MBAM 2.5 グループとアカウントの計画

[アーティクル]
03/13/2023

このトピックでは、Microsoft BitLocker 管理および監視 (MBAM) データベース、レポート、および Web アプリケーションのセキュリティとアクセス権を提供するために、Active Directory Domain Services (AD DS) で作成する必要があるロールとアカウントの一覧を示します。ロールとアカウントごとに、MBAM サーバー構成ウィザードの対応するフィールドが提供されます。これらのアカウントに対応するWindows PowerShellコマンドレットとパラメーターの一覧については、「Windows PowerShellを使用した MBAM 2.5 サーバー機能の構成」を参照してください。

注
MBAM では、マネージドサービスアカウントの使用はサポートされていません。

データベースアカウント

コンプライアンスデータベースと監査データベースと復旧データベースの次のアカウントを作成します。

アカウント名と目的	アカウントの種類	このアカウントに対応する MBAM サーバー構成ウィザードのフィールド	このアカウントに対応する MBAM サーバー構成ウィザードフィールドの説明
レポートのコンプライアンスと監査データベースと回復データベースの読み取り/書き込みユーザーまたはグループ	ユーザーまたはグループ	読み取り/書き込みアクセスドメインのユーザーまたはグループ	コンプライアンスおよび監査データベースと Recovery Database への読み取り/書き込みアクセス権を持つドメインユーザーまたはグループ。このフィールドにユーザー名を入力する場合は、[Web アプリケーションの構成] ページの [Web サービスアプリケーションプールドメインアカウント] フィールドの値と同じ値にする必要があります。このフィールドにグループ名を入力する場合、[Web アプリケーションの構成] ページの [Web サービスアプリケーションプールドメインアカウント] フィールドの値は、このフィールドに入力したグループのメンバーである必要があります。
レポートのコンプライアンスと監査データベースの読み取り専用ユーザーまたはグループ	ユーザーまたはグループ	読み取り専用アクセスドメインのユーザーまたはグループ	コンプライアンスデータベースと監査データベースへの読み取り専用アクセス権を持つユーザーまたはグループの名前。このフィールドにユーザー名を入力する場合は、[レポートの構成] ページの [コンプライアンスと監査データベースのドメインアカウント] フィールドで指定したユーザーと同じユーザーにする必要があります。このフィールドにグループ名を入力する場合、[レポートの構成] ページの [コンプライアンスと監査データベースのドメインアカウント] フィールドに指定する値は、このフィールドで指定したグループのメンバーである必要があります。

アカウント名と目的

アカウントの種類

このアカウントに対応する MBAM サーバー構成ウィザードのフィールド

このアカウントに対応する MBAM サーバー構成ウィザードフィールドの説明

レポートのコンプライアンスと監査データベースと回復データベースの読み取り/書き込みユーザーまたはグループ

ユーザーまたはグループ

読み取り/書き込みアクセスドメインのユーザーまたはグループ

コンプライアンスおよび監査データベースと Recovery Database への読み取り/書き込みアクセス権を持つドメインユーザーまたはグループ。

このフィールドにユーザー名を入力する場合は、[Web アプリケーションの構成] ページの [Web サービスアプリケーションプールドメインアカウント] フィールドの値と同じ値にする必要があります。

このフィールドにグループ名を入力する場合、[Web アプリケーションの構成] ページの [Web サービスアプリケーションプールドメインアカウント] フィールドの値は、このフィールドに入力したグループのメンバーである必要があります。

レポートのコンプライアンスと監査データベースの読み取り専用ユーザーまたはグループ

ユーザーまたはグループ

読み取り専用アクセスドメインのユーザーまたはグループ

コンプライアンスデータベースと監査データベースへの読み取り専用アクセス権を持つユーザーまたはグループの名前。

このフィールドにユーザー名を入力する場合は、[レポートの構成] ページの [コンプライアンスと監査データベースのドメインアカウント] フィールドで指定したユーザーと同じユーザーにする必要があります。

このフィールドにグループ名を入力する場合、[レポートの構成] ページの [コンプライアンスと監査データベースのドメインアカウント] フィールドに指定する値は、このフィールドで指定したグループのメンバーである必要があります。

レポートアカウント

レポート機能の次のアカウントを作成します。

アカウント名/目的	アカウントの種類	このアカウントに対応する MBAM サーバー構成ウィザードのフィールド	このアカウントに対応する MBAM サーバー構成ウィザードフィールドの説明
レポートの読み取り専用ドメインアクセスグループ	Group	レポートロールドメイングループ	管理および監視 Web サイトのレポートへの読み取り専用アクセス権を持つドメインユーザーグループを指定します。指定するグループは、Web アプリが有効になっている場合に、[レポートの読み取り専用アクセスグループ] パラメーターに指定したグループと同じである必要があります。
コンプライアンスと監査データベースドメインのユーザーアカウント	ユーザー	コンプライアンスと監査データベースのドメインアカウント	ローカル SQL Server Reporting Services インスタンスがコンプライアンスデータベースと監査データベースへのアクセスに使用するドメインユーザーアカウントとパスワード。このアカウントには、SQL Server Reporting Services サーバーに対する Batch としてのログオン権限が必要です。 [データベースの構成] ページの [読み取り専用アクセスドメインユーザーまたはグループ] フィールドに入力した値がユーザー名の場合は、このフィールドに同じ値を入力する必要があります。 [データベースの構成] ページの [読み取り専用アクセスドメインユーザーまたはグループ] フィールドに入力した値がグループ名の場合、このフィールドに入力する値はそのグループのメンバーである必要があります。このアカウントのパスワードが期限切れにならないように構成します。ユーザーアカウントは、MBAM Reports Users グループで使用できるすべてのデータにアクセスできる必要があります。

