Windows PowerShell を使用した MBAM 2.5 サーバー機能の構成

  • [アーティクル]

適用対象: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

MBAM 2.5 サーバーのソフトウェアをインストールした後は、MBAM 2.5 コマンドレットまたは Windows PowerShell サーバー構成ウィザードを使用して、MBAM サーバーの機能を構成できます。このトピックでは、MBAM 2.5 コマンドレットを使用して Windows PowerShell を構成する方法を説明します。コマンドレットの代わりにウィザードを使用する場合には、「MBAM 2.5 サーバーの機能の構成」をご覧ください。

このトピックの内容

このトピックでは、Windows PowerShell を使って MBAM を構成することに関する以下の内容を説明します。

  • MBAM 2.5 向けの Windows PowerShell ヘルプを読み込む方法

  • MBAM Windows PowerShell コマンドレットに関するヘルプを入手する方法

  • MBAM サーバー構成ウィザードにはないため、Windows PowerShell でのみ可能な構成

  • Windows PowerShell を使用して MBAM サーバーの機能を構成するための前提条件および各種要件

  • Windows PowerShell を使用してリモート コンピューターに MBAM を構成する

  • 必須アカウントおよびそれに対応する Windows PowerShell コマンドレット パラメーター

Windows PowerShell の管理に使用する Get-MbamBitLockerRecoveryKey および Get-MbamTPMOwnerPassword の 2 つの MBAM コマンドレットについては、「Windows PowerShell を使用した MBAM 2.5 の管理」をご覧ください。

MBAM 2.5 向けの Windows PowerShell ヘルプを読み込む方法

TechNet で Windows PowerShell コマンドレットの一覧を確認するには、「Microsoft Desktop Optimization Pack Automation with Windows PowerShell (Windows PowerShell による Microsoft Desktop Optimization Pack の自動化)」をご覧ください。

MBAM サーバー ソフトウェアのインストール後に Windows PowerShell コマンドレット用の MBAM 2.5 ヘルプを読み込むには

  1. Windows PowerShell または Windows PowerShell Integrated Scripting Environment (ISE) を開きます。

  2. Update-Help –Module Microsoft.MBAM」と入力します。

MBAM Windows PowerShell コマンドレットに関するヘルプを入手する方法

Windows PowerShell 用の MBAM には、次の形式のヘルプが用意されています。

Windows PowerShell ヘルプの形式 詳細情報

Windows PowerShell コマンド プロンプトで「Get-Help <cmdlet>」と入力

最新の Windows PowerShell コマンドレットをアップロードするには、MBAM 用 Windows PowerShell ヘルプを読み込む方法について説明した先行セクションの手順に従います。

TechNet 上の Web ページ

https://go.microsoft.com/fwlink/?LinkId=393498

ダウンロード センター上の Word .docx ファイル

https://go.microsoft.com/fwlink/?LinkId=393497

ダウンロード センター上の .pdf ファイル

https://go.microsoft.com/fwlink/?LinkId=393499

MBAM サーバー構成ウィザードにはないため、Windows PowerShell でのみ可能な構成

Windows PowerShell でのみ可能な構成 詳細情報

Web サービスを Web アプリケーションとは別のコンピューターにインストールする。

ウィザードを使用した場合には、Web サービスおよび Web アプリケーションを同じコンピューターにインストールする必要があります。

Configuration Manager オブジェクトをすべてインストールしなくとも、別のレポート サービス ポイントに関するレポートができるようにする。

Configuration Manager からオブジェクトをすべて削除する。

オブジェクトを削除すると、Configuration Manager から準拠データがすべて削除されます。

データベースに対するカスタム接続文字列を入力する。

例:Web アプリケーションでミラーリングを使用するように構成するには、Enable-MbamWebApplication コマンドレットを使用して接続文字列に適切なフェールオーバー パートナー シンタックスを指定する必要があります。

前提条件に不備があることが確認された場合でも、検証をスキップして機能の構成に進む。

  

注意

Windows PowerShell コマンドレットや MBAM サーバー構成ウィザードで MBAM データベースを無効にすることはできません。準拠データおよび監査データを意図せず削除してしまう事態を避けるため、データベース管理者が手動でデータベースを削除する必要があります。

