Windows PowerShell を使用した MBAM 2.5 サーバー機能の構成

[アーティクル]
03/13/2023

MBAM 2.5 Server ソフトウェアをインストールしたら、Windows PowerShellコマンドレットまたは MBAM サーバー構成ウィザードを使用して MBAM 2.5 サーバー機能を構成できます。このトピックでは、Windows PowerShell コマンドレットを使用して MBAM 2.5 を構成する方法について説明します。代わりにウィザードを使用するには、「 MBAM 2.5 サーバー機能の構成」を参照してください。

このトピックの内容

このトピックには、MBAM の構成にWindows PowerShellを使用する方法に関する次の情報が含まれています。

MBAM 2.5 のWindows PowerShell ヘルプを読み込む方法
MBAM Windows PowerShell コマンドレットに関するヘルプを表示する方法
Windows PowerShellでのみ実行できる構成で、MBAM サーバー構成ウィザードでは実行できない構成
Windows PowerShellを使用して MBAM Server 機能を構成するための前提条件と要件
Windows PowerShellを使用してリモートコンピューターで MBAM を構成する
必要なアカウントと対応するWindows PowerShellコマンドレットパラメーター

MBAM の管理に使用される Get-MbamBitLockerRecoveryKey コマンドレットと Get-MbamTPMOwnerPassword Windows PowerShell コマンドレットの詳細については、「Windows PowerShellを使用した MBAM 2.5 の管理」を参照してください。

MBAM 2.5 のWindows PowerShell ヘルプを読み込む方法

TechNet のWindows PowerShellコマンドレットの一覧については、「Windows PowerShellを使用した Microsoft Desktop Optimization Pack Automation」を参照してください。

MBAM Server ソフトウェアのインストール後に、Windows PowerShell コマンドレットの MBAM 2.5 ヘルプを読み込むには

統合スクリプト環境 (ISE) Windows PowerShellまたはWindows PowerShellを開きます。
タイプ Update-Help –Module Microsoft.MBAM。

MBAM Windows PowerShell コマンドレットに関するヘルプを表示する方法

WINDOWS POWERSHELL MBAM のヘルプは、次の形式で入手できます。

Windows PowerShell ヘルプ形式	詳細情報
Windows PowerShellコマンドプロンプトで、「Get-Help コマンドレット」<と入力します>	最新のWindows PowerShell コマンドレットをアップロードするには、MBAM のヘルプを読み込む方法に関する前のセクションの手順Windows PowerShell従います。
Web ページとしての TechNet の場合	https://go.microsoft.com/fwlink/?LinkId=393498
Word .docx ファイルとしてダウンロードセンターで	https://go.microsoft.com/fwlink/?LinkId=393497
.pdf ファイルとしてダウンロードセンターで	https://go.microsoft.com/fwlink/?LinkId=393499

Windows PowerShellでのみ実行できる構成で、MBAM サーバー構成ウィザードでは実行できない構成

Windows PowerShellを使用してのみ実行できる構成	詳細
Web アプリケーションとは別のコンピューターに Web サービスをインストールします。	ウィザードを使用して、Web サービスと Web アプリケーションを同じコンピューターにインストールする必要があります。
すべてのConfiguration Manager オブジェクトをインストールせずに、別のレポートサービスポイントでレポートを有効にします。
Configuration Managerからすべてのオブジェクトを削除します。	オブジェクトを削除すると、Configuration Managerからすべてのコンプライアンスデータが削除されます。
データベースのカスタム接続文字列を入力します。	例: ミラーリングを操作するように Web アプリケーションを構成するには、 Enable-MbamWebApplication コマンドレットを使用して、接続文字列に適切なフェールオーバーパートナー構文を指定する必要があります。
前提条件のチェックに失敗した場合でも、検証をスキップして機能を構成します。

メモWindows PowerShell コマンドレットまたは MBAM サーバー構成ウィザードを使用して MBAM データベースを無効にすることはできません。コンプライアンスデータと監査データが誤って削除されないようにするには、データベース管理者はデータベースを手動で削除する必要があります。

