次の方法で共有

単一サーバーに MBAM をインストールして構成する方法

  • [アーティクル]

適用対象: Microsoft BitLocker Administration and Monitoring 2.0

ここでは、スタンドアロン トポロジで 1 つのサーバーに Microsoft BitLocker Administration and Monitoring (MBAM) をインストールする手順について説明します。 1 サーバーの構成はテスト環境にのみ使用します。 運用環境では、複数のサーバーを使用してください。 Configuration Manager トポロジを使用して Microsoft BitLocker Administration and Monitoring をインストールしている場合は、「Configuration Manager と連携する MBAM の展開」を参照してください。

次の図は、1 サーバー アーキテクチャの例を示しています。 データベースと機能の説明については、「MBAM 2.0 の高レベル アーキテクチャ」を参照してください。

MBAM 2 の単一サーバー展開トポロジ

各サーバー機能には、特定の前提条件があります。 前提条件、ハードウェア要件およびソフトウェア要件を確認するには、「MBAM 2.0 展開の前提条件」および「MBAM 2.0 がサポートされる構成」を参照してください。 さらに、一部の機能では、機能を適切に展開するために、インストール プロセス中に情報を提供する必要があります。 MBAM の展開を開始する前に、「MBAM を 2.0 [MBAM_2] 環境の準備」も確認してください。

注意

セットアップ ログ ファイルを取得するには、Msiexec パッケージと /L <場所> オプションを使用して MBAM をインストールする必要があります。 ログ ファイルが、指定した場所に作成されます。

追加のセットアップ ログ ファイルは、MBAM をインストールしたユーザーのサーバーの %temp% フォルダーに作成されます。

単一サーバーに MBAM サーバー機能をインストールするには

次の手順では、一般的な MBAM 機能のインストール方法について説明します。

MBAM サーバー機能のインストールを開始するには

  1. MBAM をインストールするサーバーで、MBAMSetup.exe を実行して MBAM インストール ウィザードを開始します。

  2. [ようこそ] ページで必要に応じて [カスタマー エクスペリエンス向上プログラム] を選択し、[開始] をクリックします。

  3. Microsoft ソフトウェア使用許諾契約を読み、同意してから、[次へ] をクリックしてインストールを続行します。

  4. [トポロジの選択] ページで [スタンドアロン] トポロジを選択し、[次へ] をクリックします。

  5. [インストールする機能の選択] ページで、インストールする機能を選択します。既定では、すべての MBAM 機能がインストールされるように選択されています。 同じコンピューターにインストールする機能は、同時にインストールする必要があります。 他の場所にインストールする機能のチェック ボックスをオフにします。 MBAM 機能は次の順序でインストールする必要があります。

    • 回復データベース

    • 準拠と監査データベース

    • 準拠と監査レポート

    • セルフサービス サーバー

    • 管理と監視サーバー

    • MBAM グループ ポリシー テンプレート

    注意

    インストールの前提条件が確認され、不足している前提条件が表示されます。 すべての前提条件を満たしていると、インストールが続行されます。 不足している前提条件が検出されれば、解決する必要があります。解決したら [前提条件を再チェックする] をクリックします。 このとき、すべての前提条件を満たされると、インストールが再開されます。

  6. [ネットワーク通信セキュリティの構成] ページで、管理と監視サーバーおよびクライアント間の通信を暗号化するかどうかを選択します。 通信を暗号化する場合、暗号化に使用する、証明機関から提供された証明書を選択します。 このページで証明書を選択するには、この手順の前に証明書が作成済みである必要があります。

    注意

    このページは、[インストールする機能の選択] ページでセルフサービス ポータルまたは管理と監視サーバー機能を選択した場合にのみ表示されます。

  7. [次へ] をクリックし、MBAM サーバー機能を構成する次の手順を継続します。

MBAM サーバー機能を構成するには

  1. [回復データベースの構成] ページで、SQL Server のインスタンス名と、回復データを保存するデータベース名を指定します。 両方のデータベース ファイルの場所と、ログ情報の場所も指定する必要があります。

  2. [次へ] をクリックして、続行します。

  3. [準拠と監査データベースの構成] ページで、SQL Server のインスタンス名と、準拠データと監査データを保存するデータベース名を指定します。 データベース ファイルの場所と、ログ情報の場所も指定する必要があります。

