MBAM Web サイトをセキュリティで保護する方法の計画

  • [アーティクル]

このトピックでは、Microsoft BitLocker 管理および監視 (MBAM) 2.5 管理および監視 Web サイトとSelf-Service ポータルをセキュリティで保護するための次の方法について説明します。

メソッド 必須または省略可能ですか?

証明書を使用した MBAM Web サイトのセキュリティ保護

省略可能ですが、強くお勧めします

アプリケーション プール アカウントのサービス プリンシパル名 (SPN) の登録

必須

MBAM デプロイをセキュリティで保護する方法の詳細については、「 MBAM 2.5 セキュリティに関する考慮事項」を参照してください。

証明書を使用した MBAM Web サイトのセキュリティ保護

証明書を使用して、次の間の通信をセキュリティで保護することをお勧めします。

  • MBAM クライアントと Web サービス

  • ブラウザーと管理および監視 Web サイトとSelf-Service ポータル Web サイト

証明書の要求とインストールの詳細については、「 インターネット サーバー証明書の構成」を参照してください。


Windows PowerShellを使用している場合にのみ、異なるサーバーで Web サイトと Web サービスを構成できます。 MBAM サーバー構成ウィザードを使用して Web サイトを構成する場合は、同じサーバーで Web サイトと Web サービスを構成する必要があります。

Web サービスとデータベース間の通信をセキュリティで保護するために、SQL Serverで暗号化を強制することをお勧めします。 Web サービスとSQL Server間の通信を含め、SQL Serverへのすべての接続をセキュリティで保護する方法については、「MBAM 2.5 セキュリティに関する考慮事項」を参照してください。

アプリケーション プール アカウントの SPN の登録

MBAM サーバーが管理および監視 Web サイトとSelf-Service ポータルからの通信を認証できるようにするには、Web アプリケーション プールに使用しているドメイン アカウントの下にホスト名のサービス プリンシパル名 (SPN) を登録する必要があります。

このトピックでは、次の種類のホスト名に SPN を登録する方法について説明します。

  • 完全修飾ドメイン名

  • NetBIOS 名

  • 仮想名

初期 MBAM インストール用の SPN を作成する前に

SPN の作成を開始する前に、次の表の情報を確認してください。

タスクまたはアイテム 詳細情報

Active Directory Domain Services (AD DS) でサービス アカウントを作成します。

サービス アカウントは、MBAM Web サイトのセキュリティを提供するために AD DS で作成するユーザー アカウントです。 MBAM Web サイトは、サービス アカウントの名前であるアプリケーション プールの下で実行されます。 その後、SPN はアプリケーション プール アカウントに登録されます。


すべての Web サーバーに同じアプリケーション プール アカウントを使用する必要があります。

IIS-IUSRS グループ アカウントまたはアプリケーション プール アカウントに必要な権限が付与されていることを確認します。

これを確認するには、次の手順に従います。

  1. ローカル セキュリティ ポリシー エディターを開き、ローカル ポリシー ノードを展開します。

  2. [ユーザー権利の割り当て] ノードを選択し、認証後にクライアントを偽装し、右側のウィンドウでバッチ ジョブとしてログオングループ ポリシー設定をダブルクリックします。

ドメイン管理アカウントを使用して MBAM Web サイトを構成すると、MBAM によって SPN が作成されます。

ドメイン管理アカウントを使用して MBAM Web サイトを構成する場合は、このトピックの手順に従って、使用しているホスト名の種類に対して SPN を手動で登録します。

完全修飾ドメイン ホスト名を使用する場合の SPN の登録

MBAM を構成するときに完全修飾ドメイン ホスト名を使用する場合は、次の例に示すように、SPN を 1 つだけ登録する必要があります。

実行する必要がある操作 例と詳細情報

完全修飾ドメイン名の SPN を登録します。

Setspn -s http/mybitlockerrecovery.contoso.com contoso\mbamapppooluser

完全修飾ホスト名は mybitlockerrecovery.contoso.com であり、Web アプリケーション プールに使用されるドメイン アカウントは contoso\mbamapppooluser です。

アプリケーション プール アカウントに登録する SPN の制約付き委任を構成します。

制約付き委任の構成

この要件は MBAM 2.5 にのみ適用されます。MBAM 2.5 SP1 では必要ありません。

NetBIOS ホスト名を使用する場合の SPN の登録

MBAM を構成するときに NetBIOS ホスト名を使用する場合は、次の例に示すように、NetBIOS 名に 1 つの SPN を登録し、完全修飾ドメイン名に別の SPN を登録します。

実行する必要がある操作 例と詳細情報

NetBIOS ホスト名の SPN を登録します。

Setspn -s http/nbname01 contoso\mbamapppooluser

NetBIOS ホスト名は nbname01 で、Web アプリケーション プールに使用されるドメイン アカウントは contoso\mbamapppooluser です。

