MBAM 2.5 グループとアカウントの計画
この記事では、Microsoft BitLocker 管理および監視 (MBAM) データベース、レポート、および Web アプリケーションのセキュリティとアクセス権を提供するために、Active Directory Domain Services で作成する必要があるロールとアカウントの一覧を示します。 ロールとアカウントごとに、MBAM サーバー構成ウィザードの対応するフィールドが提供されます。 これらのアカウントに対応する Windows PowerShell コマンドレットとパラメーターの一覧については、「 Windows PowerShell を使用した MBAM 2.5 サーバー機能の構成」を参照してください。
注
MBAM では、マネージド サービス アカウントの使用はサポートされていません。
データベース アカウント
コンプライアンスおよび監査データベースと回復データベースの次のアカウントを作成します。
| アカウント名と目的 | アカウントの種類 | このアカウントに対応する MBAM サーバー構成ウィザード フィールド | このアカウントに対応する MBAM サーバー構成ウィザード フィールドの説明 |
|---|---|---|---|
| レポートのコンプライアンスと監査データベースと Recovery Database の読み取り/書き込みユーザーまたはグループ | ユーザーまたはグループ | 読み取り/書き込みアクセス ドメイン のユーザーまたはグループ | コンプライアンスおよび監査データベースと Recovery Database への読み取り/書き込みアクセス権を持つドメイン ユーザーまたはグループ。Web アプリケーションがこれらのデータベース内のデータとレポートにアクセスできるようにします。 このフィールドにユーザー名を入力する場合は、[Web アプリケーションの構成] ページの [Web サービス アプリケーション プール ドメイン アカウント] フィールドの値と同じ値にする必要があります。 このフィールドにグループ名を入力する場合、[Web アプリケーションの構成] ページの [Web サービス アプリケーション プール ドメイン アカウント] フィールドの値は、このフィールドに入力するグループのメンバーである必要があります。 |
| レポートのコンプライアンスと監査データベースの読み取り専用ユーザーまたはグループ | ユーザーまたはグループ | 読み取り専用アクセス ドメイン のユーザーまたはグループ | コンプライアンスおよび監査データベースへの読み取り専用アクセス権を持つユーザーまたはグループの名前で、レポートがこのデータベースのコンプライアンスおよび監査データにアクセスできるようにします。 このフィールドにユーザー名を入力する場合は、[レポートの構成] ページの [コンプライアンスと監査データベースのドメイン アカウント] フィールドで指定したユーザーと同じユーザーである必要があります。 このフィールドにグループ名を入力する場合、[レポートの構成] ページの [コンプライアンスと監査データベースのドメイン アカウント] フィールドに指定する値は、このフィールドで指定するグループのメンバーである必要があります。 |
レポート アカウント
レポート機能の次のアカウントを作成します。
| アカウント名/目的 | アカウントの種類 | このアカウントに対応する MBAM サーバー構成ウィザード フィールド | このアカウントに対応する MBAM サーバー構成ウィザード フィールドの説明 |
|---|---|---|---|
| 読み取り専用ドメイン アクセス グループをレポートする | Group | レポート ロール ドメイン グループ | 管理および監視 Web サイトのレポートへの読み取り専用アクセス権を持つドメイン ユーザー グループを指定します。 指定するグループは、Web アプリが有効になっているときに、レポートの読み取り専用アクセス グループ パラメーターに指定したグループと同じである必要があります。 |
| コンプライアンスと監査データベース ドメイン ユーザー アカウント | ユーザー | コンプライアンスと監査データベース ドメイン アカウント | コンプライアンスおよび監査データベースへのアクセスにローカル SQL Server Reporting Services インスタンスが使用するドメイン ユーザー アカウントとパスワード。 このアカウントには、SQL Server Reporting Services サーバーに対する Batch としてのログオン 権限が必要です。 [データベースの構成] ページの [読み取り専用アクセス ドメイン ユーザーまたはグループ] フィールドに入力する値がユーザー名である場合は、このフィールドに同じ値を入力する必要があります。 [データベースの構成] ページの [読み取り専用アクセス ドメイン ユーザーまたはグループ] フィールドに入力する値がグループ名である場合、このフィールドに入力する値はそのグループのメンバーである必要があります。 このアカウントのパスワードが期限切れにならないように構成します。 ユーザー アカウントは、MBAM レポート ユーザー グループで使用できるすべてのデータにアクセスできる必要があります。 |
