MBAM Web サイトをセキュリティで保護する方法の計画

  • [アーティクル]

適用対象: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

このトピックでは、Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 Administration and Monitoring Web サイトとセルフサービス ポータルをセキュリティで保護する以下の方法について説明します。

方法 必須/省略可能

MBAM Web サイトをセキュリティで保護するための証明書の使用

省略可能 (ただし、重要な推奨事項)

アプリケーション プール アカウント用のサービス プリンシパル名 (SPN) の登録

必須

MBAM の展開をセキュリティで保護する方法の詳細については、「MBAM 2.5 のセキュリティ上の考慮事項」をご覧ください。

MBAM Web サイトをセキュリティで保護するための証明書の使用

次の通信をセキュリティで保護するために証明書を使用することを推奨します。

  • MBAM クライアントと Web サービス間

  • ブラウザー、Administration and Monitoring Web サイト、セルフサービス ポータル Web サイト間

証明書の要求とインストールの詳細については、「インターネット サーバー証明書を構成する」をご覧ください。

注意

Web サイトと Web サービスを異なるサーバー上で構成することができるのは、Windows PowerShell を使用している場合のみです。MBAM サーバー構成ウィザードを使用して Web サイトを構成する場合は、同じサーバー上で Web サイトと Web サービスを構成する必要があります。

Web サービスとデータベース間の通信をセキュリティで保護するには、SQL Server で強制的に暗号化を行うことも推奨します。Web サービスと SQL Server 間の通信を含む、SQL Server へのすべての接続のセキュリティ保護の詳細については、「Secure connections to SQL Server」をご覧ください。

アプリケーション プール アカウント用の SPN の登録

MBAM サーバーで Administration and Monitoring Web サイトとセルフサービス ポータルからの通信の認証を有効にするには、Web アプリケーション プールに使用しているドメイン アカウントで、ホスト名のサービス プリンシパル名 (SPN) を登録する必要があります。

このトピックでは、以下の種類のホスト名に対して SPN を登録する方法の手順について説明します。

  • 完全修飾ドメイン名

  • NetBIOS 名

  • 仮想名

MBAM の初回インストールで SPN を作成する前に

次の表の情報を確認してから、SPN の作成を開始してください。

作業/項目 詳細情報

Active Directory ドメイン サービス (AD DS) にサービス アカウントを作成します。

サービス アカウントは、MBAM Web サイトのセキュリティを確保するために AD DS に作成するユーザー アカウントです。MBAM Web サイトはアプリケーション プールで実行され、その ID はサービス アカウント名です。次に SPN がアプリケーション プール アカウントに登録されます。

注意

すべての Web サーバーで、同じアプリケーション プール アカウントを使用する必要があります。

IIS-IUSRS グループ アカウントまたはアプリケーション プール アカウンに必要なアクセス権が付与されていることを確認します。

確認するには、次の手順を実行します。

  1. ローカル セキュリティ ポリシー エディターを開いて、[ローカル ポリシー] ノードを展開します。

  2. [ユーザー権利の割り当て] ノードを選択して、右側のウィンドウの [認証後にクライアントを偽装] および [バッチ ジョブとしてログオン] グループ ポリシー設定をダブルクリックします。

ドメイン管理アカウントを使用して MBAM Web サイトを構成する場合は、MBAM によって SPN が作成されます。

ドメイン管理アカウントを使用して MBAM Web サイトを構成する場合は、このトピックの次の手順を実行して、使用しているホスト名の種類に対応する SPN を手動で登録してください。

完全修飾ドメイン ホスト名使用時の SPN の登録

MBAM を構成するときに完全修飾ドメイン ホスト名を使用している場合は、次の例に示すように、1 つの SPN だけを登録する必要があります。

必要事項 例/詳細情報

完全修飾ドメイン名の SPN を登録します。

Setspn -s http/mybitlockerrecovery.contoso.com contoso\mbamapppooluser

完全修飾ホスト名は mybitlockerrecovery.contoso.com、Web アプリケーション プールに使用するドメイン アカウントは contoso\mbamapppooluser です。

アプリケーション プール アカウントに登録する SPN の制約付き委任を構成します。

Configuring Constrained Delegation (制約付き委任の構成)

この要件は、MBAM 2.5 に対してのみ適用されます。MBAM 2.5 SP1 では必要ありません。

NetBIOS ホスト名使用時の SPN の登録

MBAM を構成するときに NetBIOS ホスト名を使用している場合は、次の例に示すように、NetBIOS 名に対して 1 つの SPN、完全修飾ドメイン名に対してもう 1 つの SPN を登録します。

必要事項 例/詳細情報

NetBIOS ホスト名の SPN を登録します。

Setspn -s http/nbname01 contoso\mbamapppooluser

NetBIOS ホスト名は nbname01、Web アプリケーション プールに使用するドメイン アカウントは contoso\mbamapppooluser です。