完全修飾ドメイン名の SPN を登録します。

Setspn –s http/nbname01.corp.contoso.com contoso\mbamapppooluser

完全修飾ドメイン名は nbname01.contoso.com され、Web アプリケーション プールに使用されるドメイン アカウントは contoso\mbamapppooluser です。

アプリケーション プール アカウントに登録する SPN の制約付き委任を構成します。

制約付き委任の構成

この要件は MBAM 2.5 にのみ適用されます。MBAM 2.5 SP1 では必要ありません。

仮想ホスト名を使用する場合の SPN の登録

完全修飾ドメイン名である仮想ホスト名で MBAM を構成する場合は、仮想ホスト名に SPN を 1 つだけ登録します。 構成する仮想ホスト名が完全修飾ドメイン名でない場合は、次の例で説明するように、完全修飾ドメイン名を指定する 2 つ目の SPN を作成する必要があります。

実行する必要がある操作 例と詳細情報

仮想ホスト名が完全修飾ドメイン名である場合は、この例のように、SPN を 1 つだけ登録します。

Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser

この例では、仮想ホスト名が mbamvirtual.contoso.com され、Web アプリケーション プールに使用されるドメイン アカウントは contoso\mbamapppooluser です。

仮想ホスト名が完全修飾ドメイン名でない場合は、この追加の SPN を登録します。

Setspn -s http/mbamvirtual contoso\mbamapppooluser

この例では、仮想ホスト名は mbamvirtual であり、Web アプリケーション プールに使用されるドメイン アカウントは contoso\mbamapppooluser です。

仮想ホスト名が完全修飾ドメイン名でない場合は、この追加の SPN を登録します。

Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser

この例では、仮想ホスト名が mbamvirtual.contoso.com され、Web アプリケーション プールに使用されるドメイン アカウントは contoso\mbamapppooluser です。

ドメイン ネーム サーバー (DNS) サーバーで、カスタム ホスト名の "A レコード" を作成し、Web サーバーまたはロード バランサーを指します。

DNS ホスト レコードの構成の「DNS ホスト A レコードを 構成するには」セクションを参照してください。

CNAMES の代わりに A レコードを使用することをお勧めします。 CNAMES を使用してドメイン アドレスを指す場合は、アプリケーション プール アカウントに Web サーバー名の SPN も登録する必要があります。

アプリケーション プール アカウントに登録する SPN の制約付き委任を構成します。

制約付き委任の構成

この要件は MBAM 2.5 にのみ適用されます。MBAM 2.5 SP1 では必要ありません。

以前のバージョンの MBAM からアップグレードするときに SPN を登録する

次の操作を行う場合にのみ、このセクションの手順を実行します。

  • 以前のバージョンの MBAM からアップグレードします。

  • 負荷分散された構成または分散構成で MBAM 2.5 で Web サイトを実行し、現在負荷分散されていない構成で実行しています。

アプリケーション プール アカウントではなくコンピューター アカウントに SPN を既に登録している場合、MBAM は既存の SPN を使用し、負荷分散または分散構成で Web サイトを構成することはできません。

実行する必要がある操作 例と詳細情報

Active Directory Domain Services (AD DS) でアプリケーション プール アカウントを作成します。

現在インストールされている Web サイトと Web サービスを削除します。

MBAM サーバーの機能またはソフトウェアの削除

マシン アカウントから SPN を削除します。

Setspn –d http/mbamwebserver mbamwebserver

Setspn –d http/mbamwebserver.contoso.com mbamwebserver

アプリケーション プール アカウントに SPN を登録します。

仮想ホスト名を使用する場合は、SPN を登録する手順に従います。

Web アプリケーションと Web サービスを再構成します。

MBAM 2.5 Web アプリケーションを構成する方法

構成に使用する方法に応じて、次のいずれかの操作を行います。

方法 詳細

MBAM サーバー構成ウィザード

Web サービス アプリケーション プール ドメイン アカウント フィールドに アプリケーション プール アカウント を入力します。

Enable-MbamWebApplicationWindows PowerShell コマンドレット

パラメーターにアカウントを WebServiceApplicationPoolCredential 入力します。

重要

入力するホスト名は、SPN を作成する仮想ホスト名と同じ名前にする必要があります。 また、Web ファームでは、構成するすべてのサーバーで、ホスト名とアプリケーション プールの資格情報が同じである必要があります。

MBAM によって Web アプリケーションが構成されると、SPN の登録が試みられますが、MBAM をインストールするサーバーに対するドメイン 管理権限を持っている場合にのみ行うことができます。 これらの権限がない場合は、構成を完了できますが、MBAM を構成する前または後に SPN を設定する必要があります。

必須の要求フィルター設定

アプリケーションが想定どおりに動作するには、"リストにないファイル名拡張子を許可する" 必要があります。 これは、"Microsoft BitLocker の管理と監視" - 要求フィルター ->> 機能設定の編集に移動することで確認できます。

MBAM 2.5 に対応する環境の準備

MBAM 2.5 の展開の前提条件

MBAM に関する提案を受け取りましたか?

MBAM の問題については、 MBAM TechNet フォーラムを使用します。