Windows PowerShellを使用して MBAM Server 機能を構成するための前提条件と要件

構成を開始する前に、次の前提条件を満たしてください。

アカウント関連の前提条件

前提条件	詳細または追加情報
必要なアカウントを作成します。	このトピックの後半の「必須アカウントと対応するWindows PowerShellコマンドレットパラメーター」セクションを参照してください。
Windows PowerShell コマンドレットにパラメーターとして渡すユーザーアカウントとグループは、ドメイン内の有効なアカウントである必要があります。	ローカルアカウントは使用できません。
下位レベルの形式でアカウントを指定します。	例: domainNetBiosName\userdomainNetBiosName\group

必要なアカウントを作成します。

このトピックの後半の「必須アカウントと対応するWindows PowerShellコマンドレットパラメーター」セクションを参照してください。

Windows PowerShell コマンドレットにパラメーターとして渡すユーザーアカウントとグループは、ドメイン内の有効なアカウントである必要があります。

ローカルアカウントは使用できません。

下位レベルの形式でアカウントを指定します。

例:

domainNetBiosName\userdomainNetBiosName\group

アクセス許可関連の前提条件

MBAM 機能を構成するローカルコンピューターの管理者である必要があります。

管理者特権のWindows PowerShell コマンドプロンプトを使用して、すべてのWindows PowerShellコマンドレットを実行します。

Enable-MbamDatabase コマンドレットの場合のみ:

ターゲットの Microsoft SQL Server データベースのインスタンスに対する "任意のデータベースの作成" アクセス許可が必要です。

このユーザーアカウントは、MBAM ボリュームシャドウコピーサービス (VSS) ライターを登録するには、ローカル管理者グループまたはバックアップオペレーターグループの一部である必要があります。

既定では、データベース管理者またはシステム管理者には、必要な "任意のデータベースの作成" アクセス許可があります。

VSS ライターの詳細については、「ボリュームシャドウコピーサービス」を参照してください。

System Center Configuration Manager統合機能の場合のみ:

この機能を有効にするユーザーは、Configuration Managerで次の権限を持っている必要があります。

Configuration Managerの権限の種類	必要な権限
Configuration Manager サイトの権限:	-読む
Configuration Managerコレクションの権限:	- 作成- 削除- 読み取り- 変更 - 構成項目の展開
Configuration Manager構成項目の権限:	- 作成- 削除- 読み取り

Windows PowerShellを使用してリモートコンピューターで MBAM を構成する

この機能を使用する場合	リモートコンピューターで MBAM 2.5 Server 機能を構成する場合。 Windows PowerShellコマンドレットは 1 台のコンピューターで実行されており、別のリモートコンピューターで機能を構成しています。
実行する必要がある操作	Windows PowerShellを使用して、リモートコンピューターで MBAM 2.5 Server 機能を構成するには、次の操作を行う必要があります。 MBAM 2.5 Server ソフトウェアがリモートコンピューターにインストールされていることを確認します。資格情報セキュリティサポートプロバイダー (CredSSP) プロトコルを使用して、Windows PowerShell セッションを開きます。 Windows リモート管理 (WinRM) を有効にします。 WinRM を有効にできず、正しく構成できない場合は、この表に記載されている New-PSSession コマンドレットにエラーが表示され、問題を修正する方法について説明します。 WinRM の詳細については、「 Windows リモート管理の使用」を参照してください。
実行する必要がある理由	このプロトコルを使用すると、Windows PowerShell コマンドレットは、ユーザーの管理資格情報を使用してActive Directory Domain Servicesに接続できます。このプロトコルを使用せずにWindows PowerShell セッションを開始すると、検証エラーが発生することがあります。
CredSSP プロトコルを使用してWindows PowerShell セッションを開始する方法	Windows PowerShell プロンプトに次のコードを入力します。 `$s = New-PSSession -ComputerName xxx -Authentication Credssp -Credential xxx` 次のコードに例を示します `$session = New-PSSession -ComputerName <MBAM_server_name> -Authentication Credssp -Credential (Get-Credential)` `Enter-PSSession $session`

必要なアカウントと対応するWindows PowerShellコマンドレットパラメーター

次の表では、MBAM 2.5 サーバー機能を構成するために必要なアカウントについて説明します。また、構成時にアカウントを指定する必要がある、対応するWindows PowerShellコマンドレットとパラメーターも一覧表示されます。

