Windows PowerShell を使用した MBAM 2.5 サーバー機能の構成
適用対象: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1
MBAM 2.5 サーバーのソフトウェアをインストールした後は、MBAM 2.5 コマンドレットまたは Windows PowerShell サーバー構成ウィザードを使用して、MBAM サーバーの機能を構成できます。このトピックでは、MBAM 2.5 コマンドレットを使用して Windows PowerShell を構成する方法を説明します。コマンドレットの代わりにウィザードを使用する場合には、「MBAM 2.5 サーバーの機能の構成」をご覧ください。
このトピックの内容
このトピックでは、Windows PowerShell を使って MBAM を構成することに関する以下の内容を説明します。
MBAM 2.5 向けの Windows PowerShell ヘルプを読み込む方法
MBAM Windows PowerShell コマンドレットに関するヘルプを入手する方法
MBAM サーバー構成ウィザードにはないため、Windows PowerShell でのみ可能な構成
Windows PowerShell を使用して MBAM サーバーの機能を構成するための前提条件および各種要件
Windows PowerShell を使用してリモート コンピューターに MBAM を構成する
必須アカウントおよびそれに対応する Windows PowerShell コマンドレット パラメーター
Windows PowerShell の管理に使用する Get-MbamBitLockerRecoveryKey および Get-MbamTPMOwnerPassword の 2 つの MBAM コマンドレットについては、「Windows PowerShell を使用した MBAM 2.5 の管理」をご覧ください。
MBAM 2.5 向けの Windows PowerShell ヘルプを読み込む方法
TechNet で Windows PowerShell コマンドレットの一覧を確認するには、「Microsoft Desktop Optimization Pack Automation with Windows PowerShell (Windows PowerShell による Microsoft Desktop Optimization Pack の自動化)」をご覧ください。
MBAM サーバー ソフトウェアのインストール後に Windows PowerShell コマンドレット用の MBAM 2.5 ヘルプを読み込むには
Windows PowerShell または Windows PowerShell Integrated Scripting Environment (ISE) を開きます。
「Update-Help –Module Microsoft.MBAM」と入力します。
MBAM Windows PowerShell コマンドレットに関するヘルプを入手する方法
Windows PowerShell 用の MBAM には、次の形式のヘルプが用意されています。
Windows PowerShell ヘルプの形式 | 詳細情報 |
---|---|
Windows PowerShell コマンド プロンプトで「Get-Help <cmdlet>」と入力 |
最新の Windows PowerShell コマンドレットをアップロードするには、MBAM 用 Windows PowerShell ヘルプを読み込む方法について説明した先行セクションの手順に従います。 |
TechNet 上の Web ページ |
https://go.microsoft.com/fwlink/?LinkId=393498 |
ダウンロード センター上の Word .docx ファイル |
https://go.microsoft.com/fwlink/?LinkId=393497 |
ダウンロード センター上の .pdf ファイル |
https://go.microsoft.com/fwlink/?LinkId=393499 |
MBAM サーバー構成ウィザードにはないため、Windows PowerShell でのみ可能な構成
Windows PowerShell でのみ可能な構成 | 詳細情報 |
---|---|
Web サービスを Web アプリケーションとは別のコンピューターにインストールする。 |
ウィザードを使用した場合には、Web サービスおよび Web アプリケーションを同じコンピューターにインストールする必要があります。 |
Configuration Manager オブジェクトをすべてインストールしなくとも、別のレポート サービス ポイントに関するレポートができるようにする。 |
|
Configuration Manager からオブジェクトをすべて削除する。 |
オブジェクトを削除すると、Configuration Manager から準拠データがすべて削除されます。 |
データベースに対するカスタム接続文字列を入力する。 |
