directory Domain Services に接続できます。 このプロトコルを使用せずに Windows PowerShell セッションを開始すると、検証エラーが発生する可能性があります。 |
| CredSSP プロトコルを使用して Windows PowerShell セッションを開始する方法 | Windows PowerShell プロンプトで次のコードを入力します。$s = New-PSSession -ComputerName xxx -Authentication Credssp -Credential xxx次のコードは、例を示しています。 $session = New-PSSession -ComputerName <MBAM_server_name> -Authentication Credssp -Credential (Get-Credential)Enter-PSSession $session |
必要なアカウントと対応する Windows PowerShell コマンドレット パラメーター
以降のセクションでは、MBAM 2.5 サーバー機能を構成するために必要なアカウントについて説明します。 また、構成時にアカウントを指定する必要がある対応する Windows PowerShell コマンドレットとパラメーターも一覧表示されます。
コマンドレット パラメーターの種類 (ユーザーまたはグループ) 説明
Enable-MBAMDatabase
AccessAccount
型: ユーザーまたはグループ
このデータベースに対する読み取り/書き込みアクセス許可を持つドメイン ユーザーまたはグループを指定して、Web アプリケーションにこのデータベース内のデータとレポートにアクセスできるようにします。 値がドメイン ユーザーの場合、Enable-MbamWebApplication コマンドレットの実行時に使用される WebServiceApplicationPoolCredential パラメーターは、同じユーザー アカウントを使用する必要があります。 値がドメイン Users グループの場合は、 WebServiceApplicationPoolCredential パラメーターによって使用されるドメイン アカウントがこのグループのメンバーである必要があります。
ReportAccount
型: ユーザーまたはグループ
このデータベースに対する読み取り専用アクセス許可を持つドメイン ユーザーまたはユーザー グループを指定して、MBAM レポートにコンプライアンスと監査データへのアクセスを提供します。 値がドメイン ユーザーの場合は、Enable-MbamReport コマンドレットの ComplianceAndAuditDBCredential パラメーターで同じユーザー アカウントを使用する必要があります。 値がドメイン Users グループの場合は、 ComplianceAndAuditDBCredential パラメーターによって使用されるドメイン アカウントがこのグループのメンバーである必要があります。
Enable-MbamReport
ComplianceAndAuditDBCredential
型: ユーザー
ローカル SSRS インスタンスが MBAM コンプライアンスおよび監査データベースへの接続に使用する管理資格情報を指定します。 管理資格情報のドメイン ユーザーは、Enable-MbamDatabase コマンドレットの実行中に使用される ReportAccount パラメーターに使用されるユーザー アカウントと同じである必要があります。 ドメイン Users グループが ReportAccount パラメーターと共に使用された場合、このアカウントはそのグループのメンバーである必要があります。
重要
管理資格情報で指定されたアカウントには、セキュリティを強化するためのユーザー権限が制限されている必要があります。 また、アカウントのパスワードは期限切れにならないよう設定する必要があります。
ReportsReadOnlyAccessGroup
型: グループ
レポートに対する読み取りアクセス許可を持つドメイン ユーザー グループを指定します。 指定したグループは、Enable-MbamWebApplication コマンドレットの ReportsReadOnlyAccessGroup パラメーターに使用されるグループと同じである必要があります。
Enable-MBAMWebApplication
AdvancedHelpdeskAccessGroup
型: グループ
[レポート] 領域を除く、管理および監視 Web サイトのすべての領域にアクセスできるドメイン [ユーザー] グループを指定します。
HelpdeskAccessGroup
型: グループ
[管理と監視] Web サイトの [TPM の管理 ] 領域と [ドライブの回復 ] 領域にアクセスできるドメイン [ユーザー] グループを指定します。
ReportsReadOnlyAccessGroup
型: グループ
管理および監視 Web サイトの レポート 領域に対する読み取りアクセス許可を持つドメイン Users グループを指定します。 指定したグループは、Enable-MbamReport コマンドレットの ReportsReadOnlyAccessGroup パラメーターに使用されるグループと同じである必要があります。
WebServiceApplicationPoolCredential
型: ユーザー
MBAM Web アプリケーションのアプリケーション プールで使用するドメイン ユーザーを指定します。 Enable-MbamDatabase コマンドレットの AccessAccount パラメーターで指定されているドメイン ユーザー アカウントと同じである必要があります。 Enable-MbamDatabase コマンドレットの実行時にドメイン Users グループが AccessAccount パラメーターによって使用された場合、ここで指定するドメイン ユーザーはそのグループのメンバーである必要があります。 管理資格情報を指定しない場合は、以前に有効にした Web アプリケーションで指定された管理資格情報が使用されます。 すべての Web アプリケーションで同じアプリケーション プール ID が使用されます。 複数回指定した場合は、最後に指定した値が使用されます。
重要
セキュリティを強化するには、管理資格情報で指定されているアカウントを制限されたユーザー権限に設定します。 また、アカウントのパスワードを期限切れにならないように設定します。 組み込みのIIS_IUSRS アカウントまたは WebServiceApplicationPoolCredential パラメーターに 使用されるアカウントが、認証ローカル セキュリティ設定 の後にクライアントの偽装 に追加されていることを確認します。
ローカル セキュリティ設定を表示するには、 ローカル セキュリティ ポリシー エディターを開き、[ ローカル ポリシー] ノードを展開し、[ ユーザー権利の割り当て ] ノードを選択し、認証 後にクライアントを偽装 し、詳細ウィンドウで [ バッチ ジョブ グループとしてログオン ] ポリシー設定をダブルクリックします。