スタンドアロンおよび Configuration Manager 統合トポロジの MBAM 2.5 サーバーの前提条件
Microsoft BitLocker 管理および監視 (MBAM) のインストールを開始する前に、この記事に記載されている前提条件を満たす必要があります。 これらの前提条件は、MBAM スタンドアロン トポロジと System Center Configuration Manager 統合トポロジに適用されます。
System Center Configuration Manager を使用して MBAM を展開する場合は、その他の前提条件を完了する必要があります。これは、 Configuration Manager 統合トポロジにのみ適用される MBAM 2.5 サーバーの前提条件に記載されています。
MBAM でサポートされているハードウェアとオペレーティング システムの一覧については、「 MBAM 2.5 でサポートされる構成」を参照してください。
重要
MBAM なしで BitLocker を使用した場合は、ドライブの暗号化を解除し、tpm.msc を使用して TPM をクリアする必要があります。 デバイスが既に暗号化されていて、TPM 所有者パスワードが作成されている場合、MBAM は TPM の所有権を取得できません。
必要な MBAM ロールとアカウント
Active Directory Domain Services (ADDS) で作成されたグループの詳細については、「 MBAM 2.5 グループとアカウントの計画」を参照してください。
復旧データベースの前提条件
| 前提 | 詳細 |
|---|---|
| サポートされているバージョンの SQL Server | SQL_Latin1_General_CP1_CI_AS照合順序を使用して Microsoft SQL Server をインストールします。 サポートされているバージョンについては、「 MBAM 2.5 でサポートされる構成 」を参照してください。 |
| 必要な SQL Server のアクセス許可 | 必要なアクセス許可: - SQL Server インスタンス ログイン サーバーの役割: - dbcreator- processadmin- SQL Server Reporting Services インスタンス権限: - フォルダーの作成 - レポートを発行する |
| 省略可能 - SQL Server で使用できる Transparent Data Encryption (TDE) 機能をインストールする | TDE SQL Server 機能は、データとログ ファイルの I/O 暗号化と暗号化解除をリアルタイムで実行します。これは、さまざまな業界に適用される法律、規制、ガイドラインに準拠するのに役立ちます。 手記: TDE は、データベース情報のリアルタイム復号化を実行します。 SQL Server データベースに回復キー情報を表示し、データベースに対するアクセス許可を持つアカウントでサインインしている場合、回復キー情報が表示されます。 TDE の詳細については、「 MBAM 2.5 のセキュリティに関する考慮事項」を参照してください。 |
| SQL Server データベース エンジン サービス | SQL Server データベース エンジン サービスは、MBAM サーバーのインストール中にインストールして実行する必要があります。 |
| Windows PowerShell 3.0 以降 | Windows PowerShell を使用してリモート コンピューターからデータベースを構成する場合、Windows PowerShell を Recovery Database サーバーにインストールする必要はありません。 |
コンプライアンスおよび監査データベースの前提条件
| 前提 | 詳細 |
|---|---|
| サポートされているバージョンの SQL Server | SQL_Latin1_General_CP1_CI_AS照合順序を使用して SQL Server をインストールします。 サポートされているバージョンについては、「 MBAM 2.5 でサポートされる構成 」を参照してください。 |
| 必要な SQL Server のアクセス許可 | 必要なアクセス許可: - SQL Server インスタンス ログイン サーバーの役割: - dbcreator- processadmin- SQL Server Reporting Services インスタンス権限: - フォルダーの作成 - レポートを発行する |
| 省略可能 - SQL Server に Transparent Data Encryption (TDE) 機能をインストールする | TDE SQL Server 機能は、データとログ ファイルの I/O 暗号化と暗号化解除をリアルタイムで実行します。これは、さまざまな業界に適用される法律、規制、ガイドラインに準拠するのに役立ちます。 TDE は、データベース情報のリアルタイム復号化を実行します。 つまり、SQL Server データベースに回復キー情報を表示し、データベースへのアクセス許可を持つアカウントでサインインしている場合、回復キー情報が表示されます。 TDE の詳細については、「 MBAM 2.5 のセキュリティに関する考慮事項」を参照してください。 |
| SQL Server データベース エンジン サービス | SQL Server データベース エンジン サービスは、MBAM サーバーのインストール中にインストールして実行する必要があります。 ただし、SQL Server はリモートで実行できます。MBAM サーバー ソフトウェアをインストールするサーバーと同じサーバー上に存在する必要はありません。 |
| Windows PowerShell 3.0 以降 | Windows PowerShell を使用してリモート コンピューターからデータベースを構成する場合、コンプライアンスおよび監査データベース サーバーに Windows PowerShell をインストールする必要はありません。 |
レポートの前提条件
| 前提 | 詳細 |
|---|---|
| サポートされているバージョンの SQL Server | SQL_Latin1_General_CP1_CI_AS照合順序を使用して SQL Server をインストールします。 サポートされているバージョンについては、「 MBAM 2.5 でサポートされる構成 」を参照してください。 |
| SQL Server Reporting Services (SSRS) | SSRS は、MBAM サーバーのインストール中にインストールして実行する必要があります。 SSRS を "ネイティブ" モードで構成し、未構成モードまたは "SharePoint" モードでは構成しません。 |
