MBAM 2.5 Web アプリケーションを構成する方法

このトピックでは、次のいずれかの方法を使用して、推奨される MBAM 2.5 用の高レベル アーキテクチャ用に Microsoft BitLocker 管理および監視 ( MBAM) 2.5 Web アプリケーションを構成する方法について説明します。

• Windows PowerShell コマンドレット

• MBAM サーバー構成ウィザード

Web アプリケーションは、次の Web サイトとそれに対応する Web サービスで構成されます。

Web サイト	説明
管理および監視 Web サイト	特定のユーザーがレポートを表示し、PIN またはパスワードを忘れたときにエンド ユーザーがコンピューターを回復するのに役立つ Web サイト
Self-Service ポータル	エンド ユーザーが PIN またはパスワードを忘れた場合に、独立してコンピューターへのアクセスを回復できる Web サイト

構成を開始する前に、次の手順を実行します。

ステップ	手順を取得する場所
MBAM の推奨アーキテクチャを確認します。	MBAM 2.5 の高レベルのアーキテクチャ
MBAM でサポートされている構成を確認します。	MBAM 2.5 でサポートされる構成
各サーバーで必要な前提条件を完了します。 注 管理および監視 Web サイトを構成する前に、セキュリティで保護されたソケットレイヤー (SSL) を使用するように SQL ServerReporting Services (SSRS) を構成してください。 それ以外の場合、レポート機能では HTTPS ではなく HTTP が使用されます。	スタンドアロン トポロジおよび Configuration Manager 統合トポロジの MBAM 2.5 サーバー前提条件 CONFIGURATION MANAGER統合トポロジにのみ適用される MBAM 2.5 サーバーの前提条件 (該当する場合)
Web サイトのアプリケーション プール アカウントにサービス プリンシパル名 (SPN) を登録します。 この手順は、Active Directory Domain Services (AD DS) に管理ドメイン権限がない場合にのみ行う必要があります。 AD DS でこれらの権限を持っている場合は、MBAM によって SPN が作成されます。	MBAM Web サイトをセキュリティで保護する方法の計画
MBAM サーバー機能を構成する各サーバーに MBAM Server ソフトウェアをインストールします。 注 Web サイトを 1 つのサーバーにインストールし、Web サービスを別のサーバーにインストールする場合は、Enable-MbamWebApplication Windows PowerShellコマンドレットを使用してのみ構成できます。 MBAM サーバー構成ウィザードでは、これらの項目を個別のサーバーで構成することはできません。	MBAM 2.5 サーバー ソフトウェアのインストール
コマンドレットを使用して MBAM Server 機能を構成する予定がある場合は、Windows PowerShellを使用するための前提条件を確認します。	Windows PowerShell を使用した MBAM 2.5 サーバー機能の構成

Windows PowerShellを使用して Web アプリケーションを構成するには

1. 構成を開始する前に、「Windows PowerShellを使用した MBAM 2.5 サーバー機能の構成」を参照して、Windows PowerShellを使用するための前提条件を確認してください。

2. Enable-MbamWebApplication コマンドレットを使用して、Windows PowerShellを使用して Web アプリケーションを構成します。 このコマンドレットに関する情報を取得するには、「 Get-Help Enable-MbamWebApplication」と入力します。

ウィザードを使用してすべての Web アプリケーションの設定を構成するには

1. Web アプリケーションを構成するサーバーで、MBAM サーバー構成ウィザードを起動します。 [スタート] メニューから [MBAM サーバー構成] を選択してウィザードを開くことができます。

2. [ 新機能の追加] をクリック し、[管理と監視 Web サイト] と[セルフサービス ポータル] を選択して、[ 次へ] をクリックします。 ウィザードは、Web アプリケーションのすべての前提条件が満たされていることを確認します。

3. 前提条件のチェックが成功した場合は、[ 次へ ] をクリックして続行します。 それ以外の場合は、不足している前提条件を解決し、 もう一度 [前提条件の確認] をクリックします。

