MBAM 2.5 Web アプリケーションを構成する方法

この記事では、次のいずれかの方法を使用して、MBAM 2.5 に推奨される高レベル アーキテクチャ用に Microsoft BitLocker 管理および監視 ( MBAM) 2.5 Web アプリケーションを構成する方法について説明します。

• Windows PowerShell コマンドレット。

• MBAM サーバー構成ウィザード。

Web アプリケーションは、次の Web サイトとそれに対応する Web サービスで構成されます。

• 管理および監視 Web サイト: 指定されたユーザーがレポートを表示し、PIN またはパスワードを忘れたときにユーザーがコンピューターを回復できるようにする Web サイト。
• セルフサービス ポータル: ユーザーが PIN またはパスワードを忘れた場合にコンピューターへのアクセスを個別に回復できる Web サイト。

構成を開始する前に

• MBAM に推奨されるアーキテクチャを確認します。 詳細については、「 MBAM 2.5 のアーキテクチャの概要」を参照してください。
• MBAM でサポートされている構成を確認します。 詳細については、「 MBAM 2.5 でサポートされる構成」を参照してください。
• 各サーバーで必要な前提条件を完了します。 管理および監視 Web サイトを構成する前に、SECURE Sockets Layer (SSL) を使用するように SQL Server Reporting Services (SSRS) を構成していることを確認してください。 それ以外の場合、レポート機能では HTTPS ではなく HTTP が使用されます。 詳細については、「スタンドアロンおよび Configuration Manager 統合トポロジの MBAM 2.5 サーバーの前提条件」および「Configuration Manager 統合トポロジにのみ適用される MBAM 2.5 サーバーの前提条件 (該当する場合)」を参照してください。
• Web サイトのアプリケーション プール アカウントのサービス プリンシパル名 (SPN) を登録します。 この手順は、Active Directory Domain Services (ADDS) で管理ドメイン権限がない場合にのみ実行する必要があります。 ADDS でこれらの権限を持っている場合は、MBAM によって SPN が自動的に作成されます。 詳細については、「 MBAM Web サイトをセキュリティで保護する方法の計画」を参照してください。
• MBAM サーバー機能を構成する各サーバーに MBAM サーバー ソフトウェアをインストールします。 Web サイトを 1 つのサーバーにインストールし、Web サービスを別のサーバーにインストールする予定の場合は、 Enable-MbamWebApplication Windows PowerShell コマンドレットを使用してのみ Web サービスを構成できます。 MBAM サーバー構成ウィザードでは、これらの項目を別のサーバーで構成することはできません。 詳細については、「 MBAM 2.5 サーバー ソフトウェアのインストール」を参照してください。
• コマンドレットを使用して MBAM Server 機能を構成する予定の場合は、Windows PowerShell を使用するための前提条件を確認してください。 詳細については、「 Windows PowerShell を使用した MBAM 2.5 サーバー機能の構成」を参照してください。

Windows PowerShell を使用して Web アプリケーションを構成するには

1. 構成を開始する前に、「 Windows PowerShell を使用した MBAM 2.5 サーバー機能の構成 」を参照して、Windows PowerShell を使用するための前提条件を確認してください。

2. Enable-MbamWebApplication コマンドレットを使用して、Windows PowerShell を使用して Web アプリケーションを構成します。 このコマンドレットに関する情報を取得するには、「 Get-Help Enable-MbamWebApplication」と入力します。

ウィザードを使用してすべての Web アプリケーションの設定を構成するには

1. Web アプリケーションを構成するサーバーで、MBAM サーバー構成ウィザードを起動します。 [スタート] メニューから [MBAM サーバー構成] を選択して、ウィザードを開くことができます。

2. [新機能の追加] を選択し、[管理と監視 Web サイトとセルフサービス ポータル] を選択し、[次へ] を選択します。 ウィザードは、サーバーが Web アプリケーションのすべての前提条件を満たしていることを確認します。

3. 前提条件のチェックが成功した場合は、[ 次へ ] を選択して続行します。 それ以外の場合は、不足している前提条件を解決し、[前提条件の確認] をもう 一度選択します。