例:Web アプリケーションでミラーリングを使用するように構成するには、Enable-MbamWebApplication コマンドレットを使用して接続文字列に適切なフェールオーバー パートナー シンタックスを指定する必要があります。 |
前提条件に不備があることが確認された場合でも、検証をスキップして機能の構成に進む。 |
注意
Windows PowerShell コマンドレットや MBAM サーバー構成ウィザードで MBAM データベースを無効にすることはできません。準拠データおよび監査データを意図せず削除してしまう事態を避けるため、データベース管理者が手動でデータベースを削除する必要があります。
Windows PowerShell を使用して MBAM サーバーの機能を構成するための前提条件および各種要件
構成を変更するには、以下の前提条件を満たしている必要があります。
アカウントに関する前提条件
前提条件 | 詳細または補足情報 |
---|---|
必要なアカウントを作成する。 |
このトピックの「必須アカウントおよびそれに対応する Windows PowerShell コマンドレット パラメーター」セクションをご覧ください。 |
Windows PowerShell コマンドレットにパラメーターを渡すユーザー アカウントおよびグループが、ドメイン内で有効なアカウントである。 |
ローカル アカウントを使用することはできません。 |
ダウンレベル形式でアカウントを指定する。 |
例: domainNetBiosName\user |
アクセス許可に関する前提条件
前提条件 | 詳細または補足情報 | ||||||||
---|---|---|---|---|---|---|---|---|---|
MBAM の機能を構成するローカル コンピューターの管理者である。 |
|||||||||
Windows PowerShell コマンドレットをすべて実行する場合には、管理者特権で開いた Windows PowerShell コマンド プロンプトを使用する。 |
|||||||||
Enable-MbamDatabase コマンドレットの場合のみ: 対象とする Microsoft SQL Server データベースのインスタンスに対して "あらゆるデータベースの作成" のためのアクセス許可がある。 MBAM ボリューム シャドウ コピー サービス (VSS) ライターに登録する場合には、このユーザー アカウントが、ローカル管理者グループまたは Backup Operators グループに所属している。 |
データベース管理者またはシステム管理者には、既定で "あらゆるデータベースの作成" のためのアクセス許可が認められています。 VSS ライターの詳細については、「Volume Shadow Copy Service (ボリューム シャドウ コピー サービス)」をご覧ください。 |
||||||||
System Center Configuration Manager 統合機能の場合のみ: この機能を有効にするユーザーが、Configuration Manager で右の表に示す権限を持っている。 |
|
Windows PowerShell を使用してリモート コンピューターに MBAM を構成する
この機能を使用する局面 |
リモート コンピューターで MBAM 2.5 サーバーの機能を構成する必要がある場合です。あるコンピューターで Windows PowerShell コマンドレットを実行しており、MBAM 2.5 サーバーの機能を別のリモート コンピューターに構成するという局面が挙げられます。 |
必要事項 |
Windows PowerShell を使用してリモート コンピューターに MBAM 2.5 サーバーの機能を構成するには、以下が必要になります。
|
これが必要な理由 |
このプロトコルは、Windows PowerShell コマンドレットがユーザーの管理者資格情報を使用して Active Directory Domain Services に接続するためのものです。このプロトコルなしで Windows PowerShell セッションを開始しようとすると、検証エラーとなることがあります。 |
CredSSP プロトコルを使用して Windows PowerShell セッションを開始する方法 |
Windows PowerShell プロンプトで、以下のコードを入力します。
コードの例は以下のとおりです。
|
必須アカウントおよびそれに対応する Windows PowerShell コマンドレット パラメーター
以下の表は、MBAM 2.5 サーバーの機能の構成に必要なアカウントを説明したものです。この表ではほかにも、構成にあたってそのアカウントを指定するときに使用する Windows PowerShell コマンドレットおよびパラメーターを示します。
コマンドレット | パラメーター | タイプ (ユーザーまたはグループ) | 説明 | ||
---|---|---|---|---|---|
Enable-MBAMDatabase |
AccessAccount |
ユーザーまたはグループ |