アカウント名/目的

アカウントの種類

このアカウントに対応する MBAM サーバー構成ウィザードのフィールド

このアカウントに対応する MBAM サーバー構成ウィザードフィールドの説明

レポートの読み取り専用ドメインアクセスグループ

Group

レポートロールドメイングループ

管理および監視 Web サイトのレポートへの読み取り専用アクセス権を持つドメインユーザーグループを指定します。指定するグループは、Web アプリが有効になっている場合に、[レポートの読み取り専用アクセスグループ] パラメーターに指定したグループと同じである必要があります。

コンプライアンスと監査データベースドメインのユーザーアカウント

ユーザー

コンプライアンスと監査データベースのドメインアカウント

ローカル SQL Server Reporting Services インスタンスがコンプライアンスデータベースと監査データベースへのアクセスに使用するドメインユーザーアカウントとパスワード。このアカウントには、SQL Server Reporting Services サーバーに対する Batch としてのログオン権限が必要です。

[データベースの構成] ページの [読み取り専用アクセスドメインユーザーまたはグループ] フィールドに入力した値がユーザー名の場合は、このフィールドに同じ値を入力する必要があります。

[データベースの構成] ページの [読み取り専用アクセスドメインユーザーまたはグループ] フィールドに入力した値がグループ名の場合、このフィールドに入力する値はそのグループのメンバーである必要があります。

このアカウントのパスワードが期限切れにならないように構成します。ユーザーアカウントは、MBAM Reports Users グループで使用できるすべてのデータにアクセスできる必要があります。

管理および監視 Web サイト (ヘルプデスク) アカウント

管理および監視 Web サイトの次のアカウントを作成します。

アカウント名/目的	アカウントの種類	このアカウントに対応する MBAM サーバー構成ウィザードのフィールド	このアカウントに対応する MBAM サーバー構成ウィザードフィールドの説明
Web サービスアプリケーションプールドメインアカウント	ユーザー	Web サービスアプリケーションプールドメインアカウント	Web アプリケーションのアプリケーションプールで使用されるドメインユーザーアカウント。 [データベースの構成] ページの [読み取り/書き込みアクセスドメインのユーザーまたはグループ] フィールドにユーザー名を入力する場合は、このフィールドに同じ値を入力する必要があります。 [データベースの構成] ページの [読み取り/書き込みアクセスドメインのユーザーまたはグループ] フィールドにグループ名を入力する場合、このフィールドに入力する値は、そのグループのメンバーである必要があります。資格情報を指定しない場合は、以前に有効にした Web アプリケーションに対して指定された資格情報が使用されます。すべての Web アプリケーションは、同じアプリケーションプールの資格情報を使用する必要があります。異なる Web アプリケーションに異なる資格情報を指定した場合は、最後に指定した値が使用されます。重要セキュリティを強化するには、資格情報で指定されているアカウントに制限付きのユーザー権限を設定します。
MBAM Advanced Helpdesk Users access group	Group	MBAM Advanced Helpdesk Users	管理および監視 Web サイトのすべての回復領域にアクセスできるメンバーを持つドメインユーザーグループ。このロールを持つユーザーは、エンドユーザーがドライブを回復する際に、エンドユーザーのドメインとユーザー名ではなく、回復キーのみを入力する必要があります。ユーザーが MBAM ヘルプデスクユーザーグループと MBAM Advanced Helpdesk Users グループの両方のメンバーである場合、MBAM Advanced Helpdesk Users グループのアクセス許可は MBAM ヘルプデスクグループのアクセス許可よりも優先されます。
MBAM Helpdesk Users access group	Group	MBAM ヘルプデスクユーザー	MBAM 管理および監視 Web サイトの TPM とドライブの回復の管理領域にアクセスできるメンバーを持つドメインユーザーグループ。このロールを持つ個人は、いずれかのオプションを使用する場合、エンドユーザーのドメインとアカウント名を含むすべてのフィールドに入力する必要があります。ユーザーが MBAM ヘルプデスクユーザーグループと MBAM Advanced Helpdesk Users グループの両方のメンバーである場合、MBAM Advanced Helpdesk Users グループのアクセス許可は MBAM ヘルプデスクグループのアクセス許可よりも優先されます。
MBAM レポートユーザーアクセスグループ	Group	MBAM レポートユーザー	管理および監視 Web サイトの [レポート] 領域で、メンバーがレポートに読み取り専用アクセス権を持つドメインユーザーグループ。
MBAM データ移行ユーザーグループ	Group	MBAM データ移行ユーザー	MBAM サーバーで実行されている MBAM 回復およびハードウェアサービスを使用して MBAM にデータを書き込むアクセス許可をメンバーに持つオプションのドメインユーザーグループ。このアカウントは、一般に Write-Mbam* コマンドレットと共に使用され、Active Directory から MBAM データベースに復旧データと TPM データを書き込みます。詳細については、「 MBAM 2.5 セキュリティに関する考慮事項」を参照してください。

MBAM 2.5 に対応する環境の準備

MBAM 2.5 の展開の前提条件

MBAM に関する提案を受け取りましたか?

MBAM の問題については、 MBAM TechNet フォーラムを使用します。

MBAM 2.5 グループとアカウントの計画

データベース アカウント

レポート アカウント

管理および監視 Web サイト (ヘルプ デスク) アカウント

関連トピック

MBAM に関する提案を受け取りましたか?

その他のリソース

データベースアカウント

レポートアカウント

管理および監視 Web サイト (ヘルプデスク) アカウント