4. ウィザードでフィールド値を入力するには、次の説明を使用します。

   フィールド	説明
   セキュリティ証明書	Web サービスと Web サイトを構成するサーバー間の通信を暗号化する場合は、以前に作成した証明書を選択します。 [ 証明書を使用しない] を選択した場合、Web 通信はセキュリティで保護されていない可能性があります。
   ホスト名	Web サイトを構成するホスト コンピューターの名前。
   インストール パス	Web サイトをインストールするパス。
   Port	Web サイトとサービスの通信に使用するポート番号。 注 指定したポート経由の通信を有効にするには、ファイアウォールの例外を設定する必要があります。
   Web サービス アプリケーション プールのドメイン アカウントとパスワード	Web サービス アプリケーション プールのドメイン ユーザー アカウントとパスワード。 [データベースの構成] ページの [読み取り/書き込みアクセス ドメインのユーザーまたはグループ] フィールドにユーザー名を入力する場合は、このフィールドに同じ値を入力する必要があります。 [データベースの構成] ページの [読み取り/書き込みアクセス ドメインのユーザーまたはグループ] フィールドにグループ名を入力する場合、このフィールドに入力する値は、そのグループのメンバーである必要があります。 資格情報を指定しない場合は、以前に有効にした Web アプリケーションに対して指定された資格情報が使用されます。 すべての Web アプリケーションは、同じアプリケーション プールの資格情報を使用する必要があります。 異なる Web アプリケーションに異なる資格情報を指定した場合は、最後に指定した値が使用されます。 重要 セキュリティを強化するには、資格情報で指定されているアカウントに制限付きのユーザー権限を設定します。 また、アカウントのパスワードを期限切れにならないように設定します。

5. 組み込みのIIS_IUSRS アカウントまたはアプリケーション プール アカウントが 認証後に偽装クライアント に追加され、バッチ ジョブのローカル セキュリティ設定 としてログオン されていることを確認します。

   ローカル セキュリティ設定に追加されているかどうかを確認するには、 ローカル セキュリティ ポリシー エディターを開き、 ローカル ポリシー ノードを展開し、 ユーザー権利の割り当て ノードをクリックし、 認証後にクライアントを偽装 し、右側のウィンドウで バッチ ジョブ ポリシーとしてログオン をダブルクリックします。

ウィザードを使用してデータベースの接続情報を構成するには

1. コンプライアンスデータベースと監査データベースのウィザードで接続情報を構成するには、次のフィールドの説明を使用します。

   フィールド	説明
   SQL Server名	コンプライアンス データベースと監査データベースが構成されているサーバーの名前。
   SQL Server データベース インスタンス	コンプライアンス データベースと監査データベースが構成されているインスタンス名をSQL Serverします。
   データベース名	コンプライアンスデータベースと監査データベースの名前。

2. 回復データベースのウィザードで接続情報を構成するには、次のフィールドの説明を使用します。

   フィールド	説明
   SQL Server名	Recovery Database が構成されているサーバーの名前。
   SQL Server データベース インスタンス	Recovery Database が構成されているインスタンス名をSQL Serverします。
   データベース名	復旧データベースの名前。

ウィザードを使用して Web アプリケーションを構成するには

1. 次の説明を使用して、ウィザードにフィールド値を入力して、管理および監視 Web サイトを構成します。

   フィールド	説明
   Advanced Helpdesk ロール ドメイン グループ	[レポート] 領域を除く、管理および監視 Web サイトのすべての領域にアクセスできるメンバーを持つドメイン ユーザー グループ。
   Helpdesk ロール ドメイン グループ	管理および監視 Web サイトの TPM とドライブの回復の管理領域にアクセスできるメンバーを持つドメイン ユーザー グループ。
   System Center Configuration Manager統合を使用する	Configuration Manager統合トポロジで MBAM を構成する場合は、このチェック ボックスをオンにします。 このチェック ボックスをオンにすると、管理および監視 Web サイトではなく、回復監査レポートを除くすべてのレポートがConfiguration Managerに表示されます。
   レポート ロール ドメイン グループ	管理および監視 Web サイトの [レポート] 領域への読み取り専用アクセス権を持つメンバーを持つドメイン ユーザー グループ。
   SQL Server Reporting Services URL	MBAM レポートが構成されている SSRS サーバーの URL。 レポート URL の例: ホスト名の種類 例 完全修飾ドメイン名を持つ例 https://MyReportServer.Contoso.com/ReportServer カスタム ホスト名を持つ例 https://MyReportServer/ReportServer
   仮想ディレクトリ	管理および監視 Web サイトの仮想ディレクトリ。 この名前は、サーバー上の Web サイトの物理ディレクトリに対応し、次のように Web サイトのホスト名に追加されます。 http://<hostname>:<port>/HelpDesk/ 仮想ディレクトリを指定しない場合は、 HelpDesk の値が使用されます。
   Data Migration ロール ドメイン グループ (省略可能)	メンバーが Write-Mbam*Information コマンドレットを使用して、このエンドポイント経由で回復情報を書き込むアクセス権を持つドメイン ユーザー グループ。

