単一サーバーに MBAM をインストールして構成する方法
適用対象: Microsoft BitLocker Administration and Monitoring 2.0
ここでは、スタンドアロン トポロジで 1 つのサーバーに Microsoft BitLocker Administration and Monitoring (MBAM) をインストールする手順について説明します。 1 サーバーの構成はテスト環境にのみ使用します。 運用環境では、複数のサーバーを使用してください。 Configuration Manager トポロジを使用して Microsoft BitLocker Administration and Monitoring をインストールしている場合は、「Configuration Manager と連携する MBAM の展開」を参照してください。
次の図は、1 サーバー アーキテクチャの例を示しています。 データベースと機能の説明については、「MBAM 2.0 の高レベル アーキテクチャ」を参照してください。
各サーバー機能には、特定の前提条件があります。 前提条件、ハードウェア要件およびソフトウェア要件を確認するには、「MBAM 2.0 展開の前提条件」および「MBAM 2.0 がサポートされる構成」を参照してください。 さらに、一部の機能では、機能を適切に展開するために、インストール プロセス中に情報を提供する必要があります。 MBAM の展開を開始する前に、「MBAM を 2.0 [MBAM_2] 環境の準備」も確認してください。
注意
セットアップ ログ ファイルを取得するには、Msiexec パッケージと /L <場所> オプションを使用して MBAM をインストールする必要があります。 ログ ファイルが、指定した場所に作成されます。
追加のセットアップ ログ ファイルは、MBAM をインストールしたユーザーのサーバーの %temp% フォルダーに作成されます。単一サーバーに MBAM サーバー機能をインストールするには
次の手順では、一般的な MBAM 機能のインストール方法について説明します。
MBAM サーバー機能のインストールを開始するには
MBAM をインストールするサーバーで、MBAMSetup.exe を実行して MBAM インストール ウィザードを開始します。
[ようこそ] ページで必要に応じて [カスタマー エクスペリエンス向上プログラム] を選択し、[開始] をクリックします。
Microsoft ソフトウェア使用許諾契約を読み、同意してから、[次へ] をクリックしてインストールを続行します。
[トポロジの選択] ページで [スタンドアロン] トポロジを選択し、[次へ] をクリックします。
[インストールする機能の選択] ページで、インストールする機能を選択します。既定では、すべての MBAM 機能がインストールされるように選択されています。 同じコンピューターにインストールする機能は、同時にインストールする必要があります。 他の場所にインストールする機能のチェック ボックスをオフにします。 MBAM 機能は次の順序でインストールする必要があります。
回復データベース
準拠と監査データベース
準拠と監査レポート
セルフサービス サーバー
管理と監視サーバー
MBAM グループ ポリシー テンプレート
注意
インストールの前提条件が確認され、不足している前提条件が表示されます。 すべての前提条件を満たしていると、インストールが続行されます。 不足している前提条件が検出されれば、解決する必要があります。解決したら [前提条件を再チェックする] をクリックします。 このとき、すべての前提条件を満たされると、インストールが再開されます。
[ネットワーク通信セキュリティの構成] ページで、管理と監視サーバーおよびクライアント間の通信を暗号化するかどうかを選択します。 通信を暗号化する場合、暗号化に使用する、証明機関から提供された証明書を選択します。 このページで証明書を選択するには、この手順の前に証明書が作成済みである必要があります。
注意
このページは、[インストールする機能の選択] ページでセルフサービス ポータルまたは管理と監視サーバー機能を選択した場合にのみ表示されます。
[次へ] をクリックし、MBAM サーバー機能を構成する次の手順を継続します。
MBAM サーバー機能を構成するには
[回復データベースの構成] ページで、SQL Server のインスタンス名と、回復データを保存するデータベース名を指定します。 両方のデータベース ファイルの場所と、ログ情報の場所も指定する必要があります。
[次へ] をクリックして、続行します。
[準拠と監査データベースの構成] ページで、SQL Server のインスタンス名と、準拠データと監査データを保存するデータベース名を指定します。 データベース ファイルの場所と、ログ情報の場所も指定する必要があります。
[次へ] をクリックして、続行します。
[準拠と監査レポートの構成] ページで、準拠と監査レポートをインストールする SQL Server Reporting Services インスタンスを指定し、準拠と監査データベースにアクセスするためのドメイン ユーザー アカウントとパスワードを指定します。 また、このアカウントのパスワードが期限切れにならないように構成します。 このユーザー アカウントは、MBAM レポートのユーザー グループに使用可能なすべてのデータにアクセスできる必要があります。
