次の方法で共有

MBAM Web サイトをセキュリティで保護する方法の計画

  • [アーティクル]

この記事では、Microsoft BitLocker 管理および監視 (MBAM) 2.5 管理および監視 Web サイトと Self-Service ポータルをセキュリティで保護するための次の方法について説明します。

メソッド 必須ですか、省略可能ですか?
証明書を使用した MBAM Web サイトのセキュリティ保護 省略可能ですが、強くお勧めします
アプリケーション プール アカウントのサービス プリンシパル名 (SPN) の登録 必須

MBAM デプロイをセキュリティで保護する方法の詳細については、「 MBAM 2.5 のセキュリティに関する考慮事項」を参照してください。

証明書を使用した MBAM Web サイトのセキュリティ保護

証明書を使用して、 間の通信をセキュリティで保護します。

  • MBAM クライアントと Web サービス

  • ブラウザーと管理および監視 Web サイトと Self-Service ポータル Web サイト

証明書の要求とインストールの詳細については、「 インターネット サーバー証明書の構成」を参照してください。

Web サイトと Web サービスは、Windows PowerShell を使用する場合にのみ、異なるサーバー上で構成できます。 MBAM サーバー構成ウィザードを使用して Web サイトを構成する場合は、同じサーバー上で Web サイトと Web サービスを構成する必要があります。

Web サービスとデータベース間の通信をセキュリティで保護するために、SQL Server で暗号化を強制することもお勧めします。 Web サービスと SQL Server 間の通信など、SQL Server へのすべての接続のセキュリティ保護については、「 MBAM 2.5 のセキュリティに関する考慮事項」を参照してください。

アプリケーション プール アカウントの SPN の登録

MBAM サーバーが管理および監視 Web サイトと Self-Service ポータルからの通信を認証できるようにするには、Web アプリケーション プールに使用するドメイン アカウントのホスト名にサービス プリンシパル名 (SPN) を登録する必要があります。

このセクションでは、次の種類のホスト名の SPN を登録する方法について説明します。

  • 完全修飾ドメイン名

  • NetBIOS 名

  • 仮想名

初期 MBAM インストール用の SPN を作成する前に

SPN の作成を開始する前に、次の表の情報を確認してください。

  • Active Directory Domain Services (ADDS) でサービス アカウントを作成します。 サービス アカウントは、MBAM Web サイトのセキュリティを提供するために ADDS で作成するユーザー アカウントです。 MBAM Web サイトは、ID がサービス アカウントの名前であるアプリケーション プールの下で実行されます。 その後、SPN はアプリケーション プール アカウントに登録されます。

    すべての Web サーバーに同じアプリケーション プール アカウントを使用する必要があります。

  • IIS-IUSRS グループ アカウントまたはアプリケーション プール アカウントに必要な権限が付与されていることを確認します。 このアクセスを確認するには、次の手順に従います。

    1. ローカル セキュリティ ポリシー エディターを開き、[ローカル ポリシー] ノードを展開します。
    2. [ ユーザー権利の割り当て] ノードを選択し、右側のウィンドウで [ 認証後にクライアントを偽装 する] と [ バッチ ジョブとしてログオン ] グループ ポリシー設定をダブルクリックします。

  • ドメイン管理アカウントを使用して MBAM Web サイトを構成すると、MBAM によって SPN が作成されます。 ドメイン管理アカウントを使用して MBAM Web サイトを構成する場合は、この記事の手順に従って、使用するホスト名の種類に対して SPN を手動で登録します。

完全修飾ドメイン ホスト名を使用する場合の SPN の登録

MBAM を構成するときに完全修飾ドメイン ホスト名を使用する場合は、次の例に示すように、1 つの SPN のみを登録する必要があります。

  • 完全修飾ドメイン名の SPN を登録します。
    • Setspn -s http/mybitlockerrecovery.contoso.com contoso\mbamapppooluser
    • 完全修飾ホスト名が mybitlockerrecovery.contoso.comされ、Web アプリケーション プールに使用されるドメイン アカウントが contoso\mbamapppooluser
  • アプリケーション プール アカウントに登録する SPN の制約付き委任を構成します。

NetBIOS ホスト名を使用する場合の SPN の登録

MBAM を構成するときに NetBIOS ホスト名を使用する場合は、次の例に示すように、NetBIOS 名に 1 つの SPN を登録し、完全修飾ドメイン名に別の SPN を登録します。

  • NetBIOS ホスト名の SPN を登録します。
    • Setspn -s http/nbname01 contoso\mbamapppooluser
    • NetBIOS ホスト名が nbname01され、Web アプリケーション プールに使用されるドメイン アカウントが contoso\mbamapppooluser
  • 完全修飾ドメイン名の SPN を登録します。
    • Setspn -s http/nbname01.corp.contoso.com contoso\mbamapppooluser
    • 完全修飾ドメイン名が nbname01.contoso.comされ、Web アプリケーション プールに使用されるドメイン アカウントが contoso\mbamapppooluser
  • アプリケーション プール アカウントに登録する SPN の制約付き委任を構成します。

