Windows PowerShell を使用した MBAM 2.5 サーバー機能の構成
MBAM 2.5 Server ソフトウェアをインストールしたら、Windows PowerShellコマンドレットまたは MBAM サーバー構成ウィザードを使用して MBAM 2.5 サーバー機能を構成できます。 このトピックでは、Windows PowerShell コマンドレットを使用して MBAM 2.5 を構成する方法について説明します。 代わりにウィザードを使用するには、「 MBAM 2.5 サーバー機能の構成」を参照してください。
このトピックの内容
このトピックには、MBAM の構成にWindows PowerShellを使用する方法に関する次の情報が含まれています。
MBAM の管理に使用される Get-MbamBitLockerRecoveryKey コマンドレットと Get-MbamTPMOwnerPassword Windows PowerShell コマンドレットの詳細については、「Windows PowerShellを使用した MBAM 2.5 の管理」を参照してください。
MBAM 2.5 のWindows PowerShell ヘルプを読み込む方法
TechNet のWindows PowerShellコマンドレットの一覧については、「Windows PowerShellを使用した Microsoft Desktop Optimization Pack Automation」を参照してください。
MBAM Server ソフトウェアのインストール後に、Windows PowerShell コマンドレットの MBAM 2.5 ヘルプを読み込むには
統合スクリプト環境 (ISE) Windows PowerShellまたはWindows PowerShellを開きます。
タイプ Update-Help –Module Microsoft.MBAM。
MBAM Windows PowerShell コマンドレットに関するヘルプを表示する方法
WINDOWS POWERSHELL MBAM のヘルプは、次の形式で入手できます。
Windows PowerShell ヘルプ形式 | 詳細情報 |
---|---|
Windows PowerShellコマンド プロンプトで、「Get-Help コマンドレット」<と入力します> |
最新のWindows PowerShell コマンドレットをアップロードするには、MBAM のヘルプを読み込む方法に関する前のセクションの手順Windows PowerShell従います。 |
Web ページとしての TechNet の場合 |
|
Word .docx ファイルとしてダウンロード センターで |
|
.pdf ファイルとしてダウンロード センターで |
Windows PowerShellでのみ実行できる構成で、MBAM サーバー構成ウィザードでは実行できない構成
Windows PowerShellを使用してのみ実行できる構成 | 詳細 |
---|---|
Web アプリケーションとは別のコンピューターに Web サービスをインストールします。 |
ウィザードを使用して、Web サービスと Web アプリケーションを同じコンピューターにインストールする必要があります。 |
すべてのConfiguration Manager オブジェクトをインストールせずに、別のレポート サービス ポイントでレポートを有効にします。 |
|
Configuration Managerからすべてのオブジェクトを削除します。 |
オブジェクトを削除すると、Configuration Managerからすべてのコンプライアンス データが削除されます。 |
データベースのカスタム接続文字列を入力します。 |
例: ミラーリングを操作するように Web アプリケーションを構成するには、 Enable-MbamWebApplication コマンドレットを使用して、接続文字列に適切なフェールオーバー パートナー構文を指定する必要があります。 |
前提条件のチェックに失敗した場合でも、検証をスキップして機能を構成します。 |
メモWindows PowerShell コマンドレットまたは MBAM サーバー構成ウィザードを使用して MBAM データベースを無効にすることはできません。 コンプライアンスデータと監査データが誤って削除されないようにするには、データベース管理者はデータベースを手動で削除する必要があります。
Windows PowerShellを使用して MBAM Server 機能を構成するための前提条件と要件
構成を開始する前に、次の前提条件を満たしてください。
アカウント関連の前提条件
前提 条件 | 詳細または追加情報 |
---|---|
必要なアカウントを作成します。 |
このトピックの後半の「必須アカウントと対応するWindows PowerShellコマンドレット パラメーター」セクションを参照してください。 |
Windows PowerShell コマンドレットにパラメーターとして渡すユーザー アカウントとグループは、ドメイン内の有効なアカウントである必要があります。 |
ローカル アカウントは使用できません。 |
下位レベルの形式でアカウントを指定します。 |
例: domainNetBiosName\userdomainNetBiosName\group |
アクセス許可関連の前提条件
前提 条件 | 詳細または追加情報 | ||||||||
---|---|---|---|---|---|---|---|---|---|
MBAM 機能を構成するローカル コンピューターの管理者である必要があります。 |
|||||||||
管理者特権のWindows PowerShell コマンド プロンプトを使用して、すべてのWindows PowerShellコマンドレットを実行します。 |
|||||||||
Enable-MbamDatabase コマンドレットの場合のみ: ターゲットの Microsoft SQL Server データベースのインスタンスに対する "任意のデータベースの作成" アクセス許可が必要です。 このユーザー アカウントは、MBAM ボリューム シャドウ コピー サービス (VSS) ライターを登録するには、ローカル管理者グループまたはバックアップ オペレーター グループの一部である必要があります。 |
既定では、データベース管理者またはシステム管理者には、必要な "任意のデータベースの作成" アクセス許可があります。 VSS ライターの詳細については、「 ボリューム シャドウ コピー サービス」を参照してください。 |
||||||||
System Center Configuration Manager統合機能の場合のみ: この機能を有効にするユーザーは、Configuration Managerで次の権限を持っている必要があります。 |
|
Windows PowerShellを使用してリモート コンピューターで MBAM を構成する
この機能を使用する場合 |
リモート コンピューターで MBAM 2.5 Server 機能を構成する場合。 Windows PowerShellコマンドレットは 1 台のコンピューターで実行されており、別のリモート コンピューターで機能を構成しています。 |