Windows PowerShell を使用して MBAM サーバーの機能を構成するための前提条件および各種要件

構成を変更するには、以下の前提条件を満たしている必要があります。

アカウントに関する前提条件

前提条件 詳細または補足情報

必要なアカウントを作成する。

このトピックの「必須アカウントおよびそれに対応する Windows PowerShell コマンドレット パラメーター」セクションをご覧ください。

Windows PowerShell コマンドレットにパラメーターを渡すユーザー アカウントおよびグループが、ドメイン内で有効なアカウントである。

ローカル アカウントを使用することはできません。

ダウンレベル形式でアカウントを指定する。

例:

domainNetBiosName\user
domainNetBiosName\group

アクセス許可に関する前提条件

前提条件 詳細または補足情報

MBAM の機能を構成するローカル コンピューターの管理者である。

Windows PowerShell コマンドレットをすべて実行する場合には、管理者特権で開いた Windows PowerShell コマンド プロンプトを使用する。

Enable-MbamDatabase コマンドレットの場合のみ:

対象とする Microsoft SQL Server データベースのインスタンスに対して "あらゆるデータベースの作成" のためのアクセス許可がある。

MBAM ボリューム シャドウ コピー サービス (VSS) ライターに登録する場合には、このユーザー アカウントが、ローカル管理者グループまたは Backup Operators グループに所属している。

データベース管理者またはシステム管理者には、既定で "あらゆるデータベースの作成" のためのアクセス許可が認められています。

VSS ライターの詳細については、「Volume Shadow Copy Service (ボリューム シャドウ コピー サービス)」をご覧ください。

System Center Configuration Manager 統合機能の場合のみ:

この機能を有効にするユーザーが、Configuration Manager で右の表に示す権限を持っている。

 

Configuration Manager での権限の種類 必要な権限

Configuration Manager サイトに対する権限:

- 読み取り

Configuration Manager コレクション権限:

- 作成
- 削除
- 読み取り
- 変更
- 構成項目の展開

Configuration Manager 構成項目の権限:

- 作成
- 削除
- 読み取り

Windows PowerShell を使用してリモート コンピューターに MBAM を構成する

この機能を使用する局面

リモート コンピューターで MBAM 2.5 サーバーの機能を構成する必要がある場合です。あるコンピューターで Windows PowerShell コマンドレットを実行しており、MBAM 2.5 サーバーの機能を別のリモート コンピューターに構成するという局面が挙げられます。

必要事項

Windows PowerShell を使用してリモート コンピューターに MBAM 2.5 サーバーの機能を構成するには、以下が必要になります。

  • リモート コンピューターに MBAM 2.5 サーバー ソフトウェアをインストールする。

  • Windows PowerShell セッションを開くときは、Credential Security Support Provider (CredSSP) プロトコルを使用する。

  • Windows リモート管理 (WinRM) を有効にする。WinRM and を有効にせず、構成が正しく行われなかった場合には、この表で説明している New-PSSession コマンドレットがエラーとなり、問題の解決方法の説明が表示されます。WinRM の詳細については、「Using Windows Remote Management (Windows リモート管理を使用する)」をご覧ください。

これが必要な理由

このプロトコルは、Windows PowerShell コマンドレットがユーザーの管理者資格情報を使用して Active Directory Domain Services に接続するためのものです。このプロトコルなしで Windows PowerShell セッションを開始しようとすると、検証エラーとなることがあります。

CredSSP プロトコルを使用して Windows PowerShell セッションを開始する方法

Windows PowerShell プロンプトで、以下のコードを入力します。

$s = New-PSSession -ComputerName xxx -Authentication Credssp -Credential xxx

コードの例は以下のとおりです。

$session = New-PSSession -ComputerName <MBAM_server_name> -Authentication Credssp -Credential (Get-Credential)

Enter-PSSession $session

必須アカウントおよびそれに対応する Windows PowerShell コマンドレット パラメーター

以下の表は、MBAM 2.5 サーバーの機能の構成に必要なアカウントを説明したものです。この表ではほかにも、構成にあたってそのアカウントを指定するときに使用する Windows PowerShell コマンドレットおよびパラメーターを示します。

コマンドレット パラメーター タイプ (ユーザーまたはグループ) 説明

Enable-MBAMDatabase

AccessAccount

ユーザーまたはグループ

このデータベースに対する読み取り/書き込みアクセス許可が認められているドメイン ユーザーまたはグループを指定し、Web アプリケーションがこのデータベース内のデータおよびレポートにアクセスできるようにします。値がドメイン ユーザーの場合には、WebServiceApplicationPoolCredential コマンドレットを実行するときに使用する Enable-MbamWebApplication パラメーターも同じユーザー アカウントを使用する必要があります。値がドメイン ユーザー グループの場合には、WebServiceApplicationPoolCredential パラメーターが使用するドメイン アカウントが、このグループのメンバーになっている必要があります。