[次へ] をクリックして、続行します。
[セルフサービス ポータルの構成] ページで、セルフサービス ポータルのポート番号、ホスト名、仮想ディレクトリ名、およびインストール パスを入力します。
注意
一意のホスト ヘッダー名を指定していない場合、管理と監視サーバーで使用されていないポート番号を指定してください。 Windows ファイアウォールを使用している場合は、ポートは自動的に開きます。
[次へ] をクリックして、続行します。
コンピューターのセキュリティを保つために Microsoft Updates を使用するかどうかを指定してから、[次へ] をクリックします。 この操作で Windows の自動更新は有効になりません。
[管理と監視サーバーの構成] ページで、ヘルプ デスク Web サイトのポート番号、ホスト名、仮想ディレクトリ名、およびインストール パスを入力します。
注意
一意のホスト ヘッダー名を指定していない場合、管理と監視サーバーで使用されていないポート番号を指定してください。 Windows ファイアウォールを使用している場合は、ポートは自動的に開きます。
[インストールの概要] ページで、インストールされる機能の一覧を確認し、[インストール] をクリックして MBAM 機能のインストールを開始します。 インストール設定を確認または変更する必要がある場合は、[戻る] をクリックして、ウィザードのページを戻るか、[キャンセル] をクリックしてセットアップを終了します。 セットアップによって MBAM 機能がインストールされ、インストールの完了が通知されます。
[完了] をクリックすると、ウィザードを終了します。 Microsoft BitLocker Administration and Monitoring サーバー機能がインストールされたら、次のセクションに進み、ユーザーを Microsoft BitLocker Administration and Monitoring ロールに追加する手順を完了します。 ロールの詳細については、「MBAM を 2.0 の管理者の役割 [MBAM_2] 計画」を参照してください。
インストール後の構成を実行するには
管理と監視サーバーで、次のローカル グループにユーザーを追加して、MBAM ヘルプ デスク Web サイトとの機能に対するアクセス権をそのグループに付与します。
MBAM ヘルプデスク ユーザー: このローカル グループのメンバーは、MBAM 管理と監視 Web サイトのドライブの回復機能と TPM の管理機能にアクセスできます。 ドライブの回復と TPM の管理のすべてのフィールドは、ヘルプデスク ユーザーにとって必要なフィールドです。
MBAM 高度なヘルプデスク ユーザー: このローカル グループのメンバーは、MBAM 管理と監視 Web サイトのドライブの回復機能と TPM の管理機能に対する高度なアクセス権を持ちます。 高度なヘルプデスク ユーザーが、ドライブの回復で必要なのは、キー ID フィールドのみです。 TPM の管理では、コンピューター ドメイン フィールドとコンピューター名フィールドのみが必要です。
管理と監視サーバーで、次のローカル グループにユーザーを追加して、MBAM 管理と監視 Web サイトのレポート機能に対するアクセス権をそのグループに付与します。
MBAM レポートのユーザー: このローカル グループのメンバーは、MBAM 管理と監視 Web サイトのレポート機能にアクセスすることができます。
会社名、お知らせのテキスト、およびその他の会社固有の情報を使用して、セルフサービス ポータルをブランド化します。 手順については、「セルフサービス ポータルをブランド化する方法」を参照してください。
注意
MBAM レポートのユーザー ローカル グループのユーザーまたはグループ メンバーシップは、MBAM 管理と監視サーバー機能、準拠と監査データベース、および準拠と監査レポートがインストールされているすべてのコンピューターで同じにする必要があります。 この場合、ドメイン セキュリティ グループを作成し、そのドメイン グループを各ローカル MBAM レポートのユーザー グループに追加する方法が推奨されます。 このプロセスを使用する場合、ドメイン グループを介してグループ メンバーシップを管理します。
MBAM サーバー機能のインストールの検証
Microsoft BitLocker Administration and Monitoring のインストールが完了したら、BitLocker 管理に必要なすべての MBAM 機能がインストールによって適切にセットアップされたことを確認します。 次の手順を使用して、MBAM サービスが機能していることを確認します。
MBAM サーバー機能のインストールを検証するには
MBAM 機能を展開した各サーバーで、[コントロール パネル] を開きます。 [プログラム] をクリックし、[プログラムと機能] をクリックします。 [プログラムと機能] の一覧に [Microsoft BitLocker Administration and Monitoring] が表示されていることを確認します。