4. ウィザードでフィールド値を入力するには、次の説明を使用します。

   フィールド	説明
   セキュリティ証明書	前に作成した証明書を選択して、必要に応じて Web サービスと Web サイトを構成しているサーバー間の通信を暗号化します。 [証明書を 使用しない] を選択した場合、Web 通信がセキュリティで保護されていない可能性があります。
   ホスト名	Web サイトを構成しているホスト コンピューターの名前。
   インストール パス	Web サイトをインストールするパス。
   Port	Web サイトとサービス通信に使用するポート番号。 手記： 指定したポートを介した通信を有効にするには、ファイアウォール例外を設定する必要があります。
   Web サービス アプリケーション プールのドメイン アカウントとパスワード	Web サービス アプリケーション プールのドメイン ユーザー アカウントとパスワード。 [データベースの構成] ページの [読み取り/書き込みアクセス ドメイン ユーザーまたはグループ] フィールドにユーザー名を入力する場合は、このフィールドに同じ値を入力する必要があります。 [データベースの構成] ページの [読み取り/書き込みアクセス ドメイン ユーザーまたはグループ] フィールドにグループ名を入力する場合、このフィールドに入力する値はそのグループのメンバーである必要があります。 資格情報を指定しない場合は、以前に有効にした Web アプリケーションに対して指定した資格情報が使用されます。 すべての Web アプリケーションで同じアプリケーション プール資格情報を使用する必要があります。 Web アプリケーションごとに異なる資格情報を指定する場合は、最後に指定した値が使用されます。 大事な： セキュリティを強化するには、資格情報で指定されているアカウントを制限されたユーザー権限に設定します。 また、アカウントのパスワードを期限切れにならないように設定します。

5. 組み込みのIIS_IUSRS アカウントまたはアプリケーション プール アカウントが 、認証後にクライアントを偽装 し、 バッチ ジョブとしてログオン するローカル セキュリティ設定に追加されていることを確認します。

   ローカル セキュリティ設定に追加されているかどうかを確認するには、 ローカル セキュリティ ポリシー エディターを開き、[ ローカル ポリシー] ノードを展開し、[ ユーザー権利の割り当て ] ノードを選択し、右側のウィンドウで [ 認証後にクライアントを偽装 する] と [ バッチ ジョブ ポリシーとしてログオン ] をダブルクリックします。

ウィザードを使用してデータベースの接続情報を構成するには

1. コンプライアンスおよび監査データベースのウィザードで接続情報を構成するには、次のフィールドの説明を使用します。

フィールド	説明
SQL Server 名	コンプライアンスおよび監査データベースが構成されているサーバーの名前。
SQL Server データベース インスタンス	コンプライアンスと監査データベースが構成されている SQL Server インスタンス名。
データベース名	コンプライアンスおよび監査データベースの名前。

2. 次のフィールドの説明を使用して、Recovery Database のウィザードで接続情報を構成します。

フィールド	説明
SQL Server 名	Recovery Database が構成されているサーバーの名前。
SQL Server データベース インスタンス	復旧データベースが構成されている SQL Server インスタンス名。
データベース名	Recovery Database の名前。

ウィザードを使用して Web アプリケーションを構成するには

1. 次の説明を使用して、ウィザードのフィールド値を入力して、管理と監視 Web サイトを構成します。

   • 高度なヘルプデスク ロール ドメイン グループ: [レポート] 領域を除く、管理および監視 Web サイトのすべての領域にメンバーがアクセスできるドメイン ユーザー グループ。

   • ヘルプデスク ロール ドメイン グループ: [管理と監視] Web サイトの [TPM の管理 ] 領域と [ドライブの回復 ] 領域にメンバーがアクセスできるドメイン ユーザー グループ。

   • System Center Configuration Manager 統合を使用する: Configuration Manager 統合トポロジを使用して MBAM を構成する場合は、このオプションを選択します。 これにより、回復監査レポートを除くすべてのレポートが、管理と監視 Web サイトではなく Configuration Manager に表示されます。

   • レポート ロール ドメイン グループ: 管理および監視 Web サイトのレポート領域への読み取り専用アクセス権を持つメンバーを持つドメイン ユーザー グループ。

   • SQL Server Reporting Services URL: MBAM レポートが構成されている SSRS サーバーの URL。 レポート URL の例:

     ホスト名の種類	例
     完全修飾ドメイン名の例	https://MyReportServer.Contoso.com/ReportServer
     カスタム ホスト名を持つ例	https://MyReportServer/ReportServer

