スタンドアロン トポロジおよび Configuration Manager 統合トポロジの MBAM 2.5 サーバー前提条件
適用対象: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1
Microsoft BitLocker Administration and Monitoring (MBAM) のインストールを開始する前に、このトピックに記載されている前提条件を満たす必要があります。これらの前提条件は、MBAM スタンドアロン トポロジおよび System Center Configuration Manager 統合トポロジに適用されます。
System Center MBAM を使用して Configuration Manager を展開する場合は、「Configuration Manager 統合トポロジのみに適用される MBAM 2.5 サーバー前提条件」に記載されている追加の前提条件を満たす必要があります。
MBAM がサポートするハードウェアおよびオペレーティング システムの一覧については、「MBAM 2.5 がサポートされる構成」をご覧ください。
必要な MBAM ロールおよびアカウント
| 前提条件 | 詳細情報 |
|---|---|
Active Directory ドメイン サービス (AD DS) で作成されたグループ |
これらのグループとアカウントの説明については、「MBAM 2.5 グループとアカウントの計画」をご覧ください。 |
回復データベースの前提条件
| 前提条件 | 詳細情報 |
|---|---|
サポートされているバージョンの SQL Server |
SQL_Latin1_General_CP1_CI_AS 照合順序を使用して Microsoft SQL Server をインストールします。 サポートされるバージョンについては、「MBAM 2.5 がサポートされる構成」をご覧ください。 |
必要な SQL Server アクセス許可 |
必要なアクセス許可:
|
オプション - SQL Server で使用できる Transparent Data Encryption (TDE) のインストール |
TDE SQL Server 機能をインストールすると、データおよびログ ファイルの I/O の暗号化と暗号化解除がリアルタイムで実行されます。さまざまな業界に適用される法律、規制、およびガイドラインに準拠する際に、この機能が役立ちます。 注意 TDE はデータベース情報の暗号化解除をリアルタイムで実行します。そのため、SQL Server データベース内の回復キー情報を確認する際は、データベースに対するアクセス許可を持つアカウントでログインすれば、回復キー情報を表示できます。TDE の詳細については、「MBAM 2.5 のセキュリティ上の考慮事項」をご覧ください。 |
SQL Server データベース エンジン サービス |
SQL Server データベース エンジン サービスは、MBAM サーバーのインストール時にインストールし、実行する必要があります。 |
Windows PowerShell 3.0 以降 |
リモート コンピューターから Windows PowerShell を使用してデータベースを構成する場合は、回復データベース サーバーに Windows PowerShell をインストールする必要はありません。 |
準拠と監査データベースの前提条件
| 前提条件 | 詳細情報 |
|---|---|
サポートされているバージョンの SQL Server |
SQL_Latin1_General_CP1_CI_AS 照合順序を使用して SQL Server をインストールします。 サポートされるバージョンについては、「MBAM 2.5 がサポートされる構成」をご覧ください。 |
必要な SQL Server アクセス許可 |
必要なアクセス許可:
|
オプション - SQL Server への Transparent Data Encryption (TDE) のインストール |
TDE SQL Server 機能をインストールすると、データおよびログ ファイルの I/O の暗号化と暗号化解除がリアルタイムで実行されます。さまざまな業界に適用される法律、規制、およびガイドラインに準拠する際に、この機能が役立ちます。 TDE はデータベース情報の暗号化解除をリアルタイムで実行します。そのため、SQL Server データベース内の回復キー情報を確認する際は、データベースに対するアクセス許可を持つアカウントでログインすれば、回復キー情報を表示できます。TDE の詳細については、「MBAM 2.5 のセキュリティ上の考慮事項」をご覧ください。 |
SQL Server データベース エンジン サービス |
SQL Server データベース エンジン サービスは、MBAM サーバーのインストール時にインストールし、実行する必要があります。ただし、SQL Server はリモートで実行できるため、SQL Server データベース エンジン サービスは MBAM サーバー ソフトウェアをインストールするのと同じサーバー上になくてもかまいません。 |
Windows PowerShell 3.0 以降 |
リモート コンピューターから Windows PowerShell を使用してデータベースを構成する場合は、準拠と監査データベース サーバーに Windows PowerShell をインストールする必要はありません。 |
レポートの前提条件
| 前提条件 | 詳細情報 |
|---|---|
サポートされているバージョンの SQL Server |
SQL_Latin1_General_CP1_CI_AS 照合順序を使用して SQL Server をインストールします。 サポートされるバージョンについては、「MBAM 2.5 がサポートされる構成」をご覧ください。 |