  4. [次へ] をクリックして、続行します。

  5. [準拠と監査レポートの構成] ページで、準拠と監査レポートをインストールする SQL Server Reporting Services インスタンスを指定し、準拠と監査データベースにアクセスするためのドメイン ユーザー アカウントとパスワードを指定します。 また、このアカウントのパスワードが期限切れにならないように構成します。 このユーザー アカウントは、MBAM レポートのユーザー グループに使用可能なすべてのデータにアクセスできる必要があります。

  6. [次へ] をクリックして、続行します。

  7. [セルフサービス ポータルの構成] ページで、セルフサービス ポータルのポート番号、ホスト名、仮想ディレクトリ名、およびインストール パスを入力します。

    注意

    一意のホスト ヘッダー名を指定していない場合、管理と監視サーバーで使用されていないポート番号を指定してください。 Windows ファイアウォールを使用している場合は、ポートは自動的に開きます。

  8. [次へ] をクリックして、続行します。

  9. コンピューターのセキュリティを保つために Microsoft Updates を使用するかどうかを指定してから、[次へ] をクリックします。 この操作で Windows の自動更新は有効になりません。

  10. [管理と監視サーバーの構成] ページで、ヘルプ デスク Web サイトのポート番号、ホスト名、仮想ディレクトリ名、およびインストール パスを入力します。

    注意

    一意のホスト ヘッダー名を指定していない場合、管理と監視サーバーで使用されていないポート番号を指定してください。 Windows ファイアウォールを使用している場合は、ポートは自動的に開きます。

  11. [インストールの概要] ページで、インストールされる機能の一覧を確認し、[インストール] をクリックして MBAM 機能のインストールを開始します。 インストール設定を確認または変更する必要がある場合は、[戻る] をクリックして、ウィザードのページを戻るか、[キャンセル] をクリックしてセットアップを終了します。 セットアップによって MBAM 機能がインストールされ、インストールの完了が通知されます。

  12. [完了] をクリックすると、ウィザードを終了します。 Microsoft BitLocker Administration and Monitoring サーバー機能がインストールされたら、次のセクションに進み、ユーザーを Microsoft BitLocker Administration and Monitoring ロールに追加する手順を完了します。 ロールの詳細については、「MBAM を 2.0 の管理者の役割 [MBAM_2] 計画」を参照してください。

インストール後の構成を実行するには

  1. 管理と監視サーバーで、次のローカル グループにユーザーを追加して、MBAM ヘルプ デスク Web サイトとの機能に対するアクセス権をそのグループに付与します。

    • MBAM ヘルプデスク ユーザー: このローカル グループのメンバーは、MBAM 管理と監視 Web サイトのドライブの回復機能と TPM の管理機能にアクセスできます。 ドライブの回復と TPM の管理のすべてのフィールドは、ヘルプデスク ユーザーにとって必要なフィールドです。

    • MBAM 高度なヘルプデスク ユーザー: このローカル グループのメンバーは、MBAM 管理と監視 Web サイトのドライブの回復機能と TPM の管理機能に対する高度なアクセス権を持ちます。 高度なヘルプデスク ユーザーが、ドライブの回復で必要なのは、キー ID フィールドのみです。 TPM の管理では、コンピューター ドメイン フィールドとコンピューター名フィールドのみが必要です。

  2. 管理と監視サーバーで、次のローカル グループにユーザーを追加して、MBAM 管理と監視 Web サイトのレポート機能に対するアクセス権をそのグループに付与します。

    • MBAM レポートのユーザー: このローカル グループのメンバーは、MBAM 管理と監視 Web サイトのレポート機能にアクセスすることができます。

    • 会社名、お知らせのテキスト、およびその他の会社固有の情報を使用して、セルフサービス ポータルをブランド化します。 手順については、「セルフサービス ポータルをブランド化する方法」を参照してください。

    注意

    MBAM レポートのユーザー ローカル グループのユーザーまたはグループ メンバーシップは、MBAM 管理と監視サーバー機能、準拠と監査データベース、および準拠と監査レポートがインストールされているすべてのコンピューターで同じにする必要があります。 この場合、ドメイン セキュリティ グループを作成し、そのドメイン グループを各ローカル MBAM レポートのユーザー グループに追加する方法が推奨されます。 このプロセスを使用する場合、ドメイン グループを介してグループ メンバーシップを管理します。