注意
インストールを確認するには、各サーバーのローカル コンピューターの管理者資格権限を持つドメイン アカウントを使用する必要があります。
回復データベースがインストールされているサーバーで、SQL Server Management Studio を開いて、MBAM 回復とハードウェア データベースがインストールされていることを確認します。
準拠と監査データベースがインストールされているサーバーで、SQL Server Management Studio を開いて、MBAM 準拠状態データベースがインストールされていることを確認します。
準拠と監査レポートがインストールされているサーバーで、管理者の資格情報で Web ブラウザーを開き、SQL Server Reporting Services サイトの "ホーム" を参照します。
SQL Server Reporting Services サイトの既定のホームの場所は、http://<MBAM レポート サーバー名>/Reports です。 実際の URL を見つけるには、Reporting Services 構成マネージャー ツールを使用し、セットアップ時に指定したインスタンスを選択します。
Microsoft BitLocker Administration and Monitoring という名前のレポート フォルダーに MaltaDataSource というデータ ソースがあり、ja-jp フォルダーに 4 つのレポートがあることを確認します。
注意
SQL Server Reporting Services を名前付きインスタンスとして構成した場合、URL は http://<MBAM レポート サーバー名>/Reports_<SRS のインスタンス名> のようになります。
注意
Secure Socket Layer (SSL) を使用するように SSRS を構成しなかった場合、MBAM サーバーをインストールするときにレポートの URL は HTTPS ではなく HTTP に設定されます。 この状態で管理と監視 Web サイトにアクセスし、レポートを選択すると、"セキュリティで保護されたコンテンツのみ表示" というメッセージが表示されます。 レポートを表示するには、[すべてのコンテンツを表示] をクリックします。
管理と監視機能がインストールされているサーバーで、サーバー マネージャーを実行し、[ロール] を参照します。 [Web サーバー (IIS)] を選択し、[インターネット インフォメーション サービス (IIS) マネージャー] をクリックします。
[接続] で、<コンピューター名> を参照して、[サイト] をクリックしてから [Microsoft BitLocker Administration and Monitoring] をクリックします。 [MBAMAdministrationService]、[MBAMUserSupportService]、[MBAMComplianceStatusService]、および [MBAMRecoveryAndHardwareService] が一覧にあることを確認します。
管理と監視機能とセルフサービス ポータルがインストールされているサーバーで、管理者の資格情報を使用して Web ブラウザーを開き、次の場所を参照して正常に読み込まれていることを確認します。
http://<ホスト名>/HelpDesk/default.aspx。また、ナビゲーションとレポートの各リンクを確認してください。
http://<ホスト名>/SelfService>/
http://<コンピューター名>/MBAMAdministrationService/AdministrationService.svc
http://<ホスト名>/MBAMUserSupportService/UserSupportService.svc
http://<コンピューター名>/MBAMComplianceStatusService/StatusReportingService.svc
http://<コンピューター名>/MBAMRecoveryAndHardwareService/CoreService.svc
注意
ここでは、ネットワークの暗号化を使用せず、既定のポートでサーバー機能をインストールした前提で説明しています。 別のポートまたは仮想ディレクトリにサーバー機能をインストールした場合は、URL に適切なポートを含めてください。次に例を示します。
ネットワークの暗号化を使用してサーバー機能をインストールした場合は、http:// を https:// に変更します。
http://<ホスト名>:<ポート>/HelpDesk/default.aspx または
http://<ホスト名>:<ポート>/<仮想ディレクトリ>/default.aspx
参照:
その他のリソース
-----
MDOP の詳細については TechNet ライブラリを参照してください。トラブルシューティング情報については TechNet Wiki を検索してください。また、Facebook や Twitter のフォローもお勧めします。
-----