2. 次の説明を使用して、ウィザードにフィールド値を入力して、Self-Service ポータルを構成します。

   フィールド	説明
   仮想ディレクトリ	Web アプリケーションの仮想ディレクトリ。 この名前は、サーバー上の Web サイトの物理ディレクトリに対応し、次のように Web サイトのホスト名に追加されます。 http://<hostname>:<port>/SelfService/ 仮想ディレクトリを指定しない場合は、 値 SelfService が 使用されます。
   会社名	次のように、Self-Service ポータルの会社名を指定します。 Contoso IT この会社名は、Self-Service ポータルのすべてのユーザーによって表示されます。
   ヘルプデスクの URL テキスト	次のように、組織のヘルプデスク Web サイトにユーザーを誘導するテキスト ステートメントを指定します。 ヘルプデスクまたは IT 部門にお問い合わせください
   ヘルプデスクの URL	次のように、組織のヘルプデスク Web サイトの URL を指定します。 http://<companyHelpdeskURL>/
   テキスト ファイルに注目してください	Self-Service ポータルのランディング ページで、ユーザーに表示する通知を含むファイルを選択します。
   ユーザーに通知テキストを表示しない	通知テキストをユーザーに表示しないように指定するには、このチェック ボックスをオンにします。

3. エントリが完了したら、[ 次へ] をクリックします。

   ウィザードは、Web アプリケーションのすべての前提条件が満たされていることを確認します。

4. [Next] をクリックして続行します。

5. [概要] ページ で 、追加される機能を確認します。

   注
   作成したエントリのWindows PowerShell スクリプトを作成するには、[PowerShell スクリプトのエクスポート] をクリックしてスクリプトを保存します。

6. [ 追加] をクリックして Web アプリケーションをサーバーに追加し、[ 閉じる] をクリックします。

   カスタム通知テキスト、会社名、詳細情報へのポインターなどを追加してSelf-Service ポータルをカスタマイズするには、「 組織向けSelf-Service ポータルのカスタマイズ」を参照してください。

クライアント コンピューターが CDN にアクセスできない場合にSelf-Service ポータルを構成するには

1. Microsoft BitLocker 管理および監視 (MBAM) 2.5 SP1 を実行しているかどうかを確認します。 その場合は、何もしないでください。 Self-Service ポータルの構成が完了しました。

   注
   Microsoft BitLocker 管理および監視 (MBAM) 2.5 SP1 では、セットアップで JavaScript ファイルがインストールされるため、Self-Service ポータルを構成するために Microsoft Ajax コンテンツ配信ネットワークに接続する必要はありません。 次の手順は、SP1 より前のバージョンの Microsoft BitLocker 管理および監視 (MBAM) 2.5 を使用している場合にのみ必要です。

2. クライアント コンピューターが Microsoft Ajax Content Delivery Network (CDN) にアクセスできるかどうかを確認します。

   CDN では、Self-Service ポータルに、特定の JavaScript ファイルに必要なアクセス権が付与されます。 クライアント コンピューターが CDN にアクセスできないときにSelf-Service ポータルを構成しない場合は、会社名とエンド ユーザーがサインインしたアカウントのみが表示されます。 エラー メッセージは表示されません。

3. 次のいずれかの操作を行います。

   • クライアント コンピューターが CDN にアクセスできる場合は、何もしないでください。 Self-Service ポータルの構成が完了しました。

   • クライアント コンピューターが CDN にアクセスできない場合は、「クライアント コンピューターが Microsoft Content Delivery Network にアクセスできない場合にSelf-Service ポータルを構成する方法」の手順を実行します。

関連トピック

サーバーのイベント ログ

MBAM 2.5 サーバー機能の構成

クライアント コンピューターが Microsoft Content Delivery Network にアクセスできない場合にセルフサービス ポータルを構成する方法

組織のセルフサービス ポータルのカスタマイズ

MBAM 2.5 サーバー機能の構成の確認

MBAM に関する提案を受け取りましたか?

MBAM の問題については、 MBAM TechNet フォーラムを使用します。