| SSRS インスタンス権限 - レポートを構成するために必要なのは、レポートが構成されているサーバーとは別のサーバーにデータベースをインストールする場合のみです。 | 必要なインスタンス権限: - フォルダーの作成 - レポートを発行する |
| Windows PowerShell 3.0 以降 | Windows PowerShell を使用してリモート コンピューターからデータベースを構成する場合は、このデータベース サーバーに Windows PowerShell をインストールする必要はありません。 |
管理および監視サーバーの前提条件
次のセクションでは、MBAM 管理および監視サーバーのインストールの前提条件を示します。
Windows Server Web サーバーの役割
この役割は、管理および監視サーバー機能でサポートされているサーバー オペレーティング システムに追加する必要があります。
Web サーバー (IIS) 管理ツール
[ IIS 管理スクリプトとツール] を選択します。
SSL 証明書
省略可能。 クライアント コンピューターと Web サービス間の通信をセキュリティで保護するには、信頼されたセキュリティ機関が署名した証明書を取得してインストールする必要があります。
Web サーバー ロール サービス
一般的な HTTP 機能
- 静的コンテンツ
- 既定のドキュメント
アプリケーションの開発
- ASP.NET
- .NET 拡張機能
- ISAPI 拡張機能
- ISAPI フィルター
セキュリティ
- Windows 認証
- 要求フィルター処理
Windows Server の機能
.NET Framework 4.5 の機能
.NET Framework 4.5 または 4.6
- Windows Server 2016 - .NET Framework 4.6 は、これらのバージョンの Windows Server に対して既にインストールされていますが、有効にする必要があります。
- Windows Server 2012 または Windows Server 2012 R2 - .NET Framework 4.5 は、これらのバージョンの Windows Server に対して既にインストールされていますが、有効にする必要があります。
- Windows Server 2008 R2 - .NET Framework 4.5 は Windows Server 2008 R2 には含まれていないため、 Microsoft .NET Framework 4.5 をダウンロード して個別にインストールする必要があります。
WCF のアクティブ化
- HTTP ライセンス認証
- 非 HTTP ライセンス認証 (Windows Server 2008、2012、および 2012 R2 の場合のみ)
TCP アクティブ化
Windows プロセス アクティブ化サービス
- プロセス モデル
- .NET Framework 環境
- 構成 API
ASP.NET MVC 4.0
注
ASP.NET MVC 4.0 は、2023 年 1 月のサービス更新プログラム (HF08) 以降は不要になりました。
サービス プリンシパル名 (SPN)
Web アプリケーションでは、Web アプリケーション プールに使用するドメイン アカウントの仮想ホスト名に SPN が必要です。
管理者権限で Active Directory Domain Services で SPN を作成できる場合、MBAM によって SPN が自動的に作成されます。 SPN の作成に必要な権限については、「 Setspn 」を参照してください。
SPN を作成する管理者権限がない場合は、次のコマンドを使用して、組織内の Active Directory 管理者に SPN の作成を依頼する必要があります。
Setspn -s http/mbamvirtual contoso\mbamapppooluser
Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser
コード例では、仮想ホスト名が mbamvirtual.contoso.comされ、Web アプリケーション プールに使用されるドメイン アカウントが contoso\mbamapppooluser。
注
負荷分散を設定する場合は、すべてのサーバーで同じアプリケーション プール アカウントを使用します。
完全修飾、NetBIOS、およびカスタム ホスト名の SPN の登録の詳細については、「 MBAM Web サイトをセキュリティで保護する方法の計画」を参照してください。
Self-Service ポータルの前提条件
サポートされているバージョンの Windows Server
サポートされているバージョンの一覧については、「 MBAM 2.5 でサポートされる構成」を参照してください。
ASP.NET MVC 4.0
注
ASP.NET MVC 4.0 は、2023 年 1 月のサービス更新プログラム (HF08) 以降は不要になりました。
Web サービス IIS 管理ツール
[ IIS 管理スクリプトとツール] を選択します。
サービス プリンシパル名 (SPN)
Web アプリケーションでは、Web アプリケーション プールに使用するドメイン アカウントの仮想ホスト名に SPN が必要です。
管理者権限で Active Directory Domain Services で SPN を作成できる場合、MBAM によって SPN が自動的に作成されます。 SPN の作成に必要な権限については、「 Setspn 」を参照してください。
SPN を作成する管理者権限がない場合は、次のコマンドを使用して、組織内の Active Directory 管理者に SPN の作成を依頼する必要があります。
Setspn -s http/mbamvirtual contoso\mbamapppooluser
Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser
コード例では、仮想ホスト名が mbamvirtual.contoso.comされ、Web アプリケーション プールに使用されるドメイン アカウントが contoso\mbamapppooluser。
注
負荷分散を設定する場合は、すべてのサーバーで同じアプリケーション プール アカウントを使用します。
完全修飾、NetBIOS、およびカスタム ホスト名の SPN の登録の詳細については、「 MBAM Web サイトをセキュリティで保護する方法の計画」を参照してください。
管理ワークステーションの前提条件
MBAM クライアントをインストールする前 に、MBAM グループ ポリシー テンプレートをダウンロードします。 BitLocker ドライブ暗号化の環境で実装する設定で構成します。
MBAM クライアントをインストールする前に、次の手順も実行します。