   • 仮想ディレクトリ: 管理および監視 Web サイトの仮想ディレクトリ。 この名前は、サーバー上の Web サイトの物理ディレクトリに対応し、次のように Web サイトのホスト名に追加されます。

     • https://<hostname>:<port>/HelpDesk/
     • 仮想ディレクトリを指定しない場合は、 値 HelpDesk が使用されます。

   • データ移行ロール ドメイン グループ (省略可能): Write-Mbam*Information コマンドレットを使用してこのエンドポイント経由で回復情報を書き込むアクセス権を持つドメイン ユーザー グループ。

2. ウィザードでフィールド値を入力し、Self-Service ポータルを構成するには、次の説明を使用します。

   フィールド	説明
   仮想ディレクトリ	Web アプリケーションの仮想ディレクトリ。 この名前は、サーバー上の Web サイトの物理ディレクトリに対応し、Web サイトのホスト名に追加されます (例: https://<hostname>:<port>/SelfService/)。 仮想ディレクトリを指定しない場合は、 SelfService という値が使用されます。
   会社名	Self-Service ポータルの会社名を指定します (例: Contoso IT)。 すべての Self-Service ポータル ユーザーには、この会社名が表示されます。
   ヘルプデスク URL テキスト	組織のヘルプデスク Web サイトにユーザーを誘導するテキスト ステートメントを指定します (ヘルプデスクや IT 部門に問い合わせる)。
   ヘルプデスク URL	組織のヘルプデスク Web サイトの URL (例: https://<companyHelpdeskURL>/) を指定します。
   テキスト ファイルに注目する	Self-Service ポータルのランディング ページでユーザーに表示する通知を含むファイルを選択します。
   ユーザーに通知テキストを表示しない	通知テキストがユーザーに表示されないように指定するには、このチェック ボックスをオンにします。

3. エントリが完了したら、[ 次へ] を選択します。

   ウィザードは、サーバーが Web アプリケーションのすべての前提条件を満たしていることを確認します。

4. [ 次へ ] を選択して続行します。

5. [ 概要 ] ページで、追加される機能を確認します。

   注

   作成したエントリの Windows PowerShell スクリプトを作成するには、[ PowerShell スクリプトのエクスポート ] をクリックしてスクリプトを保存します。

6. [ 追加] を選択して Web アプリケーションをサーバーに追加し、[ 閉じる] を選択します。

   カスタム通知テキスト、会社名、詳細情報へのポインターなどを追加して Self-Service ポータルをカスタマイズするには、「 組織の Self-Service ポータルをカスタマイズする」を参照してください。

クライアント コンピューターが CDN にアクセスできない場合に Self-Service ポータルを構成するには

1. Microsoft BitLocker の管理と監視 (MBAM) 2.5 SP1 を実行しているかどうかを確認します。 その場合は、何も行わないでください。 Self-Service ポータルの構成が完了しました。

   注

   Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1 では、セットアップ時に JavaScript ファイルがインストールされるため、Self-Service ポータルを構成するために Microsoft コンテンツ配信ネットワークに接続する必要はありません。 次の手順は、SP1 より前のバージョンの Microsoft BitLocker 管理および監視 (MBAM) 2.5 を使用している場合にのみ必要です。

2. クライアント コンピューターが Microsoft コンテンツ配信ネットワーク (CDN) にアクセスできるかどうかを判断します。

   CDN は、特定の JavaScript ファイルに対して必要なアクセス権を Self-Service ポータルに提供します。 クライアント コンピューターが CDN にアクセスできないときに Self-Service ポータルを構成しない場合は、会社名とサインインしているエンド ユーザーのアカウントのみが表示されます。 エラー メッセージは表示されません。

3. 次のいずれかの操作を行います。

   • クライアント コンピューターが CDN にアクセスできる場合は、何も行わないでください。 Self-Service ポータルの構成が完了しました。

   • クライアント コンピューターが CDN にアクセスできない場合は、「 クライアント コンピューターが Microsoft コンテンツ配信ネットワークにアクセスできない場合に Self-Service ポータルを構成する方法」の手順を実行します。

関連記事

サーバー イベント ログ

MBAM 2.5 サーバー機能の構成

クライアント コンピューターが Microsoft コンテンツ配信ネットワークにアクセスできない場合に Self-Service ポータルを構成する方法

組織の Self-Service ポータルのカスタマイズ

MBAM 2.5 サーバー機能構成の検証