このデータベースに対する読み取り/書き込みアクセス許可が認められているドメイン ユーザーまたはグループを指定し、Web アプリケーションがこのデータベース内のデータおよびレポートにアクセスできるようにします。値がドメイン ユーザーの場合には、WebServiceApplicationPoolCredential コマンドレットを実行するときに使用する Enable-MbamWebApplication パラメーターも同じユーザー アカウントを使用する必要があります。値がドメイン ユーザー グループの場合には、WebServiceApplicationPoolCredential パラメーターが使用するドメイン アカウントが、このグループのメンバーになっている必要があります。 |
||
ReportAccount |
ユーザーまたはグループ |
このデータベースに対する読み取りアクセス許可のみが認められているドメイン ユーザーまたはユーザー グループを指定し、MBAM レポートが準拠データおよび監査データにアクセスできるようにします。値がドメイン ユーザーの場合には、ComplianceAndAuditDBCredential コマンドレットの Enable-MbamReport パラメーターも同じユーザー アカウントを使用する必要があります。値がドメイン ユーザー グループの場合には、ComplianceAndAuditDBCredential パラメーターが使用するドメイン アカウントが、このグループのメンバーになっている必要があります。 |
|||
Enable-MbamReport |
ComplianceAndAuditDBCredential |
ユーザー |
ローカル SSRS インスタンスが MBAM の準拠と監査データベースにアクセスするための管理者資格情報を指定するものです。管理者資格情報内のドメイン ユーザーは、ReportAccount コマンドレットを実行する際に使用する Enable-MbamDatabase パラメーターで使用されているユーザー アカウントと同じにする必要があります。ドメイン ユーザー グループを ReportAccount パラメーターと共に使用している場合には、このアカウントがそのグループのメンバーになっている必要があります。
|
||
ReportsReadOnlyAccessGroup |
グループ |
レポートの読み取りアクセス許可が認められたドメイン ユーザー グループを指定するものです。指定されるグループは、ReportsReadOnlyAccessGroup コマンドレットの Enable-MbamWebApplication パラメーターに使用されているものと同じグループになっている必要があります。 |
|||
Enable-MBAMWebApplication |
|
|
|
||
AdvancedHelpdeskAccessGroup |
グループ |
Administration and Monitoring Web サイトの領域のうち、レポート領域以外のあらゆる部分にアクセスできるドメイン ユーザー グループを指定します。 |
|||
HelpdeskAccessGroup |
グループ |
Administration and Monitoring Web サイトの [TPM の管理] および [ドライブの回復] の領域にアクセスできるドメイン ユーザー グループを指定します。 |
|||
ReportsReadOnlyAccessGroup |
グループ |
Administration and Monitoring Web サイトの [レポート] 領域に対する読み取りアクセス許可が認められたドメイン ユーザー グループを指定します。指定されるグループは、ReportsReadOnlyAccessGroup コマンドレットの Enable-MbamReport パラメーターに使用されているものと同じグループになっている必要があります。 |
|||
WebServiceApplicationPoolCredential |
ユーザー |
MBAM Web アプリケーションのアプリケーション プールが使用するドメイン ユーザーを指定します。AccessAccount コマンドレットの Enable-MbamDatabase パラメーターで指定されているものと同じドメイン ユーザー アカウントになっている必要があります。AccessAccount コマンドレットの実行時に Enable-MbamDatabase パラメーターでドメイン ユーザー グループを使用していた場合には、ここで指定するドメイン ユーザーがそのグループのメンバーになっている必要があります。管理者資格情報を指定しなかった場合には、以前に有効にした Web アプリケーションで指定された管理者資格情報が使用されます。Web アプリケーションはいずれも、同じアプリケーション プール ID を使用します。これが何度も指定されている場合には、最後に指定された値が使用されます。
|
MBAM への提案はございますか。
こちらから提案を追加するか、提案に投票してください。MBAM の問題については、「MBAM に関する TechNet フォーラム」を利用してください。
関連項目
概念
MBAM 2.5 サーバー機能の構成の確認
Windows PowerShell を使用した MBAM 2.5 の管理