スタンドアロン トポロジおよび Configuration Manager 統合トポロジの MBAM 2.5 サーバー前提条件
Microsoft BitLocker 管理および監視 (MBAM) のインストールを開始する前に、この記事に記載されている前提条件を満たす必要があります。 これらの前提条件は、MBAM スタンドアロン トポロジとSystem Center Configuration Manager統合トポロジに適用されます。
System Center Configuration Managerを使用して MBAM をデプロイする場合は、追加の前提条件を完了する必要があります。これは、Configuration Manager統合トポロジにのみ適用される MBAM 2.5 サーバーの前提条件に記載されています。
MBAM でサポートされているハードウェアとオペレーティング システムの一覧については、「 MBAM 2.5 サポートされる構成」を参照してください。
重要
MBAM なしで BitLocker を使用した場合は、ドライブの暗号化を解除してから、tpm.msc を使用して TPM をクリアする必要があります。 クライアント PC が既に暗号化されていて、TPM 所有者パスワードが作成されている場合、MBAM は TPM の所有権を取得できません。
必要な MBAM ロールとアカウント
| 前提 条件 | 詳細 |
|---|---|
Active Directory Domain Services (AD DS) で作成されたグループ |
これらの グループとアカウントの説明については、「MBAM 2.5 グループとアカウントの計画 」を参照してください。 |
Recovery Database の前提条件
| 前提 条件 | 詳細 |
|---|---|
サポートされているバージョンのSQL Server |
SQL_Latin1_General_CP1_CI_AS照合順序を使用して Microsoft SQL Serverをインストールします。 サポートされているバージョンについては、「 MBAM 2.5 サポートされる構成」を 参照してください。 |
必要なSQL Serverアクセス許可 |
必要なアクセス許可:
|
省略可能 - SQL Serverで使用できる Transparent Data Encryption (TDE) 機能をインストールする |
TDE SQL Server機能は、データとログ ファイルの I/O 暗号化と暗号化解除をリアルタイムで実行します。これは、さまざまな業界に適用される法律、規制、ガイドラインに準拠するのに役立ちます。
注
TDE は、データベース情報のリアルタイム復号化を実行します。 つまり、SQL Server データベースで回復キー情報を表示していて、データベースに対するアクセス許可を持つアカウントでログオンしている場合、回復キーの情報が表示されます。 TDE の詳細については、「 MBAM 2.5 のセキュリティに関する考慮事項」を参照してください。 |
SQL Server データベース エンジン サービス |
SQL Serverデータベース エンジン サービスは、MBAM サーバーのインストール中にインストールして実行する必要があります。 |
Windows PowerShell 3.0 以降 |
Windows PowerShellを使用してリモート コンピューターからデータベースを構成する場合は、Windows PowerShellを Recovery Database サーバーにインストールする必要はありません。 |
コンプライアンスおよび監査データベースの前提条件
| 前提 条件 | 詳細 |
|---|---|
サポートされているバージョンのSQL Server |
照合順序を使用してSQL Server SQL_Latin1_General_CP1_CI_ASインストールします。 サポートされているバージョンについては、「 MBAM 2.5 サポートされる構成」を 参照してください。 |
必要なSQL Serverアクセス許可 |
必要なアクセス許可:
|
省略可能 - SQL Serverに Transparent Data Encryption (TDE) 機能をインストールする |
TDE SQL Server機能は、データとログ ファイルの I/O 暗号化と暗号化解除をリアルタイムで実行します。これは、さまざまな業界に適用される法律、規制、ガイドラインに準拠するのに役立ちます。 TDE は、データベース情報のリアルタイム復号化を実行します。 つまり、SQL Server データベースで回復キー情報を表示していて、データベースに対するアクセス許可を持つアカウントでログオンしている場合、回復キーの情報が表示されます。 TDE の詳細については、「 MBAM 2.5 のセキュリティに関する考慮事項」を参照してください。 |
SQL Server データベース エンジン サービス |
SQL Serverデータベース エンジン サービスは、MBAM サーバーのインストール中にインストールして実行する必要があります。 ただし、SQL Serverはリモートで実行できます。MBAM サーバー ソフトウェアをインストールするサーバーと同じサーバー上に存在する必要はありません。 |
Windows PowerShell 3.0 以降 |
Windows PowerShellを使用してリモート コンピューターからデータベースを構成する場合は、Windows PowerShellをコンプライアンスおよび監査データベース サーバーにインストールする必要はありません。 |
レポートの前提条件
| 前提 条件 | 詳細 |
|---|---|
サポートされているバージョンのSQL Server |