SQL Server Reporting Services (SSRS) |
SSRS は MBAM サーバーのインストール時にインストールし、実行する必要があります。 SSRS を未構成モードや "SharePoint" モードではなく、"ネイティブ" モードで構成します。 |
SSRS インスタンスの権限 – レポートが構成されるサーバーとは別のサーバーにデータベースをインストールする場合にのみ、レポートの構成に必要になります。 |
必要なインスタンス権限:
|
Windows PowerShell 3.0 以降 |
リモート コンピューターから Windows PowerShell を使用してデータベースを構成する場合は、このデータベース サーバーに Windows PowerShell をインストールする必要はありません。 |
Administration and Monitoring サーバーの前提条件
次の表は、MBAM Administration and Monitoring サーバーのインストール前提条件です。
| 前提条件 | 詳細情報 |
|---|---|
Windows Server Web Server ロール |
このロールは、Administration and Monitoring サーバー機能のサポートされるサーバー オペレーティング システムに追加する必要があります。 |
Web Server (IIS) 管理ツール |
[IIS 管理スクリプトおよびツール] をクリックします。 |
SSL 証明書 |
省略可能です。クライアント コンピューターと Web サービス間の通信をセキュリティで保護するには、信頼できるセキュリティ機関が署名した証明書を取得し、インストールする必要があります。 |
Web Server ロール サービス |
一般的な HTTP 機能:
アプリケーション開発:
セキュリティ:
|
Windows Server 機能 |
.NET Framework 4.5 機能:
Windows プロセス起動サービス:
|
サービス プリンシパル名 (SPN) |
Web アプリケーションには、Web アプリケーション プールに使用するドメイン アカウントに、仮想ホスト名に対応する SPN が登録されている必要があります。 管理者権限によって Active Directory ドメイン サービスで SPN を作成できる場合は、MBAM が SPN を作成します。SPN を作成するのに必要な権限については、「Setspn」をご覧ください。 SPN を作成する管理者権限を持っていない場合は、組織の Active Directory 管理者に、以下のコマンドを使用して SPN を作成するよう依頼する必要があります。
コード例の中で、仮想ホスト名は mbamvirtual.contoso.com、Web アプリケーション プールに使用されるドメイン アカウントは contoso\mbamapppooluser です。 注意 負荷分散を設定する場合は、すべてのサーバーで同じアプリケーション プール アカウントを使用します。 完全修飾ホスト名、NetBIOS ホスト名、およびカスタム ホスト名に対応する SPN の登録の詳細については、「MBAM Web サイトをセキュリティで保護する方法の計画」をご覧ください。 |
セルフサービス ポータルの前提条件
| 前提条件 | 詳細情報 |
|---|---|
サポートされているバージョンの Windows Server |
サポートされるバージョンについては、「MBAM 2.5 がサポートされる構成」をご覧ください。 |
ASP.NET MVC 4.0 |
|
Web サービス IIS 管理ツール |
|
サービス プリンシパル名 (SPN) |
Web アプリケーションには、Web アプリケーション プールに使用するドメイン アカウントに、仮想ホスト名に対応する SPN が登録されている必要があります。 管理者権限によって Active Directory ドメイン サービスで SPN を作成できる場合は、MBAM が SPN を作成します。SPN を作成するのに必要な権限については、「Setspn」をご覧ください。 SPN を作成する管理者権限を持っていない場合は、組織の Active Directory 管理者に、以下のコマンドを使用して SPN を作成するよう依頼する必要があります。 コード例の中で、仮想ホスト名は mbamvirtual.contoso.com、Web アプリケーション プールに使用されるドメイン アカウントは contoso\mbamapppooluser です。 注意 負荷分散を設定する場合は、すべてのサーバーで同じアプリケーション プール アカウントを使用します。 完全修飾ホスト名、NetBIOS ホスト名、およびカスタム ホスト名に対応する SPN の登録の詳細については、「MBAM Web サイトをセキュリティで保護する方法の計画」をご覧ください。 |
管理ワークステーションの前提条件
| 前提条件 | 詳細情報 | ||||||
|---|---|---|---|---|---|---|---|
MBAM クライアントをインストールする前に、「Microsoft Desktop Optimization Pack 管理用テンプレート v2.0」から MBAM グループ ポリシー テンプレートをダウンロードし、社内に実装する BitLocker ドライブ暗号化用の設定を使用して構成します。 |
MBAM クライアントをインストールする前に、次の操作を実行します。
|
MBAM への提案はございますか。
こちらから提案を追加するか、提案に投票してください。MBAM の問題については、「MBAM に関する TechNet フォーラム」を利用してください。