ReportAccount

ユーザーまたはグループ

このデータベースに対する読み取りアクセス許可のみが認められているドメイン ユーザーまたはユーザー グループを指定し、MBAM レポートが準拠データおよび監査データにアクセスできるようにします。値がドメイン ユーザーの場合には、ComplianceAndAuditDBCredential コマンドレットの Enable-MbamReport パラメーターも同じユーザー アカウントを使用する必要があります。値がドメイン ユーザー グループの場合には、ComplianceAndAuditDBCredential パラメーターが使用するドメイン アカウントが、このグループのメンバーになっている必要があります。

Enable-MbamReport

ComplianceAndAuditDBCredential

ユーザー

ローカル SSRS インスタンスが MBAM の準拠と監査データベースにアクセスするための管理者資格情報を指定するものです。管理者資格情報内のドメイン ユーザーは、ReportAccount コマンドレットを実行する際に使用する Enable-MbamDatabase パラメーターで使用されているユーザー アカウントと同じにする必要があります。ドメイン ユーザー グループを ReportAccount パラメーターと共に使用している場合には、このアカウントがそのグループのメンバーになっている必要があります。

Important重要
管理者資格情報で指定されたアカウントには、セキュリティの強化のため、ユーザーの権限に制約を設ける必要があります。このほか、アカウントのパスワードは時間の経過によって失効することがないように設定してください。

ReportsReadOnlyAccessGroup

グループ

レポートの読み取りアクセス許可が認められたドメイン ユーザー グループを指定するものです。指定されるグループは、ReportsReadOnlyAccessGroup コマンドレットの Enable-MbamWebApplication パラメーターに使用されているものと同じグループになっている必要があります。

Enable-MBAMWebApplication

AdvancedHelpdeskAccessGroup

グループ

Administration and Monitoring Web サイトの領域のうち、レポート領域以外のあらゆる部分にアクセスできるドメイン ユーザー グループを指定します。

HelpdeskAccessGroup

グループ

Administration and Monitoring Web サイトの [TPM の管理] および [ドライブの回復] の領域にアクセスできるドメイン ユーザー グループを指定します。

ReportsReadOnlyAccessGroup

グループ

Administration and Monitoring Web サイトの [レポート] 領域に対する読み取りアクセス許可が認められたドメイン ユーザー グループを指定します。指定されるグループは、ReportsReadOnlyAccessGroup コマンドレットの Enable-MbamReport パラメーターに使用されているものと同じグループになっている必要があります。

WebServiceApplicationPoolCredential

ユーザー

MBAM Web アプリケーションのアプリケーション プールが使用するドメイン ユーザーを指定します。AccessAccount コマンドレットの Enable-MbamDatabase パラメーターで指定されているものと同じドメイン ユーザー アカウントになっている必要があります。AccessAccount コマンドレットの実行時に Enable-MbamDatabase パラメーターでドメイン ユーザー グループを使用していた場合には、ここで指定するドメイン ユーザーがそのグループのメンバーになっている必要があります。管理者資格情報を指定しなかった場合には、以前に有効にした Web アプリケーションで指定された管理者資格情報が使用されます。Web アプリケーションはいずれも、同じアプリケーション プール ID を使用します。これが何度も指定されている場合には、最後に指定された値が使用されます。

Important重要
セキュリティの強化のため、管理者資格情報で指定されたアカウントにはユーザー権限に制約を設ける必要があります。また、このアカウントのパスワードは期限切れにならないように設定してください。あらかじめ組み込まれている IIS_IUSRS アカウントと WebServiceApplicationPoolCredential パラメーターで使用しているアカウントのいずれかが、ローカルのセキュリティ設定 [認証後にクライアントを偽装] に追加されていることをご確認ください。

ローカル セキュリティ設定を確認するには、[ローカル セキュリティ ポリシー] エディターを開いて [ローカル ポリシー] ノードを展開し、[ユーザー権利の割り当て] ノードを選択して、詳細ウィンドウの [認証後にクライアントを偽装] および [バッチ ジョブとしてログオン] グループ ポリシー設定をダブルクリックします。

MBAM への提案はございますか。

こちらから提案を追加するか、提案に投票してください。MBAM の問題については、「MBAM に関する TechNet フォーラム」を利用してください。

関連項目

概念

MBAM 2.5 サーバー機能の構成の確認
Windows PowerShell を使用した MBAM 2.5 の管理

その他の参照情報

MBAM 2.5 サーバーの機能の構成