照合順序を使用してSQL Server SQL_Latin1_General_CP1_CI_ASインストールします。 サポートされているバージョンについては、「 MBAM 2.5 サポートされる構成」を 参照してください。 |
SQL Server Reporting Services (SSRS) |
SSRS は、MBAM サーバーのインストール中にインストールして実行する必要があります。 SSRS を "ネイティブ" モードで構成し、未構成モードまたは "SharePoint" モードでは構成しません。 |
SSRS インスタンス権限 – レポートを構成するには、レポートが構成されているサーバーとは別のサーバーにデータベースをインストールする場合にのみ必要です。 |
必要なインスタンス権限:
|
Windows PowerShell 3.0 以降 |
Windows PowerShellを使用してリモート コンピューターからデータベースを構成する場合は、Windows PowerShell このデータベース サーバーにインストールする必要はありません。 |
管理および監視サーバーの前提条件
次の表に、MBAM 管理および監視サーバーのインストールの前提条件を示します。
| 前提 条件 | 詳細 |
|---|---|
Windows Server Web サーバーの役割 |
この役割は、管理および監視サーバー機能でサポートされているサーバー オペレーティング システムに追加する必要があります。 |
Web サーバー (IIS) 管理ツール |
[ IIS 管理スクリプトとツール] をクリックします。 |
SSL 証明書 |
省略可能。 クライアント コンピューターと Web サービス間の通信をセキュリティで保護するには、信頼されたセキュリティ機関が署名した証明書を取得してインストールする必要があります。 |
Web サーバー ロール サービス |
一般的な HTTP 機能:
アプリケーション開発:
セキュリティ:
|
Windows Server の機能 |
.NET Framework 4.5 の機能:
Windows プロセス ライセンス認証サービス:
|
| ASP.NET MVC 4.0[1] | |
サービス プリンシパル名 (SPN) |
Web アプリケーションでは、Web アプリケーション プールに使用するドメイン アカウントの仮想ホスト名に SPN が必要です。 管理者権限でACTIVE DIRECTORY DOMAIN SERVICESで SPN を作成できる場合、MBAM によって SPN が自動的に作成されます。 SPN の作成に必要な権限については、「 Setspn 」を参照してください。 SPN を作成する管理者権限がない場合は、次のコマンドを使用して、組織内の Active Directory 管理者に対して SPN の作成を依頼する必要があります。 コード例では、仮想ホスト名が mbamvirtual.contoso.com され、Web アプリケーション プールに使用されるドメイン アカウントは contoso\mbamapppooluser です。
注
負荷分散を設定する場合は、すべてのサーバーで同じアプリケーション プール アカウントを使用します。 完全修飾、NetBIOS、およびカスタム ホスト名の SPN の登録の詳細については、「 MBAM Web サイトをセキュリティで保護する方法の計画」を参照してください。 |
[1]2023 年 1 月のサービス更新プログラム (HF08) 以降、MVC 4.0 ASP.NET は不要になった。
Self-Service ポータルの前提条件
| 前提 条件 | 詳細 |
|---|---|
サポートされているバージョンの Windows Server |
サポートされているバージョンについては、「 MBAM 2.5 サポートされる構成」を 参照してください。 |
| ASP.NET MVC 4.0[2] | |
Web サービス IIS 管理ツール |
|
サービス プリンシパル名 (SPN) |
Web アプリケーションでは、Web アプリケーション プールに使用するドメイン アカウントの仮想ホスト名に SPN が必要です。 管理者権限でACTIVE DIRECTORY DOMAIN SERVICESで SPN を作成できる場合、MBAM によって SPN が自動的に作成されます。 SPN の作成に必要な権限については、「 Setspn 」を参照してください。 SPN を作成する管理者権限がない場合は、次のコマンドを使用して、組織内の組織管理者の Active Directory 管理者に対して SPN の作成を依頼する必要があります。 コード例では、仮想ホスト名が mbamvirtual.contoso.com され、Web アプリケーション プールに使用されるドメイン アカウントは contoso\mbamapppooluser です。
注
負荷分散を設定する場合は、すべてのサーバーで同じアプリケーション プール アカウントを使用します。 完全修飾、NetBIOS、およびカスタム ホスト名の SPN の登録の詳細については、「 MBAM Web サイトをセキュリティで保護する方法の計画」を参照してください。 |
[2]2023 年 1 月のサービス更新プログラム (HF08) 以降、MVC 4.0 ASP.NET は不要になりました。
管理ワークステーションの前提条件
| 前提 条件 | 詳細 | ||||||
|---|---|---|---|---|---|---|---|
|
MBAM クライアントをインストールする前に、MBAM グループ ポリシー テンプレートをダウンロードし、BitLocker Drive Encryption 用にエンタープライズに実装する設定で構成します。 |
MBAM クライアントをインストールする前に、次の操作を行います。
|
関連記事
MBAM の提案はありますか?
MBAM の問題については、 MBAM TechNet フォーラムを使用してください。