完全修飾ドメイン名の SPN を登録します。

Setspn –s http/nbname01.corp.contoso.com contoso\mbamapppooluser

完全修飾ドメイン名は nbname01.contoso.com、Web アプリケーション プールに使用するドメイン アカウントは contoso\mbamapppooluser です。

アプリケーション プール アカウントに登録する SPN の制約付き委任を構成します。

Configuring Constrained Delegation (制約付き委任の構成)

この要件は、MBAM 2.5 に対してのみ適用されます。MBAM 2.5 SP1 では必要ありません。

仮想ホスト名使用時の SPN の登録

完全修飾ドメイン名である仮想ホスト名を使用して MBAM を構成している場合は、その仮想ホスト名に対して 1 つの SPN だけを登録します。構成している仮想ホスト名が完全修飾ドメイン名でない場合は、次の例に示すように、完全修飾ドメイン名を指定する 2 番目の SPN を作成する必要があります。

必要事項 例/詳細情報

この例に示すように、仮想ホスト名が完全修飾ドメイン名である場合は、1 つの SPN だけを登録します。

Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser

この例では、仮想ホスト名は mbamvirtual.contoso.com、Web アプリケーション プールに使用するドメイン アカウントは contoso\mbamapppooluser です。

仮想ホスト名が完全修飾ドメイン名でない場合は、この追加の SPN を登録します。

Setspn -s http/mbamvirtual contoso\mbamapppooluser

この例では、仮想ホスト名は mbamvirtual、Web アプリケーション プールに使用するドメイン アカウントは contoso\mbamapppooluser です。

仮想ホスト名が完全修飾ドメイン名でない場合は、この追加の SPN を登録します。

Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser

この例では、仮想ホスト名は mbamvirtual.contoso.com、Web アプリケーション プールに使用するドメイン アカウントは contoso\mbamapppooluser です。

ドメイン ネーム サーバー (DNS) サーバーで、カスタム ホスト名に対して "A レコード" を作成し、Web サーバーまたはロード バランサーを指定します。

DNS ホスト レコードの構成」の「DNS ホスト A レコードを構成するには」セクションをご覧ください。

CNAMES ではなく A レコードを使用することを推奨します。CNAMES を使用してドメイン アドレスを指定している場合は、アプリケーション プール アカウントで Web サーバー名に対する SPN も登録する必要があります。

アプリケーション プール アカウントに登録する SPN の制約付き委任を構成します。

Configuring Constrained Delegation (制約付き委任の構成)

この要件は、MBAM 2.5 に対してのみ適用されます。MBAM 2.5 SP1 では必要ありません。

旧バージョンの MBAM からのアップグレード時の SPN の登録

次の場合のみ、このセクションの手順を実行してください。

  • 旧バージョンの MBAM からアップグレードしようとしている。

  • 現在は負荷分散されていない構成で実行しているが、MBAM 2.5 では負荷分散型の構成または分散構成で Web サイトを実行する。

アプリケーション プール アカウント以外のコンピューター アカウントで既に SPN を登録している場合、MBAM では既存の SPN が使用され、負荷分散型の構成または分散構成で Web サイトを構成することはできません。

必要事項 例/詳細情報

Active Directory ドメイン サービス (AD DS) にアプリケーション プール アカウントを作成します。

現在インストールされている Web サイトと Web サービスを削除します。

MBAM サーバーの機能またはソフトウェアの削除

コンピューター アカウントから SPN を削除します。

Setspn –d http/mbamwebserver mbamwebserver

Setspn –d http/mbamwebserver.contoso.com mbamwebserver

アプリケーション プール アカウントに SPN を登録します。

仮想ホスト名使用時の SPN の登録 の場合は次の手順を実行します。

Web アプリケーションと Web サービスを再構成します。

MBAM 2.5 Web アプリケーションを構成する方法

構成に使用した方法に応じて、次のいずれかを実行してください。

 

方法 詳細情報

MBAM サーバー構成ウィザード

[Web サービス アプリケーション プールのドメイン アカウント] フィールドにアプリケーション プール アカウントを入力します。

Enable-MbamWebApplication Windows PowerShell コマンドレット

WebServiceApplicationPoolCredential パラメーターにアカウントを入力します。
Important重要
入力したホスト名は、SPN を作成した仮想ホスト名と同じである必要があります。また、Web ファーム内で、構成しているすべてのサーバーのホスト名とアプリケーション プールの資格情報が同じである必要があります。

MBAM では Web アプリケーションを構成するときに SPN を登録しようとしますが、それができるのは、MBAM をインストールしているサーバーのドメイン管理者権限がある場合のみです。これらの権限がない場合、構成を完了することはできますが、MBAM を構成する前または後に SPN を設定する必要があります。

MBAM への提案はございますか。

こちらから提案を追加するか、提案に投票してください。MBAM の問題については、「MBAM に関する TechNet フォーラム」を利用してください。

関連項目

その他の参照情報

MBAM 2.5 に対応する環境の準備
MBAM 2.5 展開の前提条件