仮想ホスト名を使用する場合の SPN の登録

完全修飾ドメイン名である仮想ホスト名を使用して MBAM を構成する場合は、仮想ホスト名に 1 つの SPN のみを登録します。 構成する仮想ホスト名が完全修飾ドメイン名でない場合は、次の例で説明するように、完全修飾ドメイン名を指定する 2 つ目の SPN を作成する必要があります。

  • 仮想ホスト名が完全修飾ドメイン名の場合は、この例のように、1 つの SPN のみを登録します。
    • Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser
    • この例では、仮想ホスト名が mbamvirtual.contoso.comされ、Web アプリケーション プールに使用されるドメイン アカウントが contoso\mbamapppooluserされています。
  • 仮想ホスト名が完全修飾ドメイン名でない場合は、この他の SPN を登録します。
    • Setspn -s http/mbamvirtual contoso\mbamapppooluser
    • この例では、仮想ホスト名が mbamvirtualされ、Web アプリケーション プールに使用されるドメイン アカウントが contoso\mbamapppooluserされています。
  • 仮想ホスト名が完全修飾ドメイン名でない場合は、この他の SPN を登録します。
    • Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser
    • この例では、仮想ホスト名が mbamvirtual.contoso.comされ、Web アプリケーション プールに使用されるドメイン アカウントが contoso\mbamapppooluserされています。
  • ドメイン ネーム サーバー (DNS) サーバーで、カスタム ホスト名の "A レコード" を作成し、Web サーバーまたはロード バランサーをポイントします。
    • CNAMES の代わりに A レコードを使用します。 CNAMES を使用してドメイン アドレスをポイントする場合は、アプリケーション プール アカウントの Web サーバー名の SPN も登録する必要があります。
  • アプリケーション プール アカウントに登録する SPN の制約付き委任を構成します。

以前のバージョンの MBAM からアップグレードするときに SPN を登録する

次の操作を行う場合にのみ、このセクションの手順を完了します。

  • 以前のバージョンの MBAM からアップグレードします。

  • 負荷分散または分散構成で MBAM 2.5 で Web サイトを実行し、現在は負荷分散されていない構成で実行します。

アプリケーション プール アカウントではなくマシン アカウントに SPN を既に登録している場合、MBAM は既存の SPN を使用し、負荷分散または分散構成で Web サイトを構成することはできません。

  • Active Directory Domain Services でアプリケーション プール アカウントを作成します。

  • 現在インストールされている Web サイトと Web サービスを削除します。 詳細については、「 MBAM サーバー機能またはソフトウェアの削除」を参照してください。

  • マシン アカウントから SPN を削除します。 例: Setspn -d http/mbamwebserver mbamwebserver または Setspn -d http/mbamwebserver.contoso.com mbamwebserver

  • アプリケーション プール アカウントに SPN を登録します。 仮想ホスト名を使用する場合の SPN の登録に関する手順に従います。

  • Web アプリケーションと Web サービスを再構成します。 詳細については、「 MBAM 2.5 Web アプリケーションを構成する方法」を参照してください。

  • 構成に使用する方法に応じて、次のいずれかの手順を実行します。

    • MBAM サーバー構成ウィザード: [Web サービス アプリケーション プール ドメイン アカウント] フィールドに アプリケーション プール アカウントを 入力します。
    • Windows PowerShell コマンドレットEnable-MbamWebApplication: WebServiceApplicationPoolCredential パラメーターにアカウントを入力します。

    重要

    入力するホスト名は、SPN を作成する仮想ホスト名と同じ名前にする必要があります。 また、Web ファームでは、ホスト名とアプリケーション プールの資格情報は、構成するすべてのサーバーで同じである必要があります。

    MBAM が Web アプリケーションを構成すると、SPN の登録が試行されます。 MBAM をインストールするサーバーにドメイン管理者権限がある場合にのみ実行できます。 これらの権限がない場合は、構成を完了できますが、MBAM を構成する前または後に SPN を設定する必要があります。

必須の要求フィルター設定

アプリケーションが期待どおりに動作するには、一覧に記載されていないファイル名拡張子を許可する必要があります。 この設定を見つけるには、 Microsoft BitLocker の管理と監視 ->Request Filtering ->Edit Feature Settings]\(機能設定の編集\) に移動します。

MBAM 2.5 の環境の準備

スタンドアロンおよび Configuration Manager 統合トポロジの MBAM 2.5 サーバーの前提条件