コマンドレットパラメーターの種類 (ユーザーまたはグループ) の説明Enable-MBAMDatabase

AccessAccount

ユーザーまたはグループ

Web アプリケーションにこのデータベース内のデータとレポートへのアクセス権を付与するために、このデータベースに対する読み取り/書き込みアクセス許可を持つドメインユーザーまたはグループを指定します。値がドメインユーザーの場合は、Enable-MbamWebApplication コマンドレットの実行時に使用される WebServiceApplicationPoolCredential パラメーターで同じユーザーアカウントを使用する必要があります。値がドメインユーザーグループの場合、 WebServiceApplicationPoolCredential パラメーターで使用されるドメインアカウントは、このグループのメンバーである必要があります。

ReportAccount

ユーザーまたはグループ

MBAM レポートにコンプライアンスと監査データへのアクセスを提供するために、このデータベースに対する読み取り専用アクセス許可を持つドメインユーザーまたはユーザーグループを指定します。値がドメインユーザーの場合は、Enable-MbamReport コマンドレットの ComplianceAndAuditDBCredential パラメーターで同じユーザーアカウントを使用する必要があります。値がドメインユーザーグループの場合、 ComplianceAndAuditDBCredential パラメーターで使用されるドメインアカウントは、このグループのメンバーである必要があります。

Enable-MbamReport

ComplianceAndAuditDBCredential

ユーザー

ローカル SSRS インスタンスが MBAM コンプライアンスおよび監査データベースへの接続に使用する管理資格情報を指定します。管理者資格情報のドメインユーザーは、Enable-MbamDatabase コマンドレットの実行中に使用される ReportAccount パラメーターに使用されるユーザーアカウントと同じである必要があります。ドメインユーザーグループが ReportAccount パラメーターで使用された場合、このアカウントはそのグループのメンバーである必要があります。

大事な 管理者資格情報で指定されたアカウントには、セキュリティを強化するための制限付きユーザー権限が必要です。また、アカウントのパスワードは有効期限が切れないように設定する必要があります。

ReportsReadOnlyAccessGroup

Group

レポートに対する読み取りアクセス許可を持つドメインユーザーグループを指定します。指定したグループは、Enable-MbamWebApplication コマンドレットの ReportsReadOnlyAccessGroup パラメーターに使用されるのと同じグループである必要があります。

Enable-MBAMWebApplication

AdvancedHelpdeskAccessGroup

Group

[レポート] 領域を除く、管理および監視 Web サイトのすべての領域にアクセスできるドメインユーザーグループを指定します。

HelpdeskAccessGroup

Group

管理および監視 Web サイトの TPM とドライブの回復の管理領域にアクセスできるドメインユーザーグループを指定します。

ReportsReadOnlyAccessGroup

Group

管理および監視 Web サイトの [レポート ] 領域に対する読み取りアクセス許可を持つドメインユーザーグループを指定します。指定したグループは、Enable-MbamReport コマンドレットの ReportsReadOnlyAccessGroup パラメーターに使用されるのと同じグループである必要があります。

WebServiceApplicationPoolCredential

ユーザー

MBAM Web アプリケーションのアプリケーションプールで使用するドメインユーザーを指定します。 Enable-MbamDatabase コマンドレットの AccessAccount パラメーターで指定されているのと同じドメインユーザーアカウントである必要があります。 Enable-MbamDatabase コマンドレットの実行時に AccessAccount パラメーターによってドメインユーザーグループが使用された場合、ここで指定するドメインユーザーは、そのグループのメンバーである必要があります。管理者資格情報を指定しない場合は、以前に有効にした Web アプリケーションによって指定された管理者資格情報が使用されます。すべての Web アプリケーションは、同じアプリケーションプール ID を使用します。複数回指定した場合は、最後に指定した値が使用されます。

大事な セキュリティを強化するには、管理資格情報で指定されているアカウントを制限付きユーザー権限に設定します。また、アカウントのパスワードを期限切れにならないように設定します。組み込みのIIS_IUSRS アカウント、または WebServiceApplicationPoolCredential パラメーターに 使用されるアカウントが、認証ローカルセキュリティ設定 後にクライアントの偽装 に追加されていることを確認します。

ローカルセキュリティ設定を表示するには、ローカルセキュリティポリシーエディターを開き、ローカルポリシー ノードを展開し、ユーザー権利の割り当てノードを選択し、認証後にクライアントを偽装し、詳細ウィンドウでバッチジョブとしてログオングループポリシー設定をダブルクリックします。

MBAM 2.5 サーバー機能の構成

MBAM 2.5 サーバー機能の構成の確認

Windows PowerShell を使用した MBAM 2.5 の管理