管理と監視 Web サイト (ヘルプ デスク) アカウント
管理および監視 Web サイトの次のアカウントを作成します。
| アカウント名/目的 | アカウントの種類 | このアカウントに対応する MBAM サーバー構成ウィザード フィールド | このアカウントに対応する MBAM サーバー構成ウィザード フィールドの説明 |
|---|---|---|---|
| Web サービス アプリケーション プール ドメイン アカウント | ユーザー | Web サービス アプリケーション プール ドメイン アカウント | Web アプリケーションのアプリケーション プールによって使用されるドメイン ユーザー アカウント。 [データベースの構成] ページの [読み取り/書き込みアクセス ドメイン ユーザーまたはグループ] フィールドにユーザー名を入力する場合は、このフィールドに同じ値を入力する必要があります。 [データベースの構成] ページの [読み取り/書き込みアクセス ドメイン ユーザーまたはグループ] フィールドにグループ名を入力する場合、このフィールドに入力する値はそのグループのメンバーである必要があります。 資格情報を指定しない場合は、以前に有効にした Web アプリケーションに対して指定された資格情報が使用されます。 すべての Web アプリケーションで同じアプリケーション プール資格情報を使用する必要があります。 Web アプリケーションごとに異なる資格情報を指定する場合は、最後に指定した値が使用されます。 重要: セキュリティを強化するには、資格情報で指定されているアカウントを制限されたユーザー権限に設定します。 |
| MBAM Advanced Helpdesk Users アクセス グループ | Group | MBAM Advanced Helpdesk Users | 管理および監視 Web サイトのすべての回復領域にメンバーがアクセスできるドメイン ユーザー グループ。 このロールを持つユーザーは、エンド ユーザーがドライブを回復できるように、エンド ユーザーのドメインとユーザー名ではなく、回復キーのみを入力する必要があります。 ユーザーが MBAM ヘルプデスク ユーザー グループと MBAM Advanced Helpdesk Users グループの両方のメンバーである場合、MBAM Advanced Helpdesk Users グループのアクセス許可は MBAM ヘルプデスク グループのアクセス許可よりも優先されます。 |
| MBAM ヘルプデスク ユーザー アクセス グループ | Group | MBAM ヘルプデスク ユーザー | メンバーが MBAM 管理および監視 Web サイトの TPM の管理とドライブの回復領域にアクセスできるドメイン ユーザー グループ。 このロールを持つ個人は、いずれかのオプションを使用するときに、エンド ユーザーのドメインとアカウント名を含むすべてのフィールドに入力する必要があります。 ユーザーが MBAM ヘルプデスク ユーザー グループと MBAM Advanced Helpdesk Users グループの両方のメンバーである場合、MBAM Advanced Helpdesk Users グループのアクセス許可は MBAM ヘルプデスク グループのアクセス許可よりも優先されます。 |
| MBAM レポート ユーザー アクセス グループ | Group | MBAM レポート ユーザー | 管理および監視 Web サイトの [レポート] 領域にあるレポートへの読み取り専用アクセス権を持つメンバーを持つドメイン ユーザー グループ。 |
| MBAM データ移行ユーザー グループ | Group | MBAM データ移行ユーザー | MBAM サーバーで実行されている MBAM Recovery と Hardware Service を使用して、メンバーが MBAM にデータを書き込むアクセス許可を持つオプションのドメイン ユーザー グループ。 このアカウントは、 Write-Mbam* コマンドレットと共に使用され、Active Directory から MBAM データベースに回復データと TPM データを書き込みます。詳細については、「 MBAM 2.5 のセキュリティに関する考慮事項」を参照してください。 |