実行する必要がある操作 |
Windows PowerShellを使用して、リモート コンピューターで MBAM 2.5 Server 機能を構成するには、次の操作を行う必要があります。
|
実行する必要がある理由 |
このプロトコルを使用すると、Windows PowerShell コマンドレットは、ユーザーの管理資格情報を使用してActive Directory Domain Servicesに接続できます。 このプロトコルを使用せずにWindows PowerShell セッションを開始すると、検証エラーが発生することがあります。 |
CredSSP プロトコルを使用してWindows PowerShell セッションを開始する方法 |
Windows PowerShell プロンプトに次のコードを入力します。
次のコードに例を示します
|
必要なアカウントと対応するWindows PowerShellコマンドレットパラメーター
次の表では、MBAM 2.5 サーバー機能を構成するために必要なアカウントについて説明します。 また、構成時にアカウントを指定する必要がある、対応するWindows PowerShellコマンドレットとパラメーターも一覧表示されます。
コマンドレット パラメーターの種類 (ユーザーまたはグループ) の説明Enable-MBAMDatabase
AccessAccount
ユーザーまたはグループ
Web アプリケーションにこのデータベース内のデータとレポートへのアクセス権を付与するために、このデータベースに対する読み取り/書き込みアクセス許可を持つドメイン ユーザーまたはグループを指定します。 値がドメイン ユーザーの場合は、Enable-MbamWebApplication コマンドレットの実行時に使用される WebServiceApplicationPoolCredential パラメーターで同じユーザー アカウントを使用する必要があります。 値がドメイン ユーザー グループの場合、 WebServiceApplicationPoolCredential パラメーターで使用されるドメイン アカウントは、このグループのメンバーである必要があります。
ReportAccount
ユーザーまたはグループ
MBAM レポートにコンプライアンスと監査データへのアクセスを提供するために、このデータベースに対する読み取り専用アクセス許可を持つドメイン ユーザーまたはユーザー グループを指定します。 値がドメイン ユーザーの場合は、Enable-MbamReport コマンドレットの ComplianceAndAuditDBCredential パラメーターで同じユーザー アカウントを使用する必要があります。 値がドメイン ユーザー グループの場合、 ComplianceAndAuditDBCredential パラメーターで使用されるドメイン アカウントは、このグループのメンバーである必要があります。
Enable-MbamReport
ComplianceAndAuditDBCredential
ユーザー
ローカル SSRS インスタンスが MBAM コンプライアンスおよび監査データベースへの接続に使用する管理資格情報を指定します。 管理者資格情報のドメイン ユーザーは、Enable-MbamDatabase コマンドレットの実行中に使用される ReportAccount パラメーターに使用されるユーザー アカウントと同じである必要があります。 ドメイン ユーザー グループが ReportAccount パラメーターで使用された場合、このアカウントはそのグループのメンバーである必要があります。
大事な 管理者資格情報で指定されたアカウントには、セキュリティを強化するための制限付きユーザー権限が必要です。 また、アカウントのパスワードは有効期限が切れないように設定する必要があります。
ReportsReadOnlyAccessGroup
Group
レポートに対する読み取りアクセス許可を持つドメイン ユーザー グループを指定します。 指定したグループは、Enable-MbamWebApplication コマンドレットの ReportsReadOnlyAccessGroup パラメーターに使用されるのと同じグループである必要があります。
Enable-MBAMWebApplication
AdvancedHelpdeskAccessGroup
Group
[レポート] 領域を除く、管理および監視 Web サイトのすべての領域にアクセスできるドメイン ユーザー グループを指定します。
HelpdeskAccessGroup
Group
管理および監視 Web サイトの TPM とドライブの回復の管理領域にアクセスできるドメイン ユーザー グループを指定します。
ReportsReadOnlyAccessGroup
Group
管理および監視 Web サイトの [レポート ] 領域に対する読み取りアクセス許可を持つドメイン ユーザー グループを指定します。 指定したグループは、Enable-MbamReport コマンドレットの ReportsReadOnlyAccessGroup パラメーターに使用されるのと同じグループである必要があります。
WebServiceApplicationPoolCredential
ユーザー
MBAM Web アプリケーションのアプリケーション プールで使用するドメイン ユーザーを指定します。 Enable-MbamDatabase コマンドレットの AccessAccount パラメーターで指定されているのと同じドメイン ユーザー アカウントである必要があります。 Enable-MbamDatabase コマンドレットの実行時に AccessAccount パラメーターによってドメイン ユーザー グループが使用された場合、ここで指定するドメイン ユーザーは、そのグループのメンバーである必要があります。 管理者資格情報を指定しない場合は、以前に有効にした Web アプリケーションによって指定された管理者資格情報が使用されます。 すべての Web アプリケーションは、同じアプリケーション プール ID を使用します。 複数回指定した場合は、最後に指定した値が使用されます。
大事な セキュリティを強化するには、管理資格情報で指定されているアカウントを制限付きユーザー権限に設定します。 また、アカウントのパスワードを期限切れにならないように設定します。 組み込みのIIS_IUSRS アカウント、または WebServiceApplicationPoolCredential パラメーターに 使用されるアカウントが、認証ローカル セキュリティ設定 後にクライアントの偽装 に追加されていることを確認します。
ローカル セキュリティ設定を表示するには、ローカル セキュリティ ポリシー エディターを開き、ローカル ポリシー ノードを展開し、ユーザー権利の割り当てノードを選択し、認証後にクライアントを偽装し、詳細ウィンドウでバッチ ジョブとしてログオングループ ポリシー設定をダブルクリックします。
関連トピック
Windows PowerShell を使用した MBAM 2.5 の管理
MBAM に関する提案を受け取りましたか?
MBAM の問題については、 MBAM TechNet フォーラムを使用します。