MBAM 2.5 グループとアカウントの計画
このトピックでは、Microsoft BitLocker 管理および監視 (MBAM) データベース、レポート、および Web アプリケーションのセキュリティとアクセス権を提供するために、Active Directory Domain Services (AD DS) で作成する必要があるロールとアカウントの一覧を示します。 ロールとアカウントごとに、MBAM サーバー構成ウィザードの対応するフィールドが提供されます。 これらのアカウントに対応するWindows PowerShellコマンドレットとパラメーターの一覧については、「Windows PowerShellを使用した MBAM 2.5 サーバー機能の構成」を参照してください。
注
MBAM では、マネージド サービス アカウントの使用はサポートされていません。
データベース アカウント
コンプライアンス データベースと監査データベースと復旧データベースの次のアカウントを作成します。
アカウント名と目的 | アカウントの種類 | このアカウントに対応する MBAM サーバー構成ウィザード のフィールド | このアカウントに対応する MBAM サーバー構成ウィザード フィールドの説明 |
---|---|---|---|
レポートのコンプライアンスと監査データベースと回復データベースの読み取り/書き込みユーザーまたはグループ |
ユーザーまたはグループ |
読み取り/書き込みアクセス ドメインのユーザーまたはグループ |
コンプライアンスおよび監査データベースと Recovery Database への読み取り/書き込みアクセス権を持つドメイン ユーザーまたはグループ。 このフィールドにユーザー名を入力する場合は、[Web アプリケーションの構成] ページの [Web サービス アプリケーション プール ドメイン アカウント] フィールドの値と同じ値にする必要があります。 このフィールドにグループ名を入力する場合、[Web アプリケーションの構成] ページの [Web サービス アプリケーション プール ドメイン アカウント] フィールドの値は、このフィールドに入力したグループのメンバーである必要があります。 |
レポートのコンプライアンスと監査データベースの読み取り専用ユーザーまたはグループ |
ユーザーまたはグループ |
読み取り専用アクセス ドメインのユーザーまたはグループ |
コンプライアンスデータベースと監査データベースへの読み取り専用アクセス権を持つユーザーまたはグループの名前。 このフィールドにユーザー名を入力する場合は、[レポートの構成] ページの [コンプライアンスと監査データベースのドメイン アカウント] フィールドで指定したユーザーと同じユーザーにする必要があります。 このフィールドにグループ名を入力する場合、[レポートの構成] ページの [コンプライアンスと監査データベースのドメイン アカウント] フィールドに指定する値は、このフィールドで指定したグループのメンバーである必要があります。 |
レポート アカウント
レポート機能の次のアカウントを作成します。
アカウント名/目的 | アカウントの種類 | このアカウントに対応する MBAM サーバー構成ウィザード のフィールド | このアカウントに対応する MBAM サーバー構成ウィザード フィールドの説明 |
---|---|---|---|
レポートの読み取り専用ドメイン アクセス グループ |
Group |
レポート ロール ドメイン グループ |
管理および監視 Web サイトのレポートへの読み取り専用アクセス権を持つドメイン ユーザー グループを指定します。 指定するグループは、Web アプリが有効になっている場合に、[レポートの読み取り専用アクセス グループ] パラメーターに指定したグループと同じである必要があります。 |
コンプライアンスと監査データベース ドメイン のユーザー アカウント |
ユーザー |
コンプライアンスと監査データベース のドメイン アカウント |
ローカル SQL Server Reporting Services インスタンスがコンプライアンスデータベースと監査データベースへのアクセスに使用するドメイン ユーザー アカウントとパスワード。 このアカウントには、SQL Server Reporting Services サーバーに対する Batch としてのログオン権限が必要です。 [データベースの構成] ページの [読み取り専用アクセス ドメイン ユーザーまたはグループ] フィールドに入力した値がユーザー名の場合は、このフィールドに同じ値を入力する必要があります。 [データベースの構成] ページの [読み取り専用アクセス ドメイン ユーザーまたはグループ] フィールドに入力した値がグループ名の場合、このフィールドに入力する値はそのグループのメンバーである必要があります。 このアカウントのパスワードが期限切れにならないように構成します。 ユーザー アカウントは、MBAM Reports Users グループで使用できるすべてのデータにアクセスできる必要があります。 |