MBAM サーバー機能のインストールの検証

Microsoft BitLocker Administration and Monitoring のインストールが完了したら、BitLocker 管理に必要なすべての MBAM 機能がインストールによって適切にセットアップされたことを確認します。 次の手順を使用して、MBAM サービスが機能していることを確認します。

MBAM サーバー機能のインストールを検証するには

  1. MBAM 機能を展開した各サーバーで、[コントロール パネル] を開きます。 [プログラム] をクリックし、[プログラムと機能] をクリックします。 [プログラムと機能] の一覧に [Microsoft BitLocker Administration and Monitoring] が表示されていることを確認します。

    注意

    インストールを確認するには、各サーバーのローカル コンピューターの管理者資格権限を持つドメイン アカウントを使用する必要があります。

  2. 回復データベースがインストールされているサーバーで、SQL Server Management Studio を開いて、MBAM 回復とハードウェア データベースがインストールされていることを確認します。

  3. 準拠と監査データベースがインストールされているサーバーで、SQL Server Management Studio を開いて、MBAM 準拠状態データベースがインストールされていることを確認します。

  4. 準拠と監査レポートがインストールされているサーバーで、管理者の資格情報で Web ブラウザーを開き、SQL Server Reporting Services サイトの "ホーム" を参照します。

    SQL Server Reporting Services サイトの既定のホームの場所は、http://<MBAM レポート サーバー名>/Reports です。 実際の URL を見つけるには、Reporting Services 構成マネージャー ツールを使用し、セットアップ時に指定したインスタンスを選択します。

    Microsoft BitLocker Administration and Monitoring という名前のレポート フォルダーに MaltaDataSource というデータ ソースがあり、ja-jp フォルダーに 4 つのレポートがあることを確認します。

    注意

    SQL Server Reporting Services を名前付きインスタンスとして構成した場合、URL は http://<MBAM レポート サーバー名>/Reports_<SRS のインスタンス名> のようになります。

    注意

    Secure Socket Layer (SSL) を使用するように SSRS を構成しなかった場合、MBAM サーバーをインストールするときにレポートの URL は HTTPS ではなく HTTP に設定されます。 この状態で管理と監視 Web サイトにアクセスし、レポートを選択すると、"セキュリティで保護されたコンテンツのみ表示" というメッセージが表示されます。 レポートを表示するには、[すべてのコンテンツを表示] をクリックします。

  5. 管理と監視機能がインストールされているサーバーで、サーバー マネージャーを実行し、[ロール] を参照します。 [Web サーバー (IIS)] を選択し、[インターネット インフォメーション サービス (IIS) マネージャー] をクリックします。

  6. [接続] で、<コンピューター名> を参照して、[サイト] をクリックしてから [Microsoft BitLocker Administration and Monitoring] をクリックします。 [MBAMAdministrationService]、[MBAMUserSupportService]、[MBAMComplianceStatusService]、および [MBAMRecoveryAndHardwareService] が一覧にあることを確認します。

  7. 管理と監視機能とセルフサービス ポータルがインストールされているサーバーで、管理者の資格情報を使用して Web ブラウザーを開き、次の場所を参照して正常に読み込まれていることを確認します。

    • http://<ホスト名>/HelpDesk/default.aspx。また、ナビゲーションとレポートの各リンクを確認してください。

    • http://<ホスト名>/SelfService>/

    • http://<コンピューター名>/MBAMAdministrationService/AdministrationService.svc

    • http://<ホスト名>/MBAMUserSupportService/UserSupportService.svc

    • http://<コンピューター名>/MBAMComplianceStatusService/StatusReportingService.svc

    • http://<コンピューター名>/MBAMRecoveryAndHardwareService/CoreService.svc

    注意

    ここでは、ネットワークの暗号化を使用せず、既定のポートでサーバー機能をインストールした前提で説明しています。 別のポートまたは仮想ディレクトリにサーバー機能をインストールした場合は、URL に適切なポートを含めてください。次に例を示します。
    http://<ホスト名>:<ポート>/HelpDesk/default.aspx または
    http://<ホスト名>:<ポート>/<仮想ディレクトリ>/default.aspx

    ネットワークの暗号化を使用してサーバー機能をインストールした場合は、http:// を https:// に変更します。

参照:

その他のリソース

MBAM 2.0 サーバー インフラストラクチャの展開

-----
MDOP の詳細については TechNet ライブラリを参照してください。トラブルシューティング情報については TechNet Wiki を検索してください。また、FacebookTwitter のフォローもお勧めします。
-----