管理および監視 Web サイト (ヘルプ デスク) アカウント
管理および監視 Web サイトの次のアカウントを作成します。
アカウント名/目的 | アカウントの種類 | このアカウントに対応する MBAM サーバー構成ウィザード のフィールド | このアカウントに対応する MBAM サーバー構成ウィザード フィールドの説明 |
---|---|---|---|
Web サービス アプリケーション プール ドメイン アカウント |
ユーザー |
Web サービス アプリケーション プール ドメイン アカウント |
Web アプリケーションのアプリケーション プールで使用されるドメイン ユーザー アカウント。 [データベースの構成] ページの [読み取り/書き込みアクセス ドメインのユーザーまたはグループ] フィールドにユーザー名を入力する場合は、このフィールドに同じ値を入力する必要があります。 [データベースの構成] ページの [読み取り/書き込みアクセス ドメインのユーザーまたはグループ] フィールドにグループ名を入力する場合、このフィールドに入力する値は、そのグループのメンバーである必要があります。 資格情報を指定しない場合は、以前に有効にした Web アプリケーションに対して指定された資格情報が使用されます。 すべての Web アプリケーションは、同じアプリケーション プールの資格情報を使用する必要があります。 異なる Web アプリケーションに異なる資格情報を指定した場合は、最後に指定した値が使用されます。
重要
セキュリティを強化するには、資格情報で指定されているアカウントに制限付きのユーザー権限を設定します。 |
MBAM Advanced Helpdesk Users access group |
Group |
MBAM Advanced Helpdesk Users |
管理および監視 Web サイトのすべての回復領域にアクセスできるメンバーを持つドメイン ユーザー グループ。 このロールを持つユーザーは、エンド ユーザーがドライブを回復する際に、エンド ユーザーのドメインとユーザー名ではなく、回復キーのみを入力する必要があります。 ユーザーが MBAM ヘルプデスク ユーザー グループと MBAM Advanced Helpdesk Users グループの両方のメンバーである場合、MBAM Advanced Helpdesk Users グループのアクセス許可は MBAM ヘルプデスク グループのアクセス許可よりも優先されます。 |
MBAM Helpdesk Users access group |
Group |
MBAM ヘルプデスク ユーザー |
MBAM 管理および監視 Web サイトの TPM とドライブの回復の管理領域にアクセスできるメンバーを持つドメイン ユーザー グループ。 このロールを持つ個人は、いずれかのオプションを使用する場合、エンド ユーザーのドメインとアカウント名を含むすべてのフィールドに入力する必要があります。 ユーザーが MBAM ヘルプデスク ユーザー グループと MBAM Advanced Helpdesk Users グループの両方のメンバーである場合、MBAM Advanced Helpdesk Users グループのアクセス許可は MBAM ヘルプデスク グループのアクセス許可よりも優先されます。 |
MBAM レポート ユーザー アクセス グループ |
Group |
MBAM レポート ユーザー |
管理および監視 Web サイトの [レポート] 領域で、メンバーがレポートに読み取り専用アクセス権を持つドメイン ユーザー グループ。 |
MBAM データ移行ユーザー グループ |
Group |
MBAM データ移行ユーザー |
MBAM サーバーで実行されている MBAM 回復およびハードウェア サービスを使用して MBAM にデータを書き込むアクセス許可をメンバーに持つオプションのドメイン ユーザー グループ。 このアカウントは、一般に Write-Mbam* コマンドレットと共に使用され、Active Directory から MBAM データベースに復旧データと TPM データを書き込みます。 詳細については、「 MBAM 2.5 セキュリティに関する考慮事項」を参照してください。 |
関連トピック
MBAM に関する提案を受け取りましたか?
MBAM の問題については、 MBAM TechNet フォーラムを使用します。